Datenschutz & Schweigepflicht

Was Praxen wissen und tun müssen

Ärztliche Schweigepflicht und Datenschutz fordert einerseits der Gesetzgeber ein, vor allem aber spielen beide Aspekte eine zentrale Rolle im Vertrauensverhältnis zu Ihren Patienten. Als niedergelassener Arzt oder Psycho­therapeut sind Sie ver­pflichtet, persönliche und zum Teil sensible Patientendaten besonders zu schützen.

Gesetzliche Grundlagen und Richtlinien

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) und das neugefasste Bundesdatenschutzgesetz (BDSG) sind ab 25. Mai 2018 geltendes nationales Recht. Für Ärzte und Psychotherapeuten bedeutet das, dass sie nunmehr nachweisen müssen, dass und wie sie den Datenschutz in der Praxis einhalten. Unsere Praxisinformationen beschreiben detailliert und praktisch, wie Sie die neuen Vorgaben korrekt umsetzen.

Was Praxen jetzt tun müssen:

Datenschutz-Grundverordnung: Handreichung für Mitglieder der KVBW

Einleitung

Datenschutz hat schon immer eine große Rolle bei Ärzten und Psychotherapeuten gespielt. Die neue von der Europäischen Union vorgegebene Datenschutzgrund­verordnung (DSGVO), die am 25. Mai 2018 wirksam wird, unterstreicht die Bedeutung des Datenschutzes noch einmal und führt einige neue Regelungen ein.

Weil Ärzte und Psychotherapeuten sensible Gesundheitsdaten verarbeiten, gelten für sie erhöhte Anforderungen:

  • Datenschutzorganisation in der Praxis (u. a. Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten)
  • ggf. interner oder externer Datenschutzbeauftragter
  • Meldepflichten bei Datenpannen
  • Auskunftsrechte von Patienten
  • Verhältnis zu externen Dienstleistern und Dritten (Auftragsdatenverarbeitung)

Bitte beachten Sie:

  • Beweislastumkehr in einigen Bereichen: Sie müssen künftig nachweisen, dass und wie Sie die Bestimmungen zum Datenschutz einhalten.
  • Regelungen zum Datenschutz betreffen keineswegs nur Patientendaten, sondern z. B. auch Mitarbeiterdaten.
  • Bislang sind viele Auswirkungen der DSGVO noch nicht abschließend rechtlich geklärt. Wir können daher nur Empfehlungen aussprechen. Wir halten Sie über Änderungen auf dem Laufenden.
  • Je nach Konstellation der Praxis können noch weitergehende als die dargestellten Bestimmungen gelten.
  • Hinweis: Wir erarbeiten im Rahmen unserer Management Akademie MAK ein kostenpflichtiges eLearning-Programm zum Thema „Datenschutz in der Praxis“, das voraussichtlich ab dem dritten Quartal zur Verfügung steht.

Schweigepflicht

Wesentliche Anforderungen des Datenschutzes werden durch die Schweigepflicht realisiert. An der Schweigepflicht hat sich durch die DSGVO nichts geändert: Sämtliche Informationen, die im Zusammenhang mit der ärztlichen oder psychotherapeutischen Behandlung stehen, unterliegen der ärztlichen Schweigepflicht. Auf den Punkt gebracht bedeutet dies in der Praxis, dass der Arzt oder Psychotherapeut all diese Informationen nicht unbefugt Dritten gegenüber offenbaren darf.

Die KVBW hat gemeinsam mit der Landesärztekammer BW eine Information „Um Antwort wird gebeten“ zur Schweigepflicht erarbeitet, die erläutert, wie die Schweigepflicht in bestimmten Situationen zu handhaben ist, hierzu gehören beispielsweise Anfragen von Krankenkassen oder Auskünfte gegenüber Minderjährigen im Verhältnis zu deren Eltern.

Weitere Informationen zu diesem wichtigen Thema finden Sie auch in dem von der KBV und der Bundesärztekammer aktuell überabeiteten Papier „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“.

