· Fachbeitrag · Patientendaten
Umgang mit Patientendaten und biologischem Material - Datenschutz im Praxisalltag
von Jan Alexander Linxweiler, Management- und Technologie-Berater und Datenschutzbeauftragter (TÜV), Berlin
| Nach einer aktuellen Stichprobe der Stiftung Warentest hat jede zweite deutsche Arztpraxis Lücken im Datenschutz (siehe PPA 04/2014, Seite 1). Dabei sind die Anforderungen an den Schutz der oft sehr persönlichen und sogar intimen Daten von Patienten sehr hoch. Mit dem sorgfältigen Wegschließen von Patientenakten ist es längst nicht getan. Die Grundlagen des Datenschutzes in der Arztpraxis und ihre Umsetzung an der Rezeption, bei der Dokumentation und bei der Vernichtung sensibler Daten bzw. Materialien fasst PPA für Sie zusammen. |
Grundlagen des Datenschutzes
Gesetzliche Grundlage des Datenschutzes ist das Bundesdatenschutzgesetz (BDSG). Es regelt den Umgang mit personenbezogenen Daten sowie deren Verarbeitung - auch für die Arztpraxis.
Personenbezogene Daten
Daten sind immer dann personenbezogen, wenn sie Einzelangaben bzw. Aussagen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person treffen (siehe § 3 Abs. 1 BDSG). Eine natürliche Person ist in diesem Zusammenhang stets der Betroffene, im ärztlichen Kontext also der Patient.
MERKE | Werden beispielsweise Patientendaten auf einer Karteikarte oder in einem elektronischen Dokument zusammengestellt, so wird der Tatbestand einer Datenspeicherung erfüllt. Die festgehaltenen Daten dienen der Identifikation des Patienten. |
Besonders schützenswerte Daten
Im Zusammenhang personenbezogener Daten nehmen Gesundheitsdaten eine gesonderte Stellung ein. Sie zählen zu den besonders schützenswerten Daten. Somit wird an Daten wie Krankheitsbilder, Beschwerden, aber auch schon die Information, dass sich jemand in Behandlung befindet, erhöhte Anforderungen an Erhebung, Verarbeitung und Übermittlung der Daten gestellt (siehe § 3 Abs. 9 BDSG).
Einwilligung
Wichtig ist daher in all diesen Zusammenhängen, stets eine ausdrückliche Einwilligung des Patienten für die jeweilige Behandlung und zusätzlich für die Datenerhebung und auch die Datenübermittlung einzuholen. Dabei muss aus der Einwilligungserklärung hervorgehen, zu welcher Nutzung die Daten vorgesehen werden. Für eine Musterformulierung siehe weiterführende Hinweise.
Empfang und Patientenannahme
An der Rezeption werden täglich eine Menge mündlicher, schriftlicher und telefonischer Informationen ausgetauscht. Gleichzeitig herrscht hier der größte Publikumsverkehr. Die größte Herausforderung für jedes Praxisteam ist, das Mithören von Informationen durch Unbefugte zu verhindern und gleichzeitig einen reibungslosen Praxisablauf sicherzustellen.
Raumaufteilung
Die klassische Raumaufteilung in Empfang, Wartezimmer und Behandlungsraum ist nicht immer in allen Arztpraxen gegeben. Vor allem die Trennung zwischen Rezeption und Wartezimmer ist in manchen Praxen nur unzureichend (z. B. durch Aufstellen von Stühlen vor dem Tresen als zusätzliche Wartezone). Maßnahmen des reinen Sichtschutzes (wie Vorhänge) oder der optischen Abgrenzung (wie Wartelinien) reichen nicht aus. Sinnvoller sind Trennwände oder auch Hintergrundmusik zur Übertönung von Gesprächen, die am Tresen geführt werden.
Führen von Telefongesprächen
Bei Telefongesprächen ist zunächst darauf zu achten, dass beistehende Personen nicht mithören können. So können beispielsweise Telefongespräche in einen separaten Raum (z. B. Büro, Sprechzimmer) weitergeleitet werden.
Außerdem muss sichergestellt sein, dass der Gesprächspartner am Telefon auch befugt ist, angeforderte Informationen zu erhalten (z. B. durch Abfrage des Geburtsdatums oder anderer persönlicher Daten, wenn ein Patient telefonisch seinen Befund abfragt). Wenn Sie einen Anruf von einer Versicherung oder Krankenkasse erhalten, die Daten eines Patienten erfahren möchte, bitten Sie den Anrufer am besten, die Anfrage schriftlich zu stellen.
PRAXISHINWEIS | Daten an Familienangehörige oder Krankenkassen dürfen Sie nur dann weitergeben, wenn Ihnen dazu eine schriftliche Einwilligung des Patienten (mit namentlicher Nennung der Angehörigen bzw. der Krankenkasse) vorliegt. Für eine Musterformulierung siehe weiterführende Hinweise. |
Computer und Faxgerät
In allen Räumlichkeiten muss dafür gesorgt werden, dass unbefugte Dritte keinen Einblick in die Datensätze der Patienten bekommen. Im Empfangsbereich kann dies durch sinnvolle Positionierung der Computerbildschirme, passwortgeschützte Bildschirmschoner oder Blickschutzfolien sichergestellt werden. Faxgeräte sollten an zutrittsgeschützten Orten stehen und Faxnummern der häufigsten Empfänger im Gerät einprogrammiert werden.
PRAXISHINWEIS | Achten Sie beim Fax stets sorgfältig auf die Wahl des richtigen Empfängers. Rufen Sie den Empfänger am besten vor dem Senden an und vereinbaren Sie mit ihm die Entgegennahme des gefaxten Dokuments durch eine Person, die dazu berechtigt ist. |
Dokumentation
Eine klare und ordnungsgemäße Dokumentation ist standesrechtliche Pflicht des Arztes. In Rechtsstreitigkeiten ist sie ein unerlässliches Beweismittel. Herzstück der Dokumentation ist die Patientenakte. Sie enthält alle den Patienten betreffenden medizinischen Aufzeichnungen, Befunde, Verordnungen und weitere Unterlagen.
Gerade in größeren Arztpraxen sollten Sie nur bestimmten Personen den Zugriff auf die Patientenakten erlauben, um den Kreis der Zugriffsberechtigten möglichst klein zu halten. Der Patient hat immer einen Anspruch auf Einsicht in die eigene Akte - auch auf die Erstellung einer Kopie. Nach § 10 Abs. 4 Berufsordnung für Ärzte ist der Praxisinhaber verpflichtet, Patientenakten stets verschlossen und vor dem Zugriff durch unbefugte Dritte gesichert aufzubewahren. Einen Überblick über die Aufbewahrungsmöglichkeiten von Schriftgut finden Sie in PPA 05/2015, Seite 15.
Datenvernichtung
Patientenakten sind mindestens zehn Jahre nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht. Nach Ablauf der vorgeschriebenen Aufbewahrungsfristen müssen die Daten dann auch vernichtet werden. Die hierfür maßgebliche Vorgabe ist die DIN 66399. Wie Sie diese Norm umsetzen und Akten sicher vernichten, lesen Sie in PPA 02/2014, Seite 18.
Bei der Vernichtung von biologischem Material, wie Blutproben, ist darauf zu achten, dass diese anonymisiert oder gar nicht beschriftet sind. Eine Klarnamenbezeichnung oder beiliegende Liste zur Deanonymisierung stellen bei der Kenntnisnahme durch unbefugte Dritte ein Datenleck und somit einen datenschutzrechtlichen Verstoß dar.
Grundsatz: Daten nur sparsam erheben und weitergeben
Datenschutz ist kein Hexenwerk. Halten Sie sich im Zweifel an den Datenschutzleitfaden von KBV und BÄK (siehe weiterführende Hinweise). Für die Datenerhebung und -weitergabe gilt der Grundsatz: So wenig wie möglich, so viel wie nötig: Da z. B. ein Anamnesebogen in der Regel standardisiert ist, sollten die Fragen auf Informationen begrenzt sein, die den Großteil der Patienten betreffen. Darüber hinausgehende Fragen, sollte der Arzt im Sprechzimmer stellen. Wie Sie den Datenschutz für Foto- und Filmaufnahmen, Social Media-Auftritten und im Austausch mit Kollegen sicherstellen, lesen Sie in einem Folgebeitrag in PPA.
Weiterführende Hinweise
- Eine Musterformulierung zur Einwilligung in die Datenerhebung und -verarbeitung finden Sie online unter der Abruf-Nr. 44149138
- Datenschutzleitfaden von KBV und BÄK zum Download unter http://tinyurl.com/ld3l9ey
- Selbsttest zur Datensicherheit in der Praxis unter http://tinyurl.com/mt4nb9g
