Was müssen Ärzte in Arztpraxen beim Datenschutz und DSGVO beachten?

Schutz von personenbezogenen Daten im Gesundheitsbereich

 

Daten über den sozialen Stand und die Gesundheit eines Menschen werden als die sensibelsten personenbezogenen Daten überhaupt eingeschätzt. Sie haben weitreichende Folgen für das Leben der Patienten und gelten daher als besonders schützenswert. Allerdings unterliegen sämtliche Daten im Gesundheitswesen schon immer einem besonderen Schutz. Neben dem Schutz der personenbezogenen Daten greifen hier auch die Grundlagen der Datensicherheit. Außerdem unterliegen sämtliche Informationen bezüglich des Gesundheitszustands eines Patienten der ärztlichen Schweigepflicht.

 

Seit Inkrafttreten der Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 wurde der Schutz der Patientendaten mit der expliziten Absicherung personenbezogener Daten noch einmal verschärft. Dies liegt vor allem darin, dass nicht nur die klassischen personenbezogenen Daten wie der vollständige Name, das Geburtsdatum und die Kontaktdaten erfasst werden, sondern auch alle Behandlungsdaten. Um eine individuelle, optimale Behandlung des jeweiligen Patienten zu gewährleisten, enthält eine Krankenakte auch die Anamnese des Patienten, Vorerkrankungen werden erfasst und gespeichert.

 

Ein wesentlicher zusätzlicher Vorteil der EU-DSGVO ist es, dass die Rechte der Patienten in ganz Europa gelten, wodurch der Verwaltungsaufwand wesentlich reduziert werden kann. Neben den Hausärzten hatten auch Krankenkassen, Fachärzte, Apotheken und Krankenhäuser die Pflicht, alle Prozesse und Verarbeitungsvorgänge von Daten zu überprüfen und anzupassen.

 

 

Welche Folgen hat die Einführung der EU-DSGVO für Mediziner?

 

Im Bereich der Medizin hat der Datenschutz für sensible Patientendaten einen sehr hohen Stellenwert eingenommen. Die ärztliche Schweigepflicht, auch als Arztgeheimnis bekannt, ist das optimale Beispiel dafür, da sie bestimmt, dass alle Dinge, die Patienten ihren Ärzten anvertrauen, nicht an Dritte weitergeben werden dürfen. Das Verständnis für die Verantwortung gegenüber den Patienten und die Wahrung ihrer Privatsphäre ist für Ärzte eine Selbstverständlichkeit.

 

Dennoch enthält die EU-DSGVO einige neue Regeln zur Optimierung des Schutzes von personenbezogenen Daten, die auch für Ärzte neu sind und im unternehmerischen Alltag integriert werden müssen. Ein paar wesentliche Punkte der Erneuerungen sind hier genauer aufgeführt:

 

  1. Der oder die Besitzer der Praxis haben mit der Einführung der EU-DSGVO eine Rechenschaftsplicht gegenüber den Datenschutzbehörden. Sie müssen jederzeit nachweisen können, dass sie Daten in Übereinstimmung mit der EU-DSGVO verarbeiten. Dazu muss bekannt sein, wie die Daten der Patienten verarbeitet werden.

 

  1. Nach Artikel 4 Absatz 2 EU-DSGVO umfasst die Verarbeitung der Daten „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten“.

 

Aufgrund der Vielschichtigkeit der EU-DSGVO gerade im Gesundheitsbereich sollten die Betreiber für ihre Praxis ein Schutzkonzept für die Sicherheit und Verwaltung der Patientendaten entwickeln zu lassen, um die Vorgänge der Datenverarbeitung vor dem Hintergrund der EU-DSGVO zu überprüfen und gegebenenfalls anzupassen.

 

 

 

Welche grundlegenden Inhalte eines Datenschutzkonzepts gelten bei Medizinern?