Einwilligung und Information der Patienten

Jede Arztpraxis verarbeitet personenbezogene Daten (Patientendaten) im Rahmen der Behandlung. Sie speichern die Daten in Ihrem Praxisverwaltungssystem (PVS), erstellen Befunde und schicken sie an andere Ärzte oder arbeiten mit einem Labor zusammen. Über Art und Umfang der Datenverarbeitung müssen Sie die Patienten informieren und für eine Datenweitergabe benötigen Sie von ihnen eine schriftliche Einwilligungserklärung. Passende Vorlagen finden Sie unten.

Bitte beachten Sie:

  • Legen Sie die Patienteninformation zum Datenschutz und gegebenenfalls die Einwilligungserklärung zur Datenweitergabe allen Patienten vor.
  • Die Einwilligungserklärung muss schriftlich unterzeichnet werden. Sie sollten die Erklärung in die Patientenakte aufnehmen; der Patient erhält eine Ausfertigung.
  • Auch für die Nutzung von Patientendaten im Rahmen der Praxisorganisation, beispielsweise für einen Terminerinnerungsservice oder Praxismailings, benötigen Sie die Einwilligung Ihres Patienten. Einen entsprechenden Passus haben wir in die Vorlage eingearbeitet.

Einwilligung zur Übermittlung von Patientendaten – Ärztliche Berichtspflicht

Jeder Arzt, der einen gesetzlich Versicherten behandelt, ist dazu verpflichtet, dessen Hausarzt Behandlungsdaten und Befunde zu übermitteln. Voraussetzung ist jedoch die schriftliche Einwilligung des Patienten – und zwar auch dann, wenn der Vertragsarzt auf Überweisung tätig wird. Wir bieten dazu Muster-Einwilligungserklärungen für Patienten zum Herunterladen an.

Praxisorganisation

Bei Ihren Praxisräumen sollten Sie auf eine datenschutzkonforme Gestaltung achten. Wir wollen Ihr Augenmerk hierfür auf vier Schwerpunktebereiche lenken:

  1. Trennung von Empfangs-, Warte- und Behandlungsbereich
  2. Diskretion bei Gesprächen und Telefonaten
  3. Schutz vor Einsichtnahme Dritter in Patientenunterlagen, Briefe, Telefaxe oder in Computer-Bildschirme,
  4. Zugriffsschutz der Praxiscomputer durch Passworte und Bildschirmschutz

Checkliste Praxisorganisation

Folgende Fragen können Sie beim Check-up unterstützen, ob Ihre Praxisorganisation datenschutzkonform gestaltet ist:

  • Wird durch eine ausreichende Diskretionszone oder durch organisatorische Maßnahmen sichergestellt, dass die Patientinnen und Patienten ihr Anliegen schildern können, ohne dass neugierige Ohren mithören können?
  • Kann das Praxispersonal Telefongespräche führen, ohne dass wartende Patientinnen und Patienten dadurch von Daten anderer Personen Kenntnis erlangen?
  • Sind Patientenakten und Karteikarten vor dem Zugriff Unbefugter geschützt?
  • Können Behandlungsräume so abgeschottet werden, dass neugierige Augen und Ohren ausgeschlossen werden?
  • Erfolgen vertrauliche Arzt-Patienten-Gespräche in geschlossenen Räumen?
  • Sind Patientendaten in den Behandlungsräumen gegen unbefugte Kenntnisnahme geschützt?
  • Haben alle Mitarbeiter (MFA, Ärzte, Praktikanten) und Personen, die für Fremdfirmen (z. B. Berater oder Handwerker) in der Praxis arbeiten, eine Verpflichtungserklärung auf die Schweigepflicht ausgefüllt?
  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für das Thema Datenschutz?

Datenschutzbeauftragter

Ab einer Anzahl von zehn Personen (Ärzte + Praxispersonal) müssen Sie einen Datenschutzbeauftragten benennen.

Bitte beachten Sie:

  • Sie können einen Mitarbeiter als Datenschutzbeauftragten benennen oder mit einem externen Datenschutzbeauftragten zusammenarbeiten.
  • Der Praxisinhaber trägt zwar letztendlich die Verantwortung für den korrekten Umgang mit personenbezogenen Daten in seiner Praxis, darf das Amt des Datenschutz­beauftragten aber nicht selbst übernehmen, denn er kann und darf sich nicht selbst kontrollieren. Er darf hierzu auch keine Familien­angehörigen benennen.
  • Der Mitarbeiter, den Sie zum Datenschutzbeauftragten benennen, sollte fachlich geeignet sein, benötigt aber keine spezielle Zertifizierung.
  • Der Datenschutzbeauftragte wird über eine Urkunde benannt. Ein Muster finden Sie unten.
  • Ein Datenschutzbeauftragter muss bei der Aufsichtsbehörde (beim Landesdatenschutz­beauftragten) gemeldet werden, am einfachsten online.
  • Ein Datenschutzbeauftragter darf nur aus wichtigem Grund abberufen werden und genießt einen Kündigungsschutz.
  • Sofern Sie eine Praxis-Homepage betreiben, wird ein Datenschutz­beauftragter auf dieser veröffentlicht. Ansonsten wird er per Aushang veröffentlicht.

IT-Sicherheit

IT-Sicherheit spielt eine große Rolle für den Schutz gegen Cyberkriminalität. Gute Handreichungen hierzu geben Ihnen das Bundesamt für Sicherheit in der Informationstechnologie (BSI) unter www.bsi-fuer-buerger.de sowie die Allianz für Cybersicherheit unter www.allianz-fuer-cybersicherheit.de.

Bitte beachten Sie:

  • Halten Sie Ihre IT-Systeme immer auf dem aktuellen Stand der Sicherheitstechnik (Virenschutz, Firewall etc.).
  • Sie sicherste Lösung ist, Rechner mit Patientendaten nicht an das Internet bzw. nur an die Telematikinfrastruktur (TI) anzubinden. Nutzen Sie für Internet/Mailverkehr einen anderen Rechner. Über die TI können Sie gesetzlich vorgeschriebene Datenübertragungen (zum Beispiel Abrechnung an die KV) sicher vornehmen.
  • Nutzen Sie für den elektronischen Versand von Arztbriefen ausschließlich gesicherte Verfahren. Ein Fax kann ebenso wie eine unverschlüsselte E-Mail bei der Übertragung gelesen werden.
  • Verträge zur Fernwartung Ihres PVS oder zur Aktenvernichtung müssen angepasst werden. Wir gehen davon aus, dass Ihre Vertragspartner dazu auf Sie zukommen.

Checkliste IT-Sicherheit

  • Beachten Sie den Datenschutz, wenn Sie moderne Medien wie M essenger oder soziale Netzwerke nutzen?
  • Haben Sie einen Bildschirmschoner mit Passwortschutz eingerichtet?
  • Sind Faxgeräte und Monitore so aufgestellt, dass sie nicht von Unbefugten einsehbar sind?
  • Sind die gespeicherten Daten verschlüsselt?
  • Versenden Sie Befunddaten niemals unverschlüsselt über das Internet beispielsweise per E-Mail?
  • Sind die Zugriffsrechte auf die Praxisrechner nach Tätigkeitsprofil des Mitarbeiters beschränkt?
  • Aktualisieren Sie regelmäßig Virenschutz­programme und die übrige Software?

Löschkonzept

Patienten haben ein Recht darauf, dass ihre Daten datenschutzkonform vernichtet werden, wenn diese nicht mehr gebraucht werden. Über die Aufbewahrungsfristen, die für die Aufbewahrung und somit auch die Löschung von Daten und Unterlagen in der Praxis gelten, haben wir ein Merkblatt erstellt.

Bitte beachten Sie:

  • Sie haben nicht nur Patientendaten in Ihrer Praxis, sondern beispielsweise auch Personalakten oder kaufmännische Unterlagen. Hier gelten andere Aufbewahrungsfristen! Kontaktieren Sie diesbezüglich gegebenenfalls Ihren Steuerberater.
  • Wenn Sie Bewerbungsunterlagen bekommen, müssen diese nach Abschluss des Bewerbungsverfahrens gelöscht bzw. datenschutzkonform entsorgt werden.

Verfahrensverzeichnis

Die DSGVO verlangt von Ihnen als Praxisverantwortlichen den Nachweis, dass die Verarbeitung von personenbezogenen Daten in Ihrer Praxis den Vorgaben des Datenschutzes entspricht. Um dieser Nachweispflicht nachzukommen, müssen alle Vorgänge (auch „Prozesse“ genannt), die in Ihrer Praxis mit der Datenverarbeitung von personenbezogenen Daten in Zusammenhang stehen, detailliert in ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) aufgenommen werden. Dieses müssen Sie dem Landesdatenschutzbeauftragten auf Aufforderung vorlegen. In einer „normalen“ Praxis dürften das vor allem sein:

  • Behandlung von Patienten und Dokumentation im PVS
  • Abrechnung der Privatleistungen über eine externe Verrechnungsstelle
  • Laboruntersuchungen
  • Wartungsverträge mit dem PVS-Anbieter
  • Mitarbeiterdaten (getrennt)
  • gegebenenfalls Bearbeitung der Buchhaltung (in einer Software)
  • gegebenenfalls die Terminverwaltung

Wir haben für Sie hier eine Vorlage und Muster für ein Verfahrensverzeichnis erstellt.

Bitte beachten Sie:

  • Ein Verfahrensverzeichnis muss gepflegt werden! Wenn es neue Prozesse gibt oder sich Prozesse ändern, müssen Sie das Verzeichnis entsprechend anpassen.
  • Denken Sie auch daran, die Selektivverträge im Verfahrensverzeichnis zu berücksichtigen.


Homepage

Wenn Sie eine Webseite betreiben, müssen Sie neben dem Impressum in einer eigenen Rubrik („Datenschutzerklärung”) auf datenschutzrechtliche Bestimmungen hinweisen. Der Umfang hängt davon ab, welche Informationen oder Interaktionen Sie auf Ihrer Homepage anbieten (z. B. Kontaktformular, Online-Terminvergabe etc.) .

Die notwendigen Angaben hängen auch davon ab, über welchen Provider Sie Ihre Homepage betreiben, da die Provider aus statistischen Gründen häufig Daten über die Nutzer erheben. Der Anbieter erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die der Browser automatisch übermittelt.

Eine Vorlage dafür, wie Sie Ihre Datenschutzerklärung gestalten können, finden Sie unten. Da formelle Fehler auf der Homepage ein beliebtes Einfallstor für Abmahnungen sind, empfehlen wir, die Bestimmungen ernst zu nehmen.

Bitte beachten Sie:

  • Nehmen Sie Kontakt zu Ihrem Provider auf und lassen Sie sich von ihm eine Datenschutzerklärung für Ihre Webseite geben.
  • Binden Sie die Erklärung des Providers in Ihre eigene Datenschutzerklärung ein.

Datenschutzverletzung

Auch bei Einhaltung aller Regeln kann es vorkommen, dass der Datenschutz verletzt wird, etwa durch Cyberkriminalität. In einem solchen Fall gibt es Meldepflichten: Innerhalb von 72 Stunden, nachdem der Vorfall bekannt wurde, müssen Sie eine Meldung an die Aufsichtsbehörde (den Landesdaten­schutz­beauftragten) geben. Der Praxisinhaber ist dafür zuständig, dass die Meldung erfolgt.

Mindestinhalt der Meldung von Datenschutzverletzungen nach Art. 33 Abs. 3 EU-DSGVO:

Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Konsequenzen / Bußgeld

Für einen Verstoß gegen die Bestimmungen der DSGVO ist ein Sanktions­mechanismus festgelegt. Dieser reicht von einer Rüge bis hin zu einem Bußgeld. Auch Schadensersatzforderungen, zum Beispiel von Patienten, sind möglich.

Bitte beachten Sie:

  • Die Einhaltung der datenschutzrechtlichen Bestimmungen kann durch den Landes­datenschutz­beauftragten stichprobenartig kontrolliert werden.
  • Aber: Auch, wenn es in der Praxis zu einer Verletzung des Datenschutzes kommen sollte, ist das Risiko einer empfindlichen Strafe dann gering, wenn Sie nachweisen können, dass Sie die Bestimmungen der DSGVO eingehalten haben.

