Stellen Sie sich folgende Situation vor: In Ihrer Praxis ist ein richtig stressiger Tag. Während einige Patient:innen am Tresen auf die Aufnahme warten, beantwortet Ihr:e MFA gerade geduldig die Nachfragen einer älteren Patientin am Telefon.
Diese hört leider nicht mehr so gut, also muss Ihr:e MFA ein wenig lauter in den Hörer rufen: „Nein, Frau Wedekind, leider sind die Cholesterinwerte immer noch kritisch.“
Keine Seltenheit und dennoch: Ein klarer Verstoß gegen den Datenschutz. Zum einen werden sensible Gesundheitsdaten einer namentlich genannten Patientin lautstark und für alle Umstehenden hörbar kommuniziert. Zum anderen: Hat Ihr:e MFA vorher geprüft, ob es wirklich Frau Wedekind ist, die da am Apparat ist?
Guter Datenschutz hat viele Aspekte, und im turbulenten Praxisalltag ist es nicht so leicht, alle zu bedenken. Dabei ist konsequent angewandter Datenschutz von großer Bedeutung für Ihre Praxis.
Die Strafen bei datenschutzrechtlichen Verstößen reichen von hohen Bußgeldern bis hin zu Haftstrafen – vom kaum bezifferbaren Schaden für die Reputation Ihrer Praxis einmal abgesehen.
In diesem Beitrag haben wir deshalb die 11 häufigsten Datenschutzfallen aus der Praxis zusammengestellt und geben Ihnen Tipps an die Hand, die leicht anzuwenden sind:
Situationen wie die eingangs erwähnte kommen häufig vor. Insbesondere der Empfang ist ein kritischer Punkt. Es finden z.B. Gespräche zwischen Arzt bzw. Ärztin und Empfangspersonal statt, bei denen es um Befunde oder Testergebnisse geht. Umstehende Patient:innen hören ungewollt mit.
Eigentlich hat es Ihr Team nur gut gemeint: Um Ihnen als Arzt oder Ärztin die Arbeit zu erleichtern, liegen die Akten der nachfolgenden drei Patient:innen schon einmal griffbereit auf dem Tresen – gut sichtbar für alle, die vorübergehen.
Auch hier ist es wieder gut gemeint: Der Arbeitsablauf soll vereinfacht werden, Sie möchten Ihre Patient:innen unterstützen und ihnen schnell und unbürokratisch Zugang zum benötigten Rezept geben. Im Grunde ist dies auch kein Problem.
Hier ist grundsätzlich zwischen Privatversicherungen und gesetzlichen Krankenkassen zu unterscheiden. Gegenüber privaten Krankenversicherern sind Ärzt:innen ganz generell an die Schweigepflicht gebunden.
Gegenüber den Gesetzlichen Krankenkassen und anderen Sozialversicherungsträgern gilt die ärztliche Schweigepflicht grundsätzlich ebenfalls. Allerdings mit Ausnahmen. Die Auskunftspflichten der Vertragsärzt:innen sind im Sozialgesetzbuch genau regelt.
Als Faustregel gilt: Es sollten immer so wenig Daten wie möglich übermittelt werden, um die Rechte der Patient:innen zu schützen.
Schaffen Sie vor Behandlungsbeginn die rechtlichen Grundlagen für eine datenschutzkonforme Behandlung Ihrer Patient:innen im Einklang mit der EU-Richtlinie.
Die Aushändigung eines entsprechenden DSGVO-Formulars sollte mittlerweile zum Standard in jeder Arztpraxis geworden sein.
Umfassende Informationen zum Thema DSGVO in der Praxis inklusive eines Musterformulars für die Einwilligungserklärung für Patient:innen finden Sie bei der Kassenärztlichen Bundesvereinigung.
Wichtig zu wissen: Auch, wenn Patient:innen die Einwilligungserklärung zur Datenerfassung und -weitergabe nicht unterschreiben, dürfen Sie die Behandlung nicht verweigern. Beide Sachverhalte sind als rechtlich voneinander unabhängig zu sehen.
Patientendaten werden heute meist digital verwaltet. Vor dem Gesetzgeber gelten Sie als besonders schützenswert.
Deshalb sollten Sie bei Ihrer IT-Infrastruktur und auch bei der Nutzung digitaler Services von Drittanbietern (z.B. Webhosting-Services, Cloudservices) auf höchste Sicherheits- und Verschlüsselungsstandard achten, um die gesetzeskonforme Verwaltung Ihrer Daten sicherzustellen.
Der Verwendung sicherer Passwörter kommt dabei eine hohe Bedeutung zu. Kaum zu glauben, aber selbst im Jahre 2022 waren „password“ bzw. „123456“ immer noch unter den Top 5 der beliebtesten Passwörter in Deutschland, wie eine anerkannte Studie der Universität Potsdam belegt . Mehr zum Thema sichere Passwörter und welchen formalen Kriterien diese genügen sollten, finden Sie bei der Verbraucherzentrale.
Eine noch höhere Sicherheitsstufe kann durch Mehrfaktor-Authentifizierung erreicht werden, wo man neben dem Passwort noch ein weiteres Identitätsmerkmal benötigt, z.B. ein biometrisches Merkmal (Fingerabdruck) bzw. eine PIN.
