Datenschutz in der Zahnarztpraxis

Leitfaden ist der Weg der Patienten(daten)

Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung in Kraft – ohne Übergangsfristen! Doch wie können Praxen überprüfen, ob sie den Bestimmungen genügen? Zum Beispiel, indem sie den Weg des Patienten nachzeichnen – vom ersten Kontakt, über die Terminvereinbarung bis zum tatsächlichen Besuch.

Die Praxissuche - online Lilli-Fotolia

Vor einigen Wochen habe ich im Rahmen der zm-Titelstory über Cyberkriminalität bereits die allgemeinen Entwicklungen und Anforderungen des Datenschutzes in der Zahnarztpraxis benannt und die wichtigsten Punkte analysiert. Jetzt widme ich mich folgenden konkreten Fragen: Was ist vor dem Hintergrund der neuen Datenschutz-Grundverordnung (DSGVO) zu beachten? Ab wann ist die Praxis beispielsweise zur Benennung eines Datenschutzbeauftragten verpflichtet? Welche Auskünfte müssen Patienten erteilt werden? In fünf Schritten soll der Weg des Patienten analysiert werden: Praxissuche – Terminvereinbarung – Praxisbesuch – Behandlung – Behandlungsnachbereitung. 

Die Praxissuche

Vor dem eigentlichen Besuch des Patienten steht zunächst einmal die Suche nach einer passenden Zahnarztpraxis. So fehlen einem Patienten, der vor wenigen Wochen von Hamburg nach Berlin gezogen ist, im Normalfall jegliche ärztlichen Orientierungspunkte. Sollte er vor Ort keine geeigneten Empfehlungen von Bekannten oder Arbeitskollegen erhalten, bleibt – wie so häufig – nur noch Google. Das Internet ist der Top-Lieferant für den ersten Eindruck und den Weg des Patienten in die Praxis. Laut Statista sind mehr als drei Viertel aller Deutschen im Schnitt fast zwei Stunden täglich online, Tendenz steigend. Fast die Hälfte aller Neupatienten finden Praxen deshalb über das Internet. Und bereits an dieser Stelle kommt der Datenschutz weitreichend zu tragen. 

Als Betreiber der Website stelle ich in der Regel nicht nur Informationen über mich und meine Arbeit zur Verfügung, sondern erfasse im gleichen Atemzug auch Daten der Besucher. Modern optimierte Websites arbeiten mit Cookies, bedienen sich Auswertungstools wie Google Analytics und bewerten das Nutzerverhalten im Internet. Nicht erst durch die Nutzung des Kontaktformulars werden somit Daten potenzieller Patienten erhoben. Aus diesem Grund ist eine Datenschutzerklärung, die die von der Praxis getroffenen Maßnahmen zum Schutz der Nutzer beschreibt, Pflicht auf jeder Website. Zu den wichtigsten Angaben gehören dabei gemäß Artikel 13 DSGVO folgende Informationsangaben: 

  • der Name und die Kontaktdaten der Praxis
  • der Name und die Kontaktdaten des betrieblichen Datenschutzbeauftragten
  • die Art der verarbeiteten Daten
  • die Zwecke der Datenverarbeitung
  • die Art der Personen, deren Daten verarbeitet werden (Patienten, Beschäftigte oder Lieferanten)
  • mögliche Empfänger, an die die Daten übermittelt werden (zum Beispiel Krankenkassen und Verrechnungsstellen)

Artikel 12 DSGVO verpflichtet die Praxis, den Patienten alle Informationen, die sich auf die Verarbeitung von Daten beziehen, in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu vermitteln“.

Die Terminvereinbarung

Termin im Kalender |Birgit Reitz-Hofmann – Fotolia

Bleiben wir bei unserem Eingangsbeispiel: Hat sich der Patient im Berliner Großstadtdschungel für eine Praxis entschieden, folgt im zweiten Schritt die Kontaktaufnahme zur Vereinbarung eines Termins. Je nach Modernität, Digitalisierung und Philosophie der Praxis stehen dafür unterschiedliche Möglichkeiten zur Verfügung: Telefon, E-Mail, persönlicher Besuch oder eine Terminvereinbarung über ein Online-Tool. Insbesondere die digitalen Abläufe ermöglichen vielen Praxen und Patienten einen sprechzeitungebundenen Austausch, bringen gleichzeitig aber auch neue Gefahren mit sich, Stichwort Cyberkriminalität. Dennoch überwiegen auch hier mit der richtigen Vorbereitung die technischen Vorteile und Erleichterungen im Behandlungsalltag. 

Alle Kontaktaufnahmen eint die Erfassung von personenbezogenen Patientendaten. Insbesondere bei einem Erstkontakt zwischen Praxis und Patient sind in der Regel keine personen- und fallbezogenen Daten vorhanden und müssen erstmalig erfasst werden. Schon hier gilt es, die Anforderungen des Artikels 5 DSGVO zu berücksichtigen, der den allgemeinen Umgang mit Daten definiert. Neben der Transparenz und der Zweckbindung steht hier vor allem die Datenminimierung, das heißt, die Erfassung der tatsächlich relevanten Informationen, im Vordergrund. Konnte ein Termin gefunden und vereinbart werden, steht dem Praxisbesuch nichts mehr im Wege. 

Der Praxisbesuch

Der Praxisbesuch | coldwaterman-Fotolia

Sorglosigkeit oder Unwissenheit sind die häufigsten Gründe dafür, dass Mitarbeiter bereits im Empfangsbereich der Praxis regelmäßig gegen die Anforderungen des Datenschutzes verstoßen. Die Grundsätze für die Verarbeitung personenbezogener Daten – hiermit sind sowohl Patienten als auch Mitarbeiter gemeint – sind in den Artikeln 5 bis 11 DSGVO geregelt. Im Sinne des Persönlichkeitsrechts des Patienten hat ein Abgleich der Daten, die Erfragung veränderter Kontaktadressen oder die Besprechung des Anamnesebogens in einem von unbeteiligten Dritten abgetrennten Bereich zu erfolgen. Durch eine ausreichende Diskretionszone im Empfangsbereich, durch organisatorische Maßnahmen und eine entsprechende Gestaltung der Abläufe in der Praxis muss die Praxis sicherstellen, dass sie alle Vorgaben zur Wahrung des Datengeheimnisses und zur Einhaltung der ärztlichen Schweigepflicht einhält. Dazu gehört, dass alle Bildschirme, Faxgeräte und sonstigen Geräte, auf denen personenbezogene Daten angezeigt oder ausgegeben werden, so aufgestellt sind, dass sie nicht von Unbefugten eingesehen werden können. Hierbei gilt es, folgende Punkte zu beachten und die Mitarbeiter regelmäßig zu sensibilisieren: 

  • die Nutzung und die Qualität von Kennwörtern
  • der Virenschutz
  • Administrations- und Zugriffsrechte
  • regelmäßige Sicherheits- und Programm-Updates

Ist der Wartebereich räumlich nicht so vom Empfangsbereich getrennt, dass wartende Patienten (un-)bewusst Informationen aufnehmen könnten, müssen Sie Beratungs- und Aufklärungsgespräche an anderer Stelle führen. Idealerweise steht hierfür ein eigener Bereich zu Verfügung. Offene Gespräche an der Rezeption sind ebenso wenig angemessen wie krankheitsbezogene Ansprachen von Patienten oder die Erläuterung des Anamnesebogens im Wartezimmer. Ebenso wie bei der Datenschutzerklärung im Internet, ist die Praxis beim Anamnesebogen dazu verpflichtet, Sinn und Zweck der Erhebung aufzuzeigen (Artikel 13 bis 14 DSGVO) und auf die Freiwilligkeit der Datenangabe zu verweisen. In unserem Berliner Beispiel erfolgt neben dem Ausfüllen des Anamnesebogens ein ausführliches Erstgespräch zum Kennenlernen des Patienten. Auch dabei muss klar aufgezeigt werden, wofür die erfragten Daten benötigt und wie diese gespeichert und genutzt werden.

Die EU-DSGVO

Wichtig zu wissen: Dem Patienten stehen jederzeit die Rechte auf Auskunft, Berichtigung und Löschung („Recht auf Vergessenwerden“) seiner eigenen personenbezogenen Daten zu, so lange keine rechtlichen oder behandlungsrelevanten Aspekte dagegensprechen (Artikel 15 bis 17 DSGVO). 

Da am Empfangsbereich in der Regel alle Fäden der Praxisarbeit zusammenlaufen, lohnt sich hier ein zweiter Blick auf die gesetzlichen Anforderungen der Verarbeitungssicherheit. Die in Artikel 32 DSGVO geregelte Sicherheit der Verarbeitung sieht die nachfolgenden technischen und organisatorischen Maßnahmen (TOMs) vor, um ein angemessenes Schutzniveau der Daten zu gewährleisten:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • System- und Dienststabilität
  • die Wiederherstellbarkeit der Daten (Back-ups)
  • die regelmäßige Überprüfung der Datenverfügbarkeit

Regelmäßige Schulungen und aktive Trainings helfen der Praxis, die Mitarbeiter für das Thema Sicherheit zu sensibilisieren. Häufig genügt schon eine kurze Unachtsamkeit, um eine heikle Situation entstehen zu lassen und die Patienten- und Praxisdaten in Gefahr zu bringen. Immer wieder kommt es durch Unwissenheit zu Verstößen. Hinweis: Die DSGVO schreibt für jedes Datenverarbeitungsverfahren ein Verzeichnis von Verarbeitungstätigkeiten vor.

