ArchivDÄ-TitelSupplement: PRAXiSPRAXiS 2/2013Datenschutz in der Arztpraxis: Gute Organisation ist hilfreich

Supplement: PRAXiS

Datenschutz in der Arztpraxis: Gute Organisation ist hilfreich

Dtsch Arztebl 2013; 110(14): [14]

Weber, Klaus; LL.M

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Ein Überblick über die wichtigsten Maßnahmen, mit denen sich das Datenschutzniveau beim Umgang mit sensiblen Patientendaten optimieren lässt

Foto: Fotolia/IckeT
Foto: Fotolia/IckeT

Das Thema Datenschutz spielt im medizinischen Umfeld eine ganz besondere Rolle. Immer dann, wenn es um die Verarbeitung personenbezogener Daten geht, sind Arztpraxen damit konfrontiert, da es sich bei Gesundheitsdaten um besonders sensible personenbezogene Daten handelt.

Anzeige

Im Rahmen der Bürokommunikation werden personenbezogene Daten häufig per Telefon, Telefax oder E-Mails übermittelt. Hier lässt sich ein hohes Datenschutzniveau vor allem durch die richtige Organisation erreichen.

Telefon, Fax, E-Mails

Am Telefon sollten personenbezogene Daten nur äußerst restriktiv preisgegeben werden. Ratsam ist es, einige Grundsätze aufzustellen, die das Praxisteam bei telefonischen Auskünften beachten sollte. So sollte die Mitarbeiterin beispielsweise auf eine namentliche Anrede am Telefon verzichten, um die Diskretion zu wahren. Denn häufig halten sich Patienten in der Nähe, etwa im Warte- oder Empfangsbereich, auf. Auch sollten grundsätzlich keine Auskünfte über personenbezogene Daten an unbekannte Dritte erteilt werden.

Auch bei der Nutzung von Faxgeräten gilt es, im Praxisalltag einige Grundsätze einzuhalten. Um eine Fehleingabe von Faxnummern und damit das Risiko einer Bekanntgabe von Daten an Dritte zu minimieren, sollten regelmäßig verwendete Faxnummern im Kurzwahlspeicher des Telefaxgerätes eingespeichert werden. Bei besonders sensiblen Daten, etwa bei Gesundheitsdaten, sollte der Empfänger vor der Übermittlung telefonisch benachrichtigt werden, damit dieser das Fax in Empfang nimmt. Darüber hinaus kann die Faxsendung zusätzlich pseudonymisiert werden, so dass bei versehentlicher Falschversendung keine Personenzuordnung möglich ist. Im anschließenden Telefongespräch kann sodann die richtige Zuordnung zu einer Person erfolgen. Auch sollte anhand des Übertragungsberichts genau geprüft werden, ob die richtige Faxnummer tatsächlich angewählt wurde.

Um die Sicherheit von E-Mails zu verbessern, sollte beim Versand eine Verschlüsselungstechnik verwendet werden. Sofern eine solche Technik nicht verwendet wird, sollten die Patientendaten in jedem Fall pseudonymisiert werden. Auch hier kann der Empfänger der E-Mail telefonisch kontaktiert werden, um die Zuteilung des Pseudonyms zu einer Person offenzulegen.

Die mit der Verarbeitung von personenbezogenen Daten betrauten Mitarbeiter müssen – am besten bereits in ihrem Arbeitsverhältnis – auf das Datengeheimnis verpflichtet werden. Dies kann gegebenenfalls auch durch eine gesonderte Vereinbarung nachgeholt werden. Diese Verpflichtung sollte ebenfalls mit Hilfskräften vereinbart werden.

In der medizinischen Routine der Arztpraxis ist vor allem darauf zu achten, dass Unbefugte keine Kenntnis von personenbezogenen Daten Dritter erhalten können. Sofern die Arztpraxis noch Patientenkarteikarten nutzt, muss gewährleistet sein, dass sich jeweils nur die Karteikarte von dem aktuell zu behandelnden Patienten in den Behandlungsräumen befindet. Im Anmelde- und Empfangsbereich dürfen keine Rezepte, Patientenakten beziehungsweise personenbezogene Dokumente für unbefugte Dritte einsehbar sein.

Zusätzlich muss auch dafür gesorgt werden, dass die Patientenkarteikarten sicher vor dem Zugriff Dritter auch nach Beendigung der Behandlungen verwahrt werden. Das bedeutet, dass auch die Aufbewahrungsräume mit entsprechenden Sicherheitsschlössern ausgestattet sein sollten.

Datenlöschung

Personenbezogene Daten müssen gelöscht werden, wenn ihre Kenntnis für die datenverarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist. Dabei sind in Bezug auf Patientendaten die besonderen Aufbewahrungsfristen der ärztlichen Berufsordnung zu beachten. Neben den Patientenakten können auch Telefonnotizen, Terminkalender, Telefaxe et cetera personenbezogene Daten enthalten.

Das Löschen von Daten beziehungsweise Datenträgern im Sinne des § 3 Abs. 4 Nr. 5 Bundesdatenschutzgesetz (BDSG) umfasst neben der Vernichtung von elektronischen Datenträgern auch die von Papier und Folien. Bezüglich einer sicheren Entsorgung ist ein entsprechend geeignetes Vernichtungsverfahren zu wählen. Die Anforderungen an die Entsorgung sind abhängig von der Art der zu entsorgenden personenbezogenen Daten. Leitlinien hierzu enthalten die DIN-Normen 32 757 (01/1995) und 33 858 (04/1993). Sie sehen bestimmte Stufen für die Entsorgung von Daten vor. Da es sich bei Patientendaten um besonders sensible Daten handelt, wird hierfür die Entsorgung nach Stufe vier vorgeschlagen. Danach ist bei der Entsorgung von elektronischen Datenträgern sicherzustellen, dass eine Wiederherstellung unter Verwendung von gewerbeüblichen Einrichtungen beziehungsweise Sonderkonstruktionen ausgeschlossen ist.

Wer selbst Maßnahmen für die Entsorgung ergreift, sollte beachten, dass Datenträger so vernichtet werden müssen, dass eine Reproduktion der auf ihnen enthaltenen Daten nicht möglich ist. Ebenso kann man dafür auch auf externe Dienstleister zurückgreifen, die eine kontrollierte Vernichtung sowohl der in Papierform enthaltenen Datensätze wie auch von Datenträgern anbieten. Bei der Auswahl eines geeigneten Entsorgers sollte darauf geachtet werden, dass dieser zertifiziert ist. Zertifizierungsunternehmen wie TÜV oder Dekra bieten entsprechende Prüfungen an. Es empfiehlt sich, die zu vernichtenden Daten bis zur Abholung durch den Entsorger in abgeschlossenen Sicherheitsboxen aufzubewahren. Bei der Einschaltung solcher Dienstleister ist zu berücksichtigen, dass mit diesen eine Auftragsdatenverarbeitung über die Wahrung der betroffenen Daten bei der Vernichtung geschlossen werden muss.

EDV in der Arztpraxis

§ 9 BDSG schreibt vor, dass die innerbetriebliche Organisation so gestaltet sein muss, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sollen je nach Art der zu schützenden personenbezogenen Daten erforderliche Maßnahmen getroffen werden.

Bei der Unterbringung und Aufstellung der EDV-Anlage ist darauf zu achten, dass diese vor Zugriffen Dritter möglichst geschützt ist. Dies schließt mit ein, dass Monitore geschützt vor Einblicken Unbefugter zu positionieren sind. Alternativ bieten sich Bildschirmfolien als Schutzmechanismen an.

Darüber hinaus wird als kostengünstige Möglichkeit vorgeschlagen, dass zumindest der Rechner, auf dem sich die Patientendaten befinden, keinen Internetzugang hat. Alternativ hierzu ist die Verwendung der Computeranlage mit Internetnutzung unter Installation einer komplexen Firewall möglich (siehe hierzu im Einzelnen die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“, www.bundesaerztekammer.de/downloads/Empfehlung_Schweigepflicht_Datenschutz.pdf).

Die Nutzung der EDV zu privaten Zwecken sollte untersagt, zumindest aber an bestimmte Bedingungen geknüpft werden. Problematisch an der privaten E-Mail-Nutzung ist, dass der Arbeitgeber dadurch dem Fernmeldegeheimnis unterliegt. Die Konsequenzen hieraus: Im Streitfall ist eine Einsichtnahme in die E-Mails nicht ohne Weiteres möglich, die Überwachung wäre dann sogar eine Straftat. Vor allem bei der Beendigung eines Beschäftigungsverhältnisses entstehen im Hinblick auf die Verknüpfung von privaten und betrieblichen Sphären durch die elektronischen „Arbeitsmittel“ E-Mail und Dienst-PC oftmals erhebliche Probleme und Risiken. Daher ist es ratsam, im laufenden Beschäftigungsverhältnis auf eine strikte Trennung beider Bereiche in technischer und rechtlicher Hinsicht zu achten, etwa den privaten E-Mail-Verkehr nur über die private E-Mail-Adresse zuzulassen et cetera.

Die Regelung sollte auch ein Verbot der Nutzung privater Programme umfassen. So kann der Praxisinhaber gewährleisten, dass eine Einsichtnahme in die E-Mails auch bei Ausscheiden von Mitarbeitern problemlos möglich ist.

Grundsätzlich sieht § 9 BDSG acht unterschiedliche technische und organisatorische Maßnahmevarianten vor, die die Einhaltung der datenschutzrechtlichen Vorschriften gewährleisten sollen.

Zutrittskontrolle: Zu verhindern ist, dass Unbefugte sich räumlich Zutritt zu den Datenverarbeitungsanlagen verschaffen können. Das umfasst Maßnahmen zur Verhinderung des Zutritts in Form von Türsicherungen, Überwachungseinrichtungen und Ähnliches. Einen hohen Sicherheitsstandard stellt die Einführung einer elektronischen Zutrittskarte dar. Diese kann individuell sowohl für den Mitarbeiter als auch für bestimmte Räumlichkeiten konfiguriert werden.

Zugangskontrolle: Weiterhin ist die Nutzung der Datenverarbeitungssysteme durch Unbefugte zu verhindern. Eine typische Maßnahme ist die Vergabe von Kennwortverfahren. Bei Verlassen des Rechners sollte innerhalb kürzester Zeit der Bildschirmschoner mitsamt des Passwortschutzes aktiviert werden.

Zugriffskontrolle: Ausschließlich dazu Berechtigte dürfen die Datenverarbeitungssysteme benutzen. Dies lässt sich durch Einrichtung von Zugriffsberechtigungen umsetzen.

Weitergabekontrolle: Bei der Weitergabe der Daten – sowohl auf elektronischem Weg wie auch durch Transport der Datenträger – ist sicherzustellen, dass die Daten während des Transportes nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Auch darf nicht festgestellt werden können, an wen die Datenübermittlung vorgesehen ist.

Eingabekontrolle: Es muss auch nachträglich durch Protokollierung festgestellt werden können, ob und von wem personenbezogene Daten in das Datenverarbeitungssystem eingegeben, verändert oder entfernt worden sind.

Auftragskontrolle: Sofern ein Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragt wurde, ist zu gewährleisten, dass dieser nach Weisung des Auftraggebers die Daten entsprechend verarbeitet. Hierfür ist eine eindeutige Vertragsgestaltung hilfreich.

Verfügbarkeitskontrolle: Die personenbezogenen Daten sind vor Verlust oder Veränderung entsprechend zu schützen. Sinnvolle Maßnahmen unter diesem Gesichtspunkt sind etwa das Spiegeln von Festplatten, Backup-Verfahren oder der Einsatz von Virenschutzprogrammen.

Zweckbindungsgebot: Die personenbezogenen Daten sind nur jeweils zu dem Zweck zu nutzen, zu dem sie erhoben wurden. Zu unterschiedlichen Zwecken erhobene Daten müssen mithin auch getrennt verarbeitet werden können.

Diese Kontrollen, Empfehlungen und Gebote sollten bei der Bestandsaufnahme des Datenschutzniveaus sowie bei der Frage nach möglichen Verbesserungsmaßnahmen berücksichtigt werden.

Web und Social Media

Für Arztpraxen spielt die Online-Präsenz zunehmend eine wichtige Rolle, um über das eigene medizinische Leistungsangebot zu informieren. Neben der Berücksichtigung von wettbewerbs- und berufsrechtlichen Vorschriften ist bei der Praxis-Webseite sowie der Nutzung von Social-Media-Plattformen auch das Datenschutzrecht, hier vor allem das Telemediengesetz (TMG), zu beachten.

Nach § 5 TMG hat jede Webseite ein eigenes Impressum zu enthalten. Die Pflicht, ein ordnungsgemäßes Impressum bereitzuhalten, gilt ebenso für den Webauftritt bei Facebook, wie das Landgericht Regensburg kürzlich entschieden hat (Urteil vom 31. Januar 2013 – 1 HK O 1884/12). Daneben hat jeder Betreiber einer gewerbsmäßig genutzten Webseite auch über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten aufzuklären. In der Praxis geschieht dies meist über die Verwendung einer Datenschutzerklärung.