Empfehlungen von KBV und BÄK und Datenschutz-Check 2018

Eine praktische Orientierungshilfe bieten die Empfehlungen zur ärztlichen Schweige­pflicht, Daten­schutz und Daten­verarbeitung in der Arztpraxis der Kassen­ärztlichen Bundes­vereinigung (KBV) und der Bundesärztekammer (BÄK). Die Bundesärztekammer und die KBV haben ihre Empfehlungen in Folge des neuen Datenschutzrechts überarbeitet und um die neuen Vorgaben ergänzt. Zudem haben sie mit Blick auf das neue Datenschutzrecht einen „Datenschutz-Check 2018“ erarbeitet, um Praxen Hilfestellungen zu geben, was angesichts der neuen Vorschriften zum Datenschutz zu beachten ist.

Themenauswahl

  • Schweigepflicht (z. B. Strafmaß bei Verstößen, Ausnahmen und Einschränkungen)
  • Datenschutz (z. B. Berichtigung, Löschen und Sperren von Daten)
  • Dokumentation (z. B. Schutz vor Einsichtnahme und Zugriff, Aufbewahrungs­pflichten)
  • Einsichtnahme und Übermittlung von Patientenakten
  • Grundsätze beim Einsatz von IT in der Arztpraxis
  • Überblick über die empfohlenen IT-Sicherheitsmaßnahmen
  • Checkliste zu den wichtigsten Punkten wie Umgang mit Passwörtern, Einrichtung von Netzwerken, Datensicherung

Selbsttest „Mein PraxisCheck“ zur Informationssicherheit

Mit dem kostenlosen Online-Test „Mein PraxisCheck der KBV können Niedergelassene unkompliziert testen, wie es um Datenschutz und Informationssicherheit in der eigenen Praxis steht. Werden sensible Patientendaten in der Praxis sicher aufbewahrt? Kennen alle Mitarbeiter die Regelungen zum Datenschutz? Sind die Zugriffsrechte auf die Praxiscomputer geregelt? Der Test ist anonym und dauert etwa 15 Minuten.

Datenschutz ist Teil des Qualitätsmanagements

Wie Sie Instrumente aus dem Qualitätsmanagement (QM) einsetzen können, um die Datenschutz-Anforderungen zu erfüllen, erfahren Sie bei unseren Fachberatern für Qualitätsmanagement. Der QEP-Qualitätsziel-Katalog reflektiert die gesetzlichen Anforderungen und widmet sich der Thematik in mehreren Kriterien und Qualitätszielen, angefangen mit dem Führen der Patientenakte.

Antworten auf häufig gestellte Fragen zur Datenschutz-Grundverordnung finden Sie unter FAQ.

Hinweis:

Auf dieser Website stellen wir unseren ärztlichen und psychotherapeutischen Mitgliedern als Informationsservice die wichtigsten Neuerungen der Datenschutzgrundverordnung auf Grundlage des aktuellen Wissensstands zur Verfügung. Wir weisen darauf hin, dass wir als Körperschaft des öffentlichen Rechts Rechtsberatung nur im Rahmen unserer eigenen behördlichen Zuständigkeit gewähren und dass zur Datenschutzgrundverordnung derzeit noch keine, insbesondere keine höchstrichterliche oder gar europäische Rechtsprechung vorliegt. Der Service beschränkt sich daher auf die Wiedergabe frei zugänglicher Informationen aus Drittquellen, die wir im Interesse unserer Mitglieder als nützlich erachten.

Die angegebenen Informationen und – sofern vorhanden – Empfehlungen wurden von den Autoren und der Redaktion mit größtmöglicher Sorgfalt erarbeitet und geprüft. Sie haben jedoch keinen konkreten Lebenssachverhalt im Sinne einer Beratung zum Gegenstand. Der Leser ist aufgefordert, sich in Bezug auf die Thematik auch selbst zu informieren, Fachinformationen der Datenschutzbehörden zur Kontrolle heranzuziehen und im Zweifelsfall sowie in allen konkreten Einzelfallfragen den Landesbeauftragten für den Datenschutz und die Informationsfreiheit und/oder einen Spezialisten aus der freien Rechtsanwaltschaft zu konsultieren.

KQB-LogoKundenorientierte Qualitätstestierung für Beratungsorganisationen - Qualitätstestiert bis 26.11.2018
Letzte Aktualisierung: 17.05.2018