10 vermeidbare Datenschutz-Fehler im Praxisalltag

Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.

Datenschutz in Arztpraxen

1. Am Patientenempfang unterhalten sich gerne Arzt und/oder Angestellte über die Testergebnisse von Patienten oder andere Personendaten. Meistens werden diese Gespräche von wartenden Patienten bei der Anmeldung oder von Patienten, die im nicht weit entfernten Warteraum sitzen, mitgehört.

Es ist empfehlenswert, einen Diskretionsbereich zu schaffen. Bei der Anmeldung sollte ein gewisser Diskretionsabstand eingehalten werden. Zudem sollte das Wartezimmer so abgetrennt sein, dass Dritte keine Gespräche am Empfang oder in den Behandlungsräumen mithören können.

2. Des Öfteren kommt es auch vor, dass der Empfang unbeaufsichtigt ist, sodass die im Empfangsbereich befindlichen Schränke mit Patientenakten, Computer und Ablagen für jedermann zugänglich wären.

Es ist empfehlenswert, eine ununterbrochene Besetzung des Empfangs durch Absprachen unter den Mitarbeitern einzurichten, um Bildschirme, Fax, Telefone & Co. vor dem Einblick Dritter zu schützen.

3. Patienten halten sich zum Teil alleine im Behandlungsraum auf, weil der Arzt mehrere Patienten parallel betreut. Zugriffe auf fremde Patientenunterlagen können so ermöglicht werden.

Es ist empfehlenswert, unberechtigte Zugriff zu vermeiden, indem die Patientenunterlagen stets in abschließbaren Schränken aufbewahrt werden. Der PC sollte mit einem Bildschirmschoner mit Passwort ausgestattet sein, sodass eine Zugriffsschutz beim Verlassen des Arztes gewährleisten ist.

4. Mitunter gibt es in Arztpraxen auch sog. Kabinen zur Behandlung von Patienten, die meist oben offenen und lediglich durch dünne Wände oder Vorhänge vom Rest der Praxis abgetrennten sind.

Es ist empfehlenswert, die Kabinen zu überprüfen und ein Augenmerk auf den Schallschutz zulegen, damit Dritte die in der Behandlungskabine geführten Gespräche nicht mithören können.

5. Es werden zum Teil Auskünfte über das Telefon oder per E-Mail erteilt, ohne Absicherung, dass der Adressat tatsächlich der betroffene Patient oder anderweitig zur Einsicht in die Daten berechtigt ist.

Problematisch ist die rechtssichere Identifikation des um Auskunft Ersuchenden. Grundsätzlich ist es daher empfehlenswert festzulegen, dass medizinische Daten nicht über das Telefon kommuniziert werden sollten.

6. Die Krankenkasse oder andere Stellen erhalten mehr Informationen über den Patienten als zulässig oder erforderlich.

Es ist empfehlenswert, bei einer Datenübermittlung stets zu überprüfen, ob die personenbezogenen Daten auf Basis einer Rechtsgrundlage, u.a. gesetzliche Verpflichtung, datenschutzrechtliche Einwilligung übermittelt werden können. Dabei kann es ggf. auch erforderlich sein, gewisse Teilbereiche eines Dokuments zu schwärzen, da keine Erforderlichkeit diesbezüglich zur Übermittlung besteht.

7. Patientendaten werden über verschiedene Versandwege wie Post, E-Mail oder Fax an Dritte übermittelt. Dabei kommt es leider häufig zum Fehlversand.

Gesundheitsdaten von Patienten sollten grundsätzlich nur per Briefpost oder mit verschlüsselter E-Mail verschickt werden. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen. Eine regelmäßige Abstimmung der Übersendung mit dem Empfänger sowie regelmäßige Überprüfung der gespeicherten Adresse/Rufnummer ist empfehlenswert.

8. Rezepte werden Angehörigen ausgehändigt oder direkt an Apotheken übermittelt.

Zur Übermittlung bedarf es einer Einwilligung des Patienten, die nachweisbar sein muss. In der Einwilligung sollten die zur Abholung berechtigten Angehörigen bzw. die empfangsberechtigte(n) Apotheke(n) konkret benannt werden.

9. Die Datenschutzerklärung auf der Homepage sowie Patienteninformationshinweise sind nicht vollständig.

Gerade bei einer hoch modernen Online-Präsenz mit Online-Terminvergabe oder Rezeptanfrage, werden die eingepflegten Tools nicht in der Datenschutzerklärung hinreichend genau beschrieben. Es ist zu empfehlen, die einmal erstellen Datenschutzhinweise stets auf Aktualität hin zu überprüfen.

10. Fehlende bzw. unsichere Passwörter.

Ein sicheres Passwort sollte möglichst lang sein, aus Groß- und Kleinbuchstaben sowie aus Zahlen und Sonderzeichen bestehen. Es ist empfehlenswert, die technischen Hilfsmittel (PC, Tablet, Diensthandys) auf ausreichenden Passwortschutz hin zu überprüfen und ggf. zu erneuern.

Zu guter Letzt noch eine Empfehlung: Geschulte Mitarbeiter mindern Datenschutzrisiken. Eine Unterweisung zu allen relevanten Aspekten (Stichwort: Datenschutzschulung für Mitarbeiter) sollte daher zum zweijährlichen Standardprozedere gehören.

 

KI_Logo_DE_PNG.png

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.