Recht

Nichtstun ist schlecht, Panikmache ebenso

Datenschutz in der Zahnarztpraxis

26.02.2019

© Zerbor / fotolia
© Zerbor / fotolia

Seit dem 25.05.2018 müssen sich Zahnärzte und deren Teams mit den neuen Regeln der europäischen Datenschutz-Grundverordnung, kurz DS-GVO, auseinandersetzen. Die neue Gesetzgebung regelt in Zukunft den professionellen Umgang mit personenbezogenen Daten. Diese Daten betreffen in erster Linie Patienten, Angestellte und Geschäftspartner, mit denen Sie zusammenarbeiten. Hierfür müssen wir nun in Zukunft die Regeln der europäischen Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz, kurz BDSG-neu, einhalten und umsetzen. Besonders das Umsetzen hat in vielen Praxen zu erheblichen Problemen und Diskussionen geführt.

Für einige Praxen schien diese Änderung sehr überraschend gekommen zu sein. Obwohl sie 2 Jahre Zeit hatten, warteten sie mit der Umsetzung der neuen Richtlinien und Gesetzgebungen bis zum letzten Moment. Das betraf jedoch nicht nur Zahnarztpraxen, sondern auch viele Unternehmen in der freien Wirtschaft. Wir alle haben diesen Veränderungsprozess besonders in den digitalen Medien zu spüren bekommen. Bis kurz vor dem 25.05.2018 wurden wir mit E-Mails zugeschüttet und mussten auf diese reagieren, um den neuen Datenschutz-Richtlinien zuzustimmen. Das geschah entweder in aktiver Zustimmung oder durch Änderung der Einstellungen zum Thema Datenschutz in unseren Benutzerkonten. Alle Anbieter, die sich online präsentieren, mussten auch bei sich einige Veränderungen vornehmen. Seit dem 25.05.2018 müssen wir immer, sobald wir einen Einkauf tätigen, die AGBs und zusätzlich die Datenschutzbestimmung akzeptieren.

Seit 460 v. Christus, also seit mehr als 2.000 Jahren, ist der hippokratische Eid die Grundlage für ethisches Handeln eines jeden Mediziners. Auch wenn der Eid durch die WMA (World Medical Association) erst kürzlich in Genf „modernisiert“ wurde, bleibt der ursprüngliche Kontext der Schweigeplicht erhalten. Dieser lautet im Original: „I will respect the secrets that are confided in me, even after the patient has died”, was so viel heißt wie: „Ich werde die Geheimnisse, die mir anvertraut sind, auch nach dem Tod des Patienten respektieren.“ Damit möchte ich sagen, dass das Thema der Schweigepflicht und des Datenschutzes für uns im medizinischen Bereich nichts Neues ist. Die berufliche Schweigepflicht ist im StGB § 203 geregelt. Wir haben im Rahmen der beruflichen Tätigkeit über anvertraute Geheimnisse Stillschweigen zu wahren. Jetzt müssen wir nur noch dafür Sorge tragen, dass diese Daten geschützt sind. Es besteht jedoch die Möglichkeit, unter bestimmten Voraussetzungen von der Schweigepflicht entbunden zu werden. Ein Beispiel wäre die Meldepflicht nach dem Infektionsschutzgesetz.

Datenschutz als fester Bestandteil des Qualitätsmanagementsystems

Ich sehe in einigen Praxen oft, dass der Datenschutz als 2. Säule neben dem bereits bestehenden Qualitätsmanagementsystem aufgebaut wird. Das ist natürlich nicht notwendig. Vielmehr sollte er ein fester Bestandteil des vorhandenen QMS sein. Die moderne Technik und das Internet haben unseren Alltag unweigerlich verändert. Leider haben diese Vorzüge und Annehmlichkeiten, die uns natürlich jeden Tag unsere Arbeit und unserer Privatleben erleichtern, auch einen empfindlichen Beigeschmack. Es wird jeden Tag durch Unternehmen eine Vielzahl von unseren Daten gesammelt und gespeichert. Gerade in den sozialen Netzwerken werden permanent personenbezogene Daten gesammelt und von Kriminellen ausgespäht und missbraucht. Es vergeht kein Tag, an dem wir nicht in der Presse von Datenmissbrauch hören. Aktuell macht der Datenklau einiger Politiker die Runde. Die fortschreitende Technologie ist gegenwärtig für die Praxen eine große Herausforderung.

