Datenschutz in der Arztpraxis
Der Umgang mit Informationen von und über Patientinnen und Patienten ist immanenter Bestandteil ärztlicher Tätigkeit. Nicht nur im Zuge der fortschreitenden „Digitalisierung im Gesundheitswesen“ sind Ärztinnen und Ärzte daher gehalten, den Schutz von Patienteninformationen sicherzustellen. Neben der ärztlichen Schweigepflicht, die der Wahrung des Patientengeheimnisses dient, sind Bestimmungen des Datenschutzrechtes zu beachten.
Infolge der jüngeren Veränderungen im Datenschutzrecht gelten ab dem 25.05.2018 in der Europäischen Union die EU-Datenschutzgrundverordnung (EU-DSGVO) und in Deutschland ergänzend ein neues Bundesdatenschutzgesetz (BDSG). Die Bundesärztekammer hatte die parlamentarischen Beratungen für das neue Bundesdatenschutzgesetz gleichermaßen konstruktiv wie kritisch begleitet und u. a. zwei Stellungnahmen abgegeben (BÄK-Stellungnahme vom 09.12.2016 und vom 21.03.2017, siehe "Weitere Informationen"). Aufgrund der Veränderungen im Datenschutzrecht sowie wegen punktueller Veränderungen im Bereich der ärztlichen Schweigepflicht mussten die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ in Zusammenarbeit mit der Kassenärztlichen Bundesvereinigung überarbeitet werden. Zudem haben die Einrichtungen mit Blick auf das neue Datenschutzrecht einen „Datenschutz-Check 2018“ erarbeitet, um Ärztinnen und Ärzten Hilfestellungen zu geben, was angesichts der neuen Vorschriften zum Datenschutz zu beachten ist. Dazu gehören insbesondere:
1. Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis
Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen. Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Für alle Patienten- oder Praxismanagementsysteme muss auch eine sog. Datenschutzfolgenabschätzung durchgeführt werden, um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. Ansprechpartner dafür sind die Aufsichtsbehörden für den Datenschutz. Das sind in der Regel die Landesbeauftragten für den Datenschutz.
2. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge in der Arztpraxis
Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU-DSGVO),7 wobei für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen ist. Es sind verschiedene Muster im Internet abrufbar.
3. Bestellung eines Datenschutzbeauftragten
Alle zur Zeit üblichen Interpretationen der neuen Datenschutzgesetze, insbesondere durch die Ärztekammern beschränken sich auf einen Teil im § 38 Bundesdatenschutzgesetz, in dem vorgeschrieben wird, dass Unternehmen, in der in der Regel mehr als neun Personen ständig mit der Verarbeitung von Personendaten beschäftigt sind, einen Datenschutzbeauftragten bestellen müssen.
Dabei wird gern übersehen, dass nach eben diesem § 38 Bundesdatenschutzgesetz ebenfalls vorgeschrieben wird, dass ein Datenschutzbeauftragter in jedem Fall zu bestellen ist, wenn Daten von besonderer Kategorie, also Gesundheitsdaten verarbeitet werden. Auch Arztpraxen müssen also grundsätzlich unabhängig von ihrer Größenordnung immer einen Datenschutzbeauftragten bestellen.
