Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Datenschutzinformationen der Medizinio GmbH & Datenschutzinformationen der Thalamed GmbH
Ich stimme zu

Inhaltsverzeichnis

Rechtsgrundlage für den Datenschutz in der Arztpraxis

Dem Datenschutz in Arztpraxen und bei Psychotherapeuten lagen bis Mitte 2018 das SGB V und das Bundesdatenschutzgesetz zugrunde, seit dem 25. Mai 2018 bildet nun allerdings die Datenschutz-Grundverordnung (DSGVO) die gesetzliche Grundlage. Diese gilt für alle öffentlichen Stellen und gibt vor, wie mit personenbezogenen Daten umzugehen ist. Die DSGVO gilt daher für alle Arztpraxen, unabhängig davon, ob es sich um eine Praxis der Allgemeinmedizin, Gynäkologie oder Zahnmedizin handelt. Dabei gelten Patientendaten laut Art. 9 Abs. 1 DSGVO als besondere Kategorie der personenbezogenen Daten und unterliegen damit auch schärferen Bedingungen, die für die rechtssichere Verarbeitung der Daten erfüllt werden müssen. Die Berechtigung zur Datenverarbeitung der Patientendaten muss laut  Art. 5 Abs. 2 DSGVO in jedem Einzelfall schriftlich oder elektronisch nachweisbar dokumentiert und auf Nachfrage der zuständigen Aufsichtsbehörde vorgelegt werden.

Worauf kommt es beim Datenschutz in der Arztpraxis an?

Bild: Besprechung von sensiblen Untersuchungsergebnissen mit einer Patientin
Bei der Besprechung von Untersuchungsdaten sollte immer auf Privatsphäre im Sinne der DSGVO gelegt werden

Zunächst einmal gilt es zu klären, was im Rahmen des Datenschutzes in Arztpraxen genau als “Verarbeitung” von Patientendaten definiert ist. Die Verarbeitung dient in diesem Kontext als Sammelbegriff und beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit Patientendaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In diesem Kapitel gehen wir näher auf bestimmte Vorkehrungen ein, die Sie in Ihrer Praxis treffen sollten, um sich DSGVO-konform aufzustellen.

Verzeichnis der Vorgänge mit Datenverarbeitung

Sie benötigen für Ihre Arztpraxis ein Verzeichnis, dass alle Vorgänge festhält, in denen Patientendaten verarbeitet werden. Dazu gehören auch Aufnahmen von Ultraschallgeräten, MRT-Geräten oder Röntgengeräten. Dieses ist einer Aufsichtsbehörde auf Nachfrage vorzulegen, andernfalls ziehen fehlende Verzeichnisse Geldstrafen nach sich. Die KBV stellt dafür eine Mustervorlage für solch ein Verzeichnis zur Verfügung, die Sie für Ihre Praxis ausfüllen können und unterstützt darüber hinaus mit einem Ausfüllbeispiel.

Datenschutzplan für die Praxis

Basierend auf dem Verzeichnis über Vorgänge mit Datenverarbeitung sollte ein praxisinterner Datenschutzplan aufgestellt werden, der sich sowohl auf die organisatorischen Maßnahmen als auch auf die technischen Vorkehrungen bezieht, die für den Datenschutz getätigt werden. Auch dieser ist bei Bedarf einer Aufsichtsbehörde vorzulegen. Der Datenschutzplan muss allen Mitarbeitern bekannt sein. Dabei gibt es laut der DSGVO keine konkreten Vorgaben für Maßnahmen, die zu implementieren sind. Jedoch sollten alle möglichen Maßnahmen, die einen Missbrauch von Patientendaten verhindern getroffen werden, um Patienten zu schützen und sich gegenüber Behörden abzusichern. Dafür können die folgenden Beispiele als Orientierung dienen:

Technische Maßnahmen

  • Verschlüsselung des E-Mailverkehrs (wird von den meisten E-Mail-Anbietern unterstützt)
  • Verschlüsselung der Daten, die über die Praxis-Website erhoben werden (bspw. Online-Terminanfragen oder Übertragungen aus dem Kontaktformular)
  • Zugriffsberechtigung für interne Ordnerstrukturen und Patientendaten
  • Automatische Sperrfunktion für Bildschirme und passwortgeschützte Computer

