✪  trans-acta Datenschutz - "we protect & serve"   ✪ 

Ein starkes Team für Ihren Service aus einer Hand. trans-acta -"we protect & serve"

Worauf müssen Ärzte beim Umgang mit Patientendaten achten?

Ein Arztbesuch ist für Patienten immer mit der Preisgabe von sehr persönlichen und sensiblen Informationen verknüpft. Daher erwarten Patienten zu Recht, dass ihre Gesundheitsdaten bestmöglich vor dem unberechtigten Zugriff durch Dritte geschützt werden.

Ärzte unterliegen nicht nur der Schweigepflicht, sondern müssen auch die Vorgaben der Datenschutzgesetze (insbesondere BDSG-neu und DSGVO) einhalten. In der DSGVO wird dafür extra der Begriff „Gesundheitsdaten“ definiert. Darunter fallen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen, und aus denen Informationen über den Gesundheitszustand hervorgehen. Außerdem betrifft dies auch Daten, die beim Erbringen von Gesundheitsdienstleistungen verarbeitet werden. (Art. 4 Abs. 15 DSGVO)

Welche rechtlichen Vorgaben macht die DSGVO?

In den Artikeln 12 bis 23 regelt die DSGVO die Rechte der betroffenen Personen. Diese gelten nicht nur für den Patientendatenschutz, sondern allgemein für die Verarbeitung von personenbezogenen Daten. Im Folgenden finden Sie einen Überblick zu einigen wichtigen Regelungen für Arztpraxen:

Datenschutzbeauftragter

Bei personenbezogene Patientendaten handelt es in Arztpraxen vor allem um Stammdaten, Behandlungsdaten, Kontaktdaten von Dritten wie zum Beispiel von einem Facharzt, Labor oder Krankenkassen. Es ist bereits seit längerem vorgeschrieben, dass der Datenaustausch automatisiert erfolgen muss. Das heißt, die Daten werden in der Regel Software-basiert verwaltet und gespeichert. Damit ergibt sich für die allermeisten Praxen die Notwendigkeit, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO). Zu beachten ist dabei, das die Haftung bei Verstößen, und dem ausgelobten Bußgeld immer noch dem Arzt obliegt. Dies ändert sich erst mit der Beauftragung eines externen Datenschutzbeauftragten.

Recht auf Auskunft

Das zentrale Transparenzrecht der Betroffenen ist das Recht auf Auskunft über die verarbeiteten Daten gem. Art. 15 DSGVO. Das Auskunftsrecht kann ohne Begründung oder Geltendmachung von Zweifeln an der Richtigkeit der gespeicherten Daten von dem Patienten gegen die Arztpraxis geltend gemacht werden. Die Fristen, die zur Beantwortung der Auskunft gesetzt sind per Gesetz definiert und liegen bei ca 2 Wochen. Weiters über Auskünfte finden sie hier.

Recht auf Berichtigung

Art. 16 DSGVO ist mit „Recht auf Berichtigung“ überschrieben. Tatsächlich enthält aber Art. 16 DSGVO zwei verschiedene Ansprüche und zwar das Recht auf Berichtigung unrichtiger Daten und das Recht auf Vervollständigung unvollständiger Daten.

Wenn ein Patient zum Beispiel erfährt, dass Daten zu seiner Person unrichtig sind, kann er gem. Art. 16 DSGVO die Berichtigung der Daten verlangen. Aber auch ohne ein Berichtigungsverlangen des Betroffenen hat der Arzt dafür zu sorgen, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.

Recht auf Löschung (Recht auf Vergessenwerden)

Lt. ErwGr. Nr. 66 sollte eine betroffene Person ein „Recht auf Vergessenwerden“ haben, wenn die Speicherung ihrer Daten gegen die DSGVO oder andere Vorgaben verstößt. Die DSGVO regelt dieses Recht in Art. 17. Patienten haben demnach unter bestimmten Umständen Anspruch darauf, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden.

Das trifft unter anderem dann zu, wenn die personenbezogenen Daten nicht mehr für den ursprünglichen Zweck benötigt werden oder wenn ein Patient seine Einwilligung in die Verarbeitung widerrufen hat. Praxisinhaber müssen aber auch auf die besonderen Aufbewahrungsfristen für Patientendaten achten.

Widerspruchsrecht

Art. 21 DSGVO räumt Patienten und allen anderen Betroffenen das Recht ein, unter den dort näher bestimmten Umständen einer Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Die Regelung des Art. 21 DSGVO zielt auf Datenverarbeitungsverfahren ab, die zulässig sind, gegen die aber der Betroffene aus besonderen Gründen ein Widerspruchsrecht besitzen soll.

Welche praktischen Maßnahmen können schon sinnvoll sein ?

Nachdem die Digitalisierung schon längst in Arztpraxen eingezogen ist, lohnt sich ein genauer Blick auf die verwendete Software. Erfolgt die Kommunikation per E-Mail verschlüsselt? Wer hat Zugriff auf die Krankenakten? Wer kann die Daten bearbeiten und zum Beispiel löschen?

Ein oft heikler Punkt in Sachen Datenschutz ist das Telefon. Oftmals ist es ein leichtes für wartende Patienten sensible Telefongespräche mitzuhören. Ist es aus räumlichen Gründen nicht möglich, einen echten Diskretionsabstand zu realisieren, sollten sich die Praxismitarbeiter zumindest angewöhnen, in Telefonaten möglichst selten den Patientennamen zu nennen.

Das Telefon bietet außerdem noch eine weitere Stolperfalle. Wie können die Praxismitarbeiter ausschließen, dass sich andere Personen für den Patienten ausgeben und sensible Informationen abgreifen? Ein Arbeitgeber oder Familienangehöriger könnte schließlich ein großes Interesse an solchen Informationen haben. Kontrollfragen können solche Szenarien verhindern.

Müssen Ärzte einen Datenschutzbeauftragten haben?

Der sichere Schutz von Patientendaten setzt sich aus organisatorischen und IT-basierten Maßnahmen zusammen. Die DSGVO und auch das BDSG-neu schaffen für den Datenschutz beim Arzt die rechtlichen Grundlagen und definieren die Rechte der Patienten. Schließlich brauchen diese hoch sensiblen Daten den bestmöglichen Schutz, um das Vertrauensverhältnis zwischen Arzt und Patient zu gewährleisten.

Aus diesem Kontext heraus stellt sich die Frage, ob Ärzte  bzw. Praxen Datenschutzbeauftragte brauchen.

Wichtig ist das Wissen, dass Ihr interner Datenschutzbeauftragter NICHT Ihre Haftung im Falle eines Verstoßes übernehmen kann - das sind in jedem Fall Sie.

Die Antwort ist ja, wenn:

  1. Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).

Dabei ist zu beachten das Art. 35 Abs. 3 lit. b) DSGVO  eine Datenschutz-Folgenabschätzung insbesondere erforderlich ist, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 erfolgt.

Die einschlägige Regelung für Datenschutzbeauftragte in nichtöffentlichen Stellen (wie z.B. Arztpraxen) ist Bestandteil des § 38 BDSG-neu.

Nach § 38 Abs. 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn

  1. in der Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen.

Das bedeutet, dass in größeren Arztpraxen, in denen 10 oder mehr Mitarbeiter beschäftigt sind, in jedem Fall ein Datenschutzbeauftragter zu benennen ist.

Als Fazit empfehlen wir folgendes zu beachten

  1. Arztpraxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
  2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
  3. Praxisgemeinschaften mit weniger als 10 Beschäftigten würde wir aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.
  4. Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.



 Tel.: 0251-7038990