 

Auch wenn es bei Praxen mit einer Mitarbeiterzahl unter 10 nicht gesetzlich vorgeschrieben ist – ein unternehmensinternes Konzept der Organisation und Verwaltung des Datenschutzes zu entwickeln, ist es für Unternehmen aus dem Gesundheitsbereich durchaus lohnenswert. Ein solches Konzept wird für jede Praxis individuell auf den Bedarf zugeschnitten, dennoch müssen die folgenden Punkte enthalten sein:

 

I. INTERNE ORGANISATION UND VERWALTUNG DES DATENSCHUTZES

 

Alle elektronischen Verarbeitungsprozesse der Daten und die Verarbeitung von Patientendaten müssen mit dem Datenschutz konform sein. Diese werden durch passende technische und organisatorische Maßnahmen begleitet werden. Ist nach Artikel 35 EU-DSGVO eine Datenschutzfolgenabschätzung notwendig, muss diese erstellt werden.

 

Um zu dokumentieren, welche Daten auf Basis welcher Rechtsgrundlage erhoben werden, ist nach Artikel 30 EU-DSGVO ein Verzeichnis für Verarbeitungstätigkeiten geführt werden. Dafür sind die Datenverarbeitungsvorgänge zu gruppieren und in speziellen Formularen zu erfassen.

 

Werden mehr als 10 Mitarbeiter beschäftigt, ist nach Artikel 37 EU-DSGVO ein Datenschutzbeauftragter zu bestellen.

 

Parallel dazu muss sichergestellt werden, dass alle Mitarbeiter wissen, wie sie mit den Patientendaten umgehen sollen. Spezielle Formulare müssen entwickelt werden und die Sicherheit während der Datenverarbeitung sollte zu jeder Zeit gewährleistet wird.

 

II. VERHÄLTNIS ZUM PATIENTEN

 

In der Behandlungsroutine braucht die Genehmigung zur Datenverarbeitung nicht eingeholt zu werden. Bei außergewöhnlichen Behandlungen kann es dennoch notwendig werden, dass eine Einverständniserklärung zu geben. Im Zweifel ist es sinnvoll, sich trotzdem eine Einverständniserklärung geben zu lassen.

 

Der wichtigste Teil im Umgang mit dem Patienten liegt in der Erfüllung der Informationspflichten, die in den Artikeln 12-14 EU-DSGVO festgelegt wurden. Sie bestimmen, dass die Patienten in einfacher, präziser und verständlicher Form über den Verarbeitungszweck der Daten zu informieren sind.

 

Nach Artikel 15 EU-DSGVO können Patienten vom Arzt Auskunft über den Datenschutz verlangen. In den Aufbewahrungsfristen ist im Artikel 17 EU-DSGVO das „Recht auf Löschung“ verlangt werden.

 

III. VERHÄLTNIS ZU DRITTEN UND EXTERNEN DIENSTLEISTERN

 

Wird ein Vertrag mit externen Dienstleistern – beispielsweise für Wartungsarbeiten oder in der Buchhaltung – geschlossen, müssen sie den Richtlinien des Datenschutzes entsprechen. Die Anforderungen an eine Zusammenarbeit mit externen Dienstleistern wie Agenturen und IT-Unternehmen wird im Artikel 28, Absatz 3 EU-DSGVO geregelt. Dazu gehört auch die Verpflichtung zur Geheimhaltung.

 

IV. VERHÄLTNIS ZU DEN BEHÖRDEN DES DATENSCHUTZES

 

Aufsichtsbehörden haben bezüglich der Offenlegung der Patientengeheimnisse aufgrund der höher eingeschätzten ärztlichen Schweigepflicht nur eingeschränkte Rechte. Für die Praxen spielt vor allem die zeitnahe Meldung von Datenpannen an die Aufsichtsbehörden eine Rolle, die spätestens nach 72 Stunden erfolgen muss.

 

V. WEITERE HINWEISE

 

Individuelle Neuregelungen oder Ergänzungen zu den getroffenen Regelungen können in dieser Kategorie erfasst werden.

