Datenschutz in der Arztpraxis

12. Oktober 2022

Datenschutz Verstehen – Datenschutz in der Arztpraxis

Kurze Einleitung

Der Umgang mit Patientendaten (besonders personenbezogene Daten i.S.v. Art. 9 Abs. 1 DSGVO) lässt dem Datenschutz in Arztpraxen im gesamten europäischen Raum einen Hohen Stellenwert zukommen. Die Gesundheitsinformation, welche im Rahmen der Tätigkeiten in Arztpraxen ermittelt werden, gehören nämlich zu den besonderen Arten personenbezogener Daten und sind daher besonders schützenswert. Außerdem kommt ein weiterer besonderer Aspekt hinzu. Dieser umfasst die Schweigepflicht der Ärzte und deren Mitarbeiter.

Inhalt:

Datenschutz in der Arztpraxis
Datenschutz am Empfang in der Arztpraxis
Datenschutz Arztpraxis Checkliste
Rechtsgrundlagen für die Verarbeitung von Patientendaten
Datenschutzerklärung für die Arztpraxis
Datenschutz-Folgenabschätzung in der Arztpraxis
Datenweitergabe an Krankenkassen
Datenschutzbeauftragter für Ärzte

Datenschutz in der Arztpraxis

Ob in der Klinik oder in der Arztpraxis, der Datenschutz ist in folgenden Bereichen von enormer Bedeutung. Zum einen spielt der Bereich der Datenerhebung eine wichtige Rolle. Dabei geht es um die Frage welche Daten eines Patienten gesammelt werden dürfen. In der Regel ist es nur erlaubt, die Daten zu erheben, die für die Durchführung der Behandlung und Diagnose von Belang sind.

Ein weiterer wichtiger Faktor betrifft die Datenweitergabe. Sämtliche Informationen, welche sich in der Patientenakte befinden, dürfen nicht automatisch an Versicherungen oder Dritte weitergegeben werden. Hierbei sind je nach Adressat bestimmte Vorgaben zu beachten. Um die Herausgabe der personenbezogenen Daten rechtskonform zu gestalten, muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.

Außerdem muss die Datensicherung in den Arztpraxen und den Krankenhäusern in der Weise gewährleistet werden, dass personenbezogene Patientendaten vor dem Zugriff von Dritten in ausreichender Art geschützt werden. Dies betrifft neben den analogen Datensätzen wie z.B. Formularen, Ausdrucken oder Notizen, auch die digital gespeicherten Patientendaten.

Bei Gemeinschaftspraxen oder Krankenhäusern ist die Datenweitergabe unter Ärzten in der Regel nur dann zulässig, wenn diese die Patienten auch betreuen. Allerdings darf sich der Datenaustausch nur auf die für die Betreuung des einzelnen notwendigen Informationen beschränken. Jeder Informationsaustausch, der sich außerhalb dieses Rahmens befindet, ist unzulässig.

Datenschutz am Empfang in der Arztpraxis

Jede Arztpraxis hat in der Regel einen Empfangstresen an dem die Patienten in Empfang genommen werden und ihr Anliegen mitteilen. Ab diesem Zeitpunkt muss darauf geachtet werden, dass datenschutzrechtliche Vorgaben eingehalten werden. In diesem Zusammenhang ergeben sich eine Reihe von datenschutzrechtlichen Problemen, die am Empfangstresen entstehen können.

Manchmal kommt es vor, dass am Empfangstresen ein “Patienten-Stau” entsteht. Dabei spricht das Prasxispersonal in ungeschützter Atmosphäre über Gesundheitsdaten, sodass Dritte mithören können und gegebenenfalls über Patienten und deren Diagnosen informiert werden. Ein weiteres Problem besteht darin, wenn das Praxispersonal den Empfangsbereich verlässt. Dabei bleiben Schränke, Akten und Computer oftmals unbeaufsichtigt. Hierbei besteht die Gefahr, dass Unberechtigte Zugriff zu diesen Daten verschaffen können.

Häufig unterhalten sich Ärzte und Arzthelfer über Testergebnisse und Diagnosen von Patienten. Die im Warteraum befindlichen Patienten können bei zu lauter Kommunikation zwischen Arzt und angestelltem Personal über besonders personenbezogenen Daten der einzelnen Patienten mithören.

Das Praxispersonal ist oftmals im Gespräch mit den Patienten. Dies geschieht sowohl über das Telefon als auch digital per E-Mail. Hierbei werden unter anderem Informationen über Testergebnisse, Diagnosen und Therapien angegeben. Allerdings besteht bei derartigen Kontakten das Problem der Verifizierung. Die Praxen können nicht sicherstellen, ob sie auch mit der betroffenen Person sprechen. Die Gefahr, Patientendaten an Nichtberechtigte weiterzugeben, ist daher sehr groß.

Befinden sich Patienten das erste Mal bei einem neuen Arzt, werden personenbezogene Daten abgefragt. Um sich physischen Aufwand, durch die ganze Papierwirtschaft zu sparen, legen einige Praxen vorgefertigte Informationsschreiben zum Datenschutz nach Art. 13 DSGVO aus und bitten den Patienten diese Information zu lesen und dann mündlich eine Zustimmung zur Erhebung der Daten zu erteilen. Dies ist ein fataler Fehler. Fordert beispielsweise der Patient oder eine Behörde einen Nachweis über die mündlich erteilte Zustimmung, ist die Praxis nicht in der Lage, diesen zu leisten – welches als bußgeldbewährter Datenschutzverstoß gewertet werden kann.

Um diesem Problem entgegenzuwirken, sollte stets darauf geachtet werden, immer eine schriftliche Einwilligung einzuholen. Alternativ kann dies auch digital abgewickelt werden. So besteht die Möglichkeit ein “Tablet” zur Verfügung zu stellen. Der Patient kann sich dabei alle Informationen zum Datenschutz durchlesen und am Ende seine Kenntnisnahme durch eine digitale Unterschrift oder durch die Freigabe einer sogenannten Checkbox bestätigen.

Datenschutz eBook

Sie suchen einen Datenschutzbeauftragten?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei und unverbindlich von Keyed ein Angebot für die Umsetzung im Datenschutz.

Angebot erhalten

Datenschutz Arztpraxis Checkliste

Mit der folgenden Checkliste können Sie überprüfen, ob ihre Praxis alle datenschutzrechtlichen Anforderungen erfüllt. Alle aufgeführten Fragen sollten mit “Ja” beantwortet werden.

Liegt eine revisionssichere Einwilligung für die Verarbeitung der Patientendaten vor?
Wurde die Datenschutzerklärung auf der Homepage rechtskonform aufgestellt?
Gibt es eine Zutrittskontrolle ( z.B. verschlossene Eingangstür)?
Ist der Empfang ununterbrochen besetzt?
Werden Anmelde- bzw. Patientendaten diskret erhoben?
Sind Computerbildschirme und Telefondisplays am Empfang so aufgestellt, dass Dritte den Inhalt nicht sehen können?
Sind die Postkörbe und die Ablagen für die Patientenakten so aufgestellt, dass Dritte nicht mitlesen können?
Sind Personalakten gegen unbefugten Zugriff gesichert?
Sind die Wartezimmer so abgesichert, dass keine Gespräche zwischen Patienten und Praxispersonal mitgehört werden kann?
Erfolgt der Anruf der Patienten mittels verifizierungscode oder ähnliches?
Bestehen Auftragsverarbeitungsverträge mit Dienstleistern (z.B. Cloudanbieter)?
Ist der Serverraum geschützt?
Ist die Praxis gegen Einbrüche geschützt
Ist für die EDV eine externe Stromversorgung angerichtet?
Werden Passwörter regelmäßig gewechselt?
Sind unbeaufsichtigte Computer regelmäßig gesperrt?
Sind Antivirenprogramme installiert ?
Werden die Antivirenprogramme stets auf den neuesten Stand gebracht?
Werden nicht mehr benötigte Personalakten datenschutzkonform entsorgt?
Wird die Entsorgung protokolliert?
Werden regelmäßig Backups erstellt?
Sind alle Praxisbeschäftigte auf das Daten-Geheimnis hingewiesen worden und in puncto Datenschutz geschult?

Rechtsgrundlagen für die Verarbeitung von Patientendaten

Wie bereits in der Einleitung beschrieben geht es bei Patientendaten um besonders personenbezogene Daten, da es sich hierbei um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handelt. Die Rechtsvorschrift für Verarbeitung besonderer personenbezogener Daten innerhalb Deutschlands ergibt sich aus Art. 9 Abs. 1 DSGVO i.V.m § 22 Abs. 1 Nr. 1 lit. b) BDSG. Für den gesamten europäischen Raum gilt dagegen der Art. 9 Abs. 2 lit. h) und i) DSGVO. Somit müssen oftmals datenschutzrechtliche Einwilligungen eingeholt werden.

Datenschutzerklärung für Arztpraxis

Arztpraxen müssen auf ihren Websites eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung zu stellen. Um diese Pflichten in Einklang zu bringen, wird ein gewisser Wortschatz in den Formulierungen und den Aufbau erforderlich sein.

Bei der Datenschutzerklärung muss darauf geachtet werden, dass der Besucher der Arztpraxis über alle Vorgänge aufzuklären ist, bei denen dessen personenbezogenen Daten verarbeitet werden. Ferner muss jede Datenschutzerklärung den Namen und Kontaktdaten

(Anschrift, E-Mail) des Betreibers und somit “Verantwortlichen” enthalten. Darüber hinaus müssen die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden) aufgeführt werden. Dazu gehören sowohl die Anschrift als auch die E-Mail Adresse. Für jedes Tool, dass personenbezogene Daten verarbeitet, müssen folgende Angaben gemacht werden – im Folgenden werden beispielhafte Verarbeitung aufgeführt:

Facebook “Like-Buttons” oder ähnliche Social- Plugins anderer Anbieter
Webformulare (Kontaktformulare, etc.)
Cookies (Information zum Zweck, Empfänger der Daten, etc.)

Zu den eben genannten Verarbeitungen müssen immer mindestens separate Angaben zum Zweck und der Rechtsgrundlage der Datenverarbeitung erfolgen. Es ist erforderlich weitere Angaben zu machen, um eine transparente Verarbeitung zu gewährleisten. Deshalb sollten die Informationen gemäß Art. 13 Abs 2 DSGVO immer zusätzlich aufgeführt werden. Dazu zählen:

Dauer der Speicherung der personenbezogenen Daten
Recht des Besuchers auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Wiederrufsrecht
Beschwerderecht bei der Aufsichtsbehörde
Bestehen einer automatisierten Entscheidungsfindung
die Umstände der Bereitstellung der Daten, unter anderem ob eine gesetzliche oder vertragliche vorgeschrieben ist

Datenweitergabe an Krankenkassen

Krankenkassen speichern eine Vielzahl von Daten ihrer Versicherten. Dies ist erforderlich, damit sie Ihre Aufgabe der medizinischen Versorgung nachkommen können. Die gesetzlichen Kassen erheben und speichern eine Vielzahl von Sozialdaten ihrer Versicherten. Dazu gehören nicht nur Adressangaben der betroffenen Personen, sondern auch Krankheitsdiagnosen und Abrechnungsbelege aus Heilbehandlungen.

Es ist offensichtlich, dass die Krankenkassen diese Informationen benötigten, um Ihren gesetzlichen Auftrag erfüllen zu können, die die medizinische Versorgung sicherstellen. Die Speicherung und Erhebung der Daten durch die Krankenkasse ist daher nach § 284 SGB V zulässig.

Allerdings unterliegen die Krankenkassen ebenfalls dem Grundsatz des Datenschutzrechts, insoweit, als das die Krankenkassen nur so viele Daten erheben dürfen, wie sie für die Aufgabenerledigung benötigen. Dieser datenschutzrechtliche Grundsatz wird aus dem Rechtsgedanken gemäß der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO geschlossen.

Hinsichtlich der rechtlichen Regelung zur Löschung der Daten sieht der § 84 Abs. 2 S. 2 SGB X vor, dass die Krankenkassen die Daten löschen müssen, sobald sie nicht erforderlich sind und kein Grund zur Annahme besteht, die Daten weiterhin zu speichern.

Datenschutz Folgenabschätzung in der Arztpraxis

Das Verarbeiten von personenbezogenen Daten birgt immer ein Risiko für die Rechte und Freiheiten der betroffenen Personen. Deshalb müssen Maßnahmen zur Datensicherheit gem. Art. 32 DSGVO getroffen werden. Ziel ist, dass sich datenverarbeitende Instanzen, so wie Arztpraxen, mit diesen Risiken auseinandersetzen. Ein Instrument des Gesetzgebers dazu ist die Datenschutzfolgenabschätzung (DSFA), bei der die Risiken beschrieben, bewertet und schützende Maßnahmen erarbeitet werden müssen.

Wann muss eine Arztpraxis eine Datenschutz Folgenabschätzung durchführen?

Im Falle einer Verarbeitung von personenbezogenen Daten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person birgt, ist eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. In einer Arztpraxis kann von einem erhöhten Risiko ausgegangen werden, doch letztendlich muss der Verantwortliche immer selbst entscheiden, wann voraussichtlich hohes Risiko besteht. Soll eine DSFA durchgeführt werden, muss immer ein Datenschutzbeauftragter hinzugezogen werden.

Da ein erhöhtes Risiko nicht leicht einzuschätzen ist, hat der Gesetzgeber die Aufsichtsbehörden damit beauftragt, Listen mit Verarbeitungen zu erstellen, für die eine Datenschutzfolgenabschätzung durchzuführen ist:

1. Analyse der Persönlichkeit

Analyse der Persönlichkeit: Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (Kunden-Scoring, systematische automatisierte Kundenanalyse, Persönlichkeitstest im Recruiting).

2. Besondere personenbezogene Daten

Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gem. Art. 10 DSGVO).

3. Videoüberwachung

Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Beispiel: Videoüberwachung, soweit diese öffentliche Bereiche wie Gehwege oder Plätze mit erfasst).

Datenschutzbeauftragter für Ärzte

Bei der Beurteilung, ob eine Arztpraxis einen Datenschutzbeauftragten benötigt, müssen konkrete Umstände näher beleuchtet werden. Dazu wird zunächst einmal Bezug auf den Art. 37 Abs. 1 DSGVO genommen. Demnach ist in den Folgenden drei Konstellationen in jedem Fall ein Datenschutzbeauftragter zu bestellen:

Die Arztpraxis ist ein Teil einer Behörde oder öffentlichen Stelle.
Die Kerntätigkeit der Praxis besteht in der Durchführung der Datenverarbeitung, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung besonderer personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (Gesundheitsdaten).

Da Punkt 1 und 2 für Arztpraxen nicht infrage kommen, stellt sich bei Punkt 3 die Frage, ob eine “umfangreiche Verarbeitung besonderer personenbezogener Daten” für Arztpraxen einschlägig ist.

Schaut man sich die DSGVO insgesamt an, stellt man fest, dass nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO vorliegt. Durch den Erwägungsgrund 91 lässt sich dann erschließen, ob eine Arztpraxis einen Datenschutzbeauftragten benötigt oder nicht.

Demnach heißt es:

“Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.”

Zusammenfassend bedeutet es, dass ein Arzt, der alleine tätig ist, keinen Datenschutzbeauftragten benötigt. Allerdings bei einer Arztpraxis mit mehreren Berufsträgern, wird man in aller Regel wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter zwingend bestellt und benannt werden muss. Dies würde zumindest für Gemeinschaftspraxen mit mehreren Ärzten gelten.

Sebastian Feldmann

Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.

„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Datenschutz in der Arztpraxis

Inhalt:

Datenschutz in der Arztpraxis

Datenschutz am Empfang in der Arztpraxis

Datenschutz Arztpraxis Checkliste

Rechtsgrundlagen für die Verarbeitung von Patientendaten

Datenschutzerklärung für Arztpraxis

Datenweitergabe an Krankenkassen

Datenschutz Folgenabschätzung in der Arztpraxis

Datenschutzbeauftragter für Ärzte

Blog

Datenschutz bei Inkasso

Hackerangriff auf Unternehmen

Datenschutzbeauftragter Aufgaben

Wir verwenden Cookies

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy