Datenschutzrecht in der Arztpraxis, in der Klinik und in Pflegeeinrichtungen – schon vor dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) galten für den Umgang mit personenbezogenen Gesundheitsdaten besonders strenge Anforderungen. Die Umsetzung dagegen sieht oft anders aus – für den Datenschutzrechtler gestaltet sich der Besuch einer Arztpraxis als Patient oft als Aufenthalt im Horrorkabinett. Das darf nicht sein.
Inhalt
Datenschutzrechtliche Geisterbahn Arztpraxis
Ein paar Beispiele aus der Praxis, vom Verfasser selbst erlebt, mögen die Lücke zwischen datenschutzrechtlichen Anforderungen und praktischer Umsetzung illustrieren.
_ Die Patientenakten im Altpapiercontainer
Samstäglicher Gang zum Wertstoffhof. Die alten Zeitungen müssen in den Container. Im Container ganz vorne links, sorgfältig auf Kante aufgestapelt: Ein Stoß abgelegter Patientenakten aus einer Arztpraxis. Namen, Geburtstage, medizinische Diagnosen in Hülle und Fülle.
_ Der Serverraum als Kinderwagen-Garage
Die Tür zum Serverraum steht weit offen. Patientinnen und Patienten mit kleinen Kindern dürfen dort ihre Kinderwägen abstellen. Links ein Buggy, rechts ein Kombiwagen, der Server steht frei zugänglich dazwischen. Auf dem Server zwei 2,5-Zoll-USB-Festplatten, jede nur wenig größer als eine Zigarettenschachtel, sorgfältig beschriftet: „Backup Montag – Mittwoch – Freitag“ und „Backup Dienstag – Donnerstag“.
_ Sehtest als Zirkusveranstaltung
In der Augenarztpraxis – die erste Station ist ein Sehtest. Der Projektor, der die Buchstabenreihen anzeigt, steht in einer offenen Nische am Rande des Wartebereiches. Auf einer Bank daneben, eineinhalb Meter entfernt, sitzen die nächsten fünf Patienten aufgereiht wie Hühner auf der Stange und sehen dabei zu, wie man versucht, ohne Brille die Anzeige zu enträtseln. Ob wohl beim nächsten Durchgang die gleiche Reihe angezeigt wird? Derweilen schallt vom Empfangstresen ein lautes Telefonat mit einem anderen Patienten herüber, dass dessen Operation leider verschoben werden muss. Der Patient scheint schwerhörig zu sein. Die Höflichkeit gebietet es, in jedem Satz mindestens einmal den Namen des Patienten zu nennen.
_ Bin ich Frau Huber?
Der Arzt lässt auf sich warten. Er ist im Nebenraum mit einem anderen Patienten beschäftigt. Jedes Wort ist durch die Verbindungstüre zu hören. Auf dem Sideboard gegenüber steht der Computer, der Monitor zeigt genau zum Sitzplatz des Patienten. Auf dem Monitor wird die Akte einer Patientin angezeigt, nennen wir sie „Frau Huber“. War sie zuvor dran oder wird sie die nächste Patientin sein? Die Diagnose jedenfalls sieht nicht gut aus. Frau Huber ist Kassenpatientin. Wer wird meine elektronische Patientenakte zu lesen bekommen?
Patienten-Datenschutz: Daten-Treuhänderschaft
Wohl keine personenbezogenen Daten sind so sensibel wie Gesundheitsdaten. Wohl auf keinem Gebiet hat die Verarbeitung fremder personenbezogener Daten so viel mit Daten-Treuhänderschaft zu tun wie in Arztpraxen, Kliniken und Pflegeeinrichtungen.
Ein laxer und fahrlässiger Umgang mit Patientendaten beinhaltet ein erhebliches unternehmerisches Risiko. Nicht nur die Datenschutz-Aufsichtsbehörde kann zuschlagen: Einem Krankenhaus in Lissabon wurde durch die portugiesische Datenschutzbehörde ein Bußgeld in Höhe von 400.000 € auferlegt, weil zu viele Personen Zugriff auf Patientendaten hatten.
Nicht nur von Seiten der Aufsichtsbehörden droht Ärger. Wer als Arzt, Zahnarzt, Tierarzt, Apotheker oder als Angehöriger eines anderen Heilberufs mich staatlich geregelte Ausbildung, ebenso als Berufspsychologe mit staatlich anerkannter wissenschaftlicher Abschlussprüfung, unbefugt Gesundheitsdaten oder andere der beruflichen Verschwiegenheitspflicht unterfallende Geheimnisse offenbart, kann sich nach § 203 StGB wegen Verletzung von Privatgeheimnissen strafbar machen.
Schließlich: Das Datenschutzrecht und praktische Fragen des Datenschutzes rücken immer mehr in den Fokus der Öffentlichkeit. Die Vertrauenswürdigkeit des Arztes, die Vertrauenswürdigkeit der Pflegeeinrichtungen, gerade im Umgang mit den sensiblen Gesundheitsdaten, spielt auch eine Rolle bei Bewertungsportalen. Das bloße Gefühl, die eigenen Gesundheitsdaten könnten in einer Arztpraxis oder in einer Pflegeeinrichtungen nicht in sicheren Händen sein, reicht für eine schlechte Bewertung aus.
Datenschutz-Spaziergang mit Checkliste durch die eigene Praxis
Patientendatenschutz ist sicherlich auch die große Organisation im Hintergrund mit dem Verarbeitungsverzeichnis, mit der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, mit der Frage, ob eine Datenschutz-Folgenabschätzung erforderlich ist.
Patientendatenschutz in der täglichen Praxis ist aber genauso das viele Klein-Klein im Umgang mit Patienten und all denjenigen Personen, die im Laufe eines Arbeitstages in die Praxis, in die Klinik oder in die Pflegeeinrichtungen kommen. Diese Personen sind es, die den datenschutzrechtlichen Ruf nach außen tragen.
Damit bietet es sich an, einmal einen datenschutzrechtlichen Spaziergang durch die eigenen Räume zu machen und die eigenen Abläufe zu betrachten aus der Patientenperspektive. Vermittelt die eigene Betriebsorganisation Vertrauenswürdigkeit? Schafft sie die Gewissheit, dass die sensiblen Gesundheitsdaten in sicheren Händen sind? Oder bleiben Fragen offen?
Eine Datenschutz-Checkliste zum Umgang mit Patientendaten soll helfen, mögliche Stolpersteine zu erkennen, Lücken beim Datenschutz zu schließen und Anregungen zu finden, das eigene Datenschutzkonzept zu verbessern.
Rechtsanwalt Stefan Loebisch berät regelmäßig kleine und mittelständische Unternehmen, hierbei auch Arztpraxen und Pflegeeinrichtungen, zu Fragen aus dem Datenschutzrecht.
© RA Stefan Loebisch | Kontakt