11 häufige Datenschutzfallen in der Arztpraxis
11 Gefahrenquellen beim Datenschutz und wie Sie sie in Ihrer Praxis vermeiden.
Stellen Sie sich folgende Situation vor: In Ihrer Praxis ist ein richtig stressiger Tag. Während einige Patient:innen am Tresen auf die Aufnahme warten, beantwortet Ihr:e MFA gerade geduldig die Nachfragen einer älteren Patientin am Telefon.
Diese hört leider nicht mehr so gut, also muss Ihr:e MFA ein wenig lauter in den Hörer rufen: „Nein, Frau Wedekind, leider sind die Cholesterinwerte immer noch kritisch.“
Keine Seltenheit und dennoch: Ein klarer Verstoß gegen den Datenschutz. Zum einen werden sensible Gesundheitsdaten einer namentlich genannten Patientin lautstark und für alle Umstehenden hörbar kommuniziert. Zum anderen: Hat Ihr:e MFA vorher geprüft, ob es wirklich Frau Wedekind ist, die da am Apparat ist?
Guter Datenschutz hat viele Aspekte, und im turbulenten Praxisalltag ist es nicht so leicht, alle zu bedenken. Dabei ist konsequent angewandter Datenschutz von großer Bedeutung für Ihre Praxis.
Die Strafen bei datenschutzrechtlichen Verstößen reichen von hohen Bußgeldern bis hin zu Haftstrafen – vom kaum bezifferbaren Schaden für die Reputation Ihrer Praxis einmal abgesehen.
In diesem Beitrag haben wir deshalb die 11 häufigsten Datenschutzfallen aus der Praxis zusammengestellt und geben Ihnen Tipps an die Hand, die leicht anzuwenden sind:
Datenschutzfalle 1: Mangelnde Diskretion am Empfang
Situationen wie die eingangs erwähnte kommen häufig vor. Insbesondere der Empfang ist ein kritischer Punkt. Es finden z.B. Gespräche zwischen Arzt bzw. Ärztin und Empfangspersonal statt, bei denen es um Befunde oder Testergebnisse geht. Umstehende Patient:innen hören ungewollt mit.
💡 Unser Tipp:
Deshalb ist es empfehlenswert, einen Diskretionsbereich in Ihrer Praxis zu schaffen, wo ungestört sensible Informationen ausgetauscht werden können. Zudem sollte das Wartezimmer so abgetrennt sein, dass Dritte keine Gespräche am Empfang oder in den Behandlungsräumen mithören können.Datenschutzfalle 2: Unbeaufsichtigte, offen einsehbare Patientenakten
Eigentlich hat es Ihr Team nur gut gemeint: Um Ihnen als Arzt oder Ärztin die Arbeit zu erleichtern, liegen die Akten der nachfolgenden drei Patient:innen schon einmal griffbereit auf dem Tresen – gut sichtbar für alle, die vorübergehen.
💡 Unser Tipp:
Behalten Sie die Akten lieber hinter dem Tresen, so sind Sie geschützt vor neugierigen Blicken. Achten Sie zudem darauf, dass die Monitore am Empfang so positioniert sind, dass Patient:innen sie nicht einsehen können.Datenschutzfalle 3: Rezepte werden an Angehörige ausgehändigt oder direkt an Apotheken übermittelt
Auch hier ist es wieder gut gemeint: Der Arbeitsablauf soll vereinfacht werden, Sie möchten Ihre Patient:innen unterstützen und ihnen schnell und unbürokratisch Zugang zum benötigten Rezept geben. Im Grunde ist dies auch kein Problem.
💡 Unser Tipp:
Wichtig ist allerdings, dass der Patient bzw. die Patientin zuvor ausdrücklich in die Aushändigung des Rezepts an Dritte eingewilligt hat – in schriftlicher Form und unter namentlicher Benennung abholberechtigter Personen bzw. empfangsberechtigter Apotheken.Datenschutzfalle 4: Krankenkassen und Versicherungen erhalten mehr Informationen als zulässig
Hier ist grundsätzlich zwischen Privatversicherungen und gesetzlichen Krankenkassen zu unterscheiden. Gegenüber privaten Krankenversicherern sind Ärzt:innen ganz generell an die Schweigepflicht gebunden.
Gegenüber den Gesetzlichen Krankenkassen und anderen Sozialversicherungsträgern gilt die ärztliche Schweigepflicht grundsätzlich ebenfalls. Allerdings mit Ausnahmen. Die Auskunftspflichten der Vertragsärzt:innen sind im Sozialgesetzbuch genau regelt.
Als Faustregel gilt: Es sollten immer so wenig Daten wie möglich übermittelt werden, um die Rechte der Patient:innen zu schützen.
💡 Unser Tipp:
Es empfiehlt sich somit, niemals aus Bequemlichkeitsgründen die komplette Patientenhistorie weiterzuleiten. Es sollte im Einzelfall geklärt sein, wofür der Leistungsträger die Auskünfte benötigt. Eine kompakte Übersicht zu diesem komplexen Thema und konkrete Handlungsempfehlungen bietet dieses Informationsblatt der Kassenärztlichen Vereinigung Nordrhein.Datenschutzfalle 5: Fehlende bzw. mangelhafte Einwilligungserklärungen der Patient:innen
Schaffen Sie vor Behandlungsbeginn die rechtlichen Grundlagen für eine datenschutzkonforme Behandlung Ihrer Patient:innen im Einklang mit der EU-Richtlinie.
