Health Care: Datenschutz in Arztpraxis und MVZ


Ob Kunden-, Mitarbeiter-, Patienten- oder Mandantendaten: Nahezu alle Unternehmen arbeiten mit digitalen Daten, die im  eigenen Interesse geschützt und gesichert werden müssen. Einen speziellen Schutzcharakter haben darüber hinaus aus juristischer Sicht jedoch sogenannte besonders schützenswerte Daten wie Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben (§ 3 Abs. 9 BDSG).

Hier sind besonders medizinische Einrichtungen, Rechtsanwaltkanzleien, Steuerberatungen und Rechenzentren für die Personaldatenverarbeitung gefordert, ihrer Verantwort nach zu kommen und zur Validierung der Schutzmechanismen einen Datenschutzbeauftragten (DSB) zu bestellen und damit die Anforderungen der Datenschutzgesetze umzusetzen. (Eine Nichtumsetzung der gesetzlichen Vorgaben kann sowohl nach dem BDSG und als auch nach den Landesdatenschutzgesetzen als Ordnungswidrigkeit geahndet und mit zum Teil immensen Bußgeldern belegt werden). Dennoch erfolgt eine flächendeckende Umsetzung oft eher zögerlich.

Eine Ursache für Versäumnisse im Datenschutz und der Datensicherheit in Arztpraxen und Gesundheitseinrichtungen sind die hohen Anforderungen, die mit der Position eines Datenschutzbeauftragten verbunden sind.

Ein Datenschutzbeauftragter muss heute IT-Spezialist, Pädagoge, Betriebswirt, Psychologe, Organisator und Jurist in einem sein.

Wir sind seit vielen Jahren auf diesem Gebiet tätig und bieten Ihnen von der Vorabprüfung über die Auditierung bis hin zur Mitarbeiterschulung alle erforderliche Unterstützung zur Sicherung Ihres Betriebes hinsichtlich Datensicherheit und Datenschutz an.

Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.

Nach dieser Formulierung müssten sich die meisten niedergelassenen Ärzte rein juristisch keine Gedanken zum Thema Datenschutz machen. zumal die ärztliche Schweigepflicht die Schutzbedürfnisse der Patienten abzudecken scheint. Dies ist aber nur vordergündig der Fall.

Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes oder der Ärztin. Es gibt mannigfaltige Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden und menschliche Fehlleistungen verursachen tiefgreifende Gefährdungen. Die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen Fertigkeit unlauterer Zeitgenossen Stand halten.

Da ist es verständlich, dass Patienten sich trotz Schweigepflicht mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein gesteigertes Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.

Wenn durch eine automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitsbezogene persönliche Daten wie z. B. physische, psychische oder soziale Daten verarbeitet werden. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von solchen Daten durchgeführt werden und betrifft somit alle ärztlichen Tätigkeiten und Fachrichtungen.

Eine Vorabkontrolle kann nach BDSG für Arztpraxen entfallen, wenn alle bisherigen, aktuellen und künftigen Patienten schriftlich ihr Einverständnis in die Verarbeitung ihrer Daten geben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es bleibt hierbei jedoch vorbehalten, ob dies elektronisch geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb in der recht theoretischen Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.

Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich Datenschutz-konform zu positionieren:

–         entweder durch die Bestellung eines Datenschutzbeauftragten oder

–         durch die schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.

Nicht zu Letzt ist die Absicherung des Umgangs mit Patientendaten durch einen externen Datenschutzbeauftragten ein starkes Argument zur Stabilisierung der Arzt-/Patientenbeziehung und zur Gewinnung neuer Patienten.

Eine interne Lösung stellt vielfach lediglich eine Formalität ohne rechtliche Sicherheit dar, da der erforderliche Zeitaufwand für die Ausübung der Tätigkeit eines internen Datenschutzbeauftragten und die zwingend erforderliche permanente Weiterbildung die Kapazität von der eigentlichen medizinischen Aufgabe weg nimmt. Die gelegentlich zu hörende Ansicht, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, nicht rechtskonform umsetzbar. Selbstverständlich sollte auch sein, dass diese Aufgabe aus gleichem Grund kein Arzt selbst übernehmen kann.

Neben der eigenen Verantwortung sollten allein die Sensibilisierung der Öffentlichkeit und die Sorge der Patienten um den sicheren Umgang mit ihren Daten, jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis Datenschutz-konform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen.

Gerne beraten wir Sie zu einer an ihre Praxis angepasste Umsetzung der gesetzlichen Anforderungen.

Weitere Informationen zu aktuellen, interessanten Themen finden Sie hier:

Der gläserne Patient….

Arztpraxis und Datenschutz..

Kartentricks…

Advertisements