Organisatorische Maßnahmen

  • Anmeldung vom Wartebereich trennen, mit Schildern auf Abstand hinweisen
  • Patientenakten unter Verschluss halten und nur unter Aufsicht des Arztes verfügbar machen, vor anderen Patienten oder Unbefugten Einsicht verhindern
  • Telefonauskünfte vermeiden, in Ausnahmen nur nach erfolgreicher Identitätsprüfung durch gezielte Fragen oder über Rückruf auf der vom Patienten hinterlegten Rufnummer
  • Gespräche zwischen Arzt und Patienten finden bei geschlossenen Türen in separaten Räumen statt
  • Vernichtung der Patientenakten nach DIN-Norm

Datenverarbeitungsverträge mit externen Dienstleistern

Arbeiten Sie mit weiteren externen Dienstleistern zusammen, müssen Sie vor der Auftragserteilung immer prüfen, ob Sie einen Datenverarbeitungsvertrag mit diesem schließen müssen. Hauptkriterium für diese Beurteilung ist, ob der Dienstleister mit den personenbezogenen Patientendaten in Berührung kommt bzw. kommen könnte oder nicht. Beispiele für einen solchen Kontakt sind die Nutzung von Cloud-Lösungen, IT-/EDV-Wartungen in der Praxis oder auch Datenvernichtungs-Dienstleister zur Zerstörung von Datenträgern oder Patientenakten. Liegt ein potentieller Kontakt vor, benötigen Sie einen Datenverarbeitungsvertrag mit dem Dienstleister zusätzlich zu dem normalen Auftrag. Wird allerdings ein Unternehmen mit anderen Tätigkeiten, wie z. B. Wartungsarbeiten an Wasser- und Gasanlagen, beauftragt, bei dem eines nicht zu einem Kontakt mit Patientendaten kommen wird, benötigen Sie keinen Datenverarbeitungsvertrag. Ebenso gelten “Geheimnisträger” wie Wirtschaftsprüfer, Steuerberater und Rechtsanwälte als Ausnahme und benötigen keinen gesonderten Datenverarbeitungsvertrag. 

Tipp: Die KBV empfiehlt keine vollständige Auslagerung der Patientendaten in eine Cloud, da die Daten so eventuell enormen Sicherheitsrisiken ausgesetzt sein können und im Falle einer Internetstörung nicht in der Praxis verfügbar sind. Für eine Langzeitlagerung könnte der Cloud-Speicher allerdings unter Ergreifung der erforderlichen Sicherheitsmaßnahmen eine valide Möglichkeit sein.

Datenerhebung und Datenübermittlung

Schon bei der Datenerhebung in der Arztpraxis ist vorsicht geboten, denn nicht alle Daten eines Patienten dürfen erfasst werden. Hier gilt, dass nur die Informationen in dem Patientendatensatz erfasst werden dürfen, die für die Diagnose und Behandlung des Patienten notwendig sind.

Ebenfalls gibt es bei der Datenübermittlung an andere Mediziner oder andere im Ablauf integrierte Parteien, wie z. B. Krankenversicherung, wichtige Punkte zu beachten. Grundlegende Voraussetzung ist die Einwilligung des Patienten in die Datenübermittlung an Dritte. Ohne diese ist eine Datenübermittlung nur in Ausnahmefällen möglich. Um im Sinne des Datenschutzes in der Arztpraxis möglichst wenig Risiken zu schaffen, die einen Datenmissbrauch begünstigen, dürfen Patientendaten nicht automatisch übermittelt werden. Für die Übermittlung der Patientendaten an die Krankenkasse des Patienten bedarf es laut DSGVO zwar keinen Datenverarbeitungsvertrag, allerdings muss der Prozess trotzdem unter Beachtung der nötigen Sicherheits- und Datenschutzaspekte manuell durchgeführt werden.

