Der Schutz personenbezogener Daten (Datenschutz) ist in einer Arztpraxis von essenzieller Bedeutung. Patienten vertrauen darauf, dass ihre sensiblen Gesundheitsdaten sicher und vertraulich behandelt werden. Doch gerade in diesem sensiblen Bereich können Fehler schwerwiegende Folgen haben – von Datenschutzverletzungen bis hin zu rechtlichen Konsequenzen. Dieser Artikel beleuchtet die gesetzlichen Grundlagen sowie typische DSGVO-Fehler im Umgang mit Patientendaten und zeigt, wie Arztpraxen Datenschutzrisiken effektiv reduzieren können.
Datenschutz in der Arztpraxis: Gesetzliche Grundlagen
Patienten müssen sich darauf verlassen können, dass die dem Arzt anvertrauten hochsensiblen Daten vertraulich bleiben. Der Datenschutz für die Arztpraxis spielt deshalb eine zentrale Rolle. Einerseits ist der Arzt gemäß seiner Berufsordnung zur Verschwiegenheit verpflichtet. Andererseits sind im Umgang mit personenbezogenen Daten für diesen Berufsstand folgende weitere Gesetze zu beachten:
• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte
• Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen
Arztpraxis DSGVO: Welche Daten müssen geschützt werden?
Ärzte erhalten von Berufs wegen zwangsläufig sehr viele personenbezogene Daten und verarbeiten diese in automatisierter Form. Darunter fallen insbesondere die im Behandlungsverhältnis verarbeiteten personenbezogenen Daten wie:
- Name
- Geburtsdatum
- Geschlecht
- Anschrift
- Versicherungsstatus
- Befunde
- Diagnosen
- Therapiemaßnahmen
- Medikamentierungen
- Behandlungspläne
- Arztbriefe
- u.v.m.
Wenn solche oder ähnliche personenbezogene Daten im Rahmen der ärztlichen Tätigkeit bekannt werden, ist für jede Praxis ein umfassendes Datenschutzkonzept unerlässlich. Dieses umfasst neben einer detaillierten Planung auch konkrete technische und organisatorische Maßnahmen sowie regelmäßige Kontrollen. Eventuell unterliegt der Arztpraxis sogar einer Pflicht zur Bestellung eines Datenschutzbeauftragten. Andernfalls entstehen erhebliche Datenschutzrisiken. Nachstehend erhalten Sie einen Überblick über typische Fehler beim Datenschutz in der Arztpraxis.
1. Kein Datenschutzbeauftragter in der Arztpraxis bestellt
Oftmals fehlt es in Arztpraxen an einem Datenschutzbeauftragten, obwohl die Pflicht zur Benennung besteht. Ohne diese Funktion geraten die DSGVO-Vorgaben schnell ins Stocken. Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn mindestens 20 Personen regelmäßig Daten automatisiert verarbeiten. In bestimmten Fällen, etwa bei einer notwendigen Datenschutz-Folgenabschätzung, muss ein Datenschutzbeauftragter auch bei weniger als 20 Mitarbeitern bestellt werden. Ein externer Datenschutzbeauftragter kann hier hilfreich sein, um die Einhaltung von Datenschutz und Datensicherheit zu gewährleisten.
2. Übersendung von Erinnerungs-E-Mails an Patienten mit offenem Mail-Verteiler
Ein typischer Fehler besteht darin, dass Patienten per E-Mail an Kontrolltermine erinnert werden, ohne vorher ihre ausdrückliche Einwilligung einzuholen. Dies ist falsch, da diese Art der Verarbeitung nicht vom Behandlungsvertrag gedeckt ist. Darüber hinaus werden vom Praxispersonal manchmal aus Unachtsamkeit oder Unwissenheit mit offenem Verteiler, d. h. mit E-Mail-Adressen anderer Patienten in der Empfängerzeile versendet. Dies begründet einen Verstoß gegen Datenschutz und einem Verstoß gegen die ärztliche Schweigepflicht.
3. Mangelnde Diskretion am Eingangsbereich sorgt für Datenschutzverstöße
Der Datenschutz beginnt am Empfang der Arztpraxis. Hier schildert jeder Patient den Grund seines Besuchs und kommuniziert seine Versicherungsinformation. Ohne ausreichende Diskretionsabstände können andere Patienten sensible Informationen mithören. Auch bei der Entgegennahme von Anrufen und der telefonischen Besprechung von Gesundheitsthemen sollte das Praxispersonal besonders auf Diskretion achten und sicherstellen, dass die Identität des Anrufers zweifelsfrei festgestellt wurde.
4. Unsichere Online-Terminvereinbarung
Bei der Nutzung von Online-Terminvereinbarungsportalen vergessen Arztpraxen oft, dass sie die Sicherheit der übermittelten Daten gewährleisten müssen. Dazu zählt die Verschlüsselung der Datenübertragung. Zudem darf Patienten, die aus Datenschutzgründen keine Online-Datenübertragung wünschen, die Behandlung nicht verweigert werden.
5. Weitergabe von Gesundheitsdaten an Abrechnungsstelle und/oder Rechtsanwalt
Patienten beschweren sich zunehmend, dass ihre Behandlungsdaten ohne Einwilligung an Abrechnungsstellen oder Anwälte weitergegeben werden.