Detaillierte Informationen zum Thema Cybersecurity für Arztpraxen erhalten Sie in diesem Blogartikel von jameda.
Nicht nur Ihre Systeme sollten auf dem neuesten Stand sein, sondern auch Ihre Mitarbeitenden, die täglich Daten verarbeiten. Neue Kolleg:innen sollten in die Datenschutzpraxis eingewiesen werden und Systeme und Sicherheitsvorkehrungen genau kennen.
Da sich Gesetzeslagen rund ums Thema Datenschutz dynamisch entwickeln, empfehlen sich außerdem regelmäßige Schulungen.
Die digitale Arztpraxis bringt eine Fülle an Vorteilen mit sich, vor allem hinsichtlich der Effizienz in der Praxisverwaltung. Doch ganz ohne Herausforderungen ist die digitale Datenhaltung nicht.
Was, wenn die Daten verloren gehen, z.B., weil die Praxisverwaltungssoftware abstürzt? Ohne redundante Datensicherung kann das schnell zu kritischen Situationen führen, die die Existenz Ihrer Praxis bedrohen.
Zum einen können hierbei wichtige Abrechnungsdaten verloren gehen, die zu finanziellen Einbußen führen können. Aber auch die Aufbewahrungspflicht medizinischer Dokumentationen wird durch plötzlichen Datenverlust gefährdet.
Für das sichere Backup Ihrer Daten stehen mehrere Möglichkeiten zur Verfügung. Immer beliebter werden so genannte Cloud-Lösungen, bei denen Sie Ihre Daten nicht vor Ort auf einem Server abspeichern, sondern einen externen Dienstleister damit beauftragen. Achten Sie unbedingt darauf, dass der Anbieter die höchsten Verschlüsselungsstandards bietet und DSGVO-konform handelt.
Über die verschiedenen Möglichkeiten der Datensicherung informiert unter anderem das Ärzteblatt in diesem konzisen Artikel.
Als Praxisinhaber:in sind Sie dafür verantwortlich, dass personenbezogene Daten Ihrer Patient:innen nicht in die Hände unbefugter Dritter gelangen. Und doch gehören Datenpannen leider in vielen Praxen zum Alltag.
Zum Beispiel, wenn Befunde aus Versehen an eine falsche Telefonnummer gefaxt wurden oder E-Mail-Irrläufer passieren.
Was tun, wenn eine solche Datenpanne auffällt? Das Wichtigste ist: Der Wille zur Aufklärung. Schaffen Sie in Ihrer Praxis eine Atmosphäre der vertrauensvollen Transparenz, die Mitarbeitende ermutigt, offen damit umzugehen, wenn eine Datenpanne passiert.
In einem zweiten Schritt gilt es zu eruieren, wie gravierend die Panne wirklich ist. War es „nur“ der beschriebene E-Mail-Irrläufer? Oder gab es einen Hackerangriff, bei dem gezielt Befunddaten im großen Stil entwendet wurden?
Vor lauter Sorge um die Patientendaten sollten Sie den Datenschutz für Ihre Mitarbeitenden nicht vergessen, denn auch von Ihren Angestellten erheben und verarbeiten Sie eine Fülle an Daten.
Die rechtmäßige Verarbeitung von Arbeitnehmerdaten wird von Behörden besonders gerne geprüft und so ist es sehr ratsam, eine stichhaltige, aussagekräftige Dokumentation darüber zu führen.
Artikel 30 der DSGVO schreibt hier ein „Verarbeitungsverzeichnis“ vor. Dort wird erfasst, welche Daten von welchen Mitarbeitenden zu welchem Zweck erhoben werden. Eine kompakte Übersicht zum Arbeitnehmerdatenschutz und Dokumentationspflichten findet sich hier.
Hier nun ein Datenschutz-Thema, dass bislang die wenigsten Praxen „auf dem Radar“ haben. Die Rede ist von den DiGAs – digitalen Gesundheitsanwendungen.
Dabei handelt es sich um Apps, die als zertifizierte Medizinprodukte Patient:innen während der Behandlung begleiten. Sie bieten digitale Hilfe bei der Rauchentwöhnung, bei Essstörungen oder depressiven Erkrankungen, aber auch Krebspatient:innen profitieren von der neuen Form der Behandlungs- bzw. Therapieunterstützung mit dem Smartphone.
Der Datenschutz nimmt in vielen Praxen viele Ressourcen in Anspruch und erzeugt einen nicht unerheblichen bürokratischen Aufwand. Gleichzeitig ist er unverzichtbar, um eine sichere Rechtsgrundlage für Ihre Praxistätigkeit zu schaffen.
Umgekehrt profitieren Praxen auch von klaren Regeln beim Datenschutz.
Sie geben unter anderem Orientierung bei der Auswahl digitaler Services, mit denen Ihre Praxis tagtäglich arbeitet. Qualitätsanbieter wie jameda bieten hier eine sichere, zuverlässige Lösung, um Praxisabläufe einfacher zu gestalten, etwa mit der DSGVO-konformen Online-Terminvergabe oder Videosprechstunde, die höchste Verschlüsselungsstandards anwendet.
Laden Sie unser kostenloses eBook herunter und erfahren Sie, wie Sie eine wirkungsvolle Cyber-Security-Strategie für Ihre Arztpraxis etablieren können: