Eine Arztpraxis hat die datenschutzrechtliche Besonderheit, dass sie sensible personenbezogene Daten verarbeitet. Zudem unterliegen Berufsgeheimnisträger der ärztlichen Schweigepflicht nach § 203 Abs. 1 StGB. Daher haben sowohl Patienten als auch Ärzte ein großes Interesse daran, dass beim Umgang mit personenbezogenen Daten größtmögliche Sorgfalt angewandt wird.
Datenschutz beginnt daher nicht erst an der Tür zum Behandlungszimmer, sondern ist in der gesamten Praxis angemessen umzusetzen. Folgende Tipps helfen Ihnen dabei.
Datenschutz im Empfangsbereich der Arztpraxis
Im Empfangsbereich geht es vor allem zu Stoßzeiten recht hektisch zu. Oftmals warten daher Patienten auf den Gängen oder stehen an der Rezeption an. Für das Praxisteam bedeutet dies, dass bei Telefonaten mit Patienten besondere Vorsicht geboten ist. Gerne werden hierbei Namen und Geburtsdatum des Anrufers sowie dessen Beschwerden oder Diagnose laut ausgesprochen. Das ist jedoch strikt zu vermeiden.
Das medizinische Fachpersonal ist daher hinreichend zu sensibilisieren und trainieren, keine sensiblen Informationen – auch nicht in den Praxisräumen – preiszugeben.
Datenschutz im ärztlichen Behandlungsraum
Da das Behandlungsgespräch aus Patientensicht ein sehr intimes ist, sollte vor allem darauf geachtet werden, dass es niemand mithören kann. Dies setzt voraus, dass eine feste Tür zum Behandlungszimmer besteht und diese während einer Behandlung stets verschlossen ist.
Auch dürfen keine Patientenakten des vorherigen oder nächsten Patienten offen herumliegen. Dies gilt auch für die digitale Form, so dass auf dem PC im Behandlungszimmer stets ein bestenfalls passwortgeschützter Bildschirmschoner eingerichtet sein sollte. Erzwingen Sie den Einsatz eines Sperrbildschirms technisch, entweder manuell oder mittels Gruppenrichtlinie. Die voreingestellte Zeit bis zur automatischen Sperre sollte 10 bis 15 Minuten nicht überschreiten.
Datenschutz beim Betrieb ärztlicher IT
Systeme und Anwendungen in Arztpraxen müssen stets gut gewartet und aktuell gehalten werden. Dabei sollten Sie besonders darauf achten, dass mit dem externen Unternehmen, das die IT wartet oder hostet, ein Auftragsverarbeitungsvertrag besteht. Denn das Gesetz verlangt einen solchen Vertrag bereits dann, wenn nicht ausgeschlossen werden kann, dass das Wartungsunternehmen mit den Patientendaten in Berührung kommen kann. Dies gilt unabhängig von der Größe der Praxis.
Datenschutz hinsichtlich der elektronischen Patientenakte
Bei Führen der elektronischen Patientenakte (ePA) muss die Richtigkeit und Vertraulichkeit der Akten gewährleistet werden. Insbesondere muss bei Berichtigungen oder Änderungen neben dem ursprünglichen Inhalt erkennbar sein, wann und durch wen die jeweilige Änderung vorgenommen wurde (Integritätsschutz).
Befinden sich mehrere Organisationseinheiten und oder Behandler in der Praxis, sollte die Praxissoftware ein Berechtigungsmodel unterstützen, dass Anwendern Zugriff nur auf die eigene Behandlungsdokumentation ermöglicht.
Datenschutz im Falle eines Inkasso-Büro-Einsatzes
Besondere Vorsicht ist bei der Einschaltung eines Inkasso-Büros in der Arztpraxis geboten. Bereits die Tatsache, dass eine bestimmte Person in Behandlung ist, ist schützenswert und damit vertraulich zu behandeln. Diese Information wird unter Umständen an das Inkassounternehmen weitergegeben, gegebenenfalls sogar unter Beifügung der Diagnose auf der Rechnung.
Aus datenschutzrechtlicher Sicht ist daher die Einschaltung eines Inkassobüros ohne vorherige rechtliche Beratung nicht empfehlenswert. Denn die Konstellation im Verhältnis zwischen Praxis und Inkassobüro kann je nach Umgang mit den Forderungen variieren.
Datenschutz bei der Übersendung von Patientendaten per Telefax
Die Übermittlung per Fax hat naturgemäß das Problem, dass die Vertraulichkeit der Daten beim Empfänger aus Sicht des Absendenden nicht gewährleistet werden kann. Insbesondere haben meist mehrere Personen Zugang zum Faxgerät und daher auch zu den Patientendaten.
Eine Anonymisierung der Daten birgt aber die Gefahr von Verwechslungen durch den Empfänger, was gerade im Gesundheitswesen weitreichende Folgen haben kann.
Daher sollte auf die Übermittlung der Arztpraxis per Fax nur zurückgegriffen werden, wenn dies aus Zeitgründen dringend nötig ist. In diesem Fall sollte der Faxvorgang telefonisch begleitet und zuvor angekündigt werden. Sensible Informationen sind zu entpersonalisieren.
Für den Versand von vertraulichen personenbezogenen Gesundheitsdaten ist eine inhaltsverschlüsselte Möglichkeit, wie der verschlüsselte E-Mail-Versand, auch in einer Praxis zu realisieren.