Leitfaden ist der Weg der Patienten(daten)

Vor einigen Wochen habe ich im Rahmen der zm-Titelstory über Cyberkriminalität bereits die allgemeinen Entwicklungen und Anforderungen des Datenschutzes in der Zahnarztpraxis benannt und die wichtigsten Punkte analysiert. Jetzt widme ich mich folgenden konkreten Fragen: Was ist vor dem Hintergrund der neuen Datenschutz-Grundverordnung (DSGVO) zu beachten? Ab wann ist die Praxis beispielsweise zur Benennung eines Datenschutzbeauftragten verpflichtet? Welche Auskünfte müssen Patienten erteilt werden? In fünf Schritten soll der Weg des Patienten analysiert werden: Praxissuche – Terminvereinbarung – Praxisbesuch – Behandlung – Behandlungsnachbereitung. 

Vor dem eigentlichen Besuch des Patienten steht zunächst einmal die Suche nach einer passenden Zahnarztpraxis. So fehlen einem Patienten, der vor wenigen Wochen von Hamburg nach Berlin gezogen ist, im Normalfall jegliche ärztlichen Orientierungspunkte. Sollte er vor Ort keine geeigneten Empfehlungen von Bekannten oder Arbeitskollegen erhalten, bleibt – wie so häufig – nur noch Google. Das Internet ist der Top-Lieferant für den ersten Eindruck und den Weg des Patienten in die Praxis. Laut Statista sind mehr als drei Viertel aller Deutschen im Schnitt fast zwei Stunden täglich online, Tendenz steigend. Fast die Hälfte aller Neupatienten finden Praxen deshalb über das Internet. Und bereits an dieser Stelle kommt der Datenschutz weitreichend zu tragen. 

Als Betreiber der Website stelle ich in der Regel nicht nur Informationen über mich und meine Arbeit zur Verfügung, sondern erfasse im gleichen Atemzug auch Daten der Besucher. Modern optimierte Websites arbeiten mit Cookies, bedienen sich Auswertungstools wie Google Analytics und bewerten das Nutzerverhalten im Internet. Nicht erst durch die Nutzung des Kontaktformulars werden somit Daten potenzieller Patienten erhoben. Aus diesem Grund ist eine Datenschutzerklärung, die die von der Praxis getroffenen Maßnahmen zum Schutz der Nutzer beschreibt, Pflicht auf jeder Website. Zu den wichtigsten Angaben gehören dabei gemäß Artikel 13 DSGVO folgende Informationsangaben: 

• der Name und die Kontaktdaten der Praxis

• der Name und die Kontaktdaten des betrieblichen Datenschutzbeauftragten

• die Art der verarbeiteten Daten

• die Zwecke der Datenverarbeitung

• die Art der Personen, deren Daten verarbeitet werden (Patienten, Beschäftigte oder Lieferanten)

• mögliche Empfänger, an die die Daten übermittelt werden (zum Beispiel Krankenkassen und Verrechnungsstellen)

Artikel 12 DSGVO verpflichtet die Praxis, den Patienten alle Informationen, die sich auf die Verarbeitung von Daten beziehen, in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu vermitteln“.

Bleiben wir bei unserem Eingangsbeispiel: Hat sich der Patient im Berliner Großstadtdschungel für eine Praxis entschieden, folgt im zweiten Schritt die Kontaktaufnahme zur Vereinbarung eines Termins. Je nach Modernität, Digitalisierung und Philosophie der Praxis stehen dafür unterschiedliche Möglichkeiten zur Verfügung: Telefon, E-Mail, persönlicher Besuch oder eine Terminvereinbarung über ein Online-Tool. Insbesondere die digitalen Abläufe ermöglichen vielen Praxen und Patienten einen sprechzeitungebundenen Austausch, bringen gleichzeitig aber auch neue Gefahren mit sich, Stichwort Cyberkriminalität. Dennoch überwiegen auch hier mit der richtigen Vorbereitung die technischen Vorteile und Erleichterungen im Behandlungsalltag. 

Alle Kontaktaufnahmen eint die Erfassung von personenbezogenen Patientendaten. Insbesondere bei einem Erstkontakt zwischen Praxis und Patient sind in der Regel keine personen- und fallbezogenen Daten vorhanden und müssen erstmalig erfasst werden. Schon hier gilt es, die Anforderungen des Artikels 5 DSGVO zu berücksichtigen, der den allgemeinen Umgang mit Daten definiert. Neben der Transparenz und der Zweckbindung steht hier vor allem die Datenminimierung, das heißt, die Erfassung der tatsächlich relevanten Informationen, im Vordergrund. Konnte ein Termin gefunden und vereinbart werden, steht dem Praxisbesuch nichts mehr im Wege. 

Sorglosigkeit oder Unwissenheit sind die häufigsten Gründe dafür, dass Mitarbeiter bereits im Empfangsbereich der Praxis regelmäßig gegen die Anforderungen des Datenschutzes verstoßen. Die Grundsätze für die Verarbeitung personenbezogener Daten – hiermit sind sowohl Patienten als auch Mitarbeiter gemeint – sind in den Artikeln 5 bis 11 DSGVO geregelt. Im Sinne des Persönlichkeitsrechts des Patienten hat ein Abgleich der Daten, die Erfragung veränderter Kontaktadressen oder die Besprechung des Anamnesebogens in einem von unbeteiligten Dritten abgetrennten Bereich zu erfolgen. Durch eine ausreichende Diskretionszone im Empfangsbereich, durch organisatorische Maßnahmen und eine entsprechende Gestaltung der Abläufe in der Praxis muss die Praxis sicherstellen, dass sie alle Vorgaben zur Wahrung des Datengeheimnisses und zur Einhaltung der ärztlichen Schweigepflicht einhält. Dazu gehört, dass alle Bildschirme, Faxgeräte und sonstigen Geräte, auf denen personenbezogene Daten angezeigt oder ausgegeben werden, so aufgestellt sind, dass sie nicht von Unbefugten eingesehen werden können. Hierbei gilt es, folgende Punkte zu beachten und die Mitarbeiter regelmäßig zu sensibilisieren: 

• die Nutzung und die Qualität von Kennwörtern

• der Virenschutz

• Administrations- und Zugriffsrechte

• regelmäßige Sicherheits- und Programm-Updates

Ist der Wartebereich räumlich nicht so vom Empfangsbereich getrennt, dass wartende Patienten (un-)bewusst Informationen aufnehmen könnten, müssen Sie Beratungs- und Aufklärungsgespräche an anderer Stelle führen. Idealerweise steht hierfür ein eigener Bereich zu Verfügung. Offene Gespräche an der Rezeption sind ebenso wenig angemessen wie krankheitsbezogene Ansprachen von Patienten oder die Erläuterung des Anamnesebogens im Wartezimmer. Ebenso wie bei der Datenschutzerklärung im Internet, ist die Praxis beim Anamnesebogen dazu verpflichtet, Sinn und Zweck der Erhebung aufzuzeigen (Artikel 13 bis 14 DSGVO) und auf die Freiwilligkeit der Datenangabe zu verweisen. In unserem Berliner Beispiel erfolgt neben dem Ausfüllen des Anamnesebogens ein ausführliches Erstgespräch zum Kennenlernen des Patienten. Auch dabei muss klar aufgezeigt werden, wofür die erfragten Daten benötigt und wie diese gespeichert und genutzt werden.

Wichtig zu wissen: Dem Patienten stehen jederzeit die Rechte auf Auskunft, Berichtigung und Löschung („Recht auf Vergessenwerden“) seiner eigenen personenbezogenen Daten zu, so lange keine rechtlichen oder behandlungsrelevanten Aspekte dagegensprechen (Artikel 15 bis 17 DSGVO). 

Da am Empfangsbereich in der Regel alle Fäden der Praxisarbeit zusammenlaufen, lohnt sich hier ein zweiter Blick auf die gesetzlichen Anforderungen der Verarbeitungssicherheit. Die in Artikel 32 DSGVO geregelte Sicherheit der Verarbeitung sieht die nachfolgenden technischen und organisatorischen Maßnahmen (TOMs) vor, um ein angemessenes Schutzniveau der Daten zu gewährleisten:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten

• System- und Dienststabilität

• die Wiederherstellbarkeit der Daten (Back-ups)

• die regelmäßige Überprüfung der Datenverfügbarkeit

Regelmäßige Schulungen und aktive Trainings helfen der Praxis, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren. Häufig genügt schon eine kurze Unachtsamkeit, um eine heikle Situation entstehen zu lassen und die Patienten- und Praxisdaten in Gefahr zu bringen. Immer wieder kommt es durch Unwissenheit zu Verstößen. Hinweis: Die DSGVO schreibt für jedes Datenverarbeitungsverfahren ein Verzeichnis von Verarbeitungstätigkeiten vor.