Die Behandlung

Behandlung in der Praxis | Kzenon – Fotolia

Nicht nur im Behandlungszimmer greift die ärztliche Schweigepflicht – sie gilt für alle mit dem Patienten und seiner Behandlung in Verbindung stehenden Daten und bildet die Grundlage der Beziehung von Praxis und Patient. Datenschutz bedeutet, den Einzelnen davor zu schützen, in seinem Persönlichkeitsrecht beeinträchtigt zu werden. Die ärztliche Schweigepflicht ist eine Konkretisierung dieser Maßgabe durch das in Paragraf 203 Strafgesetzbuch (StGB) definierte Patientengeheimnis. Mitarbeiter sind auf das Datengeheimnis zu verpflichten und sollten eine entsprechende Erklärung unterzeichnen. Nicht gesicherte PCs sind der einfachste Einstieg in das sensible System der Zahnarztpraxis. Mit wenigen Klicks kann ein destruktiv gesinnter „Patient“, der im Zimmer allein gelassen wurde, die komplette Praxis stilllegen. Ebenso dürfen analoge Daten (KVs, HKPs) nicht ungesichert greifbar sein. Daher sollte man immer– auch im Sinne des Servicegedankens – darauf verzichten, den Patienten über einen längeren Zeitraum allein zu lassen, und den ungeschützten Zugriff auf Daten vermeiden. 

Datenschutzbeauftragte sind in Deutschland gemäß Artikel 37 EU-DSGVO i. V. m. § 38 BDSG (neu) zwar erst ab einer Mitarbeiteranzahl von zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, vorgesehen, aber auch für kleinere Praxen sinnvoll. Lassen es die eigenen Kapazitäten nicht zu, sich intensiv mit dem Thema zu beschäftigen, kann die Praxis sich von externen Dienstleistern unterstützen lassen und sogar einen externen Datenschutzbeauftragten im Rahmen eines Dienstleistungsvertrages bestimmen (Artikel 37 Absatz 6 EU-DSGVO). 

Der Behandlungsabschluss

Eine zufriedene Patientin | Antonioguillem-Fotolia

Bei der Vereinbarung von Folgeterminen – unabhängig davon, ob schriftlich, telefonisch oder direkt am Anschluss an die Behandlung persönlich in der Praxis – gelten die Verschwiegenheitsvorgaben der vorherigen Behandlungsabläufe. In Paragraf 630f BGB ist klar definiert, dass der Behandelnde verpflichtet ist, eine Patientenakte mit sämtlichen wesentlichen Maßnahmen derzeitiger und zukünftiger Behandlungen und deren Ergebnisse in der Patientenakte zu führen. Die Praxis ist auch im Nachgang der Behandlung dazu verpflichtet, die Patientendaten im Sinne der Korrektheit der Daten aktuell zu halten. Im wahrsten Sinne des Wortes würde dies bedeuten, dass der Patient regelmäßig zum Krankheits-, Heilungs- und Gesundheitsverlauf befragt werden müsste. Im Rahmen der gängigen Praxis ist dies jedoch unangemessen und die Erfassung des veränderten Zustands daher in Zusammenhang mit einer Folgebehandlung ausreichend.

Werden Patientendaten an externe Dienstleister ausgelagert, ist stets ein Vertrag zur Auftragsdatenvereinbarung gemäß Artikel 28 EU-DSGVO zu schließen. Ein Vertrag zur Auftragsdatenverarbeitung muss durch die Einwilligung des Patienten genehmigt werden. Bei komplett übertragenen Verantwortungen wie beispielsweise der Abtretung der Rechnungsforderung an einen Factoring-Dienstleister muss man außerdem schriftlich das Einverständnis des Patienten einholen. Bei der Überweisung an einen Spezialisten oder beim Wechsel der Praxis hat der Patient außerdem das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), das ihm die Übermittlung seiner Daten in einem strukturierten, gängigen und lesbaren Format garantiert. Dies betrifft in unserem Beispiel die bisherigen Behandlungsdaten der Hamburger Zahnarztpraxis vor dem Umzug des Patienten. 

Empfehlungen und Fazit

Spätestens mit der neuen Datenschutzrichtlinie stehen die Sensibilisierung der Mitarbeiter und die Entwicklung eines proaktiven Datenschutzbewusstseins im Vordergrund. Da die berühmte Unwissenheit bekanntlich nicht vor Strafe schützt und die Praxis für das Fehlverhalten der Mitarbeiter haftet, ist eine entsprechende Aufklärung sinnvoll. Auch wenn im Zusammenhang mit dem Datenschutz vermehrt die Begriffe EDV und Cyberkriminalität fallen, sind es doch immer wieder die klassischen „Offline-Bereiche“, in denen es in Zahnarztpraxen regelmäßig zu Datenschutzverstößen kommt.

Überprüfen Sie daher, wie Ihre Praxis derzeit datenschutzrechtlich aufgestellt ist. Legen Sie hierbei und bei der Umsetzung der Anforderungen zum 25. Mai vor allem Wert auf den Prozess der Erhebung personenbezogener Daten, die Überprüfung der Rechtsgrundlagen, der Verfahren und Kontrollen zur Nutzung der Daten und definieren Sie die internen Zuständigkeiten und Rollen. 

Thies Harbeck ist Geschäftsführer der OPTI Zahnarztberatung GmbH.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

33861403356352335635333563543386141 3386142 3356357
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare