Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
In Kooperation mit Docmedico
Docmedico

Der Datenschutz in der Arztpraxis

In einer Arztpraxis werden tagtäglich viele sensible Daten ausgetauscht und gespeichert. Daraus entsteht auch eine besondere Verantwortung für Arztpraxen, die Sicherheit dieser Daten zu gewährleisten und vertrauensvoll mit ihnen umzugehen.

Inhaltsverzeichnis

Ein nachlässiger Umgang mit dem Datenschutz hat nicht nur rechtliche Konsequenzen, sondern führt zu einem Vertrauensverlust der Patienten in die Praxis. Durch die zunehmende Digitalisierung vieler Prozesse in der Praxis entstehen neue Herausforderungen in Bezug auf den Datenschutz. Wir bieten einen Überblick.

Die Praxiswebsite

Fast keine Praxis kommt heute mehr ohne Onlinepräsenz in Form einer Website aus. Hierauf müssen sie in Bezug auf den Datenschutz achten:

  • Prüfen Sie, ob sie ein Cookie-Banner benötigen: Wenn Sie auf Ihrer Website Cookies für Analyse- und Marketingfunktionen setzen, speichern Sie persönliche Daten. Der Nutzer muss dies genehmigen. Nur technisch erforderliche Cookies müssen nicht genehmigt werden, da diese für das Funktionieren der Website nötig sind.

  • Hinterlegen Sie eine Datenschutzerklärung: Jede öffentliche Website benötigt eine Datenschutzerklärung. Der Umfang hängt von den erhobenen persönlichen Daten ab. Darin müssen Sie auch auf die Einbindung von externen Inhalten oder Unternehmen hinweisen, wie zum Beispiel: Google-Maps-Einbindungen, Ihre genutzte Terminvereinbarungssoftware oder die Online-Rezeption by Docmedico.

Achtung: Achten Sie bei der Datenschutzerklärung unbedingt auf Verständlichkeit! Fachbegriffe, zum Beispiel aus Recht oder IT, sollten vermieden oder erklärt werden.

Sicherheit digitaler Patientendaten

Immer mehr Daten von Patienten werden digital festgehalten, statt in Papierakten. Hier erfahren Sie, was bei digitalen Patientendaten zu beachten ist:

  • Aufklärung und Einwilligung des Patienten zur Datennutzung: Sie müssen Patienten darüber informieren, welche ihrer Daten gespeichert werden, zu welchem Zweck und wie diese verarbeitet werden. Die Einwilligung ist am besten schriftlich einzuholen.

  • Patienten über Rechte zur Speicherung ihrer Daten aufklären: Patienten sollten darüber informiert werden, dass sie ein Recht auf Löschung, Berichtigung, Widerspruch und Auskunft haben (das bedeutet, welche Daten gespeichert wurden).

  • Beachten Sie die Datensparsamkeit: Es dürfen nur Daten vom Patienten erhoben werden, die seiner Behandlung dienen.

  • Löschen der Patientendaten nach Ablauf der Frist: Nach einer Frist (meist sind 10 Jahre nach Abschluss der Behandlung festgelegt) müssen Patientendaten gelöscht werden.

  • Achtung bei der Weitergabe digitaler Patientendaten: Um Patientendaten an Dritte, wie Versicherungen, andere medizinische Versorger, die Krankenkasse oder Angehörige weitergeben zu können, muss die Einwilligung des Patienten eingeholt werden sowie die Verschlüsselung der Daten sichergestellt sein.

  • Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten: Das ist ein Verzeichnis darüber, wann und wie mit persönlichen Daten von Patienten umgegangen wird und bei welchen Tätigkeiten. Dafür gibt es Vordrucke, zum Beispiel bei der Kassenärztlichen Bundesvereinigung (KVB).

Technische Anforderungen:

  • Ergreifen Sie technische Sicherheitsmaßnahmen: sie benötigen Virenschutz, Firewalls und Verschlüsselungen, vor allem beim Versenden von Personendaten. Die Software muss außerdem regelmäßig aktualisiert werden.

Teammaßnahmen:

  • Regelmäßige Schulungen des Personals: Das Praxispersonal sollte regelmäßig zu Datenschutzmaßnahmen und eventuellen Gesetzesänderungen geschult werden, vor allem bei neuen Mitarbeitern.

  • Verschwiegenheitserklärungen: alle Mitarbeiter in der Praxis sollten Verschwiegenheitserklärungen bei ihrer Einstellung unterzeichnen.

  • Benennung eines Datenschutzbeauftragten:  ab einer Praxisgröße von 20 Mitarbeitern benötigt man einen Datenschutzbeauftragten (intern oder extern).

Externe Dienstleister:

  • Schließen Sie Auftragsdatenverarbeitungsverträge ab: Wenn Sie einen externen Dienstleister mit einer Aufgabe betrauen, zum Beispiel die Online-Rezeption by Docmedico oder eine Abrechnungsfirma, müssen Sie sicher gehen, dass dieser sich an die Verschwiegenheitspflicht hält und die Vorschriften des Datenschutzes einhält. Das bedeutet auch, dass der externe Dienstleister die Daten nicht für eigene Zwecke nutzen darf.

  • Achten Sie auf Sicherheit bei der Fernwartung: soll ihr Praxissystem fern gewartet werden, müssen Sie unbedingt auf die Sicherheit der Daten achten, zum Beispiel indem Sie ein Protokoll für die Fernwartung festlegen und dies überprüfen.

Schadensfälle:

  • Haben Sie einen Notfallplan bereit: Sollte es zu einem Cyberangriff kommen, sollten Sie vorbereitet sein. Erstellen Sie einen Notfallplan, der in Papierform zugänglich ist. Stellen Sie sicher, dass der Angriff zuständigen Behörden gemeldet wird, genauso die Patienten. Es besteht eine Meldepflicht.

Gut zu wissen: mit einer Cyberversicherung kann man sich gegen bestimmte Schäden absichern (z.B. IT-Ausfall oder Bedienungsfehler).

Beim Datenschutz für digitale Daten in der Praxis gibt es einige Punkte zu beachten. Man sollte sich als Praxisinhaber aber unbedingt damit auseinandersetzen, denn der Trend geht hin zur Digitalisierung und die elektronische Patientenakte steht bereits in den Startlöchern. Ein umfassendes Sicherheitskonzept gehört deshalb unbedingt auf die nächste To-do-Liste.

Der Datenschutz in Arztpraxen ist komplex, doch eine sorgfältige Auseinandersetzung damit ist unerlässlich. Die Digitalisierung bietet viele Chancen, birgt aber auch Risiken. Mit einem umfassenden Sicherheitskonzept können Arztpraxen ihre Daten schützen und gleichzeitig die Vorteile der Digitalisierung voll ausschöpfen. Achten Sie bei der Auswahl externer Tools und Systeme immer darauf, dass diese die Datenschutzstandards erfüllen – so, wie die Online-Rezeption by Docmedico.

Disclaimer: Die in diesem Text bereitgestellten Informationen stellen keine Rechtsberatung dar und sollen keine rechtlichen Fragen oder Probleme behandeln, die im individuellen Fall auftreten können. 

Quelle:

Winter, M. Cookie-Banner: fünf Fehler, die Sie vermeiden sollten! https://www.ihk.de/halle/recht/datenschutz/sonstige-rechtsinformationen/cookie-banner-fuenf-fehler-die-sie-vermeiden-sollten--4854218, letzter Abruf 08.08.2024

Bundesärztekammer, Kassenärztliche Bundesvereinigung, 2021, Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, Deutsches Ärzteblatt, https://www.kbv.de/media/sp/Empfehlungen_aerztliche_Schweigepflicht_Datenschutz.pdf, letzter Abruf 08.08.2024

Virchow-Bund, 2022, Warum Ihre Datenschutzerklärung nicht mehr ausreicht,  https://www.virchowbund.de/praxisaerzte-blog/warum-ihre-datenschutzerklaerung-nicht-mehr-ausreicht, letzte Abruf am 08.08.2024

Kassenärztliche Vereinigung Bayerns, Datenschutz in der Praxis, https://www.kvb.de/mitglieder/praxisfuehrung/pflichten/datenschutz-in-der-praxis, letzter Abruf am 08.08.2024

Kassenärztliche Vereinigung Bayerns, Datenschutz in der Praxis, https://www.kvb.de/mitglieder/praxisfuehrung/pflichten/datenschutz-in-der-praxis, letzter Abruf am 08.08.2024

Benedikt Schleif

Benedikt Schleif

Senior Consultant, DocmedicoEhrengutstraße 7
80469 München

089262019990

b.schleif@docmedico.de