Praktische Tipps zum Datenschutz in der Arztpraxis

Auf dieser Seite haben wir die wichtigsten Aspekte der DSGVO für Ihre tägliche Arbeit noch einmal zusammengefasst

Telefonische Terminvereinbarung

Die Daten eines neuen Patienten werden bereits verarbeitet, wenn er sich telefonisch bei Ihnen meldet, um einen Termin zu vereinbaren.

Nach Art. 13 DSGVO müssten Sie ihn, bevor Sie seinen Terminwunsch erfüllen können, über den Datenschutz, die am Telefon erhobenen Daten und den Zweck der Verarbeitung informieren.
Das bedeutet, dass Sie den Patienten BEVOR Sie den Termin vergeben und in Ihre Terminsoftware eingeben, darüber informieren müssen, zu welchem Zweck die personenbezogenen Daten erhoben werden und was mit ihnen geschieht.

Als erstes müssen Sie also den Namen und die Kontaktdaten der Praxis nennen. Falls vorhanden, müssen Sie auch die Kontaktdaten des Datenschutzbeauftragten angeben.
Danach sind der Zweck und die Rechtsgrundlage der Datenverarbeitung zu nennen. Auch die Empfänger, an die die Praxis Daten übermittelt, z. B. Kassenärztliche Vereinigungen oder Verrechnungsstellen, müssen genannt werden.

Nicht fehlen dürfen auch die Dauer der Datenspeicherung und Hinweise auf die Rechte der Betroffenen.

Danach könnte mit der Vergabe von Terminen begonnen werden. Dies dürfte jedoch in der Praxis nicht möglich sein.

Daher gilt, dass Sie so schnell wie möglich alle notwendigen Informationen über die in Ihrer Praxis geltenden Maßnahmen zum Schutz personenbezogener Daten nachholen müssen.

Schnellstmöglich bedeutet, dass Sie die Datenschutzinformationen z. B. zusammen mit dem Anamnesebogen aushändigen sollten, wenn der Patient oder die Patientin die Praxis zum ersten Mal betritt.

Es ist jedoch darauf zu achten, dass unbeteiligte Dritte, z. B. andere Patientinnen und Patienten am Empfang, nicht Zeuge des Gesprächs werden können.

Terminbestätigung per E-Mail

Auf der Website der Praxis sollten alle notwendigen Informationen zum Datenschutz (Transparenzerklärung) veröffentlicht werden. 

Wenn Sie dann telefonisch vereinbarte Termine per E-Mail bestätigen, können Sie in den Text einen Link einfügen, der Patienten zu diesen Informationen führt.

Am Empfang

Das größte Risiko für Datenschutzverletzungen besteht dort, wo sich die Patienten und ggf. ihre Angehörigen aufhalten.

So werden z.B. bei der telefonischen Terminvereinbarung oder bei der persönlichen Anmeldung der Name des Patienten und oft auch der Grund des Termins genannt. Folgende Punkte sollten aus Gründen des Datenschutzes beachtet werden:

Eine Diskretionszone am Empfang muss so gestaltet sein, dass das Mithören von Gesprächen oder der Blick auf Computerbildschirme für andere Besucherinnen und Besucher nicht möglich ist.

Liegt die Eingangstür zur Praxis nicht im Sichtbereich des Empfangs, ist sie verschlossen zu halten. Sie darf nur vom Praxispersonal geöffnet werden können.
Die ständige Besetzung des Empfangs durch Praxispersonal ist obligatorisch, damit sich Besucher unmittelbar nach ihrer Ankunft anmelden können.

Dies stellt sicher, dass sich kontrollieren lässt, wer sich in der Praxis aufhält.
Bei der Aufnahme der Anmelde- und Patientendaten ist auf Diskretion zu achten.

Der Wartebereich

Um ein Mithören zu vermeiden, muss der Wartebereich vom Empfangsbereich räumlich getrennt sein.

Im Idealfall ist der Wartebereich durch eine Tür akustisch vom Empfangs- und Behandlungsbereich getrennt.Ist dies baulich nicht möglich, sollte der Wartebereich zumindest in einem diskreten Abstand zum Empfang eingerichtet werden.

Im Behandlungszimmer

Wird ein Patient in einen Behandlungsraum geführt, in dem weder der Arzt noch ein Praxismitarbeiter anwesend ist, muss sichergestellt sein, dass der wartende Patient keinen Zugang zu Patienteninformationen hat.

Beispielsweise dürfen sich in diesem Raum keine frei zugänglichen Papierakten befinden.

Es ist eine Selbstverständlichkeit, dass auch Computer, die in den Räumen vorhanden sind, so gesichert sein müssen, dass kein wartender Patient Einsicht in die auf dem Computer gespeicherten Daten nehmen kann.

Jedes Behandlungsgespräch unterliegt der Schweigeverpflichtung und darf nur hinter verschlossenen Türen stattfinden.

Computersicherheit

Malware und Computerviren können schnell und einfach über den USB-Anschluss eingeschleust werden, alle vernetzten Computer befallen und immense Schäden verursachen.

Aus diesem Grund müssen USB-Ports und andere Anschlüsse an Computern so gesichert sein, dass das Einschleusen von Malware nicht möglich ist. Die sicherste Methode ist das Anbringen von mechanischen Schlössern zum Verschließen der Ports.

Im alltäglichen Betrieb stellt der Sperrbildschirm, der manuell oder automatisch nach einer bestimmten Zeit aktiviert wird, den Mindestschutz dar. Um den Computer zu aktivieren, muss dann ein sicheres Passwort eingegeben werden.
Ein sicheres Passwort muss mindestens 10 Zeichen lang sein. Es sollte aus einer Mischung von Zahlen, Buchstaben und Sonderzeichen bestehen.

Selbstverständlich ist die Einrichtung eines eigenen Accounts mit Benutzername und Passwort für jede Person, die Zugang zum Computersystem benötigt (Zugriffskontrolle / Berechtigungskonzept).

Jede Mitarbeiterin und jeder Mitarbeiter muß sich beim Entsperren des Rechners mit Benutzername und Kennwort anmelden. Dies ist im normalen Betrieb der Praxis oft sehr umständlich.

Tipp
Anstelle von Benutzername und Passwort können auch andere Sicherheitssysteme eingesetzt werden. Diese sind einfacher zu handhaben.
Zum Beispiel die Verwendung von RFID-Transpondern zur Identifizierung der Mitarbeiterinnen und Mitarbeiter bei der Annäherung an den Rechner.

Selbstverständlich dürfen Server und Backup-Systeme nur in abgeschlossenen Räumen installiert werden. Für diese Räume gelten besondere Zutrittsbeschränkungen.
Datensicherungen sind sowohl in verschlossenen Räumen als auch in Form von gesicherten Kopien außerhalb der Räume aufzubewahren.

Die Transparenzerklärung

Um die Einhaltung der Aufklärungspflicht rechtssicher belegen zu können, sollte immer eine mit Datum und Unterschrift versehene Transparenzerklärung vorliegen.

Wenn Sie einen neuen Patienten aufnehmen, händigen Sie ihm die Transparenzerklärung zusammen mit dem Anamnesebogen aus und achten Sie darauf, dass der Patient die Erklärung unterschreibt. 

Aushänge in der Praxis oder Informationen auf der Website können nur ergänzend sein, sind aber rechtlich nicht ausreichend. Denn Sie können nicht nachweisen, dass die Patienten diese Informationen zur Kenntnis genommen haben.

Eine solche Transparenzerklärung sollte nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch in einer Form verfasst sein, die für den durchschnittlichen Nutzer leicht verständlich ist. Es ist ratsam, die Erklärung regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, um sicherzustellen, dass sie weiterhin den aktuellen Verarbeitungsaktivitäten entspricht

Recht auf Berichtigung

Spam-E-Mails mit unangemessenem oder anstößigem Inhalt können den Ruf und das Ansehen des UnternDas Recht auf Berichtigung personenbezogener Daten ist in Art. 16 DSGVO geregelt. Stellen Sie z.B. fest, dass die Adresse auf der Krankenversichertenkarte nicht mit der tatsächlichen Adresse des Patienten übereinstimmt, müssen Sie dies umgehend in Ihrem Praxissystem ändern und die Krankenkasse über die falsche Adresse in Kenntnis setzen.

Eine falsch gespeicherte Adresse auf einer Krankenversichertenkarte kann in einer Arztpraxis zu einem erheblichen Mehraufwand führen: Nach jedem erneuten Einlesen der falschen Daten müssen diese korrigiert und der Krankenkasse erneut gemeldet werden.ehmens schädigen, insbesondere wenn sie von offiziellen E-Mail-Adressen des Unternehmens versendet werden.

Tipp:
Informieren Sie sich, wie Korrekturen am effektivsten an die Krankenkasse gemeldet werden können.


Der Behandlungsvertrag

Voraussetzung für die Verarbeitung personenbezogener Daten in unserer Praxis ist das Vorliegen einer Rechtsgrundlage für die Verarbeitung.

Nach § 630a des Bürgerlichen Gesetzbuches ist dies der Behandlungsvertrag. Diesen schließt der Patient mit dem Arzt, wenn er einen Termin vereinbart.

Es ist sinnvoll, diesen Vertrag schriftlich zu fixieren, er kann aber auch mündlich oder durch konkludentes Handeln zustande kommen. Dies ist z.B. der Fall, wenn sich die Patientin oder der Patient konkret in Behandlung begibt.

Dieser Vertrag verpflichtet den Arzt zur Führung einer Patientenakte nach § 630f. Diese enthält alle für die Behandlung notwendigen Daten und Informationen.
Darüber hinaus ist aber auch nach Art. 6 DSGVO lit b (zur Erfüllung eines Vertrages) und lit c (zur Erfüllung einer rechtlichen Verpflichtung) die Verarbeitung von Patientendaten im Zusammenhang mit dem Behandlungsvertrag zulässig.

Bitte beachten:
Die unterzeichnete Transparenzerklärung stellt nicht die Grundlage für die Verarbeitung der Daten der Patientinnen und Patienten dar. Sie stellt lediglich eine Bestätigung dar, dass die Praxis ihrer Informationspflicht nachgekommen ist.


Grundlage für die Verarbeitung der Daten ist der Behandlungsvertrag, der auch konkludent abgeschlossen werden kann.

Die Einwilligungserklärung

Für eine Datenverarbeitung, die über den Behandlungsvertrag hinausgeht, müssen gesonderte, ausdrückliche und leicht verständliche Einwilligungserklärungen der Patienten vorliegen. Diese müssen den Patienten - soweit erforderlich - durch das Praxispersonal erläutert werden oder in der Muttersprache der Patienten abgefasst sein.

Jede Einwilligungserklärung muss von der Patientin oder dem Patienten jederzeit und ohne Angabe von Gründen widerrufen werden können.

Bitte verwenden Sie für jede Einwilligungserklärung ein separates Blatt und lassen Sie sich diese jeweils unterschreiben.

Auskunft geben

Zwar hat der Patient nach Art. 15 DSGVO ein Auskunftsrecht. Dieses steht aber nur ihm persönlich zu.

Konkret bedeutet dies, dass der Ehepartner, die Kinder oder andere Personen kein Recht auf Auskunft haben und auch nicht berechtigt sind, eine Auskunft zu erhalten.
Es sei denn, es liegt eine schriftliche Entbindung von der Schweigepflicht durch den Patienten vor und die Identität des Auskunftsberechtigten ist zweifelsfrei geklärt.

Liegt keine Entbindung von der ärztlichen Schweigepflicht vor, darf keine Auskunft erteilt werden, auch wenn Sie die anfragende Person persönlich kennen.
Nur wenn überprüft wurde, ob es sich tatsächlich um eine auskunftsberechtigte Person handelt, dürfen telefonische Auskünfte erteilt werden. Dies ist in der Regel aufwändig und in der Praxis nicht durchführbar. Daher werden in unserer Praxis telefonische Auskünfte nur in dringenden Fällen erteilt.

Ihre Antwort sollte freundlich, aber bestimmt sein, wenn kein Auskunftsrecht besteht.

Die Privatliquidation 

Die privatärztliche Abrechnung aus datenschutzrechtlicher Sicht setzt zum einen eine wirksame Einwilligungserklärung des Patienten voraus. Zum anderen sind die gesetzlichen Informationspflichten zu beachten.

Für die privatärztliche Abrechnung werden neben personenbezogenen Patientendaten wie Name, Adresse etc. auch Gesundheitsdaten wie z. B. Daten über die konkrete Behandlung benötigt. Letztere gehören zu den besonders sensiblen Daten und unterliegen nach der Datenschutz-Grundverordnung (DSGVO) einem besonderen Schutz. Die Verarbeitung dieser Daten wird jedoch für die Abrechnung der ärztlichen Leistungen benötigt.

Zudem unterliegen alle Mitarbeitenden unserer Praxis der ärztlichen Schweigepflicht, die eine Weitergabe dieser Informationen verbietet.

Weitergabe von Patientendaten nur nach vorheriger Einwilligung

Bereits im Jahr 2013 hat der Bundesgerichtshof in einer Grundsatzentscheidung klargestellt, dass die Weitergabe von Patientendaten an eine Verrechnungsstelle ohne vorherige Einwilligungserklärung einen Verstoß gegen die ärztliche Schweigepflicht darstellt. Sowohl aus strafrechtlicher als auch aus datenschutzrechtlicher Sicht ist daher die Einholung einer Einwilligungserklärung zwingend erforderlich.

Einhaltung der Informationspflichten nach Art. 13 DSGVO

Auf die Weitergabe der Daten an eine Verrechnungsstelle muss bereits in der dem Privatpatienten ausgehändigten Transparenzerklärung hingewiesen werden. Diese ersetzt jedoch nicht die gesondert zu unterzeichnende Einwilligungserklärung, die eine informierte und eindeutige Willensbekundung in Form einer Erklärung darstellt. Es ist daher unbedingt darauf zu achten, dass vor der Datenübermittlung an eine externe Verrechnungsstelle eine wirksame Einwilligungserklärung des Patienten vorliegt. Diese ist auf einem gesonderten Formular bei der Patientenaufnahme einzuholen. Anderenfalls besteht für unsere Praxis das Risiko erheblicher strafrechtlicher, berufsrechtlicher und datenschutzrechtlicher Konsequenzen, die im Grunde genommen leicht zu vermeiden sind.

Tipp

Die DSGVO schreibt vor, dass sowohl die Transparenz- als auch die Einwilligungserklärungen für den Betroffenen klar, verständlich und leicht zugänglich sein müssen.
Es kann daher sinnvoll sein, die Dokumente  auch in Sprachvarianten vorzuhalten, die Ihre Patienten sprechen und verstehen.
Außerdem sollten Sie jeweils eine Kopie der Dokumente den Betroffenen aushändigen und dies auf dem Original vermerken.

Wir vertrauen Ihnen und Ihrer Kompetenz!

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>