6. Unsicherer Mail-Versand von Gesundheitsdaten
Beim Versand von Gesundheitsdaten an den Patienten oder an Dritte per Mail lauert die nächste Datenschutz-Stolperfalle in der Arztpraxis. Unter der DSGVO erfüllt der standardmäßige E-Mail-Versand die gesetzlichen Anforderungen an die Vertraulichkeit der sensiblen Daten nicht. Daher kommt es in den Arztpraxen häufig zu Datenschutzverstößen. Der Versand von Gesundheitsdaten per E-Mail birgt erhebliche Risiken, wenn keine Transport- und Inhaltsverschlüsselung eingesetzt wird. Die gängigen Standards sind PGP oder S/MIME für die Inhaltsverschlüsselung und SSL/TLS für die Transportverschlüsselung. Alternativ kann eine Einwilligung des Patienten eingeholt werden, wenn auf eine Ende-zu-Ende-Verschlüsselung verzichtet wird.
Wie ein Datenschutzbeauftragter in der Arztpraxis bei der Umsetzung der DSGVO unterstützen kann:
Der Datenschutzbeauftragte wirkt auf die Umsetzung der Datenschutzbestimmungen im Unternehmen in. Der Datenschutzbeauftragte informiert und berät das Praxisteam über ihre Datenschutz-Pflichten. Des Weiteren dient er den Datenschutz-Aufsichtsbehörden als Ansprechpartner. Die Rolle des Datenschutzbeauftragten kann beispielsweise ein fachlich qualifizierter Mitarbeiter (sog. interner Datenschutzbeauftragter) übernehmen. Alternativ kann die Arztpraxis Datenschutz extern beauftragen. Hierfür kommen externe Datenschutzberater oder ein Fachanwalt für Datenschutz in Betracht. Der Praxisinhaber sollte diese Rolle aufgrund von Interessenkonflikten nicht ausüben. Der Name und die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und dem Landesdatenschutzbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO).
Überblick der DSGVO-Pflichten in der Arztpraxis
Auch ohne Datenschutzbeauftragten müssen folgende DSGVO-Vorgaben eingehalten werden:
- Klären Sie Ihre Patienten über die Verarbeitung der personenbezogenen Daten auf
- Veröffentlichen Sie eine Datenschutzerklärung auf ihrer Website
- Denken Sie auf Ihrer Website auch an einen Cookie-Banner
- Achten Sie auf die Sicherheit der Daten und etablieren Sie technische und organisatorische Maßnahmen
- Erstellen Sie ein Verzeichnis über die Datenverarbeitungen in der Arztpraxis
- Bereiten Sie sich auf Betroffenenanfragen von Patienten vor
- Führen Sie Datenschutz-Folgenabschätzung(en) durch
Weitere Praxistipps zur Umsetzung der DSGVO in der Arztpraxis gehört, erfahren Sie hier. Darüber hinaus können Sie auch nützliche kostenlose Tipps zur DSGVO auf der Seite der KBV finden.
Datenschutz im Gesundheitswesen: Was passiert bei der Nichteinhaltung der DSGVO?
Datenschutzverletzungen können für Patienten schwerwiegende Folgen haben. Datenpannen müssen daher innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Sanktionen bei Verstoß können empfindliche Bußgelder umfassen.
FAQ zum Thema Datenschutzbeauftragter in der Arztpraxis
Datenschutz im Gesundheitswesen umfasst den Schutz personenbezogener Gesundheitsdaten vor unbefugtem Zugriff, Missbrauch oder Verlust. Ziel ist es, die Privatsphäre von Patienten zu wahren und gesetzlichen Anforderungen wie der DSGVO gerecht zu werden.
Gesundheitsdaten umfassen alle Informationen, die sich auf den physischen oder psychischen Zustand einer Person beziehen, wie Diagnosen, Behandlungspläne, Testergebnisse und medizinische Berichte. Sie gehören zu den besonders schützenswerten Daten nach Art. 9 der DSGVO.
Der Praxisinhaber trägt die Verantwortung für die Einhaltung der Datenschutzvorgaben. Zusätzlich kann ein Datenschutzbeauftragter benannt werden.
Wenn mindestens 20 Personen regelmäßig Daten verarbeiten oder eine Datenschutz-Folgenabschätzung erforderlich ist, muss die Arztpraxis unter der DSGVO einen Datenschutzbeauftragten bestellen.
Diskretionszonen einrichten und Gespräche so gestalten, dass andere Patienten nichts mithören können.
Nur Personen, die direkt an der Behandlung beteiligt sind, wie Ärzte, Pflegekräfte oder Therapeuten. Der Zugriff muss auf das notwendige Minimum beschränkt sein.
Durch eine leicht zugängliche Datenschutzerklärung und aktive Information bei der Datenerhebung.
Die Datenpanne muss im Falle eines Risikos innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden.
Bei einer Datenschutzverletzung muss der Verantwortliche unverzüglich die zuständige Datenschutzbehörde und betroffene Personen informieren, wenn ein Risiko für die Rechte und Freiheiten besteht.
Die Datenschutz-Aufsichtsbehörde sowie der benannte Datenschutzbeauftragte.
E-Mails mit sensiblen Gesundheitsdaten sollten verschlüsselt versendet werden, idealerweise mit einer Ende-zu-Ende-Verschlüsselung. Alternativ können sichere Kommunikationsplattformen genutzt werden.
Verstöße können hohe Geldstrafen nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes gemäß DSGVO. Zudem drohen Imageverlust und rechtliche Konsequenzen.
Die Rolle des Datenschutzbeauftragten in der Arztpraxis kann durch einen fachlich qualifizierter Mitarbeiter (interner Datenschutzbeauftragter) ausgeführt werden. Alternativ kann die Rolle des Datenschutzbeauftragten in der Arztpraxis auch an einen externen Dienstleister vergeben werden.
