Das Wichtigste zum Datenschutz in der Arztpraxis in Kürze
- Der Umgang mit hochsensiblen Patientendaten lassen dem Datenschutz und der Schweigepflicht in der Arztpraxis besondere Bedeutung zukommen.
- Es ist sicherzustellen, dass kein Unbefugter Zugriff auf Patientenakten oder andere Informationen erhält. Eine besondere Schwachstelle ist hier der Empfangsbereich.
- Bei Nichteinhaltung der Vorschriften drohen nicht nur wegen eines Datenschutzverstoßes Konsequenzen. Sollte die Schweigepflicht gebrochen worden sein, ist so auch die strafrechtliche Verfolgung möglich.
Häufige Fehler beim Datenschutz in Arztpraxen
Inhaltsverzeichnis
Der Umgang mit empfindlichen Patientendaten lässt dem Datenschutz in der Arztpraxis einen hohen Stellenwert zukommen. Die Gesundheitsinformationen einer Person gehören nämlich zu den besonderen Arten personenbezogener Daten und sind als solche besonders schützenswert. Darüber hinaus kommt bei Patientendaten noch ein weiterer wichtiger Aspekt hinzu: Ärzte und deren Mitarbeiter unterliegen einer Schweigepflicht, die sich aus dem besonderen Berufsgeheimnis ergibt.
Fehler beim sorgsamen Umgang mit den sensiblen Informationen sind aber auch in Arztpraxen nicht selten. Im Folgenden einige Beispiele für Vorgänge, die Probleme mit dem Datenschutz und der Schweigepflicht bedeuten können:
- Am Patientenempfang unterhalten sich Arzt und/oder Angestellte über die Testergebnisse von Patienten oder andere Personendaten – vor einem Warteraum mit neugierigen Zaungästen.
- Der Empfang ist unbeaufsichtigt, sodass die sich regelmäßig dahinter befindlichen Schränke mit den Patientenakten, Computer und Ablagen für jedermann zugänglich wären.
- Patienten halten sich zum Teil alleine im Behandlungsraum auf, weil der Arzt mehrere Patienten parallel betreut. Eine auf dem Tisch vergessene fremde Akte wäre also theoretisch einsehbar.
- Es werden zum Teil Auskünfte über das Telefon oder per E-Mail erteilt, ohne Absicherung, dass der Adressat tatsächlich der Betroffene Patient oder anderweitig zur Einsicht in die Daten berechtigt ist.
- Die Krankenkasse erhält mehr Informationen über den Patienten, als zulässig oder erforderlich. Auch die gewissenhafte Datenübermittlung ist wichtig für die Einhaltung vom Datenschutz in der Arztpraxis.
Was ist wichtig für den Datenschutz beim Arzt?
Patientendaten unterliegen dem besonderen Datenschutz. In der Arztpraxis ist es deshalb und wegen der beruflichen Verschwiegenheitspflicht von größter Bedeutung, sehr sorgsam mit diesen Informationen umzugehen. Ob in der Klinik oder einer Arztpraxis – der Datenschutz ist in folgenden Bereichen von Bedeutung:
- Datenerhebung: Nicht alle Informationen eines Patienten dürfen gesammelt werden. In der Regel betrifft dies nur Daten, die für die Durchführung von Behandlung und Diagnose von Belang sind.
- Datenweitergabe: An Versicherungen und andere Dritte dürfen nicht automatisch sämtliche Informationen aus der Patientenakte weitergegeben werden. Hier sind je nach Adressat bestimmte Vorgaben zu beachten. In die Herausgabe von personenbezogenen Daten muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
- Datensicherung: In einer Arztpraxis müssen die Personendaten vor dem unbefugten Zugriff durch Dritte ausreichend gesichert sein. Das betrifft sowohl digitale Datensätze als auch Ausdrucke, Formulare und Notizen.
- Verpflichtung auf das Datengeheimnis: Nach § 5 Bundesdatenschutzgesetz (alte Gesetzesgrundlage) müssen alle Angestellten, die in der Datenverarbeitung in nicht-öffentlichen Stellen tätig sind, regelmäßig auf das Datengeheimnis verpflichtet werden.