Die Aushändigung eines entsprechenden DSGVO-Formulars sollte mittlerweile zum Standard in jeder Arztpraxis geworden sein.
Umfassende Informationen zum Thema DSGVO in der Praxis inklusive eines Musterformulars für die Einwilligungserklärung für Patient:innen finden Sie bei der Kassenärztlichen Bundesvereinigung.
Wichtig zu wissen: Auch, wenn Patient:innen die Einwilligungserklärung zur Datenerfassung und -weitergabe nicht unterschreiben, dürfen Sie die Behandlung nicht verweigern. Beide Sachverhalte sind als rechtlich voneinander unabhängig zu sehen.
💡 Unser Tipp:
Wenn Patient:innen skeptisch sind, hilft es sehr, ihnen zu erklären, wofür die Einwilligung im Einzelnen benötigt wird. Die meisten Patient:innen möchten einfach sicherstellen, dass sie ihr OK nur zu jenen Punkten geben, die für sie gut nachvollziehbar sind und ihrer Gesundheit dienen.Datenschutzfalle 6: Es gibt keine konsistente Cyber-Security-Strategie in der Praxis
Patientendaten werden heute meist digital verwaltet. Vor dem Gesetzgeber gelten Sie als besonders schützenswert.
Deshalb sollten Sie bei Ihrer IT-Infrastruktur und auch bei der Nutzung digitaler Services von Drittanbietern (z.B. Webhosting-Services, Cloudservices) auf höchste Sicherheits- und Verschlüsselungsstandard achten, um die gesetzeskonforme Verwaltung Ihrer Daten sicherzustellen.
💡 Unser Tipp:
Der Verwendung sicherer Passwörter kommt dabei eine hohe Bedeutung zu. Kaum zu glauben, aber selbst im Jahre 2022 waren „password“ bzw. „123456“ immer noch unter den Top 5 der beliebtesten Passwörter in Deutschland, wie eine anerkannte Studie der Universität Potsdam belegt . Mehr zum Thema sichere Passwörter und welchen formalen Kriterien diese genügen sollten, finden Sie bei der Verbraucherzentrale.
Eine noch höhere Sicherheitsstufe kann durch Mehrfaktor-Authentifizierung erreicht werden, wo man neben dem Passwort noch ein weiteres Identitätsmerkmal benötigt, z.B. ein biometrisches Merkmal (Fingerabdruck) bzw. eine PIN.
Detaillierte Informationen zum Thema Cybersecurity für Arztpraxen erhalten Sie in diesem Blogartikel von jameda.
Datenschutzfalle 7: Das Praxispersonal ist nicht ausreichend geschult in Sachen Datenschutz
Nicht nur Ihre Systeme sollten auf dem neuesten Stand sein, sondern auch Ihre Mitarbeitenden, die täglich Daten verarbeiten. Neue Kolleg:innen sollten in die Datenschutzpraxis eingewiesen werden und Systeme und Sicherheitsvorkehrungen genau kennen.
Da sich Gesetzeslagen rund ums Thema Datenschutz dynamisch entwickeln, empfehlen sich außerdem regelmäßige Schulungen.
💡 Unser Tipps:
Nicht vergessen: Sind 20 oder mehr Mitarbeitende in der Praxis mit der Erhebung, Verwaltung und Verarbeitung von Daten beschäftigt, benötigt Ihre Praxis zudem eine:n eigene:n Datenschutzbeauftragte:n.Datenschutzfalle 8: Fehlende Backup-Strategie
Die digitale Arztpraxis bringt eine Fülle an Vorteilen mit sich, vor allem hinsichtlich der Effizienz in der Praxisverwaltung. Doch ganz ohne Herausforderungen ist die digitale Datenhaltung nicht.
Was, wenn die Daten verloren gehen, z.B., weil die Praxisverwaltungssoftware abstürzt? Ohne redundante Datensicherung kann das schnell zu kritischen Situationen führen, die die Existenz Ihrer Praxis bedrohen.
Zum einen können hierbei wichtige Abrechnungsdaten verloren gehen, die zu finanziellen Einbußen führen können. Aber auch die Aufbewahrungspflicht medizinischer Dokumentationen wird durch plötzlichen Datenverlust gefährdet.
💡 Unser Tipp:
Für das sichere Backup Ihrer Daten stehen mehrere Möglichkeiten zur Verfügung. Immer beliebter werden so genannte Cloud-Lösungen, bei denen Sie Ihre Daten nicht vor Ort auf einem Server abspeichern, sondern einen externen Dienstleister damit beauftragen. Achten Sie unbedingt darauf, dass der Anbieter die höchsten Verschlüsselungsstandards bietet und DSGVO-konform handelt.
Über die verschiedenen Möglichkeiten der Datensicherung informiert unter anderem das Ärzteblatt in diesem konzisen Artikel.