Auch andere Ärzte innerhalb der Praxis dürfen nicht willkürlich alle Patientendaten abrufen, sondern nur die der eigenen Patienten. Für den Zugriff auf die Daten durch einen weiteren Arzt innerhalb der Praxis, muss dieser den jeweiligen Patienten ebenfalls betreuen. Andernfalls ist eine Weitergabe der Patientendaten unzulässig. Im Falle einer rechtmäßigen Einsicht dürfen dem weiteren Arzt nur die für ihn notwendigen Daten zur Verfügung gestellt werden. Dies gilt allerdings für jede Weitergabe und Verarbeitung von Daten und basiert auf dem Prinzip der Datenminimierung (Art. 5 Abs. 1 c) DSGVO).

Häufige Fehler beim Datenschutz in der Arztpraxis

Bild: Stethoskop liegt neben juristischem Hammer
Fehler beim Datenschutz in der Arztpraxis können sehr schnell teuer werden und hohe Strafen nach sich ziehen.

Immer wieder kommt es zu Fehlern beim Datenschutz in der Arztpraxis, doch die meisten davon sehr leicht vermeidbar. Verstöße gegen den Datenschutz werden, wie bereits erwähnt, aufgrund der hohen Sensibilität der Patientendaten besonders kritisch gesehne und härter bestraft, als in anderen Branchen. Um das Risiko des Verstoßes zu minimieren, haben wir die häufigsten Fauxpas aus dem Praxisalltag in diesem Kapitel zusammengefasst und erläutert. So werden Sie für diese sensibilisiert und können sie in Ihrer Praxis vermeiden.

Geringer Datenschutz am Empfang

Der Datenschutz beginnt bereits am Empfang der Arztpraxis, da jeder Patient hier vorstellig werden muss, um seine Versicherungsinformationen zu übertragen und sein Anliegen zu schildern. Hierbei kommt es häufig zu einem hohen Patientenaufkommen, sodass andere Patienten die privaten Informationen und Auskünfte mitbekommen. Sorgen Sie neben Corona Vorsorge auch im Sinne des Datenschutzes dafür, dass Patienten Abstand zueinander haben, um eine private Atmosphäre zu schaffen. Ebenso gilt für telefonische Auskünfte (zusätzlich zu den bereits genannten Punkten) besondere Diskretion, da die Telefongespräche häufig an der Anmeldung geführt werden, während sich andere Mitarbeiter und Patienten im Raum befinden und die Identität des Anrufers meist nicht zweifelsfrei festgestellt werden kann.

Unachtsame Preisgabe von Patientendaten durch Gespräche

Unterhaltungen über Patientendaten finden teilweise auch in öffentlichen Räumen zwischen den Ärzten und Mitarbeitern satt. Dabei werden Dritten in der Umgebung sensible Patientendaten preisgegeben. Achten Sie darauf, diese Gespräch in separate Sprechzimmer zu verlegen und sich auch dort nur in geringer Lautstärke zu unterhalten, damit andere Patienten bspw. im Warteraum oder auf dem Flur nichts von dem Gespräch mitbekommen.

Mündliche Einwilligung in die Datenverarbeitung

Die Einwilligung in die Datenverarbeitung ist grundlegender Bestandteil des Datenschutzes in der Arztpraxis und muss unbedingt erfolgen, damit eine adäquate Diagnose und Behandlung erfolgen kann. Dabei unterläuft öfters der Fehler, dass Patienten darum gebeten werden, die Datenschutzrichtlinien der Praxis durchzulesen und mündlich zu bestätigen, dass Sie diese zur Kenntnis genommen haben. Aufgrund der Nachweispflicht laut DSGVO reicht eine mündliche Zustimmung allerdings nicht aus. Lassen Sie sich das Einverständnis immer schriftlich geben.

Vergessene Akten im Sprechzimmer

Immer wieder müssen Patienten alleine im Sprechzimmer auf ihren behandelnden Arzt warten, da sich dieser meist parallel um unterschiedliche Patienten kümmern muss. Dabei werden Patientenakten der Einfachheit halber oder aus einem Versehen heraus auf dem Schreibtisch liegen gelassen, sodass der wartende Patient Einsicht in die Patientendaten eines anderen Patienten erhalten könnte. Achten Sie also wie bereits erwähnt auf die sachgemäße Sicherung von physischen Patientenakten und -daten in abgeschlossenen Aktenschränken. Elektronische Patientenakten sind digital in der Praxis-Management-Software hinterlegt und sollten durch Passwörter und Bildschirmsperren geschützt werden.