Gerade bei den bekanntesten Plattformen Facebook und Google+ ist zu berücksichtigen, dass die Verarbeitung von Daten zumindest teilweise in den USA erfolgt. Nach Ansicht der Datenschutzbehörden gewährleisten die USA kein ausreichendes Datenschutzniveau. Problematisch wird die Nutzung etwa von Facebook dann, wenn es um Auskunfts- oder Löschungsansprüche gegenüber den sich im Ausland befindlichen Betreibern geht. Im Februar dieses Jahres hat das Verwaltungsgericht Schleswig entschieden, dass für Facebook nicht das deutsche Telemediengesetz, sondern das irische Datenschutzrecht gilt (Beschlüsse vom 14. Februar 2013, 8 B 60/12 und 8 B 61/12). Sollte diese Entscheidung auch von den weiteren Instanzen bestätigt werden, bedeutet dies, dass die Durchsetzung eigener Ansprüche gegenüber Facebook äußerst schwierig ist.

Hinsichtlich des eigenen Facebook-Auftritts gehen immer mehr Unternehmen dazu über, für ihre Mitarbeiter sogenannte Social Media Guidelines zu erstellen. Hierbei handelt es sich um – teilweise verbindliche – Verhaltensregelungen, wie sich der einzelne Mitarbeiter im Social Web verhalten soll. Die Aufstellung solcher Regelungen ist für größere Arztpraxen und Kliniken gleichfalls sinnvoll.

Darüber hinaus zeigen wissenschaftliche Erhebungen, dass die Bedeutung der Anonymität des Internets Persönlichkeitsrechtsverletzungen und Diffamierungen begünstigt. Beispiele sind hier Bewertungsportale. Vergangenes Jahr hatte etwa das Landgericht Nürnberg-Fürth die Rechtmäßigkeit einer anonymisierten Bewertung eines Zahnarztes in einem Bewertungsportal zu beurteilen. Konkret ging es um eine anonyme Darstellung einer Implantatbehandlung eines Patienten. Der Zahnarzt wurde als fachlich inkompetent bewertet und als jemand, der vorrangig eigene wirtschaftliche Interessen durchsetze. Nach Veröffentlichung dieses Beitrages wies der Zahnarzt den Provider darauf hin, dass die Ausführungen schon deshalb nicht stimmen könnten, weil er zu der angegebenen Zeit keine Implantatbehandlung durchgeführt habe. Der Provider beließ den Beitrag nach einer Rückfrage beim Ersteller, der den Eintrag nochmals bestätigte, im Portal. Nach Auffassung des Gerichts war die weitere Veröffentlichung der Bewertung durch das Portal, nachdem der Zahnarzt die Veröffentlichung beanstandet hatte, rechtswidrig. Aufgrund der Beanstandungen hätte der Provider beispielsweise Nachweise oder sonstige konkretere Belege für die Richtigkeit verlangen müssen.

Dieses Beispiel verdeutlicht die Gefahren von Social-Media-Plattformen. Daher sollte in jedem Fall bei der Teilnahme an einer Internetplattform darauf geachtet werden, dass Kommentare dort erst nach Prüfung durch einen Administrator freigegeben werden.

Fazit

Häufig können bereits rein organisatorische Maßnahmen eine erhebliche Verbesserung des Datenschutzniveaus in der Arztpraxis bewirken. Hierbei bietet sich die Erstellung eines Datenschutzmanagements an, das zusätzlich zu einer Bestandsaufnahme die weiteren Maßnahmen und Ziele definiert.

Da der Aufwand der hierbei zu treffenden Maßnahmen immer in einem angemessenen Verhältnis zu dem erstrebten Schutzzweck stehen muss, sind übermäßige Investitionskosten grundsätzlich nicht zu befürchten. Allerdings muss andererseits berücksichtigt werden, dass es sich bei Patientendaten um nach dem BDSG besonders zu schützende sensible Daten handelt, so dass ein ausreichender Schutz in jedem Fall gewährleistet sein muss. Hinsichtlich des Einsatzes von EDV-Systemen ist von Zeit zu Zeit die technische Fortentwicklung zu beachten, so dass die Schutzmaßnahmen hier regelmäßig anzupassen sind. RA Klaus Weber, LL.M.

Externer Datenschutzbeauftragter, Sankt Augustin

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Deutsches Ärzteblatt plus
zum Thema

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Anzeige