Datenschutzfalle 9: Fehlverhalten bei einer Datenpanne
Als Praxisinhaber:in sind Sie dafür verantwortlich, dass personenbezogene Daten Ihrer Patient:innen nicht in die Hände unbefugter Dritter gelangen. Und doch gehören Datenpannen leider in vielen Praxen zum Alltag.
Zum Beispiel, wenn Befunde aus Versehen an eine falsche Telefonnummer gefaxt wurden oder E-Mail-Irrläufer passieren.
Was tun, wenn eine solche Datenpanne auffällt? Das Wichtigste ist: Der Wille zur Aufklärung. Schaffen Sie in Ihrer Praxis eine Atmosphäre der vertrauensvollen Transparenz, die Mitarbeitende ermutigt, offen damit umzugehen, wenn eine Datenpanne passiert.
In einem zweiten Schritt gilt es zu eruieren, wie gravierend die Panne wirklich ist. War es „nur“ der beschriebene E-Mail-Irrläufer? Oder gab es einen Hackerangriff, bei dem gezielt Befunddaten im großen Stil entwendet wurden?
💡 Unser Tipp:
Während ein Hackerangriff in jedem Fall ein meldepflichtiges Ereignis ist (gegenüber zuständigen Aufsichtsbehörden und Patient:innen), ist das in anderen Fällen nicht immer so klar. Im Zweifelsfall gilt: Lieber eine Meldung zu viel als eine zu wenig. Einen guten Überblick inklusive Schritt-für-Schritt-Anleitung im Falle einer Datenpanne – nicht nur für Zahnarztpraxen – gibt es online in diesem Artikel.Datenschutzfalle 10: Arbeitnehmer-Datenschutz wird vernachlässigt
Vor lauter Sorge um die Patientendaten sollten Sie den Datenschutz für Ihre Mitarbeitenden nicht vergessen, denn auch von Ihren Angestellten erheben und verarbeiten Sie eine Fülle an Daten.
Die rechtmäßige Verarbeitung von Arbeitnehmerdaten wird von Behörden besonders gerne geprüft und so ist es sehr ratsam, eine stichhaltige, aussagekräftige Dokumentation darüber zu führen.
Artikel 30 der DSGVO schreibt hier ein „Verarbeitungsverzeichnis“ vor. Dort wird erfasst, welche Daten von welchen Mitarbeitenden zu welchem Zweck erhoben werden. Eine kompakte Übersicht zum Arbeitnehmerdatenschutz und Dokumentationspflichten findet sich hier.
Datenschutzfalle 11: Datenfalle „Gesundheits-App“
Hier nun ein Datenschutz-Thema, dass bislang die wenigsten Praxen „auf dem Radar“ haben. Die Rede ist von den DiGAs – digitalen Gesundheitsanwendungen.
Dabei handelt es sich um Apps, die als zertifizierte Medizinprodukte Patient:innen während der Behandlung begleiten. Sie bieten digitale Hilfe bei der Rauchentwöhnung, bei Essstörungen oder depressiven Erkrankungen, aber auch Krebspatient:innen profitieren von der neuen Form der Behandlungs- bzw. Therapieunterstützung mit dem Smartphone.
💡 Unser Lösungsansatz:
Auch hier werden sensible Patientendaten in die Anwendungen eingegeben. Stellen Sie deshalb sicher, dass Sie ausschließlich zertifizierte Apps verwenden, die vom Bundesinstitut für Arzneimittel und Medizinprodukte empfohlen werden. Eine stets aktualisierte Liste findet sich auf dieser Website des BfARM.Unser Fazit: Datenschutz ist mehr als ein notwendiges Übel
Der Datenschutz nimmt in vielen Praxen viele Ressourcen in Anspruch und erzeugt einen nicht unerheblichen bürokratischen Aufwand. Gleichzeitig ist er unverzichtbar, um eine sichere Rechtsgrundlage für Ihre Praxistätigkeit zu schaffen.
Umgekehrt profitieren Praxen auch von klaren Regeln beim Datenschutz.
Sie geben unter anderem Orientierung bei der Auswahl digitaler Services, mit denen Ihre Praxis tagtäglich arbeitet. Qualitätsanbieter wie jameda bieten hier eine sichere, zuverlässige Lösung, um Praxisabläufe einfacher zu gestalten, etwa mit der DSGVO-konformen Online-Terminvergabe oder Videosprechstunde, die höchste Verschlüsselungsstandards anwendet.
Weiterführende Ressourcen: eBook zum Thema Cyber Security
Laden Sie unser kostenloses eBook herunter und erfahren Sie, wie Sie eine wirkungsvolle Cyber-Security-Strategie für Ihre Arztpraxis etablieren können:
Patient:innen und Ärzt:innen auf digitalem Wege einfach, schnell und passgenau zu verbinden, ist das Ziel von jameda. Um Ärzt:innen auf diesem Weg bestmöglich zu unterstützen, bereitet das jameda Redaktionsteam auf dem jameda Blog relevante Informationen rund um die digitale Arzt-Patienten-Beziehung auf.