Dadurch ergibt sich die 2. wichtige Komponente, die Überprüfung der vorhanden EDV- bzw. IT-Systeme in den Praxen. Nur wenn beide Komponenten QMS und IT auf dem neuesten Stand und überprüft worden sind, steht dem Aufbau eines Datenschutzmanagementsystems nichts mehr im Weg. Mit organisierter Struktur und professioneller Führung kann man dann ein rechtskonformes Datenschutzsystem implementieren.

Zielsetzung des Datenschutzes

An 1. Stelle sollte die Forderung stehen, die sensiblen Patientendaten mit höchster Priorität zu schützen. Gleichzeitig ist man bestrebt, alle personenbezogenen Daten, die nicht (mehr) benötigt werden, zu minimieren. Laut Definition beinhaltet der Datenschutz sämtliche Maßnahmen zum Schutz von Personen bei der Verarbeitung ihrer Daten. Der Datenschutz verbietet die Weitergabe dieser Informationen und dient der Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht. Ziel des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Der Verantwortliche (Inhaber der Praxis) hat also nicht nur die Daten der Patienten zu schützen, sondern auch die des Personals.

Die Rechte der betroffenen Personen finden sich in folgenden Artikeln:

  • Recht auf Information (Art. 13 und 14)
  • Recht auf Auskunft (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Mitteilungspflicht bei Berichtigung, Löschung (Art. 19)
  • Recht auf Datenübertragbarkeit (Art. 20)
  • Widerspruch, Widerruf (Art. 21)
  • Profiling (Art. 22)

Datenschutz in einer Praxis kann u.a. folgende Mängel aufweisen:

  • Patienten werden am Telefon namentlich angesprochen, während andere Personen an der Anmeldung stehen und das Gespräch mitverfolgen können,
  • der Diskretionsbereich ist nicht vorhanden,
  • Patientenakten liegen so, dass sie von anderen Patienten eingesehen werden können,
  • Abfälle werden ohne Unkenntlichmachung personenbezogener Daten entsorgt,
  • usw.

Praktische Umsetzung der neuen Datenschutzverordnung

Als Erstes braucht es eine Struktur und Verantwortlichkeit im Unternehmen. Gibt es bei Ihnen schon eine Datenschutzrichtlinie? Haben Sie schon Datenschutzziele beschrieben? Haben Sie bereits einen internen oder externen Datenschutzbeauftragten? Diese Frage ist schon schwierig, denn die Entscheidung, ob und wann Sie einen brauchen, muss in jeder Praxis als Einzelbetrachtung ganz klar unterschieden werden. Es kommt dabei auch auf die Rechtsform der Praxis an. Die gleiche Schwierigkeit besteht darin, eine Person in der Praxis zu bestimmen, die keinerlei Kenntnisse mit dem Umgang zum Thema Datenschutz besitzt. Wenn Sie einen betrieblichen Datenschützer beauftragt haben, vergessen Sie nicht, ihn der zuständigen Aufsichtsbehörde zu melden. Das fordert der Art. 37 Abs. 7 DS-GVO.

Ein Verzeichnis der Verarbeitungstätigkeiten anzulegen, ist ein wichtiger Teil des Datenschutzes. Das wird im Art. 30 DS-GVO gefordert. Dazu zählen zum Beispiel die Internetseite, die Personalakten, das Erstellen und Speichern von Röntgenbildern, die Kommunikation per E-Mail, das Auslagern der Abrechnung an externe Dienstleister usw. Sie sollten die Auftragsverarbeitung durch externe Dienstleister überprüfen und die Verträge nach Art. 28 Abs. 3 DS-GVO dementsprechend anpassen.

Ein weiterer bedeutungsvoller Punkt ist die Erstellung der eigenen TOMs (technische und organisatorische Maßnahmen). Dieses Datenschutzmanagement wird nach Art. 32 DS-GVO gefordert. Es ist eine notwendige und bedeutungsvolle Maßnahme zum Schutz der digitalen Daten. Die TOMs sind essenziell für das Risikomanagement im vorhandenen QM-System. Mithilfe der TOMs soll das Risiko durch Schwachstellen und Bedrohungen minimiert werden. Der Gesetzgeber schreibt lediglich vor, dass Unternehmen den Stand der Technik sowie anfallende Implementierungskosten berücksichtigen sollen. Das sollten Sie bei der Auswahl Ihrer TOMs beachten.

Mit „Stand der Technik“ ist gemeint, dass Technologien eingesetzt werden sollten, die etabliert, wirksam und bekannt sind und sich in der Praxis als bereits geeignet und effektiv erwiesen haben. Dafür sollten Sie auf jeden Fall jemanden zu Rate ziehen, der durch einen IT-Sicherheitscheck die Schwachstellen der IT überprüft und ggf. durch einen Maßnahmenplan die sicherheitsrelevanten Lücken schließt. Die Implementierungskosten sind abhängig vom Risiko Ihrer Datenverarbeitung. Dabei sollte man auf internationale und anerkannte Normen und Standards, wie beispielsweise die ISO 27002, zurückgreifen. Hinzu kommt, dass Sie ein Verfahren implementieren müssen, welches als Werkzeug zur regelmäßigen Überprüfung, Bewertung und Evaluierung dient. Eine Maßnahme wäre beispielsweise laut Art. 32 DS-GVO die Pseudonymisierung. Hier müssen Sie die Zuordnung von Daten und Personen erschweren. Eine andere Maßnahme wäre ein Verschlüsselungsverfahren. Hier werden mithilfe kryptografischer Verfahren die personenbezogenen Daten in eine unleserliche Zeichenfolge verändert. Hinzu kommen die Vertraulichkeit der Systeme, die Integrität der erhobenen Daten, die Verfügbarkeit der Daten sowie die zur Verarbeitung notwendigen Systeme; neu ist die Belastbarkeit der Datenverarbeitungssysteme. Zum Beispiel kann hier durch einen Cyberangriff das System belastet werden (Denial of Service). Ein ganz wichtiger Aspekt ist hier noch die Wiederherstellung der Verfügbarkeit bei einem Zwischenfall. Dazu sollte es einen IT-Notfallplan und natürlich Backup-Systeme in Ihren Praxen geben. Eine besondere Beachtung betrifft den Homeoffice-Arbeitsplatz, der aufgrund des Fachkräftemangels immer mehr an Bedeutung gewinnt: Hier sind natürlich Arbeits- und Verfahrensanweisungen extra zu beschreiben und dabei muss der Datenschutz eine hohe Priorität haben.

Wenn wir nun alles dokumentiert haben, kann es trotzdem zu Datenschutzverletzungen kommen. Auch dafür sollte es ein Verfahren geben. Laut Art. 33 DS-GVO muss bei einer Datenschutz verletzung die zuständige Aufsichtsbehörde binnen 72 Stunden nach Kenntnisnahme informiert werden und eine Nachricht an die betroffenen Personen nach Art. 34 DS-GVO ergehen. Damit es bei einem Vorfall nicht zu fehlerhaftem Verhalten kommt, sollte dies im Vorfeld organisiert werden und nicht erst dann, wenn sprichwörtlich das Kind bereits in den Brunnen gefallen ist. Bei den Räumlichkeiten Ihrer Praxis ist eine Aufteilung in 3 Bereiche anzuraten: die Rezeption oder der Anmeldebereich, das Wartezimmer und der Behandlungsraum. Diese Bereiche sollten immer baulich oder organisatorisch so gestaltet werden, dass es für andere Patienten optisch und akustisch keine Möglichkeit gibt, die Gespräche des gerade in Behandlung befindlichen Patienten mitzuhören oder seine Unterlagen einsehen zu können.

Fazit

Ich hoffe, ich konnte Ihnen einen kleinen Einblick in den sehr komplexen Bereich des Datenschutzes geben. Wir sollten dabei nicht vergessen, dass wir in unserer Arbeit die Daten der Patienten und der Mitarbeiter besonders schützen müssen. Denn ebendies erwarten auch wir, wenn es um unsere eigenen Daten geht, sobald wir die Praxis verlassen und selbst zum Patienten werden. Wir sind einmal die Datenschützer und dann wieder selbst Betroffene. Jeden Tag bekommen wir im täglichen Leben mit, wie oft der Datenschutz nicht funktioniert, sowohl beruflich als auch privat. Es vergeht kaum ein Tag, an dem nicht irgendwo wieder eine Datenpanne öffentlich gemacht wird. Deswegen lassen Sie uns positiv mit diesem Thema umgehen.

Eine wichtige Information möchte ich Ihnen noch mitgeben. Es betrifft die Frage, ob Patientinnen und Patienten in der Praxis oder am Telefon noch mit ihrem Familiennamen angesprochen werden dürfen oder ob dieser anonymisiert werden muss. Dazu hat das Bayerische Landesamt für Datenschutz folgende Mitteilung herausgegeben: „Ja, an dieser sozial- und grundrechtsadäquaten Praxis hat sich auch durch Erlass der DS-GVO nichts geändert“, Norm: Art. 6, Art. 9 DS-GVO.

Sensibilisieren Sie Ihre Mitarbeiter durch Schulungen und Fortbildungen. Lassen Sie sich bei dem komplexen Thema des Datenschutzes durch Fachleute unterstützen. Meine Kollegen und ich sind deutschlandweit im Einsatz, um Ihnen fachlich zur Seite zu stehen. Wir wissen bis dato nicht, wie hoch die Sanktionen (Strafen) bei Nichtbeachtung der DS-GVO wirklich sein werden. Daher sollten Sie nicht nach dem Motto arbeiten: „Erst einmal abwarten, was passiert“, das war noch nie die beste Lösung.


Eine aktuelle Meldung zum Datenschutz:

Das Bayerische Landesamt für Datenaufsicht hat zu Anfang Januar nachstehende Meldung publiziert. Diese betrifft zwar erstmal nur Bayern, aber da Bayern die oberste Behörde für Deutschland ist, könnten die Prüfungen evtl. die ganze Republik alsbald treffen. 

Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DS-GVO

Knapp ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der Schutz vor Verschlüsselungstrojanern in Arztpraxen.

Prüfung 2: Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit)

Verschlüsselungstrojaner („Ransomware“) sind auch in Bayern weiterhin aktiv: Durch die Schadsoftware wird der Zugriff auf Daten gesperrt und anschließend Lösegeld gefordert, um die Daten wieder im ursprünglichen Zustand zu erhalten. Meldungen über einen Befall von Arbeitsplatzrechnern bei bayerischen Verantwortlichen erreichen das BayLDA wöchentlich. Im Falle einer Infektion kann sich die Schadsoftware unter Umständen im gesamten Netzwerk der betroffenen Organisation ausbreiten. Ohne Datensicherung (Backups) kann nur in wenigen Fällen eine Wiederherstellung der Daten mühelos erfolgen. Meist haben infizierte Unternehmen dennoch große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Aus diesem Grund sind regelmäßige Datensicherungen und die Sensibilisierung der Mitarbeiter wertvolle Vorbeugemaßnahmen.

Betroffen sind nach den eingehenden Meldungen beim BayLDA oft Ärzte und kleinere Betriebe, die sich entweder der Gefährdungslage nicht bewusst waren oder nur über unzureichende Sicherheitsmaßnahmen verfügten. Das BayLDA hat sich deshalb entschieden, Ärzte zum Umgang und Prävention von Ransomware-Attacken zu kontrollieren. Ziel dieser Datenschutzprüfung ist es, für ein geeignetes und wirksames Backupverhalten bei Ärzten zu sorgen, damit Patientendaten vor der realen Gefahr solcher Kryptotrojaner angemessen geschützt werden.

Bayerisches Landesamt für Datenschutzaufsicht   

weiterlesen
Näheres zum Autor des Fachbeitrages: Marco Libano


Das könnte Sie auch interessieren: