Besonders im Gesundheitswesen nimmt der Umgang mit Patientendaten und den verbundenen personenbezogenen Daten einen sehr hohen Stellenwert ein. Die erforderlichen Patientendaten stellen im Gesundheitswesen Informationen dar, die als besonders schützenswert gelten und somit innerhalb der beruflichen Ausübung auch sensibel zu behandeln sind. Ein weiter und wichtiger Aspekt ist die ärztliche Schweigepflicht, die auch die Mitarbeiter betrifft.
• Der Datenschutz innerhalb der Praxis
Der Datenschutz muss innerhalb einer Praxis gelebt werden und somit bei der Praxisleitung und auch bei den Mitarbeitern einen besonderen Stellenwert einnehmen. Ein Grundpfeiler der Tätigkeitsausübung ist die Datenerhebung der Patienten. Hier muss der Fokus auf die benötigten Informationen gelegt werden. Im Patientenkontakt dürfen in der Regel nur solche Daten erhoben werden, die auch für die Arztbehandlung und dessen Diagnose von Nöten sind.
In der Arztpraxis kommt es in der Praxis auch oft zu Datenweitergaben. Ein wichtiger Aspekt ist hierbei, dass die Patientenakten mit den personenbezogenen Daten nicht ohne weiteres an Versicherungen oder Dritte weitergegeben dürfen. Bei der Datenweitergabe sind spezifische Vorgaben zu beachten, die den gewünschten Adressat betreffen. Um die personenbezogenen Daten weiterzugeben und dabei rechtskonform zu bleiben, ist in den meisten Fällen eine Einverständniserklärung der betroffenen Person einzuholen.
Auch in der Arztpraxis muss die Datensicherung gewährleistet und somit vor dem Zugriff von Dritten ausreichend geschützt sein. Dies betrifft sowohl analoge Datensätze (Formulare, Bilder, Notizen…), aber auch die gespeicherten Patientendaten innerhalb der IT und Praxissoftware.
Im Falle einer Gemeinschaftspraxis oder in einem Krankenhaus dürfen nur die betreuenden Ärzte untereinander Patientendaten weitergeben. Allerdings dürfen nur notwendige Informationen ausgetauscht werden, die für die Behandlung des Patienten notwendig sind. Ein weiterer Datenaustausch gilt nicht als rechtskonform.
• Datenschutz an der Praxisanmeldung
Ohne einen Praxisempfang kommt in der Regel keine Arztpraxis aus. Hier werden die Patienten in Empfang genommen und das Anliegen des Besuches abgeklärt. Schon ab diesem Zeitpunkt muss der Mitarbeiter die datenschutzrechtlichen Vorgaben beachten und einhalten.
Diese datenschutzrechtliche Hürde birgt die ersten Probleme:
- mehrere Personen stehen am Empfangstresen und können die Gespräche verfolgen
- Diagnosen werden ungeschützt am Empfang übermittelt und können mitgehört werden
- Der Empfang bleibt unbeaufsichtigt und der Zugang zu Schränken, Akten und PC´s ist ungesichert
- Ärzte und Mitarbeiter kommunizieren über Patientendaten – diese Informationen können mitgehört werden
- das Wartezimmer ist nicht ausreichend schallisoliert und Gespräche können verfolgt werden
Das Gespräch mit den Patienten gehört zum Praxisalltag. Viele Daten und Informationen werden telefonisch oder per E-Mail ausgetauscht. Hierbei werden sensible Daten, wie Therapien, Diagnosen und Testergebnisse übermittelt. Oftmals sind diese Kontakte aber nicht verifiziert und somit besteht immer eine Gefahr, dass personenbezogene Daten auf diesem Weg in die Hände von nichtberechtigten Personen gelangen.
Personenbezogene Daten spielen auch bei einem Erstbesuch in einer Praxis eine wichtige Rolle. Hier werden im ersten Schritt diese Informationen abgefragt. Im allgemeinen Praxisalltag wird hier oft ein fertiges Informationsschreiben zum Thema Datenschutz nach Art. 13 der DSGVO vorgelegt, welches vom Patienten gelesen werden und dann mündlich akzeptiert werden muss. Dieser Vorgang entspricht nicht dem Datenschutz und ist somit nicht rechtskonform! Mit einer mündlichen Zustimmung ist die Praxis nicht in der Lage, einen Nachweis über die Zustimmung zu liefern. Dies kann und wird vom Patienten und von Behörden als Datenschutzverstoß bewertet und wird mit entsprechenden Bußgeldern geahndet.
Um hier rechtssicher zu agieren und Bußgelder zu vermeiden, sollte die Praxis grundsätzlich eine schriftliche Patientenerklärung einfordern. Diese Absicherung kann auch digital erfolgen. Somit ist es auch möglich z. B. die Informationen über ein mobiles Endgerät bereitzustellen und digital unterzeichnen zu lassen.
Kontrollpunkte einer datenschutzkonformen Praxis:
- Gibt es eine revisionssichere Einwilligung zur Datenverarbeitung vor?
- Ist die Datenschutzerklärung auf der Webpage rechtskonform erstellt?
- Bleibt der Empfang stets besetzt?
- Ist die Arztpraxis gesichert (z. B. verschlossener Eingang)?
- Können Daten auf PC´s oder der Telefonanlage von Dritten gesichtet werden?
- Werden am Empfang Informationen diskret ausgetauscht?
- können Akten und Notizen von Dritten eingesehen werden?
- Gibt es eine Sicherung der Personalakten?
- Sind Wartezimmer und Behandlungszimmer schallisoliert?
- Wird der telefonische Austausch verifiziert?
- Gibt es Auftragsverarbeitungsverträge mit externen Dienstleistern?
- Ist der Serverraum abgesichert?
- Ist die Praxis gegen Einbruch abgesichert?
- Gibt es eine externe Stromversorgung?
- Werden Passwörter sicher vergeben und gewechselt?
- Ist die IT-Sicherheit gewährleistet?
- Gibt es Mitarbeiterschulungen zum Thema Datenschutz?
Diese Fragen sollten in einer datenschutzkonformen Praxis alle mit „Ja“ beantwortet werden können. Ist dies nicht der Fall, sprechen Sie gerne mit den Experten von heyData! Wie führen Sie sicher durch den Datenschutzdschungel!
• Die Datenschutzerklärung auf der Homepage
Die Datenschutzerklärung muss auf der Webpage präzise, transparent und leicht zugänglich zur Verfügung gestellt werden. Hierbei ist über alle Vorgänge aufzuklären, bei denen personenbezogene Daten verarbeitet werden. Der Name und die Kontaktdaten des Betreibers und des Verantwortlichen müssen aufgeführt werden. Werden entsprechende Tools verwendet, die personenbezogene Daten verarbeiten, müssen diese auch aufgeführt werden (Social Media, Webformulare, Cookies…) Zu diesen Verarbeitungen gehören Angaben zum Zweck der Datenübermittlung und der Rechtsgrundlage der Datenverarbeitung.
Zusätzlich sollten folgende Informationen immer aufgeführt werden:
- Dauer der Datenspeicherung
- Recht auf Auskunft, Berichtigung, Löschung, Widerrufsrecht, Einschränkung der Verarbeitung
- Beschwerderecht bezüglich der Aufsichtsbehörde
- automatisierte Entscheidungsfindung
- Vorschriften der gesetzlichen oder vertraglichen Bereitstellung der Daten
• Patientendatenweitergabe an die Krankenkassen
Versicherer sind auf die Patienteninformationen angewiesen und speichern diese. Diese Informationen, in Form von Sozialdaten, Adressdaten, Diagnosen und Abrechnungen sind für die medizinische Versorgung notwendig, da sonst die medizinische Versorgung nicht sichergestellt werden kann. Eine Datenspeicherung ist aus diesen Gründen rechtlich zulässig.
