Die fortschreitende Digitalisierung ermöglicht effizientere Abläufe, Online-Terminbuchungen, Telemedizin und die elektronische Patientenakte verbessern die Versorgungsqualität.
Gleichzeitig stellen sich für Arztpraxen und Krankenhäuser neue Anforderungen an den Datenschutz. Denn der sorgfältige Umgang mit Gesundheitsdaten ist ein Muss. Doch im Alltag können Patientendaten auf vielfältige Weise in falsche Hände geraten: durch Hackerangriffe, Computerpannen oder offene Akten auf dem Tisch. Regelmäßige Datenschutz-Updates sensibilisieren das Team für das Thema.
Vor allem in Arztpraxen herrscht viel Publikumsverkehr.
Eine besondere Schwachstelle ist der Empfangsbereich, wo viele Informationen ausgetauscht werden. Am Tresen werden Befunde laut besprochen und dahinter wartende Patienten hören mit.
Oder Patienten sind zeitweise alleine im Behandlungsraum, weil der Arzt mehrere parallel betreut. Theoretisch wäre die auf dem Tisch vergessene fremde Akte also einsehbar. Oder Beschäftigte in Krankenhäusern schauen aus Neugier unbefugt in die Akte ihrer erkrankten Kollegen.
Beispiele für unkorrekten Umgang mit Gesundheitsdaten gibt es etliche. Das meiste davon passiert aus Unachtsamkeit, weil der Alltag stressig ist und drei Sachen auf einmal erledigt werden wollen. Umso wichtiger ist es, sich immer wieder zu fokussieren. Denn das Vertrauensverhältnis zwischen Arzt und Patient basiert darauf, dass private Details über den Gesundheitszustand vertraulich behandelt werden.
Personenbezogene Daten schützen
Ärzte sowie deren Mitarbeitende unterliegen nicht nur der Schweigepflicht, sondern müssen mit Informationen über ihre Patienten und deren Gesundheitszustand äußerst sensibel umgehen. Denn Gesundheitsdaten gehören nach Artikel 9 der EU-Datenschutz-Grundverordnung (DSGVO) zu den besonders schützenswerten personenbezogenen Daten. Parallel gilt weiterhin das Bundesdatenschutzgesetz (BDSG).
Praxen und Krankenhäuser müssen sicherstellen, dass Unbefugte keinen Zugriff auf Patientenakten oder andere Informationen haben. Dies betrifft sowohl digitale Aufzeichnungen als auch Ausdrucke, Formulare und Notizen. Informationen aus der Patientenakte dürfen nur unter bestimmten Vorgaben weitergegeben werden. Ausführliche Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung in der Arztpraxis sind auch online bei der Bundesärztekammer abrufbar.
Regelmäßige Schulungen für alle
Im Alltag stehen Ärzte und Angestellte vor der anspruchsvollen Aufgabe, hohe Datenschutzstandards zu gewährleisten, diese zu dokumentieren und dabei gleichzeitig effizient zu arbeiten. Die zunehmende Digitalisierung mit Telemedizin, KI und elektronischer Patientenakte stellt sie dabei vor neue Herausforderungen.
Regelmäßige Schulungen erleichtern diese Aufgaben. Sie bringen das Praxisteam auf den aktuellen Stand der Datenschutzbestimmungen und ermöglichen deren korrekte Umsetzung. Das hilft Datenpannen und Datenschutzverstöße zu vermeiden und das Bewusstsein für mögliche Risiken wieder zu schärfen. Denn zur Datensicherheit gehört zum Beispiel auch, dass die Beschäftigten mit eingehenden E-Mails vorsichtig umgehen, weil über E-Mails natürlich auch Schadsoftware eingeschleust werden kann.
Die Pflicht zur jährlichen Unterweisung gilt ausnahmslos für alle, von der Praxisleitung bis zur Reinigungskraft. Pflichtschulungen für Arztpraxen, Medizinische Versorgungszentren und Krankenhäuser bietet beispielsweise die Akademie des Deutschen Ärzteverlages online an. Die Inhalte sind auf vier bis fünf Stunden begrenzt und können jederzeit unterbrochen und fortgesetzt werden.
Mit Checkliste mögliche Sicherheitslücken aufspüren
Wie es um die Sicherheit der Daten einer Arztpraxis bestellt ist, lässt sich ganz praktisch mit der Datenschutz-Checkliste der Kassenärztlichen Bundesvereinigung überprüfen. Sie listet wichtige Aspekte auf, die Ärzte und Angestellte beachten sollten. Die Überprüfung muss auch technisch-organisatorische Maßnahmen einschließen. Die Checkliste umfasst Punkte wie:
- Korrekte Erhebung und Speicherung von Patientendaten
- Sicherheitsmaßnahmen für physische und digitale Akten
- Umgang mit Patientenanfragen zu Datenschutzrechten
- Vorgehen bei Datenpannen
- Regelungen zur Datenweitergabe an Dritte
Die Checkliste ist jedoch nur ein Leitfaden, um mögliche Sicherheitslücken zu erkennen und zu beheben. Wer auf Nummer sicher gehen will, sollte einen Datenschutzbeauftragten mit der Suche nach Schwachstellen und Lösungen beauftragen.
Datenschutzbeauftragter: Ja oder Nein?
Ob für die Einhaltung des Datenschutzes und der -sicherheit von Gesetzes wegen ein Datenschutzbeauftragter benannt werden muss, hängt von verschiedenen Faktoren ab. In erster Linie muss diese Position besetzt werden, wenn
• in der Praxis mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
• wenn mindestens zehn Personen regelmäßig sensible Gesundheitsdaten erheben, verarbeiten und nutzen, oder
• wenn Datenverarbeitungen durchgeführt werden, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen.
Im Gegensatz zu Krankenhäusern müssen also nicht alle Arztpraxen einen Datenschutzbeauftragten bestellen. Allerdings kann es auch für kleinere Praxen sinnvoll sein, eine externe Person mit dieser Aufgabe zu betrauen, um Interessenskonflikte zu vermeiden und von deren spezifischem Fachwissen zu profitieren.
Ein kompetenter Datenschutzbeauftragter muss mit der Materie vertraut sein, über juristische, betriebswirtschaftliche und informationstechnische Kenntnisse verfügen und unabhängig handeln können. Der Praxisinhaber kann einen Mitarbeiter mit dieser Aufgabe betrauen. Er selbst darf diese Funktion nicht ausüben.
Guter Datenschutz braucht Kontinuität
Verstöße gegen die DSGVO können teuer werden. Beim ersten Mal kommt man vielleicht mit einer Verwarnung davon, ansonsten drohen Bußgelder. Datenschutz in der Praxis ist ein fortlaufender Prozess, der ständig überwacht und angepasst werden muss. Durch die Kombination von organisatorischen Maßnahmen, technischen Lösungen und gut geschultem Personal kann ein hohes Datenschutzniveau erreicht werden.
Und: Datenschutz ist Teamarbeit, alle müssen mitmachen. Davon profitiert letztlich auch die Praxis. Denn das Vertrauen der Patienten wird gestärkt.
Beitrag von Lisa von Prondzinski
Zur besseren Lesbarkeit verwenden wir zumeist das generische Maskulinum. Gemeint sind selbstverständlich stets Personen jedweden Geschlechts.