Checkliste für den Datenschutz in der Arztpraxis

Bild: Datenschutz Checkliste für die Arztpraxis im Sinne der DSGVO
Eine Datenschutz Checkliste für die Arztpraxis bietet eine gute Hilfestellung für die eigene Praxis

Wie Sie bereits festgestellt haben, können bereits kleine Unachtsamkeiten den gesamten Datenschutz innerhalb der Arztpraxis bedrohen. Da es viele Dinge gibt, die es zu beachten gilt, eignen sich Checklisten besonders gut zur Überprüfung des Datenschutzes in der eigenen Praxis. Dabei sollten Sie auf den Umfang der Checkliste und vor allem auf die Quelle achten. Im besten Fall nutzen Sie eine Checkliste einer offiziellen Stelle oder eines Experten im Bereich Datenschutz (optimaler Weise mit Fokus auf den medizinischen Bereich). Da es wie bereits erwähnt keine detaillierten Vorgaben für Maßnahmen zum Datenschutz in Arztpraxen gibt, haben unterschiedliche Anbieter verschiedene Ansätze und Punkte auf ihren Checklisten. In der folgenden Tabelle finden Sie Links zu einigen Checklisten, um Ihnen die Arbeit zu erleichtern.

Anbieter Art der Checkliste Link zur Checkliste
advocado Kostenlos, ohne Anmeldung, Liste im Text advocado Checkliste
Ärzteblatt Kostenlos, ohne Anmeldung, PDF-Format Ärzteblatt Checkliste
Datenschutz.org Kostenlos, ohne Anmeldung, PDF-Format Datenschutz.org Checkliste
Datenschutz Anwälte Bayern Kostenlos, ohne Anmeldung, PDF-Format Datenschutz Anwälte Bayern Checkliste
Datenschutz Experte Kostenlos, Anmeldung erforderlich, PDF-Format Datenschutz Experte Checkliste
Medical Tribune Kostenlos, Anmeldung erforderlich Medical Tribune Checkliste

Datenschutzbeauftragter in der Arztpraxis

Auch wenn die DSGVO auch für die Arztpraxis gilt, ist die Ernennung eines Datenschutzbeauftragten in der Arztpraxis nicht immer verpflichtend. Um zu prüfen, ob Ihre Praxis einen Datenschutzbeauftragten benötigt, gilt es die in Art. 37 Abs. 1 DSGVO genannten Kriterien zu beachten. Laut dieser Kriterien ist ein Datenschutzbeauftragter dann verpflichtend, wenn eine der folgenden Aussagen zutrifft:

  • Die Praxis ist Teil einer öffentlichen Stelle oder Behörde.
  • Die Kerntätigkeit der des Verantwortlichen liegt in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Die Kerntätigkeit der Praxis liegt in der umfangreichen Verarbeitung von besonderen Daten nach Art. 9 und Art. 10 DSGVO.

Während die ersten beiden Kriterien für eine Arztpraxis nicht relevant sind, sollten Ärzte auf den letzten Punkt achten, da die in der Arztpraxis verarbeiteten Patientendaten nach Art. 9 DSGVO als besondere Daten gelten. Laut Erwägungsgrund 91 DSGVO gilt die Datenverarbeitung allerdings nicht als umfangreich, “[...] wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.” Sollten Sie also ein allein tätiger Arzt sein, benötigen Sie keinen Datenschutzbeauftragten. Arbeiten in der Praxis allerdings weitere Mitarbeiter, könnte es schon wieder anders aussehen. Eindeutig ist die DSGVO aber auch hier nicht, die Erfassung der Patientendaten an der Anmeldung bspw. als automatisierte Datenverarbeitung gilt und somit etwas andere Regulierungen in Gewicht fallen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) definiert die automatisierte Datenverarbeitung durch 10 Personen allerdings als Grenze, ab der ein Datenschutzbeauftragter verpflichtend wird. Die KBV allerdings nennt 20 Personen als Grenzwert. Sind Sie Teil einer Gemeinschaftspraxis mit mehreren Ärzten, muss die Praxis in jedem Fall einen Datenschutzbeauftragten nennen. Dieser hält die Aufgabe inne, die Einhaltung des Datenschutzes und der Datensicherheit innerhalb der Praxis zu sichern und entsprechende Schutzmaßnahmen durchzuführen.

