2023-08-09
Die Datenschutzanforderungen in Deutschland und in ganz Europa sind seit Inkrafttreten der DSGVO im Mai 2018 sehr hoch. Für Ärzte und Mitarbeiter in Arztpraxen, Gesundheitszentren und Krankenhäusern gelten sogar noch strengere Vorgaben für die Erhebung, Speicherung und Verarbeitung von Patientendaten gemäß Art. 9 Abs. 1 DSGVO i.V.m § 22 Abs. 1 Nr. 1 lit. b) BDSG.
Die hohe Bedeutung besonderer Schutzmaßnahmen bei Gesundheitsdaten wurde erst kürzlich in dem Urteil des EuGH zu dem Thema „Umgang mit Patientendaten als besonders sensible Daten“ (Urteil vom 1. August 2022, Az.: C 184/20) deutlich. Hier wurde klar, der Gesundheitssektor ist gefordert, ein besonderes, rechtskonformes Datenschutzkonzept zu erarbeiten und umzusetzen. Die üblichen Datenverarbeitungen sind in der Regel nicht ausreichend!
Was generell beachtet werden muss
Datenerhebung
Grundsätzlich ist es bei Patientendaten nur erlaubt, die Daten zu erheben, die für die spezifische Diagnostik und Behandlung notwendig sind. Dabei muss der Patient von Anfang an über die Erhebung, -verarbeitung und -speicherung seiner Daten informiert sein.
Datenweitergabe
Keinesfalls dürfen Patientendaten ohne gesonderte Prüfung weitergereicht werden: weder an Angehörige oder andere Ärzte noch an Versicherungen. Hier gilt: ohne Einwilligungserklärung keine Datenübermittlung – an niemanden!
Datenspeicherung
Die Datenspeicherung von Patientendaten erfordert, dass sie so gesichert werden, dass ein Einblick von Unbefugten ausgeschlossen ist. Als Unbefugter gilt jeder, der den Patienten nicht selbst betreut oder aber nicht für die Verarbeitung dieser Daten eingesetzt wurde. Und auch wenn jemand den Patienten betreut, darf dieser nicht sämtliche Daten vom Patienten erhalten, sondern nur diese, die für die spezifische Betreuung, für die die Person eingesetzt wurde, notwendig sind. Das gilt zum einen für die klassische handische Patientenakte, aber natürlich auch für die digitalen Informationen über die einzelnen Patienten.
Umgang mit Daten in Arztpraxis und Krankenhaus
Bereits mit Eintritt in die Praxis, Anmeldung am Empfang muss alles dafür getan werden, dass die datenschutzrechtlichen Vorgaben eingehalten werden. Das beginnt mit der Einwilligungserklärung nach Art. 13 DSGVO für die Erhebung, Speicherung und Verarbeitung der Daten. Diese muss dem Patienten ausgehändigt und dann unterschrieben werden – dies kann analog oder digital vorgenommen werden. Vor einer mündlichen Zustimmung ist aus Beweiszwecken abzuraten.
Ist die Einwilligungserklärung eingeholt, werden zumeist die ersten Daten vom Patienten eingeholt. Dabei ist das Einhalten der strengen datenschutzrechtlichen Voraussetzungen für sensible Daten für die Mitarbeitenden oftmals kein leichtes Unterfangen. Kein anderer darf Gesundheitsdaten des Patienten am Empfang „mithören“, weder vor Ort, noch über das Telefon, weder durch Schilderung des Patienten selbst, noch durch das Mithören von Gesprächen von Ärzten und oder Mitarbeiter. Schließlich muss das Praxispersonal dafür sorgen, dass der Empfang dauerhaft beaufsichtigt wird oder die Daten entsprechend weggeschlossen sind.
Hierbei ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO zu beachten, es dürfen grundsätzlich nur solche Daten eingeholt werden, die wirklich für die entsprechende Behandlung erforderlich ist.
Schließlich sollte das Person entsprechend geschult sein, grundsätzlich zu überprüfen, ob man beim Austausch von Informationen auch tatsächlich mit dem Patienten selbst in Kontakt ist. Per Email oder am Telefon besteht das Problem der Verifizierung. Dennoch muss sichergestellt werden, dass Patientendaten niemals an Nichtberechtigte weitergegeben werden.
Besonderheit Krankenkasse:
Die Krankenkasse erhält die Daten gewöhnlich nicht vom Patienten, sondern von den Ärzten. Sie speichern eine Vielzahl von unterschiedlichen Daten ihrer Versicherten, dazu gehören Krankheitsdiagnosen und Abrechnungsbelege von verschiedenen Behandlungen – alles zu dem Zweck, die medizinische Versorgung sicherzustellen. Damit ist die Speicherung und Erhebung der Daten durch die Krankenkasse nach § 284 SGB V zulässig.
Jedoch gilt natürlich auch hier, dass nur diese Daten erhoben und gespeichert werden dürfen, die wirklich zur Gewährleistung der medizinischen Versorgung notwendig sind und, dass die Daten dann nach § 84 Abs. 2 S. 2 SGB X gelöscht werden müssen, sobald sie nicht mehr erforderlich sind.
Datenschutzkonforme Homepage
Wichtig ist, dass jeder Arzt, jedes Gesundheitszentrum eine individuelle, den gesetzlichen Erfordernissen angepasste Datenschutzerklärung veröffentlicht. Dabei muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form gefasst sein.
Inhalt der Datenschutzerklärung sollten sein, dass jeder Besucher der Arztpraxis über alle Vorgänge aufzuklären ist, bei denen dessen personenbezogenen Daten verarbeitet werden. Zudem muss jede Datenschutzerklärung den Namen und Kontaktdaten (Anschrift, E-Mail) des Homepageinhabers, des „Verantwortlichen” enthalten. Schließlich sollten, soweit vorhanden, Angaben über den Datenschutzbeauftragten gemacht werden, hierzu gehört Anschrift, Adresse, Telefonnummer. (In Gemeinschaftspraxen ab 20 Mitarbeitern – unabhängig von der Stundenanzahl - ist dieser grundsätzlich erforderlich)
Wenn die Praxis in sozialen Medien auftritt, müssen auch hierüber spezielle Angaben in der Erklärung gemacht werden. Zudem muss auf Webformulare und Cookies hingewiesen werden.
Schließlich gehörten zur Datenschutzerklärung noch die Angaben zum Zweck, der Tatsache, ob eine gesetzliche oder vertragliche Speicherung vorgeschrieben ist und der Rechtsgrundlage für die Datenverarbeitung erfolgen. Zudem sind nach Art. 13 Abs 2 DSGVO noch folgende Angaben unerläßlich: Die Dauer der Speicherung der personenbezogenen Daten, das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Wiederrufsrecht, das Beschwerderecht bei der Aufsichtsbehörde, das Bestehen einer automatisierten Entscheidungsfindung.
Im Übrigen sollte auf der Homepage und Ihrem Content auf den sozialen Netzwerken auch das Verbot berufswidriger Werbung – § 27 Abs. 3 MBO-Ä beachtet werden, sowie die Werbeverbote nach dem Heilmittelwerbegesetz – HWG und den Wettbewerbsvorschriften des UWG.
Datenschutz Folgenabschätzung
Wenn Sie Patientendaten verarbeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person birgt, ist eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. In einer Arztpraxis kann generell von einem erhöhten Risiko ausgegangen werden, allerdings muss der Verantwortliche immer selbst entscheiden, wann voraussichtlich hohes Risiko besteht. Um diese Entscheidung zu erleichtern, wurden bei den Aufsichtsbehörden Listen mit Datenverarbeitungen erstellt, für die grundsätzlich eine Datenschutzfolgenabschätzung durchzuführen ist:
• Bei einer Analyse der Persönlichkeit
Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet.
• Besondere personenbezogene Daten
Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. DSGVO). Hierzu gehören immer die Gesundheitsdaten!
• Videoüberwachung
Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, oftmals auch für Praxisräume relevant!
Grundsätzlich ist für die Datenschutzfolgeabschätzung ein Datenschutzbeauftragter einzubeziehen.
Datenschutz-Check für Ihre Praxis
Abschließend bieten wir Ihnen folgenden Check an, mit dem Sie feststellen können, ob Sie datenschutzrechtlich alle gesetzlichen Anforderungen erfüllen.
• Sind alle Mitarbeiter in puncto Datenschutz auf dem neusten Stand?
• Haben Sie mit allen Firmen, mit denen Sie in Bezug auf Patientendaten zusammenarbeiten, eine Auftragsdatenverarbeitervereinbarung abgeschlossen?
• Verwenden Sie eine Einwilligung gemäß Art. 13 DSGVO für die Verarbeitung der Patientendaten vor? Wird diese vor Erhebung von Daten vom Patienten ausgefüllt?s
• Werden die Daten bei Ihnen ausreichend gesichert? Digital und vor Ort (Zugangskontrollen, verschlossene Schränke, dauerhaft besetzter Empfang…)
• Haben Sie Ihre Mitarbeiter entsprechend geschult, persönliche Daten vertraulich zu erheben und sich bei Telefonaten abzusichern, dass tatsächlich der Patient in der Leitung ist?
• Haben Sie Vorsichtsmassnahmen ergriffen, damit Dritte Daten weder digital (am Bildschirm), noch analog, als Ausdruck, am Empfang mitlesen können?
• Haben Sie ein aktuelles Antivirenprogramm?
• Ist der Serverraum verschlossen, die Praxis gegen Einbrüche geschützt?
• Haben Sie für Ihre EDV eine externe Stromversorgung?
• Werden alle Passwörter regelmäßig gewechselt und Backups erstellt?
• Werden Personaldaten nach Ablauf der Aufbewahrungsfrist fachgerecht entsprechend der Datenschutzbestimmungen entsorgt? Wird dies protokolliert?
• Wurde die Datenschutzerklärung auf der Homepage rechtskonform aufgestellt?
• Haben Sie – im Falle einer Gemeinschaftspraxis mit mindestens 20 Mitarbeitern – einen Datenschutzbeauftragten?
• Überprüfen Sie, ob eine Datenschutzfolgeabschätzung im Einzelfall erforderlich ist?
Sollten Sie auch nur eine dieser Frage mit „weiss nicht“ oder „nein“ beantwortet haben, besteht dringender Nachbesserungsbedarf.
Schlussbetrachtung:
Die Anforderungen an Ärzte, Krankenhäuser, Gesundheitszentren und all ihre Mitarbeiter sind sehr hoch. Um den datenschutzrechtlichen Anforderungen gerecht zu werden, aber auch um Abmahnungen und Bußgelder zu vermeiden, ist hier ein regelmäßiger Check, eine Aktualisierung der entsprechenden Maßnahmen notwendig.
Wir unterstützen Sie gerne hierbei.
Rechtsanwaelte - 19:37:53 | Kommentar hinzufügen
Unser Leistungs-Portfolio nimmt Ihnen Arbeit ab und schafft sicheres Fahrwasser für zulässige Datenverarbeitung. Nehmen Sie gerne Kontakt auf. Nutzen Sie hierfür unser Kontaktformular. Wir freuen uns auf Sie.
Kommentar hinzufügen
Die Felder Name und Kommentar sind Pflichtfelder.