Um die richtige Diagnose zu stellen, bekommt der behandelnde Arzt hochsensible Einsichten in das Leben und im Besonderen in die personenbezogenen Daten des Patienten. Aufgrund des Umgangs mit vor allem Gesundheitsinformationen, bedarf es einer gesonderten Beachtung der verwendeten Datenkategorien.  Nach Art. 9 Absatz 1 DS-GVO ist die Verarbeitung personenbezogener Daten von Gesundheitsdaten einer natürlichen Person grundsätzlich untersagt, es sei denn es lässt sich ein Ausnahmefall nach Art. 9 Absatz 2 DS-GVO (z.B. Einwilligung, Gesundheitsvorsorge etc.) begründen.

Gerade im hektische Praxisalltag können sich schnell Fehler im Umgang mit den Gesundheitsdaten des Betroffen einschleichen. Oft ist der Empfang unbeaufsichtigt, sodass unbefugte leichten Zugriff auf Daten von anderen Patienten haben können. Ein weiteres klassisches Thema ist, wenn der behandelnde Arzt sich mit der Empfangsdame/ Arzthelferin über beispielsweise Testergebnisse eines Patienten unterhält und dies vor dem Warteraum (und somit vor den anderen neugierigen, wartenden Patienten) stattfindet.

Zum Teil halten sich die Patienten auch allein im Behandlungsraum, wenn diese zum Beispiel auf den Arzt warten, auf. Sobald Sie hierdurch Zugriff auf andere Patientenakten haben, ist eine Verletzung datenschutzrechtlicher Regelungen als auch der ärztlichen Schweigepflicht naheliegend. Dies gilt selbstredend auch für die Erteilung telefonischer Auskünfte, ohne den Anrufer ausreichend zu verifizieren.

Wie in den meisten Lebens- und Wirkbereichen, obliegt es daher den Verantwortlichen durch technische und organisatorische Maßnahmen seinen Arbeitsalltag DS-GVO-konform auszurichten.

Beim Datenschutz in Arztpraxen sollte unter anderem die folgenden Punkte beachtet werden:

I. Sensibilisierung der Mitarbeiter auf das Datengeheimnis

Alle Mitarbeiter sollten auf das Datengeheimnis hingewiesen werden (auch darauf, dass dieses nach Beendigung der Arbeit weiterhin besteht). Zudem sollten regelmäßig Schulungen und Belehrungen zu dem Umgang mit den Patientendaten stattfinden.

II. Hinterfragen Sie die Zwecke der Datenerhebung/ Datenminimierung

Es dürfen in der Arztpraxis nicht alle verfügbaren Informationen des Patienten verarbeitet werden. In der Regel nur diese, welche für die Behandlung sowie Erhebung einer Diagnose von Bedeutung sind.

III.Setzen Sie sich mit den Datenflüssen auseinander

Wenn Daten des Patienten an Versicherungen oder Dritte herausgegeben werden sollen, muss eine Einwilligung des Betroffenen vorliegen. Es sind je nach Adressat bestimmte Vorgaben zu beachten.

Die Weitergabe von Daten in Krankenhäusern an dort arbeitende Ärzte ist in der Regel zulässig, insofern diese den Patienten auch betreuen. Die Datenweitergabe beschränkt sich aber hier auf diejenigen Daten, die für die Betreuung notwendig sind. Das gleiche gilt für Gemeinschaftspraxen.

IV. Halten sie eine Datensicherung vor

Die Daten des Betroffenen müssen vor unbefugten Zugriffen geschützt werden. Dies betrifft in der Arztpraxis vor allem Patientenakten, Formulare sowie Untersuchungsauswertungen.

Um die Nutzung von Datenverarbeitungssystemen durch Unbefugte zu verhindern, sollten die Datenverarbeitungsgeräte den allgemein anerkannten Regeln von Wissenschaft und Technik entsprechen. Hilfreich sind hierfür die Best Practise-Empfehlungen der BSI-Grundschutzkataloge (Policies, Berechtigungskonzepte, Passwortvorgaben, Virenschutz uvm.). Es ist überdies sinnvoll, Daten nur verschlüsselt weiterzugeben

Grundlegend ist zu fordern, dass in jeder Arztpraxis ein Diskretionsbereich eingerichtet werden sollte. Weiterhin sollte das Wartezimmer so abgetrennt sein, dass keine Gespräche am Empfang oder in den Behandlungsräumen mitgehört werden können. Außerdem sollten die Patienten über den Umfang der Einwilligungserklärung in die Datenübertragung aufgeklärt werden.

Unter dem nachfolgendem Link finden Sie eine erste Checkliste, mit den wichtigsten Aspekten die Ärzte und Angestellte zu beachten haben:

https://www.datenschutz.org/wp-content/uploads/datenschutz-arztpraxis-checkliste.pdf