Krankenkassen sind aber nicht aus dem Datenschutzrecht ausgenommen. Die Krankenkassen dürfen nur so viele Daten speichern, die sie für ihre Tätigkeit benötigen. Grundsätzlich müssen Patientendaten aber gelöscht werden, wenn diese nicht mehr notwendig sind und kein Grund für eine weitere Speicherung vorliegt.
Haben Sie weitere Fragen zum Thema Datenschutz bei Heilberufen oder innerhalb von Arztpraxen? heyData bietet sich gerne als Ihr Partner an. Kontaktieren Sie uns – wir helfen Ihnen weiter!
Entscheiden Sie sich für heyData und profitieren Sie von Ihrem persönlichen und fachlichen Ansprechpartner, der die Datenschutzkonformität auf allen Ebenen und auf höchstem Niveau sicherstellt.
Die Grundidee des Datenschutzes ist, dass moderne Datenverarbeitung die freien Entfaltung der Persönlichkeit jedes Einzelnen gefährdet. Die Annahme ist, dass, wer nicht weiß oder beeinflussen kann, welche Informationen über ihn oder sie gespeichert und vorrätig gehalten werden, sein Verhalten aus Vorsicht anpasst. Datenschutz schützt den Einzelnen deshalb davor, dass der Staat oder ein Unternehmen seine personenbezogenen Daten unbefugt sammeln oder speichern. Die Datenschutzgrundverordnung (DSGVO) von 2018 setzt der Verarbeitung von personenbezogenen Daten enge Grenzen. Es ist wichtig, dass Unternehmen diese Vorgaben befolgen, weil sonst Bußgelder, Abmahnungen und Wettbewerbsnachteile drohen.
Auf unserer Seite How it works erfährst du, weshalb Datenschutz relevant für dein Unternehmen ist und wie wir von heyData dich unterstützen. In unseren FAQs, unseren Datenschutz Basics und in unserem Magazin erhältst du darüber hinaus einen Überblick über das komplexe Thema des Datenschutzes. Auch unsere White Paper verschaffen einen Einblick in wichtige Grundlagen datenschutzrechtlicher Aspekte. Schließlich bieten wir regelmäßig kostenlose Webinare im Datenschutz an. Diese geben dir die Möglichkeit, dich zu spannenden Themen weiterzubilden und einem Experten Fragen zu stellen.
Intern ist es eine wichtige Aufgabe eines Datenschutzbeauftragten gemäß Art. 39 Abs. 1 DSGVO, auf die Wahrung datenschutzrechtlicher Vorschriften hinzuweisen Das ist aber kein Selbstzweck, sondern schützt dein Unternehmen vor teuren Bußgeldern. 17 Aufsichtsbehörden kontrollieren auf staatlicher Seite die Einhaltung von Datenschutzbestimmungen. Kommt es zu Verstößen, kann dein Unternehmen mit Bußgeldern von bis zu 20 Mio. Euro beziehungsweise 4% des Umsatzes abgestraft werden. Zusätzlich drohen Abmahnungen.
Das Datenschutzgesetz regelt alle relevanten Bestimmungen, die personenbezogene Datenverarbeitung im Unternehmen betreffen. Jedes Unternehmen, welches in der EU tätig ist, ist zur Einhaltung der Datenschutzbestimmungen verpflichtet. Die Verantwortung dafür trägt die Geschäftsleitung selbst.
Die wichtigsten Pflichten von Unternehmen im Datenschutz-Bereich sind:
Besonders im Gesundheitswesen nimmt der Umgang mit Patientendaten und den verbundenen personenbezogenen Daten einen sehr hohen Stellenwert ein. Die erforderlichen Patientendaten stellen im Gesundheitswesen Informationen dar, die als besonders schützenswert gelten und somit innerhalb der beruflichen Ausübung auch sensibel zu behandeln sind. Ein weiter und wichtiger Aspekt ist die ärztliche Schweigepflicht, die auch die Mitarbeiter betrifft.
Der Datenschutz muss innerhalb einer Praxis gelebt werden und somit bei der Praxisleitung und auch bei den Mitarbeitern einen besonderen Stellenwert einnehmen. Ein Grundpfeiler der Tätigkeitsausübung ist die Datenerhebung der Patienten. Hier muss der Fokus auf die benötigten Informationen gelegt werden. Im Patientenkontakt dürfen in der Regel nur solche Daten erhoben werden, die auch für die Arztbehandlung und dessen Diagnose von Nöten sind.
In der Arztpraxis kommt es in der Praxis auch oft zu Datenweitergaben. Ein wichtiger Aspekt ist hierbei, dass die Patientenakten mit den personenbezogenen Daten nicht ohne weiteres an Versicherungen oder Dritte weitergegeben dürfen. Bei der Datenweitergabe sind spezifische Vorgaben zu beachten, die den gewünschten Adressat betreffen. Um die personenbezogenen Daten weiterzugeben und dabei rechtskonform zu bleiben, ist in den meisten Fällen eine Einverständniserklärung der betroffenen Person einzuholen.
Auch in der Arztpraxis muss die Datensicherung gewährleistet und somit vor dem Zugriff von Dritten ausreichend geschützt sein. Dies betrifft sowohl analoge Datensätze (Formulare, Bilder, Notizen…), aber auch die gespeicherten Patientendaten innerhalb der IT und Praxissoftware.
Im Falle einer Gemeinschaftspraxis oder in einem Krankenhaus dürfen nur die betreuenden Ärzte untereinander Patientendaten weitergeben. Allerdings dürfen nur notwendige Informationen ausgetauscht werden, die für die Behandlung des Patienten notwendig sind. Ein weiterer Datenaustausch gilt nicht als rechtskonform.
Ohne einen Praxisempfang kommt in der Regel keine Arztpraxis aus. Hier werden die Patienten in Empfang genommen und das Anliegen des Besuches abgeklärt. Schon ab diesem Zeitpunkt muss der Mitarbeiter die datenschutzrechtlichen Vorgaben beachten und einhalten.
Diese datenschutzrechtliche Hürde birgt die ersten Probleme:
- mehrere Personen stehen am Empfangstresen und können die Gespräche verfolgen
- Diagnosen werden ungeschützt am Empfang übermittelt und können mitgehört werden
- Der Empfang bleibt unbeaufsichtigt und der Zugang zu Schränken, Akten und PC´s ist ungesichert
- Ärzte und Mitarbeiter kommunizieren über Patientendaten – diese Informationen können mitgehört werden
- das Wartezimmer ist nicht ausreichend schallisoliert und Gespräche können verfolgt werden
Das Gespräch mit den Patienten gehört zum Praxisalltag. Viele Daten und Informationen werden telefonisch oder per E-Mail ausgetauscht. Hierbei werden sensible Daten, wie Therapien, Diagnosen und Testergebnisse übermittelt. Oftmals sind diese Kontakte aber nicht verifiziert und somit besteht immer eine Gefahr, dass personenbezogene Daten auf diesem Weg in die Hände von nichtberechtigten Personen gelangen.
Personenbezogene Daten spielen auch bei einem Erstbesuch in einer Praxis eine wichtige Rolle. Hier werden im ersten Schritt diese Informationen abgefragt. Im allgemeinen Praxisalltag wird hier oft ein fertiges Informationsschreiben zum Thema Datenschutz nach Art. 13 der DSGVO vorgelegt, welches vom Patienten gelesen werden und dann mündlich akzeptiert werden muss. Dieser Vorgang entspricht nicht dem Datenschutz und ist somit nicht rechtskonform! Mit einer mündlichen Zustimmung ist die Praxis nicht in der Lage, einen Nachweis über die Zustimmung zu liefern. Dies kann und wird vom Patienten und von Behörden als Datenschutzverstoß bewertet und wird mit entsprechenden Bußgeldern geahndet.