Dabei kann entweder ein Mitarbeiter aus der Praxis zum Datenschutzbeauftragten weiterentwickelt und anschließend benannt werden oder ein externer Datenschutzbeauftragter eines spezialisierten Dienstleisters benannt werden. Während ein eigener Mitarbeiter mit den Prozessen innerhalb der Praxis und dem Umfang der verarbeiteten Patientendaten vertraut ist, kann ein externer Datenschutzbeauftragter die Arztpraxis schnell mit seinem bereits vorhandenen Know-How unterstützen und die Sachlage objektiver beurteilen. Name und Kontaktdaten des Datenschutzbeauftragten sind in jedem Fall an den Landesdatenschutzbeauftragten weiterzugeben.

Letzten Endes ist es als betroffene Praxis nicht immer einfach, genau abzuschätzen, ob ein Datenschutzbeauftragter für die Arztpraxis benötigt wird oder nicht. Besprechen Sie sich am besten mit einem Anwalt, der sich auf das Thema Datenschutz spezialisiert hat, bevor Sie eine finale Entscheidung treffen, da eine Fehlentscheidung im Zweifel hohe Strafen und Bußgelder nach sich ziehen kann.

Datenschutzerklärung für die Arztpraxis

Bild: Patientin unterschreibt eine Datenschutzerklärung
Patientinnen und Patienten sollten beim ersten Praxisbesuch eine Datenschutzerklärung unterzeichnen und der Datenverarbeitung zustimmen

Jede Arztpraxis mit einem Internetauftritt benötigt darüber hinaus eine Datenschutzerklärung, sei es eine eigene Website oder ein Facebook-Profil. Diese sollte möglichst spezifisch gestaltet werden und idealerweise genaue Formulierungen verwenden. Die Datenschutzerklärung für die Website der Arztpraxis muss präzise, leicht verständlich, zugänglich und transparent sein. Dabei müssen neben der Anschrift und den Kontaktdaten des Betreibers (der Praxis) auch die Anschrift und Kontaktdaten des Datenschutzbeauftragten enthalten sein. Zusätzlich müssen Cookies, Formulare und Social Media Integrationen, wie der Facebook Like-Button genannt werden. Für jede Art von Datenverarbeitung muss der Verwendungszweck und die rechtliche Grundlage für die Verarbeitung genannt werden.

Art. 13 Abs 2 DSGVO gibt darüber hinaus noch weitere Punkte vor, die zu den einzelnen Verarbeitungsprozessen erklärt werden sollten. Dazu gehören die folgenden Punkt:

  • Speicherdauer der personenbezogenen Daten
  • Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Wiederrufsrecht
  • Beschwerderecht bei der Aufsichtsbehörde
  • Bestehen einer automatisierten Entscheidungsfindung
  • Grundlage der Bereitstellung der Daten (gesetzlich oder vertraglich vorgeschrieben) und die möglichen Konsequenzen, die eine Nichtbereitstellung nach sich zieht

Auch bei dem ersten Besuch der Praxis durch Patienten ist eine Art von Datenschutzerklärung von Patienten zu lesen und zu unterschreiben, da auch bei einem persönlichen Besuch Patientendaten erfasst und verarbeitet werden. Diese Bestätigung sollte wie bereits erwähnt immer schriftlich erfolgen. Man spricht dabei auch von “Patienteninformation zum Datenschutz”. Die Datenschutzerklärung in der Arztpraxis sollte die Patienten über alle relevanten Prozesse, Umfang und Zweck der Verarbeitung, die Verantwortlichen und die Verarbeitungsdauer (Speicherung) informieren. Auch hierzu bietet die KBV ein Musterdokument an.