Experten aus der Bundesärztekammer, der Kassenärztlichen Bundesvereinigung, dem Deutschen Hausärzteverband und aus einer Kanzlei für Medizinrecht haben sich zusammengetan und das Buch Datenschutz in der ärztlichen Praxis geschrieben. In ihrem beruflichen Alltag sind sie Ansprechpartner für das Thema Datenschutz in Deutschlands Praxen. Wir waren neugierig und fragten nach, wie die Umsetzung der neuen DS-GVO nach einem Jahr in den Praxen gelingt.
Die neue Datenschutzgrundverordnung gilt jetzt genau ein Jahr – können Sie einschätzen, wie viel sich seitdem im Praxisalltag verändert hat?
Bernd Halbe und Jan Ippach: Eine allgemeine Antwort auf diese Frage lässt sich schwer formulieren, da sich die Veränderungen nach der neuen DS-GVO eher praxisbezogen verhalten – zumindest empfinden wir es in unserem (juristischen) Berufsalltag so. Messen lässt sich aber eindeutig ein Mehraufwand, der bei der Umsetzung datenschutzrechtlicher Vorgaben deutlich gestiegen ist. Die Patientensicherheit und die damit verbundenen persönlichen Daten haben höchste Priorität. Mit der neuen DS-GVO sind zwar viele datenschutzrechtliche Missverständnisse aufgekommen und zwischenzeitlich wieder behoben worden, allerdings bleiben weiterhin viele Punkte ungeklärt – sehr zu Unsicherheit der Praxen. Die Hoffnung liegt jetzt in einer Zusammenarbeit der Länder, die ihren Datenschutzaufsichtsbehörden den Auftrag geben, gemeinsam an einer Um- und Durchsetzung eines realistischen Datenschutzes zu arbeiten. Eines ist jedoch ganz klar: Das Thema Datenschutz kann nicht mehr ignoriert werden.
Welche erforderlichen Maßnahmen empfehlen Sie jedem Praxisinhaber?
Carsten Dochow, Bert-Sebastian Dörfer und Marlis Hübner: Um Datenschutz und eine datenschutzkonforme Praxisorganisation gut zu gewährleisten, sind sicherlich einige Maßnahmen notwendig: Der erste wichtige Schritt ist, dass Ärztinnen und Ärzte als erste Maßnahme eine Auflistung ihrer Verarbeitungstätigkeiten erstellen. Das hilft, um einen soliden Überblick bekommen, wie die Datenverarbeitung bisher in der Praxis funktioniert – darüber hinaus dient es als Nachweis für den Fall einer Prüfung seitens der Aufsichtsbehörde.
Im zweiten Schritt bedarf es einer transparenten Vermittlung der Datenschutzthematik an die Patientinnen und Patienten. Ein Aushang an der Eingangstür oder zum Behandlungszimmer reicht hier nicht aus. Es muss konkret auf einem Informationsblatt hervorgehen, wie die Rechtsgrundlage der Datenverarbeitung aussieht. Entscheidend ist hierbei, dass die korrekte Angabe des § 22 Abs. 1 Nr. 1 Buchstabe b BDSG angegeben wird. Dieser besagt, dass die Verarbeitung von Daten zu reinen Behandlungszwecken und zur ausschließlichen Dokumentation erfolgt.
Werden Daten aber doch weitergegeben, wie z.B. an Private Verrechnungsstellen, müssen aktuelle und inhaltlich korrekte Einwilligungserklärungen, die alle wichtigen Information wie z.B. Widerrufsmöglichkeiten beinhalten, vorliegen. Darüber hinaus sollten auch bisherige Absprachen mit IT-Dienstleistern und EDV-Wartung darauf geprüft werden, ob auch dort die gesetzlichen Richtlinien zur Auftragsverarbeitung gelten. Wichtig zu beachten ist, dass diese Dienstleister nun dazu verpflichtet sind, strikte Geheimhaltung zu wahren, andernfalls ergeben sich strafrechtliche Konsequenzen.
Es empfiehlt sich dringend, in jeder Gesundheitseinrichtung einen betrieblichen Datenschutzbeauftragten zu definieren, der bei sehr riskanten Datenverarbeitungstätigkeiten eine Einschätzung darüber geben kann, welche Maßnahmen erforderlich sind. Darüber hinaus bietet sich an, eine betriebsinterne Datenschutzrichtlinie zu verfassen. Diese kann zum Beispiel vorgeben, wie bei einem Datenzwischenfall vorzugehen ist, wie bei betroffenen personenbezogen Daten umzugehen ist und folglich, wie die Maßnahmen aussehen. Die Rede ist zwar immer von den Daten der Patienten, allerdings gilt diese Gewährleistung auch für die Beschäftigtendaten.
In welchen Bereichen einer Arztpraxis greifen die Bestimmungen des Datenschutzes?
Joachim Schütz: Diese Bestimmungen greifen in allen Arbeitsbereichen – es gibt hier keine Ausnahme. Es beginnt bereits beim Anlegen von elektronischen Patientenakten bis hin zum Löschen solcher Akten. Und erneut ist auch hier der dringende Apell, dass insbesondere die Informationstransparenz den Patienten gegenüber gewährleistet sein muss. Das bedeutet, jeder Patient muss seine Rechte (Auskunft, Berichtigung, Übermittlung etc.) erfahren. Entsprechende Informationen müssen gut sichtbar in der Praxis angebracht werden.
Außerdem muss ebenfalls sichergestellt werden, dass der Wartebereich und die Behandlungszimmer so geplant sind, dass die Vertraulichkeit der Patienten bewahrt bleibt– denn: Bereits das Mithören, Zuhören oder das Lesen von Patientendaten ist durch unbefugte Dritte strengstens untersagt. Aus diesem Grund ist es nicht erlaubt, Patientenakten, Überweisungen oder Rezepte offen und für jeden lesbar herumliegen zu lassen. Auch Postzusteller oder andere Patienten gelten als unbefugte Dritte, selbst wenn sie nur einen kurzen Blick auf den Bildschirm haben, ist dies verboten. Letztlich muss die gesamte IT und Praxissoftware verschlüsselt sein. So sollten E-Mails mit Daten von Patienten ausschließlich verschlüsselt versendet und empfangen werden.
Über welche Wege können sich Patienten über neue Bestimmungen rechtssicher informieren?
Jürgen Schröder: Die Praxisinhaber müssen die Patienten über die laufenden Datenverarbeitungen in der ärztlichen Praxis informieren. Dabei sind Zweck der Datenverarbeitung und Empfänger der Daten zu benennen. Die Informationen können auf der Homepage sowie als Aushang in der Arztpraxis auftauchen – beides muss gut sichtbar sein. Möglich ist auch die direkte Übergabe an den Patienten. Eine offizielle Gegenzeichnung seitens der Patienten, dass sie die Informationen gelesen haben, ist nicht erforderlich. So muss der Arzt auch nicht weiter über die Bestimmungen der DS-GVO informieren.
Es wurde viel darüber gesprochen, welche Richtlinien einzuhalten sind – was passiert denn bei Verstoß der Regeln?
Bernd Halbe und Jan Ippach: In Zukunft werden Datenschutzdelikte stärker geahndet werden als bislang. Geldbußen, Verwarnungen, Aussetzungsanordnung, Beschränkungsanordnung sowie Verarbeitungsverbot sind einige Konsequenzen, die bei einer Missachtung der neuen Datenschutzbestimmungen erfolgen können. Die mediale Darstellung vermittelt derzeit eher das Bild von Bußgeldern als Konsequenz. Allerdings darf nicht vergessen werden, dass je nach Fall, Personen, deren Persönlichkeitsrechte verletzt wurden, den Anspruch auf Schadensersatz erheben können.
Das Gespräch führte Martin Reinhart vom Deutschen Ärzteverlag.
Für weitere Literatur-Empfehlungen Ihres Fachgebietes können Sie sich auch gerne für unseren Newsletter registrieren. So entgehen Ihnen keine Neuheiten mehr!
Bildquelle: ©maxsim -iStock.com
