Datenschutzbehörden wollen 2024 intensiver prüfen und überwachen ‒ so bereiten Sie sich vor

| Im Zuge der Einführung des elektronischen Rezepts (eRezepts) in Arzt- und Zahnarztpraxen haben Datenschutzbehörden für das Jahr 2024 eine Intensivierung ihrer Überwachungs- und Prüfaktivitäten in medizinischen Einrichtungen angekündigt. Zwar ist das eRezept für Heilmittel erst in Vorbereitung, aber auch Physiopraxen sollten sich verstärkt mit dem Thema Datenschutz befassen: Denn zum einen wird auch für Heilmittel das eRezept eingeführt werden, zum anderen betrifft der Datenschutz ja nicht nur das eRezept. Daher sollten auch Physiopraxen gut vorbereitet sein. |

Machen Sie sich mit dem Thema Digitalisierung vertraut!

Laut Eckdatenstudie Physiotherapie 2023 (PP 06/2023, Seite 6 ff.) hat sich erst gut die Hälfte der Befragten mit dem Thema Telematik-Infrastruktur (TI) befasst, erst 3 Prozent der Befragten haben einen Anschluss eingerichtet. Fest steht jedoch, dass die TI auch in Physiopraxen kommen wird: Ab dem 01.01.2025 soll die elektronische Patientenakte (ePA) für alle gesetzlich versicherten Patienten eingeführt werden, das eRezept für Heilmittel soll zum 01.01.2027 folgen. Zwar erleichtern eAkte und eRezept die Verwaltung und den Austausch medizinischer Informationen, aber sie erfordern auch ein hohes Maß an Sorgfalt beim Datenschutz.

Die rechtlich lückenlose, schriftliche Aufklärung der Patienten über die Verwendung ihrer Daten im Rahmen der Technologien bekommt damit auch eine neue Bedeutung. Sie sollte klar, transparent und rechtssicher dokumentiert erfolgen. Aktuelle, an die neuen Bedürfnisse angepasste Unterlagen sind dabei unerlässlich. Patienten müssen umfassend informiert werden, bevor sie ihre Zustimmung geben, sei es z. B. für die Übermittlung ihrer Daten an einen Abrechnungsdienstleister oder bei der Entbindung der Schweigepflicht gegenüber kooperierenden Ärzten und anderen Behandlern. Eine umfassende und rechtzeitige Aufklärung ist der Schlüssel zur Stärkung des Vertrauens der Patienten und der Sicherheit im Umgang mit sensiblen Informationen.

Überprüfen Sie Ihre Praxisorganisation!

Im täglichen Praxisbetrieb können oft schon kleine Änderungen große Auswirkungen haben. Maßnahmen wie beispielsweise das Abschließen von Schränken, in denen sensible Daten aufbewahrt werden, und das Vermeiden von offen herumliegenden Akten (auch auf Hausbesuchen im Praxis-Pkw), der Verzicht, Patientendaten telefonisch an Dritte weiterzugeben, oder der Bildschirmschoner mit Passwort sind grundlegend, aber einfach und wirkungsvoll. Sie helfen, die physische Sicherheit von Patientendaten zu erhöhen und das Risiko von unnötigen Beschwerden und Datenschutzverletzungen zu minimieren (vgl. PP 06/2020, Seite 18 ff.).

Schulen Sie Ihr Personal!

Regelmäßige Datenschutzschulungen für das Personal sind nicht nur gesetzlich vorgeschrieben, sondern sind auch essenziell für die Aufrechterhaltung und Umsetzung eines passenden Datenschutzniveaus. Alle Mitarbeitenden sollten kontinuierlich in praxisnahen Workshops und Unterweisungen über die neuesten Datenschutzpraktiken und -gesetze informiert werden. Nur so stellen Sie sicher, dass Ihre Praxis stets den aktuellen Standards entspricht und Gefahrenquellen in den täglichen Abläufen minimiert werden.

Erstellen Sie einen Notfallplan für Datenpannen!

Auch ein effektiver Notfallplan für den Umgang mit Datenschutzpannen sollte in Ihrer Praxis vorhanden sein. In einem solchen Plan müssen schriftlich klare Verfahren, Maßnahmen und Zuständigkeiten festgelegt sein, um auf Datenschutzpannen schnell und effizient reagieren zu können. Oft sind kurze Meldefristen und spezifische Prozesse einzuhalten, um Bußgelder und andere rechtliche Konsequenzen zu vermeiden.

Binden Sie externe Fachleute ein!

Datenschutz-Audits, vorzugsweise mithilfe von Spezialisten, sind eine effektive und bewährte Methode, um vorhandene Schwachstellen zu identifizieren und proaktiv zu beheben. Praxen sollten gemeinsam mit Experten die Gefahrenquellen vor Ort am besten mit einem strukturierten Vorgehen analysieren und besprechen. Dies hilft, potenzielle Datenschutzrisiken frühzeitig zu erkennen und anschließend entsprechende Maßnahmen zu ergreifen. Dabei kommen von Datenschutzexperten oft gute und praxisnahe Tipps, weil sie einen Fremdvergleich zu anderen Praxen herstellen können und nicht „betriebsblind“ sind. Diese Experten sollten unbedingt auf das Gesundheitswesen spezialisiert sein, um die Besonderheiten und Erfordernisse der Praxen qualifiziert bewerten zu können.

Nutzen Sie die staatliche Förderung!

Eine Neuerung im Kontext der Datenschutzberatung ist die staatliche finanzielle Förderung zur Umsetzung der Datenschutzgesetze. Die Kosten für Beratungen durch qualifizierte und geprüfte Spezialisten werden nun zwischen 50 und 80 Prozent vom Staat übernommen, was eine effiziente Implementierung von Datenschutzmaßnahmen erheblich erleichtert. Ansprechpartner für die Forderung ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA; online unter bafa.de).

Zum Autor | Markus Sobau ist TÜV-Süd-zertifizierter Datenschutzbeauftragter und Datenschutzspezialist für medizinische Einrichtungen.