Die DSGVO setzt mit ihren Regelungen alle Unternehmen unter Zugzwang und das schon seit geraumer Zeit. Besonders kleine Vereine und Betriebe sind sehr verunsichert. Das alles ist nicht mehr neu, verdient aber nach wie vor höchste Aufmerksamkeit.

Wie steht es eigentlich in unseren Artzpraxen um den Datenschutz?

Ich saß neulich im Wartezimmer und grübelte: Patientendaten sind hoch sensibel und sollten besonders geschützt werden. Doch wie sollen ohnehin hoch beanspruchte Ärzte und Praxisteams dieses Thema zusätzlich überblicken? Und anders gedacht: Wie kann ich sicher sein, dass meine persönlichen Daten hier sicher verwahrt sind?

Natürlich ist schon vor Inkrafttreten der DSGVO in Praxen ein besonderes Bewusstsein für die Sorge um Patientendaten vorhanden gewesen – davon gehen wir einfach mal aus. Dennoch ändert die neue Rechtslage einiges. Die „besondere Schutzwürdigkeit“ von Patientendaten ist hierbei der ausschlaggebende Punkt, der die Arztpraxen deutlich von anderen Unternehmen und Vereinen unterscheidet.

Was ist also hier zu tun? Knackpunkt in allen Bereichen ist die Erhebung von Daten. Nur zwingend nötige Daten dürfen überhaupt erhoben werden. Bei Ärzten ist diese Frage komplizierte, denn welche Daten könnten vielleicht auch in ferner Zukunft wichtig werden?

Auch für alle anderen Prozesse der Datenverarbeitung gelten höhere Standards: Für die Weitergabe von Daten, z. B. an die Krankenversicherung, muss eine Einwilligungserklärung jedes betroffenen Patienten vorliegen. Die Sicherung von personenbezogenen Daten in elektronischer Form, aber auch sämtlicher Notizen – muss gewährleisten, dass niemand Unbefugtes Zugriff erlangen kann. Das, wie auch die ärztliche Schweigepflicht, gilt für alle Praxismitarbeiter. Und lt. § 5 Satz 2 BDSG (neu) müssen alle Mitarbeiter bei Einstellung schriftlich zur Verschwiegenheit verpflichtet werden.

Im hektischen Praxisalltag, mit Improvisationscharakter, wenn mal ein Notfall dazwischenkommt, ist ein Datenschutzverstoß schnell passiert. Ein unbesetzter Empfangsbereich, unbeaufsichtigte Rollcontainer mit Akten, ein liegen gelassenes Rezept, ein kurzes Gespräch, das auch im Wartezimmer zu hören ist. Und dabei haben wir noch nicht einmal den möglichen Datenklau via IT angedacht.

Wir sind der Meinung: Hier macht es Sinn, externes Know How zu Rate zu ziehen. Art. 37 Abs.1 lit.C spricht klar von “umfangreicher Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (…)”. Und Artikel 9 beinhaltet “Gesundheitsdaten” als besondere Kategorie. Auch eine Datenschutzfolgenabschätzung wird nötig, sobald besonders sensible Daten verarbeitet werden. Mit diesen Dingen sollte sich das Praxisteam nicht beschäftigen müssen, neben ihrem Tagesgeschäft, das mehr als fordernd sein kann. Gleiches gilt für die Informationspflichten, die die DSGVO bereithält. Jeden Patienten darüber zu informieren, welche Informationen wann und warum erhoben, weitergeleitet und gelöscht werden, das ist keine triviale Aufgabe. D. h. nicht nur aus Erwägungen der Rechtssicherheit, sondern auch um das eigene Team von diesen Themen zu entlasten, ist ein externer DS-Beauftragter wohl die vernünftigste Wahl.

Halten Sie doch beim nächsten Arztbesuch die Augen mal in Sachen Datenschutz offen. Es betrifft uns alle.