Um hier rechtssicher zu agieren und Bußgelder zu vermeiden, sollte die Praxis grundsätzlich eine schriftliche Patientenerklärung einfordern. Diese Absicherung kann auch digital erfolgen. Somit ist es auch möglich z. B. die Informationen über ein mobiles Endgerät bereitzustellen und digital unterzeichnen zu lassen.
- Gibt es eine revisionssichere Einwilligung zur Datenverarbeitung vor?
- Ist die Datenschutzerklärung auf der Webpage rechtskonform erstellt?
- Bleibt der Empfang stets besetzt?
- Ist die Arztpraxis gesichert (z. B. verschlossener Eingang)?
- Können Daten auf PC´s oder der Telefonanlage von Dritten gesichtet werden?
- Werden am Empfang Informationen diskret ausgetauscht?
- können Akten und Notizen von Dritten eingesehen werden?
- Gibt es eine Sicherung der Personalakten?
- Sind Wartezimmer und Behandlungszimmer schallisoliert?
- Wird der telefonische Austausch verifiziert?
- Gibt es Auftragsverarbeitungsverträge mit externen Dienstleistern?
- Ist der Serverraum abgesichert?
- Ist die Praxis gegen Einbruch abgesichert?
- Gibt es eine externe Stromversorgung?
- Werden Passwörter sicher vergeben und gewechselt?
- Ist die IT-Sicherheit gewährleistet?
- Gibt es Mitarbeiterschulungen zum Thema Datenschutz?
Diese Fragen sollten in einer datenschutzkonformen Praxis alle mit „Ja“ beantwortet werden können. Ist dies nicht der Fall, sprechen Sie gerne mit den Experten von heyData! Wie führen Sie sicher durch den Datenschutzdschungel!
Die Datenschutzerklärung muss auf der Webpage präzise, transparent und leicht zugänglich zur Verfügung gestellt werden. Hierbei ist über alle Vorgänge aufzuklären, bei denen personenbezogene Daten verarbeitet werden. Der Name und die Kontaktdaten des Betreibers und des Verantwortlichen müssen aufgeführt werden. Werden entsprechende Tools verwendet, die personenbezogene Daten verarbeiten, müssen diese auch aufgeführt werden (Social Media, Webformulare, Cookies…) Zu diesen Verarbeitungen gehören Angaben zum Zweck der Datenübermittlung und der Rechtsgrundlage der Datenverarbeitung.
Zusätzlich sollten folgende Informationen immer aufgeführt werden:
- Dauer der Datenspeicherung
- Recht auf Auskunft, Berichtigung, Löschung, Widerrufsrecht, Einschränkung der Verarbeitung
- Beschwerderecht bezüglich der Aufsichtsbehörde
- automatisierte Entscheidungsfindung
- Vorschriften der gesetzlichen oder vertraglichen Bereitstellung der Daten
Versicherer sind auf die Patienteninformationen angewiesen und speichern diese. Diese Informationen, in Form von Sozialdaten, Adressdaten, Diagnosen und Abrechnungen sind für die medizinische Versorgung notwendig, da sonst die medizinische Versorgung nicht sichergestellt werden kann. Eine Datenspeicherung ist aus diesen Gründen rechtlich zulässig.
Krankenkassen sind aber nicht aus dem Datenschutzrecht ausgenommen. Die Krankenkassen dürfen nur so viele Daten speichern, die sie für ihre Tätigkeit benötigen. Grundsätzlich müssen Patientendaten aber gelöscht werden, wenn diese nicht mehr notwendig sind und kein Grund für eine weitere Speicherung vorliegt.
Haben Sie weitere Fragen zum Thema Datenschutz bei Heilberufen oder innerhalb von Arztpraxen? heyData bietet sich gerne als Ihr Partner an. Kontaktieren Sie uns – wir helfen Ihnen weiter!