 

Genereller Umgang mit Patientendaten konform mit der EU-DSGVO

 

Ärzte erfahren bei der Behandlung von Patienten sehr intime und vertrauliche Dinge. Sie werden als Vertrauensperson wahrgenommen und die Patienten erwarten, dass ihre persönlichen Daten umfangreich geschützt werden. Neben der ärztlichen Schweigepflicht, in der Ärzte verpflichtet werden, keinerlei Informationen über die Krankheit und die Krankengeschichte des Patienten preiszugeben, verstärkt die EU-DSGVO die Rechte des Patienten weiter. In der EU-DSGVO und der BDSG-neu werden dafür „Gesundheitsdaten“ definiert. Zu ihnen gehören personenbezogene Daten, die die körperliche und/oder geistige Gesundheit betreffen, und einen Rückschluss auf den Gesundheitszustand zulassen. Nach Artikel 4, Absatz 15 EU-DSGVO gehören dazu auch die Daten, die für die Erbringung einer Gesundheitsdienstleistung verarbeitet werden.

 

Übertragen auf den direkten, datenschutzkonformen Umgang mit den Patientendaten bedeutet dies, dass vier Bereiche betroffen sind – die Datenerhebung, die Weitergabe der Daten, ihre Sicherung und die Verpflichtung, das Datengeheimnis zu wahren. Hier noch ein paar interessante Details:

 

1. DATENERHEBUNG

Bereits bei der Sammlung der Daten werden klare Grenzen gesetzt, denn es dürfen nur die Patientendaten erhoben werden, die für die Durchführung von Diagnose und Behandlung gebraucht werden.

2. DATENWEITERGABE

Patientendaten dürfen nicht vollständig an andere Parteien – wie die Krankenversicherung oder andere Ärzte – weitergegeben werden. Bei Datenweitergabe sind bestimmte Regeln einzuhalten, außerdem ist die Unterschrift der Person notwendig.

 

3. DATENSICHERUNG

Daten über Erkrankungen gehören zu den sensiblen Daten und genießen daher ein besonders hohes Schutzniveau. Sie müssen Dritten gegenüber bestmöglich gesichert sein. Dies gilt auch für digitale Daten genauso wie für schriftliche Formulare.

 

4. DATENGEHEIMNIS

Laut § 5 BDSG-neu müssen alle Angestellten in privat geführten Arztpraxen in regelmäßigen Abständen auf das Datengeheimnis zu verpflichten.

 

Liegt ein Verstoß gegen die genannten Kriterien vor – beispielsweise die direkte Weitergabe der personenbezogenen Daten eines Patienten an andere Ärzte – kann er bestraft werden. Nur Ärzte, die den Patienten mit betreuen, haben ein Anrecht darauf, die Daten zu sehen.

 

 

Umsetzung der EU-DSGVO im Praxisalltag

 

Im Gesundheitsbereich – ganz speziell in Arztpraxen – gehört der Umgang mit sensiblen Patientendaten zum Alltag. Bereits vor der Einführung der EU-DSGVO galten für Unternehmen und Praxen im Gesundheitsbereich hohe Sicherheitsmaßgaben. Durch die Anwendung der EU-DSGVO wurden diese Maßgaben noch weiter erhöht, um das Risiko eines Missbrauchs und dadurch ggf. hoher Strafen zu reduzieren.

Doch es gibt Stolperfallen – schnell ist es passiert, dass unachtsames Handeln oder Unwissenheit der Mitarbeiter zu einem Verstoß gegen die EU-DSGVO führt. Ohne Anspruch auf Vollständigkeit sollen hier ein paar der häufigsten Fehler aufgezählt werden:

  • Weitergabe von Patientendaten über das Telefon oder das Fax
  • Dritte können Telefonate an der Theke mithören
  • Die E-Mail-Übermittlung von Patientendaten erfolgt unverschlüsselt

Um sicherzustellen, dass der Umgang mit sensiblen Patientendaten zu jeder Zeit den Vorgaben der EU-DSGVO entspricht, sollten die Mitarbeiter regelmäßig geschult werden. Gleichzeitig ist es sinnvoll, das Gefühl für Datensicherheit zu stärken und die Wichtigkeit zu verdeutlichen.

