Datenschutz in der Arztpraxis: Worauf Sie achten müssen

Datenschutz in der Arztpraxis

Mit der Änderung der Datenschutzgrundverordnung (DSGVO) 2018 haben sich die Anforderungen an Datenschutz für alle Bereiche verschärft, wobei der Umgang mit personenbezogenen Daten sich geändert hat. Der Datenschutz in der Arztpraxis ist auch von den Änderungen stark betroffen. Die Änderungen betreffen aber genauso Hautärzte, Augenärzte, Urologen, Gynäkologen, Arbeitsmediziner, Internisten, etc.

1. Welche Bedeutung hat Datenschutz in der Arztpraxis

Datenschutz für den Hausarzt bzw. die Hausärztin bezieht sich auf jede Form der Verarbeitung von personenbezogenen Daten. Also etwa auf das Erheben von Anamnesefragebögen, speichern von Diagnosen, übermitteln von Befunden an Fachärzte, aber auch das Löschen von Patientendaten. Diese Dinge zu dokumentieren ist die Aufgabe jeden Arztes. Er kann die Aufgabe aber auch an seinen Datenschutzbeauftragten delegieren. Damit solche Verarbeitungen rechtlich zulässig sind, müssen entsprechende Rechtsgrundlagen für die Datenverarbeitung gefunden werden. Zudem sind Hausärzte verpflichtet, Ihre Patienten, Mitarbeiter und Dienstleister über die Verwendung der Daten zu informieren. Für bestimmte Dinge müssen freiwillige Einwilligungen eingeholt und die Patienten aufgeklärt werden. Diese Einwilligung müssen Patienten unterschreiben, wenn sie zum Beispiel mit einem Dienstleister für die Rechnungsabwicklung zusammenarbeiten möchten. Weitere Pflichten sind zum Beispiel das Erstellen des Verzeichnisses von Verarbeitungstätigkeiten, das Informieren von Patienten und der Abschluss von AV-Verträgen mit Dienstleistern. Wichtig ist auch die regelmäßige Schulung und Unterweisung aller Mitarbeiter in der Praxis durch einen erfahrenen Datenschutzbeauftragten

2. Rechtsgrundlage für die Verarbeitung von Patientendaten

Patientendaten gehören zu einer besonderen Kategorie von personenbezogenen Daten, da es sich hierbei um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handelt. Die Rechtsvorschrift für die Verarbeitung dieser besonderen Daten in Deutschland ist in Art. 9 Abs. 1 DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b) BDSG. In Europa gilt allerdings der Art. 9 Abs. 2 lit. h) und i) DSGVO. Dabei ist die Verarbeitung oftmals nur mit einer datenschutzrechtlichen Einwilligung erlaubt. Es ist genau zu prüfen ob Daten erhoben werden dürfen oder nicht.

3. Datenschutz Checkliste für Ihre Praxis

Im Folgenden finden Sie eine Checkliste von Datenschutz.org zum Datenschutz in der Arztpraxis. Hier finden Sie wichtige Aspekte, die Ärzte und Angestellte unbedingt beachten sollten. Diese Checkliste erhebt allerdings keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Datenschutz in der Arztpraxis muss individuell überprüft werden, um notwendige Datenschutzhandlungen ableiten zu können. 

Empfang

  • Gibt es eine Zutrittskontrolle?
  • Gibt es einen Diskretionsbereich?
  • Werden die Anmelde- und Patientendaten diskret erhoben?
  • Ist der Empfang ständig besetzt?
  • Sind Bildschirme, Fax, Telefone & Co. vor dem Einblick Dritter geschützt?
  • Kann kein Unbefugter auf PCs & Co. zugreifen?
  • Sind die Patientenakten vor unbefugtem Zugriff abgesichert?
  • Ist das Wartezimmer so abgetrennt, dass Dritte keine Gespräche am Empfang oder in den Behandlungsräumen mithören können?

Behandlungsräume

  • Sind Patientendaten niemals allein in einem Behandlungsraum?
  • Alternativ: Ist sichergestellt, dass unter Abwesenheit des Arztes keine Fremdinformationen durch den Patienten eingesehen werden können?

Datensicherheit und Datenverwaltung

  • Sind die Datenverarbeitungssysteme physisch geschützt?
  • Ist der Zugriff auf elektronische Arbeitsplätze durch sichere Passwörter beschränkt?
  • Werden die Passwörter regelmäßig gewechselt?
  • Sind unbeaufsichtigte PCs stets gesperrt (inkl. Passwortschutz)?
  • Sind Virenschutzprogramme und auch Firewalls installiert und auf dem aktuellsten Stand?
  • Ist die Einsicht jedes einzelnen Mitarbeiters in die Daten an deren jeweilige Berechtigung zur Einsicht angepasst?
  • Werden regelmäßig Sicherungen der Daten erstellt? 
  • Ist eine verschlüsselte und sichere Übertragung von Daten (auch physischen) gewährleistet?
  • Ist die Arztpraxis gegen Diebstahl und Einbruch angemessen abgesichert? 
  • Wird die Entsorgung von Akten datenschutzrechtlich sauber durchgeführt und protokolliert?
  • Sind alle Angestellten auf das Datengeheimnis verpflichtet worden? 
  • Wurden sie darüber hinaus auch auf die besondere Verschwiegenheitspflicht hingewiesen und entsprechend belehrt? 
  • Sind Computerbildschirme und Telefondisplays am Empfang vor Dritter geschützt?

Rechte der Betroffenen

  • Ist sichergestellt, dass die Betroffenen ihr Auskunftsrecht geltend machen können? 
  • Werden die Fristen für die Aufbewahrung und Löschung von Gesundheitsdaten eingehalten? 
  • Werden Betroffene über den Umfang einer Einwilligungserklärung in die Datenübertragung aufgeklärt?
  • Wurde die Datenschutzerklärung auf der Homepage rechtskonform aufgestellt?

4. Datenschutzerklärung für die Arztpraxis

Wie bei jeder Webseite müssen Arztpraxen eine Datenschutzerklärung zur Verfügung stellen. Diese sollte möglichst präzise, verständlich, leicht zugänglich und transparent sein.

In der Datenschutzerklärung muss auf Tracking, Formulare und Social Media Integration sowie deren Verwendungszweck und Rechtsgrundlage genau eingegangen werden. Darüber hinaus muss darauf geachtet werden, dass die Besucher über alle Vorgänge aufgeklärt sind, bei denen personenbezogenen Daten verarbeitet werden. Name und Kontaktdaten des Verantwortlichen gehören selbstverständlich auch zur Datenschutzerklärung. 

In Art 13 Abs. 2 DSGVO gibt es darüber hinaus noch weitere Punkte, die zu den einzelnen Verarbeitungsprozessen erklärt werden sollen. Dazu gehören:

  • Speicherdauer der personenbezogenen Daten
  • Recht der Besucher auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerrufsrecht
  • Beschwerderecht bei der Aussichtsbehörde
  • Bestehen einer automatisierten Entscheidungsfindung
  • Grundlage der Bereitstellung der Daten (gesetzlich oder vertraglich vorgeschrieben) und die möglichen Konsequenzen, die eine Nichtbereitstellung nach sich zieht