Datensicherheit in der Arztpraxis – ein Überblick

Arztpraxen müssen im Kontakt mit Patientendaten durch technische und organisatorische Maßnahmen die Sicherheit der Datenverarbeitung gewährleisten. Das gilt es zu beachten, um datenschutzkonform zu agieren!

Die ersten Datenverarbeitungen in der Arztpraxis

Patientinnen und Patienten vereinbaren einen Termin über das Telefon oder per E-Mail, erscheinen in der Praxis zu Terminen, melden sich am Empfang und schildern kurz Informationen über ihr Leiden. In diesen ersten Schritten der Aufnahme werden schon in beachtlichem Umfang Daten verarbeitet. Bereits hier können einige TOMs die Sicherheit der Verarbeitung gewährleisten.

Zunächst sollten alle Mitarbeitenden der Praxis über geltende Datenschutzbestimmungen informiert und auf die Einhaltung dieser verpflichtet sein. Womöglich ist es sinnvoll, einen internen Datenschutzbeauftragten in der Arztpraxis zu bestimmen. Es ist zudem geboten, den Empfang nie unbeaufsichtigt zu lassen. Empfohlene technische Maßnahmen sind unter anderem ein passwortgeschützter PC, bestenfalls sogar mit einer Zweifaktor-Authentifizierung. Des Weiteren sollten IT-Sicherheits- sowie Anti-Virus-Maßnahmen ergriffen und regelmäßig aktualisiert werden. Falls möglich, wäre es optimal, den Empfang nicht direkt neben dem Wartezimmer zu haben. Auf jeden Fall müssten Praxisbesuchern die Möglichkeit eingeräumt werden, dem Empfang diskret ihre Patientendaten zu übermitteln.

DSGVO beim Ausfüllen des Anamnesebogens samt Gesundheitsdaten

Regelmäßig werden Patientinnen und Patienten beim Arzt aufgefordert, insbesondere als Neupatienten, einen Anamnesebogen auszufüllen. Hierbei werden sie unter anderem Gesundheitsdaten von sich preisgeben. Diese sind gemäß Art. 9 DSGVO besonders sensibel und sollten daher äußerst gut geschützt werden. Es muss unbedingt sichergestellt werden, dass der Anamnesebogen weder in analoger noch digitaler Form von einer unberechtigten Person gesehen wird. Dabei können folgende TOMs helfen:

• Ein ausgefüllter Anamnesebogen sollte nicht auf dem Empfangstresen liegen. 
• Akten von Patientinnen und Patienten müssen sicher gelagert werden, z.B. in abschließbaren Schränken. 
• Die Arztpraxis muss außerhalb der Öffnungszeiten abgeschlossen werden.
• Werden die Akten digital gespeichert, muss ein hinreichendes Sicherheitskonzept vor Angriffen Dritter schützen, z.B. durch zeitnahe Installation von Updates, Einsatz von Firewalls, Verwendung von Schutzprogrammen vor Phishing im Browser sowie die ausschließliche Nutzung von verschlüsselten Internetanwendungen. 
• Datensicherungen müssen regelmäßig durchgeführt werden.
• Wechseldatenträger sollten routinemäßig nach Schadsoftware überprüft werden.

Datensicherheit im Wartezimmer und bei der Behandlung

Sobald Patientinnen und Patienten angemeldet sind, begeben sie sich in den Warteraum. Durch die Nennung ihres Namens werden sie sodann aufgerufen. Es wäre denkbar, dies mithilfe eines Nummernsystems zu vermeiden. Falls das nicht möglich ist, sollte jedenfalls nur der Nachname genannt werden. 

Beim Betreten des Behandlungsraums muss sich der behandelnde Arzt vergewissern, dass keine personenbezogenen Daten von vorherigen Patientinnen oder Patienten zu sehen sind. Insbesondere sollte dies auf einem etwaigen Bildschirm gewährleistet sein, beispielsweise durch einen Bildschirmschoner. Der Diskretion obliegt es ebenfalls, analoge Patientenakten nicht sichtbar herumliegen zu lassen. Die Tür des Zimmers ist zu schließen und Gespräche medizinischer Art mit dem Arzt sollten nicht auf dem Gang zum Behandlungsraum stattfinden. Damit kann sichergestellt werden, dass keine Dritten Kenntnis über medizinische Informationen rund um Patientinnen und Patienten erlangen.

Fazit

Bei der Einrichtung von TOMS obliegt die Auswahl und die Stärke des Schutzes dem Verantwortlichen, also den Praxisinhaberinnen und -inhabern. Die technischen und organisatorischen Maßnahmen sind dabei immer unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu ergreifen. Datenschutzbeauftragte können dabei helfen, entsprechende Maßnahmen umzusetzen. Es gibt somit nicht das Minimum oder das Maximum an Sicherheit durch TOMs. Sollte es jedoch zu einem bußgeldbewehrten Datenschutzvorfall kommen, wird innerhalb der Bußgeldbemessung gewürdigt, wenn ein gutes Maß an TOMs vorhanden ist.

 

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.