 

Pflicht zur Erstellung einer Datenschutzfolgenabschätzung

 

Werden Verfahren der Datenverarbeitung genutzt, die für Betroffene negative Folgen oder Risiken bedeuten, muss laut Artikel 35 EU-DSGVO eine Datenschutzfolgenabschätzung durchgeführt werden. Sie zielt darauf ab, mögliche Risiken für die Rechte und Freiheiten für die betroffene Person zu beschreiben, zu bewerten und Maßnahmen zu ergreifen, die vorhandene Risiken verringern kann.

 

Studien zufolge kommt die Erstellung einer Datenschutzfolgenabschätzung bei Arztpraxen relativ selten vor. Sie kommt im Grunde nur dann zum Tragen, wenn der Umfang und Zweck der Verarbeitung von Patientendaten ein hohes Risiko für den Patienten zur Folge hat. Zunächst gilt es allerdings zu klären, ob eine Datenschutzfolgenabschätzung überhaupt zu erstellen ist. Im Erwägungsgrund 91 EU-DSGVO werden die Kriterien für die Durchführung festgelegt.

 

 

Sollten Ärzte einen Datenschutzbeauftragten bestellen?

 

Wenn die Daten der Patienten sich geschützt werden müssen, werden sowohl IT-gestützte als auch organisatorische Maßnahmen gebraucht. Sie müssen Hand in Hand zusammenarbeiten und sich gegenseitig ergänzen, um wirklich gut zu funktionieren. Die rechtliche Grundlage ist die EU-DSGVO und – sollten die Regelungen nicht eindeutig aus der EU-DSGVO hervorgehen – die BDSG-neu.

 

Viele Ärzte, die eine eigene Praxis haben und somit regelmäßig mit sensiblen Patientendaten umgehen und diese verarbeiten, denken darüber nach, einen Datenschutzbeauftragten zu bestellen. Sie sollten sich immer darüber im Klaren sein, dass bei Verfehlungen gegenüber dem Datenschutz nicht der Datenschutzbeauftragte haften wird, sondern der Praxiseigner.

 

Doch es gibt Fälle, bei denen die Bestellung eines Datenschutzbeauftragten zwingend erforderlich ist. Liegt einer der folgenden Fälle vor, ist eine medizinische Praxis die folgenden Punkte erfüllt:

 

  • Die medizinische Praxis ist Teil einer Behörde oder öffentlichen Institution
  • Die Datenverarbeitung der Patientendaten von mehr als 10 Personen durchgeführt wird
  • Die hauptsächliche Tätigkeit der Arztpraxis liegt in der Verarbeitung von (Gesundheits)daten nach Artikel 9 EU-DSGVO
  • Eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO zu erstellen ist

Nach Artikel 35 Absatz 3 lit. b EU-DSGVO ist eine Datenschutzfolgenabschätzung insbesondere in den Fällen erforderlich, wenn eine großangelegte Verarbeitung personenbezogener Daten nach Artikel 9 Absatz 1 durchzuführen.

 

Praxisbeispiel Radiologie: Hohe Komplexität bei der Umsetzung

 

In der Radiologie ist die Umsetzung der Richtlinien der EU-DSGVO besonders komplex, da ein Großteil aller Tätigkeiten digital erfasst und gespeichert werden. Radiologen erheben sensible Patientendaten, die gleich mehrfach geschützt werden müssen. Da sie Rückschlüsse auf den Gesundheitszustand des Patienten zulassen, handelt es sich laut Artikel 4 Nummer 15 EU-DSGVO um Gesundheitsdaten, die aufgrund der Sensibilität nur unter verschärften Anforderungen verarbeitet werden dürfen. Relevant in diesem Zusammenhang ist der Artikel 4, Nummer 2, der den Begriff der „Datenverarbeitung“ genauer definiert. Für Radiologen ist die Umsetzung der EU-DSGVO im Unternehmen aufgrund der digitalen Datener­fassung und -speicherung sowohl umfangreich als auch komplex.

 

Um ein effektives Sicherungskonzept zu entwickeln, muss zunächst der Status Quo ermittelt werden. Aus den gewonnenen Daten können Sicherheitslücken aufgedeckt werden. Im Anschluss sollte der angestrebte Zustand der Datensicherheit festgelegt und der Weg definiert werden, wie dieser Wunschzustand erreicht wird. Außerdem sollten in einem Handbuch alle Prozesse und Kontrollen beschrieben werden, die für die Umsetzung notwendig sind:

 

Anlage des Verarbeitungsverzeichnisses

 

Nach Artikel 30 EU-DSGVO muss ein Verarbeitungsverzeichnis angelegt werden, das die Kontaktdaten des Verantwortlichen, den Zweck der Verarbeitung, Angabe zu den Personen und deren personenbezogene Daten, die Löschungsfristen sowie die Beschreibung der technischen und organisatorischen Maßnahmen, mit denen das Schutzniveau gewährleistet werden soll.

 

Bei der Führung des Verzeichnisses ist viel Sorgfalt angesagt, denn es dient gegenüber den Aufsichtsbehörden als Beweis, dass alle Maßnahmen zum Datenschutz im Sinne der EU-DSGVO erfüllt wurden. Außerdem ist es eine wesentliche Grundlage für eine strukturierte Dokumentation.

Alle Tätigkeiten der Datenverarbeitung sollten rechtzeitig in einem Verzeichnis beschrieben werden.

 

Erfüllung der Informationspflichten

 

Patienten, die untersucht werden, müssen darüber informiert werden, zu welchem Zweck ihre Daten genutzt werden und welche Rechte sie haben. Dazu müssen sie die Namen und Kontaktdaten des Verantwortlichen, den Kontakt zum Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Datenverarbeitung sowie die Dauer der Speicherung. Auch über das Recht des Patienten auf Auskunft, Berichtigung oder Löschung muss informiert werden.

 

Zur Vereinfachung und als Beleg sollten sämtliche Informationen in einem Informationsschreiben zusammengefasst werden, damit die Patienten ihre Rechte auch später noch wahrnehmen konnten.

 

Datenverlust melden

 

Nach Artikel 32 EU-DSGVO muss den Behörden bei einem Datenverlust beispielsweise durch einen Cyberangriff oder einer Datenmanipulation innerhalb von höchstens 72 Stunden mitgeteilt werden, dass eine Datenpanne eingetreten ist. Auch die betroffenen Patienten müssen informiert werden.

 

Ggf. Datenschutzbeauftragten melden

 

Es gilt die Regel, dass nur größere Praxen mit mehr als 10 Mitarbeitern einen Datenschutzbeauftragten bestellen muss. Daher ist es erforderlich, dass der für den Datenschutz Verantwortliche – zumeist der Inhaber der Praxis – mit den Behörden klärt, ob er einen Beauftragten für den Datenschutz bestellen muss und dies auch an die Behörden weiterleiten.

Regelung der Auftragsverarbeitung

 

Werden Verträge zur Datenverarbeitung mit Dritten – beispielsweise Wartungsverträge für IT-Geräte –geschlossen, müssen diese den Vorgaben von Artikel 28 EU-DSGVO entsprechen.

 

Um sich abzusichern, sollte die Praxis als Auftraggeber im Vertrag mit dem Dienstleister eine Ausschlussklausel einbauen.

 

Einwilligung der Patienten überprüfen

 

Im Artikel 7 EU-DSGVO ist festgelegt, dass der Patient der Datennutzung seiner personenbezogenen Daten aus freien Stücken zugestimmt hat.

 

Alle vorhandenen Formulare sollten auf diesen Hinweis geprüft und ggf. angepasst werden.

 

Laut Artikel 32 EU-DSGVO ist unsere Beispielpraxis verpflichtet, sämtliche technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Neben einer Hochrüstung der IT-Infrastruktur und dem Einsatz von Verschlüsselungstechniken ist es hier immens wichtig, die Mitarbeiter ins Boot zu holen, ihnen das Thema Datensicherheit bewusst zu machen und sie entsprechend zu schulen.

 

Die Praxis sieht sich nach Artikel 5, Absatz 2 EU-DSGVO außerdem umfassenden Dokumentations- und Rechenschaftspflichten gegenüber, mit denen die Einhaltung der Regelungen der EU-DSGVO belegt werden kann.