Nicht nur im Behandlungszimmer greift die ärztliche Schweigepflicht – sie gilt für alle mit dem Patienten und seiner Behandlung in Verbindung stehenden Daten und bildet die Grundlage der Beziehung von Praxis und Patient. Datenschutz bedeutet, den Einzelnen davor zu schützen, in seinem Persönlichkeitsrecht beeinträchtigt zu werden. Die ärztliche Schweigepflicht ist eine Konkretisierung dieser Maßgabe durch das in Paragraf 203 Strafgesetzbuch (StGB) definierte Patientengeheimnis. Mitarbeiter sind auf das Datengeheimnis zu verpflichten und sollten eine entsprechende Erklärung unterzeichnen. Nicht gesicherte PCs sind der einfachste Einstieg in das sensible System der Zahnarztpraxis. Mit wenigen Klicks kann ein destruktiv gesinnter „Patient“, der im Zimmer allein gelassen wurde, die komplette Praxis stilllegen. Ebenso dürfen analoge Daten (KVs, HKPs) nicht ungesichert greifbar sein. Daher sollte man immer– auch im Sinne des Servicegedankens – darauf verzichten, den Patienten über einen längeren Zeitraum allein zu lassen, und den ungeschützten Zugriff auf Daten vermeiden. 

Datenschutzbeauftragte sind in Deutschland gemäß Artikel 37 EU-DSGVO i. V. m. § 38 BDSG (neu) zwar erst ab einer Mitarbeiteranzahl von zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, vorgesehen, aber auch für kleinere Praxen sinnvoll. Lassen es die eigenen Kapazitäten nicht zu, sich intensiv mit dem Thema zu beschäftigen, kann die Praxis sich von externen Dienstleistern unterstützen lassen und sogar einen externen Datenschutzbeauftragten im Rahmen eines Dienstleistungsvertrages bestimmen (Artikel 37 Absatz 6 EU-DSGVO). 

Bei der Vereinbarung von Folgeterminen – unabhängig davon, ob schriftlich, telefonisch oder direkt am Anschluss an die Behandlung persönlich in der Praxis – gelten die Verschwiegenheitsvorgaben der vorherigen Behandlungsabläufe. In Paragraf 630f BGB ist klar definiert, dass der Behandelnde verpflichtet ist, eine Patientenakte mit sämtlichen wesentlichen Maßnahmen derzeitiger und zukünftiger Behandlungen und deren Ergebnisse in der Patientenakte zu führen. Die Praxis ist auch im Nachgang der Behandlung dazu verpflichtet, die Patientendaten im Sinne der Korrektheit der Daten aktuell zu halten. Im wahrsten Sinne des Wortes würde dies bedeuten, dass der Patient regelmäßig zum Krankheits-, Heilungs- und Gesundheitsverlauf befragt werden müsste. Im Rahmen der gängigen Praxis ist dies jedoch unangemessen und die Erfassung des veränderten Zustands daher in Zusammenhang mit einer Folgebehandlung ausreichend.

Werden Patientendaten an externe Dienstleister ausgelagert, ist stets ein Vertrag zur Auftragsdatenvereinbarung gemäß Artikel 28 EU-DSGVO zu schließen. Ein Vertrag zur Auftragsdatenverarbeitung muss durch die Einwilligung des Patienten genehmigt werden. Bei komplett übertragenen Verantwortungen wie beispielsweise der Abtretung der Rechnungsforderung an einen Factoring-Dienstleister muss man außerdem schriftlich das Einverständnis des Patienten einholen. Bei der Überweisung an einen Spezialisten oder beim Wechsel der Praxis hat der Patient außerdem das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), das ihm die Übermittlung seiner Daten in einem strukturierten, gängigen und lesbaren Format garantiert. Dies betrifft in unserem Beispiel die bisherigen Behandlungsdaten der Hamburger Zahnarztpraxis vor dem Umzug des Patienten. 

Spätestens mit der neuen Datenschutzrichtlinie stehen die Sensibilisierung der Mitarbeiter und die Entwicklung eines proaktiven Datenschutzbewusstseins im Vordergrund. Da die berühmte Unwissenheit bekanntlich nicht vor Strafe schützt und die Praxis für das Fehlverhalten der Mitarbeiter haftet, ist eine entsprechende Aufklärung sinnvoll. Auch wenn im Zusammenhang mit dem Datenschutz vermehrt die Begriffe EDV und Cyberkriminalität fallen, sind es doch immer wieder die klassischen „Offline-Bereiche“, in denen es in Zahnarztpraxen regelmäßig zu Datenschutzverstößen kommt.

Überprüfen Sie daher, wie Ihre Praxis derzeit datenschutzrechtlich aufgestellt ist. Legen Sie hierbei und bei der Umsetzung der Anforderungen zum 25. Mai vor allem Wert auf den Prozess der Erhebung personenbezogener Daten, die Überprüfung der Rechtsgrundlagen, der Verfahren und Kontrollen zur Nutzung der Daten und definieren Sie die internen Zuständigkeiten und Rollen. 

Thies Harbeck ist Geschäftsführer der OPTI Zahnarztberatung GmbH.