Sign In

Welcome, Login to your account.

Datenschutz | So, 25.03.2018 18:30

Datenschutz in Arztpraxen und Apotheken: Der 25. Mai 2018 rückt näher - was muss getan werden?

Von: Thomas Fromm

Mit dem 25. Mai 2018 wird es ernst in Sachen Datenschutz, auch für Arztpraxen und Apotheken. Datenschutz spielt im Verhältnis zwischen Patient und Arzt bzw. Apotheker und deren Mitarbeiter auch bislang eine große Rolle, welches sich in der ärztlichen Schweigepflicht widerspiegelt. Auch bisher gilt das Bundesdatenschutzgesetz. Jedoch verschärft die EU-Datenschutzgrundverordnung und diesem Zusammenhang auch das neue Bundesdatenschutzgesetz die Anforderungen an den Datenschutz.


Aufgrund dessen sind Arztpraxen und Apotheken aufgefordert rechtzeitig Maßnahmen zu ergreifen. Da es sich bei Praxen und Apotheken in der Regel um kleinere Organisationseinheiten handelt, könnte angenommen werden, dass hier das neue Datenschutzrecht Erleichterungen vorsieht. Dies ist jedoch nicht der Fall, auch kleine und mittlere Unternehmen müssen quasi ein Managementsystem für den Datenschutz implementieren. Zur Führung eins Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30 DSGVO) sind sie schon allein dadurch nicht ausgenommen, da eine Verarbeitung besonderer Datenkategorien (Artikel 9 Abs. 1 DSGVO) erfolgt. Unter die besonderen Kategorien fallen nämlich Gesundheitsdaten. Ob es darüber hinaus für jede Praxis oder Apotheke die Pflicht ist einen Datenschutzbeauftragten zu stellen ist noch umstritten. Wahrscheinlich ist dies nur erforderlich, wenn mehr als zehn Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Der strittige Punkt ist hier, ob unter Artikel 37 Abs. 1 lit. c DSVGO auch Ärzte, Zahnärzte und Apotheker fallen. Danach ist ein Datenschutzbeauftragter zu stellen, wenn zu den Kerntätigkeiten die umfangreiche Verarbeitung besonderer Kategorien gehört. Die Bundeszahnärztekammer jedenfalls vertritt die Meinung, dass bei weniger als zehn Mitarbeitern kein Datenschutzbeauftragter zu stellen ist. Arbeiten Praxen mit vielen Teilzeitkräften – es zählt jede Arbeitskraft – sind zehn Personen schnell erreicht und jeden Fall ein Datenschutzbeauftragter zu stellen. Umstritten ist, ob der Inhaber einer Praxis oder einer Apotheke selbst Datenschutzbeauftragter sein kann. Die Auslegung der Datenschutzgrundverordnung schließt dies eher aus. Ein angestellter (Zahn-)Arzt mit IT-Affinität oder eine Angestellte mit IT-Kenntnissen kommt eher in Frage. Eher sollte aber über einen externen Datenschutzbeauftragten nachgedacht werden kann, der nicht nur rechtliche Kenntnisse, sondern auch ein umfangreiches IT-Wissen mitbringt. 

Gerade IT-Wissen ist für den Datenschutz in Praxen oder Apotheken von großer Bedeutung, schließlich spielt die IT im Gesundheitswesen eine große Rolle. In vielen Arztpraxen steht in jedem Behandlungszimmer ein PC, die Rechner sind untereinander vernetzt, ein Server stellt die Daten zur Verfügung, verschiedene Geräte sind mit der Praxissoftware verbunden und Informationen werden digital ausgetauscht. Die Datensicherheit kann durch geeignete Maßnahmen erreicht werden. Sicherlich gibt es keinen 100%igen Schutz, dennoch sollte eine angemessenes Schutzniveau erreicht werden. Dieses sollte sich am aktuellen Stand der Technik orientieren und auch nicht in einem Missverhältnis zu den Möglichkeiten einer Praxis oder Apotheke stehen. Dennoch sollte das Schutzniveau hoch sein, geht es doch Patientendaten zu schützen. An den Rechten und Freiheiten der Betroffenen, d.h. der Patienten, muss sich die Umsetzung orientieren. Demnach sollte die IT-Infrastruktur einer Überprüfung unterzogen werden. Schwachpunkte sind im Schutz gegen Hacker zu vermuten. Ist eine Firewall aktiviert und die Virenscanner auf dem aktuellen Stand? Andere Fragen sind beispielsweise: Welche Programme sind auf den einzelnen Rechnern installiert? Wie werden E-Mails übermittelt? Funktioniert die Datensicherung? Lassen sich Daten im Notfall wiederherstellen? 

Doch nicht nur um die IT-Infrastruktur sollte sich eine Praxis oder Apotheke im Zuge der DSGVO kümmern, sondern auch um die anderen Anforderungen der Datenschutzgrundverordnung. Prinzipiell sollte das Ziel sein ein Managementsystem für den Datenschutz zu implementieren, welches regelmäßig überprüft und angepasst werden sollte. Hierzu gehört sicherlich auch aufgrund der Verarbeitung von sensitiven Daten ein Risikomanagement einzubinden.

Als Ausgangspunkt bietet es sich an zunächst die Verarbeitungstätigkeiten zu eruieren. Die Erstellung eines solchen Verzeichnisses ist im Gesundheitsbereich vorgeschrieben und eignet sich gut als Basis für alle weiteren Maßnahmen. Zunächst erscheint es relativ einfach die automatisierten Verarbeitungsprozesse zu ermitteln. Die Praxissoftware ist sicherlich als zentral anzusehen, doch werden personenbezogene Daten auch anderweitig verarbeitet, sei es mittels anderer Programme oder bei der Datenübermittlung. Zu beachten ist auch, dass mitunter nicht nur mit Geräten in der Praxis personenbezogene Daten verarbeitet werden, sondern auch mit externen Geräten, z.B. Notebooks, Smartphones oder Tablets und sei es nur, wenn dort E-Mails empfangen und versendet werden. Möglicherweise ist ein Verzeichnis von Verarbeitungstätigkeiten nicht nur die Grundlage für ein Datenschutz-Management, sondern kann auch den ein oder anderen Anhaltspunkt für Effizienzsteigerung bieten. Evtl. lassen sich dadurch Arbeitsabläufe optimieren.

Ob anhand einer Maßnahmen- oder Checkliste oder aufgrund einer GAP-Analyse die Umsetzung der DSGVO weiterverfolgt wird, sei dahingestellt. Im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten sollte auf folgende Punkte geachtet werden: 

  • Datensparsamkeit
  • Datenrichtigkeit
  • Rechtmäßigkeit
  • Löschfristen
  • Zugriffsrechte
  • Zugangskontrolle

Folgende Fragen stellen sich u.a.: Ist die Verarbeitung der Daten tatsächlich notwendig? Sind die Patientendaten auf dem aktuellen Stand? Werden Fehler berichtigt? Findet eine Löschung unrichtiger Daten statt? Ist die Verarbeitung überhaupt rechtmäßig? Gibt es Einwilligungen der Patienten? Werden Löschfristen eingehalten? Haben Mitarbeiter nur Zugriff zu den Daten, die sie auch tatsächlich benötigen? Wie ist die Zugangskontrolle geregelt? Wie ist geregelt, dass Patienten keine Informationen über andere Patienten zu Gesicht bekommen? Selbstverständlich zählen Fragen zur IT-Sicherheit auch dazu, welche bereits angesprochen wurden. 

Es ist anzunehmen, dass sich für fast jede Praxis oder Apotheke Maßnahmen ergeben, die umgesetzt werden müssen. Besonders wichtig ist eine umfassende Dokumentation, damit auch gegenüber der Meldebehörde Nachweise erbracht werden können. Diese Dokumentation bezieht sich idealerweise auf die identifizierten Verarbeitungstätigkeiten und zeigt die ergriffenen sogenannten technischen und organisatorischen Maßnahmen auf. Von Vorteil ist es, wenn diese Dokumentation auch allgemeine Datenschutzrichtlinien der Praxis oder der Apotheke umfasst, die leitgebend sind und das rechtmäßige Handeln miteinbeziehen.

Doch allein damit ist es nicht getan. Das Vertragswerk ist zu überarbeiten. So müssen mit Auftragsverarbeitern Verträge abgeschlossen werden. Dies ist beispielsweise auch der Hosting-Anbieter. Die Einwilligungen von Patienten müssen ebenfalls überarbeitet werden. Dabei ist es erforderlich, dass die umfassenden Informationspflichten berücksichtigt werden. Datenschutzerklärungen sind notwendig. Dies bezieht auch die Webseite mit ein. Gerade die Nichtbeachtung der Vorschriften auf dieser bietet einen Angriffspunkt. 

Meldepflichten sind außerdem zu beachten. Verliert beispielsweise der Praxisinhaber ein Notebook auf welchem personenbezogene Daten gespeichert sind, besteht eine Meldepflicht an die zuständige Datenschutzbehörde. Dafür bleiben nur 72 Stunden. Es geht darum Verfahren zu implementieren, mit denen sich Datenlecks zeitnah erkennen lassen. Mittels geeigneter Maßnahmen lassen sich die Risiken minimieren, z.B. im Falle des Notebooks mittels einer Verschlüsselung der darauf gespeicherten Daten. 

Nicht zuletzt kann die Sensibilisierung der Mitarbeiter das Risiko von Datenschutzverletzungen erheblich minimieren. Dasselbe gilt für die IT-Sicherheit. Die Wichtigkeit der DSGVO muss allen Mitarbeitern bekannt sein. Entsprechend sollten sie handeln. So kann vermieden werden, dass z.B. Patientendaten für Unbefugte einsehbar sind oder E-Mails mit verdächtigtem Anhang geöffnet werden. Es wird angeraten diesbezüglich Schulungen durchzuführen. 

Auch wenn die Datenschutzgrundverordnung für Arztpraxen und Apotheken einen nicht unerheblichen Aufwand verursacht, sollte sie doch als Initiative für die Überprüfung des Datenschutzes und der Datensicherheit angesehen werden. Es geht schließlich auch um Vertrauen, das Patienten nicht nur hinsichtlich der Leistung in Arztpraxen oder Apotheken haben sollten. Auch sollten die Chancen nicht missachtet werden, die ein gutes Datenschutz-Managementsystem bieten kann, wenn z.B. in Folge dessen Arbeitsabläufe optimiert werden können. 

Ob sich das alles ohne externe Unterstützung umgesetzt werden kann, ist fraglich. Deshalb wird Inhabern von Praxen und Apotheken empfohlen sich externen Rat zu holen. Die Benennung eines externen Datenschutzbeauftragten ist bei größeren Praxen und Apotheken – ab zehn Mitarbeitern - gerade wegen der benötigten Kompetenz auch die bessere Lösung. Somit kann das Datenschutzthema in einem gewissen Maße ausgelagert werden.