4.6 Schutz des Patientengeheimnisses
4.6.1 Der neue Selbst-Check für Arztpraxen
Das ULD hat gemeinsam mit der Ärztekammer und der Zahnärztekammer Schleswig-Holstein einen neuen Datenschutz-Selbst-Check für Arzt- bzw. Zahnarztpraxen mit den wichtigsten Datenschutz-Kontrollfragen erarbeitet.
Bei der Verarbeitung von Patientendaten in einer Arzt- bzw. Zahnarztpraxis sind nicht nur die allgemeinen datenschutzrechtlichen Vorschriften, sondern zudem die besonderen Anforderungen der ärztlichen Schweigepflicht zu beachten. Die Anforderungen an den Schutz des Patientengeheimnisses sind hoch. Es gilt, viele mögliche Fehlerquellen zu bedenken. Nicht nur Ärzte bzw. Zahnärzte, sondern auch die Mitarbeiterinnen und Mitarbeiter in der Arztpraxis tragen die Verantwortung.
Basierend auf den Erfahrungen unserer jahrelangen Prüf- und Beratungstätigkeit wurde ein neuer Fragenkatalog erstellt und mit der Ärzte- und Zahnärztekammer Schleswig-Holstein abgestimmt. Gemeinsam wurden praxisnah und verständlich die wichtigsten Datenschutz-Kontrollfragen zu folgenden Themen zusammengetragen:
- Empfang/Anmeldung
- Wartebereich
- Behandlungsbereich
- Datenübermittlung
- Informationstechnik
- Praxisverwaltung
- Patientenrechte
- Outsourcing/Beauftragung von Dienstleistern
- Möglichkeiten einer Videoüberwachung von Patienten und Praxispersonal
Ärzte- und Zahnärztekammer Schleswig-Holstein waren von diesem neuen Selbst-Check für Arztpraxen so angetan, dass sie monatlich in ihren Kammermitteilungen über die Entwicklung dieses neuen Selbst-Checks für Arztpraxen berichteten. Selbstverständlich enthält der neue Selbst-Check für Arztpraxen auch Antworten, Hilfestellungen und weiterführende Informationen.
Der neue Datenschutz-Selbst-Check für Arztpraxen ist
veröffentlicht unter:
https://datenschutzzentrum.de/artikel/1068-1.html
Was ist zu tun?
Arzt- und Zahnarztpraxen sollten den neuen Selbst-Check für Arztpraxen nutzen, um zu überprüfen, ob in ihrer Praxis das Patientengeheimnis geschützt wird. Bei Fragen können sich Ärzte und Zahnärzte an das ULD wenden.
4.6.2 Outsourcing in Kliniken und Arztpraxen – künftig auch ohne Einwilligung möglich
Ärzte müssen genauso wie Apotheker, Sozialpädagogen oder Rechtsanwälte ein besonderes Berufsgeheimnis beachten. Dieses Patientengeheimnis soll davor schützen, dass Unbefugte Kenntnis von Patientendaten erhalten. Es kann aber sinnvoll sein, dass sich eine Klinik oder Arztpraxis bei der Einrichtung, dem Betrieb oder der Wartung der Informationstechnik qualifizierter externer Unternehmen bedient. Ähnliches gilt für den Bereich der Aktenvernichtung oder -archivierung. Was ist in solchen Fällen zu beachten?
Bislang benötigen Kliniken und Arztpraxen in Schleswig-Holstein die Einwilligung der Patienten, wenn nicht auszuschließen ist, dass der Auftragnehmer Patientendaten zur Kenntnis nehmen könnte. Ärzte machten sich strafbar, wenn sie keine Schweigepflichtentbindungserklärung des Patienten einholten!
Doch dies wirft Probleme auf: Patienten berichteten uns immer wieder von nicht verständlichen Erklärungen, die sie kurz vor der Behandlung unterschreiben sollten. Kliniken verweigerten die Behandlung, wenn Patienten ihre Einwilligung nicht erteilten. Seit Jahren fordern die Datenschutzaufsichtsbehörden in Deutschland, dass die Beauftragung externer Dienstleister rechtssicher gestaltet wird.
Mit dem Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen soll zukünftig die Beauftragung externer Dienstleister nicht mehr strafbar sein. Zugleich sieht dieser Gesetzentwurf Befugnisnormen für Rechtsanwälte, Patentanwälte und Notare vor. Was noch fehlt, sind gesetzliche Regelungen mit entsprechenden Offenbarungsbefugnissen für Berufsgeheimnisträger wie z. B. Ärzte, Apotheker, Kranken- und Altenpfleger, Sozialpädagogen und -arbeiter. Hier ist der Landesgesetzgeber gefordert, entsprechende Befugnisnormen zu schaffen. Sobald diese Normen geschaffen sind, muss in diesen Fällen die Einwilligung der Patienten endgültig nicht mehr eingeholt werden.
Aber Achtung: Auch wenn die Beauftragung von externen Dienstleistern zukünftig nicht mehr strafbar ist und auch wenn es zukünftig nicht mehr erforderlich sein wird, die Patienten vorab um ihre Einwilligung zu bitten, so bleibt es doch dabei, dass die Berufsgeheimnisträger weiterhin für den Schutz der sensiblen Daten verantwortlich bleiben und gewährleisten müssen, dass es nicht zu einem Missbrauch kommt. Dies geschieht über das Konstrukt der Auftragsdatenverarbeitung: Der Auftraggeber (Berufsgeheimnisträger) muss mit dem Auftragnehmer (Dienstleister) einen schriftlichen Vertrag schließen. In diesem Vertrag sind insbesondere Festlegungen zu treffen über:
- den Gegenstand und die Dauer des Vertrages,
- den Umfang, die Art und den Zweck der vorgesehenen Datenverarbeitung,
- die zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte und Weisungsbefugnisse des Auftraggebers sowie
- die Rückgabe überlassener Datenträger.
Das ULD stellt unter www.datenschutzzentrum.de umfangreiche Informationen zur Verfügung und wird die datenschutzgerechte Gestaltung sogenannter Auftragsdatenverarbeitungsverhältnisse verstärkt prüfen.
Was ist zu tun?
Der Landesgesetzgeber ist gefordert, auch für Ärzte und weitere Berufsgruppen, die ein besonderes Berufsgeheimnis zu beachten haben, eine gesetzliche Offenbarungsbefugnis zu schaffen. Dabei gilt es, auch bei Einbindung von Dienstleistern das der Sensibilität der Daten angemessene Schutzniveau zu gewährleisten. Insbesondere sind Auftraggeber weiterhin verpflichtet, schriftliche Verträge mit ihren Auftragnehmern zu schließen. Das ULD berät gerne im Vorfeld und wird in diesem sensiblen Bereich verstärkt prüfen.
4.6.3 Speicherung von Patientendaten – bitte verschlüsseln!
Ein Fall aus der Praxis zeigt, warum auch digitale Sicherungskopien von Patientendaten grundsätzlich zu verschlüsseln sind und welche Folgen ein Diebstahl für Arztpraxen und Patienten haben kann.
Der Einbrecher kam um Mitternacht. Auch der Tresor der Gemeinschaftspraxis für Neurologie, Psychiatrie, Psychosomatik und Psychotherapie wurde aufgebrochen. Entwendet wurden Medikamente und die Datenträger der Datensicherung. Auf den Speichersticks waren Namen, Behandlungsdaten und Arztbriefe von weit über 40.000 Patientinnen und Patienten aus über 20 Jahren unverschlüsselt gespeichert.
Die Praxisinhaber konnten den Einbruch nicht verhindern, aber sie hätten sich darauf vorbereiten müssen. Nicht nur die digitalen Daten des laufenden Praxisbetriebs, sondern auch die digitalen Sicherungskopien müssen verschlüsselt gespeichert werden. Der Gesetzgeber fordert technische und organisatorische Maßnahmen, damit gewährleistet wird, dass personenbezogene Daten gegen zufällige Zerstörung bzw. Verlust und gegen einen Zugriff durch Unbefugte, also auch gegen Diebstahl, geschützt sind.
Die Kriminalpolizei ermittelte, aber die Datenträger blieben verschwunden. Es ist also nicht ausgeschlossen, dass irgendwann irgendwer die Patientendaten anschauen, auswerten oder weitergeben wird. Man mag sich nicht vorstellen, welche Folgen dies für die betroffenen Patientinnen und Patienten haben könnte.
Aber auch für die Arztpraxis hat diese Datenpanne gravierende Folgen. Der Gesetzgeber sieht vor, dass alle betroffenen Personen unverzüglich über den Vorfall unterrichtet werden und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen erhalten. In diesem Fall hätte die Praxis also über 40.000 Briefe verschicken müssen! Wenn Briefe einen unverhältnismäßigen Aufwand darstellen, tritt an ihre Stelle die Information der Öffentlichkeit. Dies kann durch Anzeigen geschehen, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt sind, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen geeignete Maßnahme. Wären die Patientendaten auf den Datenträgern doch nur verschlüsselt gespeichert worden!
Was ist zu tun?
Arztpraxen müssen auch ihre digitalen Sicherungskopien von Patientendaten verschlüsseln. Gelangen Patientendaten Dritten unrechtmäßig zur Kenntnis und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, müssen die Betroffenen und das ULD informiert werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |