Patientendaten sind besonders sensible Daten. Es handelt sich vielfach um Gesundheitsdaten im Sinne von Art. 9 der Datenschutzgrundverordnung (DSGVO). Daher sind an die Verarbeitung und den Datenschutz in der Arztpraxis hohe Anforderungen zu stellen. Auch die ärztliche Schweigepflicht gilt es streng zu beachten.
Aufgrund der strengen Anforderungen der DSGVO benötigen Sie in der Regel einen Datenschutzbeauftragten für Ihre Arztpraxis.
Sensibilisierung der Mitarbeiter
Schon am Empfang Ihrer Arztpraxis werden durch die Mitarbeiter bereits eine Vielzahl relevanter Patientendaten erhoben. So etwa Name und Adresse, Vorerkrankungen, Allergien, akute Beschwerden und natürlich auch der Grund des Arztbesuchs. Aus diesen Informationen lässt sich ein detailliertes Bild über den Patienten, seinen Gesundheitszustand und unter Umständen auch seine Lebensweise erstellen. Wichtig ist daher, dass diese Daten geschützt und gesichert werden.
Soweit die Daten im Gespräch mit dem Patienten erhoben werden, ist das Personal anzuweisen die Kenntnisnahme durch Dritte auszuschließen. Daher gilt: Gespräche über Patientendaten gehören hinter geschlossene Türen. Auch bei telefonischen Auskünften ist sicher zu stellen, dass andere Anwesende wie weitere Patienten, Besucher oder auch Handwerker keine Kenntnis von den sensiblen Daten eines Patienten erlangen können. Es sollte also unbedingt darauf geachtet werden, dass ein „Zuhören“ nicht möglich ist. Um dies sicherzustellen, empfiehlt sich nicht nur eine schriftliche Anweisung an das Personal, sondern auch dessen Verpflichtung auf das Datengeheimnis.
Sparsame Erhebung von Patientendaten
Achten Sie darauf, dass Sie nur solche Daten eines Patienten erheben, die Sie für die Behandlung des Patienten benötigen. Die für Diagnose, Krankheitsverlauf, Behandlung und Abrechnung erforderlichen Daten des Patienten sind hierbei natürlich unproblematisch. Die Rechtmäßigkeit ihrer Erhebung ergibt sich gemäß Art. 9 Abs. 1 DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 lit b) BDSG aus dem Grund der Gesundheitsvorsorge und dem Vertrag zwischen Ihnen und dem Patienten.
Einwilligung des Patienten
Darüberhinausgehende Daten bedürfen einer ausdrücklichen Einwilligung des Patienten. So beispielsweise Daten zum Familienstand oder Beruf eines Patienten. Solche Daten sollten daher zunächst nur freiwillig abzugeben sein. Außerdem ist dringend anzuraten, die Einwilligung des Patienten in die Erhebung schriftlich einzuholen. Andernfalls können Sie in Beweisnöte kommen, wenn Patienten oder Aufsichtsbehörden die Datenverarbeitung durch Sie anzweifeln.
Information des Patienten durch eine Datenschutzerklärung
Patienten sind darüber aufzuklären, welche Daten über sie erhoben werden und wie diese Daten verarbeitet werden. Dazu sind Sie als Inhaber Ihrer Arztpraxis gemäß Art. 13 DSGVO verpflichtet. Dies heißt im ersten Schritt: Binden Sie eine rechtssichere Datenschutzerklärung in Ihre Homepage ein. Hier sollte umfassend über die Datenverarbeitung durch die Webseite aufgeklärt werden. Dabei geht es nicht nur um die offensichtlich über ein Webformular erhobenen Daten des Patienten, sondern auch um die verdeckte Datenerhebung. So beispielsweise über Cookies, Marketing- oder Social Media Plug Ins.
In einem weiteren Schritt gilt es, auch den Patienten vor Ort ordnungsgemäß über die Verarbeitung seiner Daten aufzuklären. Hier empfiehlt sich eine ausgedruckte Datenschutzerklärung, die der Patient unterschreibt. Auch hier sind die Anforderungen des Art. 13 DSGVO zu erfüllen. Das bedeutet insbesondere, dass Verarbeitungszweck und dessen Rechtsgrundlage genannt sein müssen. Ferner ist der Betroffene umfänglich über seine Rechte auf Auskunft, Berichtigung, Löschung usw. zu informieren. Dies sind nur exemplarisch aufgezählte Anforderungen an eine rechtskonforme Datenschutzerklärung.
Aufbewahrung von Patientenakten
Sichern Sie Patientenakten und sämtliche Informationen von und über ihre Patienten vor dem Zugriff durch Unbefugte. Einerseits sind Akten in abgeschlossenen Schränken aufzubewahren. Andererseits ist sicherzustellen, dass Empfang und Praxisräume zu keinem Zeitpunkt unbeobachtet bleiben. Zumindest dann, wenn sich darin in irgendeiner Form Patientendaten befinden.
Aber auch digitale Daten sind umfangreich zu schützen. Daher ist die Verwendung sicherer Passwörter für sämtliche EDV-Anlagen dringend anzuraten. Eine schriftliche Anweisung an das Personal, umfassende Sicherungsmaßnahmen für die verwendeten Computer vorzunehmen und diese nicht unbeaufsichtigt zu lassen, ist hier hilfreich.