Vorgaben zum Datenschutz in der Arztpraxis: Checkliste
Im Folgenden wollen wir Ihnen eine Checkliste zum Datenschutz in der Arztpraxis an die Hand geben. Hierin aufgeführt finden Sie wichtige Aspekte, die Ärzte und Angestellte beachten sollten. Allerdings erhebt unsere Auflistung keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit.
Es handelt sich vielmehr um exemplarisches Anschauungsmaterial, das ein grobes Abbild zu den Richtlinien in Sachen Datenschutz und Schweigepflicht in der Arztpraxis bietet.
Wollen Sie auf Nummer sicher gehen, kann ein Datenschutzbeauftragter Ihre Arztpraxis genauer unter die Lupe nehmen, auf Schwächen und Fehler hinweisen sowie Lösungsstrategien entwickeln.
| Datenschutz in der Arztpraxis: Leitfaden zum Umgang mit Patientendaten | ||
|---|---|---|
| Empfang | Ja | Nein |
| Gibt es eine Zutrittskontrolle? | ❍ | ❍ |
| Haben Sie einen Diskretionsbereich eingerichtet? | ❍ | ❍ |
| Werden die Anmelde- und Patientendaten des Betroffenen diskret erhoben? | ❍ | ❍ |
| Ist die ununterbrochene Besetzung des Empfangs während der Öffnungszeiten gewährleistet? | ❍ | ❍ |
| Sind Bildschirme, Fax, Telefone & Co. vor dem Einblick Dritter geschützt? | ❍ | ❍ |
| Kann kein Unbefugter auf PCs & Co. zugreifen? | ❍ | ❍ |
| Sind die Patientenakten vor unbefugtem Zugriff abgesichert? (abschließbare Schränke usf.) | ❍ | ❍ |
| Werden die Patienten auf die Freiwilligkeit des Ausfüllens eines Anamneseformulars hingewiesen? | ❍ | ❍ |
| Ist das Wartezimmer so abgetrennt, dass Dritte keine Gespräche am Empfang oder in den Behandlungsräumen mithören können? | ❍ | ❍ |
| Behandlungsräume | Ja | Nein |
| Sind Patienten niemals allein in einem Behandlungsraum? Alternativ: Ist sichergestellt, dass unter Abwesenheit des Arztes keine Fremdinformationen durch den Patienten eingesehen werden können? | ❍ ❍ | ❍ ❍ |
| Datensicherheit und -verwaltung | Ja | Nein |
| Sind die Datenverarbeitungssysteme physisch geschützt? (Beschränkung des Zugangs zum Server usf.) | ❍ | ❍ |
| Ist der Zugriff auf elektronische Arbeitsplätze durch sichere Passwörter beschränkt? | ❍ | ❍ |
| Werden die Passwörter regelmäßig gewechselt? | ❍ | ❍ |
| Sind unbeaufsichtigte PCs stets gesperrt (inkl. Passwortschutz)? | ❍ | ❍ |
| Sind Virenschutzprogramme und ggf. auch Firewalls installiert und auf dem aktuellsten Stand? | ❍ | ❍ |
| Ist die Einsicht jedes einzelnen Mitarbeiters in die Daten an deren jeweilige Berechtigung zur Einsicht angepasst? | ❍ | ❍ |
| Werden regelmäßig Sicherungen der Daten erstellt? | ❍ | ❍ |
| Ist eine verschlüsselte und/oder sichere Übertragung von Daten (auch physischen) gewährleistet? | ❍ | ❍ |
| Ist die Arztpraxis gegen Diebstahl und Einbruch angemessen abgesichert? | ❍ | ❍ |
| Werden nicht mehr benötigte Patientenakten, Informationen und Datenträger gemäß Datenschutzbestimmungen korrekt entsorgt? | ❍ | ❍ |
| Sind alle Angestellten auf das Datengeheimnis verpflichtet worden? | ❍ | ❍ |
| Wurden sie darüber hinaus auch auf die besondere Verschwiegenheitspflicht hingewiesen und entsprechend belehrt? | ❍ | ❍ |
| Rechte der Betroffenen | Ja | Nein |
| Ist sichergestellt, dass die Betroffenen ihr Auskunftsrecht geltend machen können? | ❍ | ❍ |
| Werden die Fristen für die Aufbewahrung und Löschung von Gesundheitsdaten eingehalten? | ❍ | ❍ |
| Werden Betroffene über den Umfang einer Einwilligungserklärung in die Datenübertragung aufgeklärt? | ❍ | ❍ |
(59 Bewertungen, Durchschnitt: 4,08 von 5)
Loading...
Hartmut says
Hallo, das ist ja mal eine gute Übersicht, Kompliment. Wir wollen den Datenschutz in einer Arztpraxis mit 13 Angestellten verbessern. Externe Fachleute sind nicht nur teuer, sonder oft auch überqualifiziert. Ist es denn erlaubt/ ratsam, den Ehepartner des Chefs zum Datenschutzbeauftragten einzusetzen, entsprechende Kenntnisse vorausgesetzt.
Halten Sie das eingehende Studium Ihrer Website für ausreichend? Mit scheint es so.
Mit freundlichen Grüßen
H.
Datenschutz.org says
Hallo Hartmut,
vielen Dank. Grundsätzlich sollten Sie sich, um absolute Sicherheit zu wahren, stets an einen versierten Datenschutzbeauftragten wenden. Ein familiäres Verhältnis zwischen Datenschutzbeauftragtem und Auftraggeber muss nicht automatisch ein Problem darstellen – zumindest nicht aus Sicht des Datenschutzes.
Die Redaktion von Datenschutz.org
M. H. says
Externe Datenschützer bekommen Sie doch bereits für ca. 150€ pro Monat. Ist das für eine Arztpraxis tatsächlich nicht zu stämmen? Dann frage ich mich was in anderen Branchen wie Taxi, Fiseur etc. tun sollen. In einer Arztpraxis gehen so viele verschiedene Menschen ein und aus (streitwillig oder auch nicht), die Art der Daten ist teils hoch sensibel. Wer da am Datenschutz spart und eine 4% auf den Jahresumsatz bezogene Strafe riskiert, der hat diese Strafe am Ende irgendwo auch verdient. Bedenken Sie wieviele Patienten einer Praxis ihre Daten anvertrauen. Wer da jemanden intern oder aus dem Familienkreis einsetzt sollte auch für Schulungen sorgen. Das studieren einer Website ist sicher ein Anfang, ersetzt aber keine Ausbildung zum Datenschutzbeauftragten. Ich empfinde dieses Handeln als fahrlässig und unverantwortlich den Patienten gegenüber!
Patient says
Genau so, vielen Dank für diesen Beitrag!
Katrin says
Auzug
[Link von der Redaktion entfernt]
-> Sie können einen Mitarbeiter als Datenschutzbeauftragten benennen oder mit einem externen Datenschutzbeauftragten zusammenarbeiten.
->Der Praxisinhaber trägt zwar letztendlich die Verantwortung für den korrekten Umgang mit personenbezogenen Daten in seiner Praxis, darf das Amt des Datenschutzbeauftragten aber nicht selbst übernehmen, denn er kann und darf sich nicht selbst kontrollieren. Er darf hierzu auch keine Familienangehörigen benennen.
Freundliche Grüße
Bettina J. says
Sehr gute Zusammenfassung! Wo finde ich einengeeigneten datenschutzbeauftragten für eine Ordination in Wien?
Datenschutz.org says
Hallo Bettina,
leider können wir Ihnen hierzu keine Hinweise geben. Wenden Sie sich am besten an lokale Stellen oder erkundigen Sie sich bei Berufsverbänden.
Die Redaktion von Datenschutz.org
Hanfried G. says
Frage:
Ich habe gehört, dass Faxkommunikation von medizinischen Berichten und Befunden wegen Datenschutzbedenken ab Herbst 2018 unterbunden werden soll. Gibt es dazu eine belastbare Quelle oder dient eine solche Mitteilung von Seiten der “Oberen” dem Durchsetzen einer Internet-Vernetzung aller Arztpraxen (Telematik-Infrastruktur) zwecks elektronischen Austausch darüber? Könnte ja sein, dass die an der “Telematik-Infrastruktur” Verdienenden eine gute Lobbyarbeit gemacht haben…
Wahnfried
Datenschutz.org says
Hallo,
hierzu liegen uns keine Informationen vor.
Die Redaktion von Datenschutz.org
Andreas H. says
Das nenne ich eine sehr sorgsam zusammen gestellte Übersicht! Auch hinsichtlich der DGSVO 2018 ist dies für jede Arztpraxis ein wertvoller Leitfaden!
katrin h. says
Hallo, hatte vor drei Wochen ein Telefonat mit der KV baden Württemberg. Die Ehefrau als Datenschutzbeauftragte zu benennen ist nicht! zulässig. Bitte abklären. Informationsbeschaffung ist da sicher nicht gemeint, aber verantwortlich im Sinne von gemeldet bei der Aufsichtsbehörde darf sie nicht sein.
mfg, caty
Christine W. says
Hallo
Ad 1 werden bei einer ÜBAG mit 2Standorten die Mitarbeiter an den einzelnen Standorten oder alle zusammen gerechnet.
Ad 2 kann ich als Praxisinhaber mit Qualifikation der Fachkunde in eigener Praxis als Datenschutzbeauftragter fungieren, oder muss dieser betriebsfremd sein .
Herzliche Grüße
Datenschutz.org says
Hallo Christine,
Fragen zur konkreten Umsetzung können die Datenschutzbehörden der Länder beantworten. Wenden Sie sich am besten an diese sachkundigen Stellen.
Die Redaktion von Datenschutz.org
Anna says
Sehr gute Zusammenfassung! Dennoch eine Frage: Gibt es hinsichtlich der Datenschutzerklärung auf der Homepage etwas, was man über eine “normale” Datenschutzerklärung hinaus veröffentlichen muss?
Datenschutz.org says
Hallo Anna,
eine vollständige und korrekte Datenschutzerklärung ist in der Regel ausreichend.
Die Redaktion von Datenschutz.org
J. says
Hallo,
vielen Dank für die ausführliche Information. Ich bin als Psychotherapeutin neu niedergelassen. Darf ich die Termine meiner Patienten mit deren Namen in meinem lokalen Handykalender speichern (andere Daten ausser dem Nachnamen würden nicht im Kalender stehen). Falls ja, darf ich den Kalender mit meinem Google-Kalender synchronisieren?
Danke und viele Grüße
J.
Datenschutz.org says
Hallo,
ein berechtigtes Interesse kann die Speicherung von Terminen in der Regel begründen. Die Betroffenen sollten dabei jedoch über die Art und Weise sowie den Zweck der Verarbeitung Ihrer Daten sowie ihr Widerspruchsrecht hingewiesen werden. Wenden Sie sich zur genauen Klärung bitte an einen Datenschutzbeauftragten.
Die Redaktion von Datenschutz.org
RS says
Hallo,
Mit welchen Kosten muss ich für einen externen Datenschutzbeauftragten rechnen?
Datenschutz.org says
Hallo RS,
dies ist je nach Anbieter, Leistungen und Umfang der Datenverarbeitung unterschiedlich und kann von ca. 150 Euro im Monat bis hin zu pauschal mehreren 1000 Euro gehen. Am besten fragen Sie bei einigen Anbietern nach, um sich Angebote einzuholen und diese zu vergleichen.
Die Redaktion von Datenschutz.org
Monika says
Danke für die tolle Übersicht!
Aber eine Frage: kann auch der Arzt selbst die Rolle des DSB übernehmen oder darf er dies nicht? Hierzu finde ich keine konkrete Aussage.
Danke und viele Grüße!
Datenschutz.org says
Hallo Monika,
der Datenschutzbeauftragte sollte stets neutral sein und darf theoretisch auch nicht in einem direkten Abhängigkeitsverhältnis zur Geschäftsleitung stehen, um die Objektivität wahren zu können. Übernimmt der Geschäftsleiter die Rolle des Datenschutzbeauftragten kann hier ein entsprechender Konflikt entstehen.
Die Redaktion von Datenschutz.org
Torsten H. says
Vielen Dank für die Zusammenfassung. Eine Frage bleibt zur Datenübertragung: Dürfen Daten/Befund gefaxt werden? Die Eingabe der Empfängernummer erfolgt aus einem elektronischen Adressbuch (nicht von Hand) um Zahlenfehler zu vermeiden.
Mit bestem Dank für Eure Arbeit
Torsten
Datenschutz.org says
Hallo Torsten,
das Faxen ist nicht per se untersagt. Es muss jedoch sichergestellt sein, dass der Empfänger zur Einsicht und dem Erhalt der Daten befugt ist und kein Dritter diese abgreifen kann. Wenden Sie sich für eine Klärung an Ihren Datenschutzbeauftragten.
Die Redaktion von Datenschutz.org
Anna says
Stimmt es, dass lt. dem neuen Datenschutzgesetz mir, als bekannte Patientin, meine eigenen Befunde nicht übergeben werden dürfen? Meine Ärztin meint, ich müsse zunächst immer Rücksprache in einem Termin mit ihr halten. Das bedeutet für mich, als mündiger Patient, mindestens 1-2 Stunden Wartezeiten. Und das alles, um einen Befund über meinen Gesundheitszustand zu erhalten? Kann das sein?
Datenschutz.org says
Hallo Anna,
die Übermittlung der Patientendaten ist in der Regel nur dann zulässig, wenn sichergestellt werden kann, dass der Empfänger auch sicher der Betroffene ist. Zudem werden umfangreiche technische Vorgaben zur verschlüsselten Übertragung gegeben, die nicht jede Arztpraxis bewältigen kann. Bitte wenden Sie sich ggf. für eine entsprechende Hilfestellung an den Datenschutzbeauftragten der Ärztin.
Die Redaktion von Datenschutz.org
Jochen K. says
Hallo, eine gute Übersicht.
Ich frage mich ob alle Mitarbeiter, die in irgendeiner Form in Kontakt mit Patientendaten wie Name und Diagnose kommen, aber von diesen nur Kenntnis bekommen, ohne sie in irgendeiner Form zu “verarbeiten” bei der Zahl der relevanten Mitarbeiter zur Bestellung eines DSB mitgezählt werden.
Viele Grüße Jochen K.
Datenschutz.org says
Hallo Jochen,
laut Art. 4 DSGVO gehören zur Verarbeitung auch Tätigkeiten wie die Organisation, das Ordnen, das Auslesen oder das Abfragen von personenbezogenen Daten. Daher zählen solche Mitarbeiter in der Regel auch mit.
Die Redaktion von Datenschutz.org
Gyde says
Guten Tag,
ist es erlaubt, medizinische Daten in der Praxis zu verschlüsseln und anschließend in einer Cloud zu speichern?
Wie kann man die Kommunikation über Mobiltelefon, die meine Patienten gerne zu Terminabsprachen nutzen, datensicher gestalten (bzw. rechtlich unbedenklich, z.B. mit Belehrung zur Datensicherheit via Sms und WhatsApp)?
Datenschutz.org says
Hallo Gyde,
die Speicherung in einer Cloud ist nicht grundsätzlich untersagt. Hier muss jedoch im Rahmen der Auftragsdatenverarbeitung sichergestellt werden, dass der Vertragspartner sich an die Vorgaben der DSGVO hält. Die Speicherung der Daten auf Servern außerhalb der EU kann zusätzlich zu Problemen führen.
Bei der Übertragung von Daten via Smartphone (insbesondere durch WhatsApp) besteht eine allgemeine Unsicherheit. Hier gilt es, in der Regel Vorsicht walten zu lassen. Wenden Sie sich an einen Datenschutzbeauftragten, um genau abzuklären, welche Verarbeitungstätigkeiten in Ihrem Fall unter welchen Vorzeichen zulässig sind.
Die Redaktion von Datenschutz.org
Marion says
Bei meinem Hausarzt kann ich jetzt kein Rezept mehr telef.bestellen,wegen Datenschutz.Nur noch per app oder e-mail.Das ist doch auch kein Datenschutz !
Stimmt das ?
Datenschutz.org says
Hallo Marion,
die telefonische Anfrage ist in der Regel nicht nachweiskräftig, da hier nicht eindeutig bestimmt werden kann, dass der Anfragende auch wirklich der Betroffene ist. Bitte wenden Sie sich bezüglich der datenschutzrechtlichen Grundlage der neuen Abläufe an Ihren Arzt bzw. dessen Datenschutzbeauftragten.
Die Redaktion von Datenschutz.org
Holger says
Warum darf an meine Frau keine Rezepte ausgegeben werden ( Hausarzt ), wenn ich verhindert bin.
Bin Patient bei dem Hausarzt.
Datenschutz.org says
Hallo Holger,
die Auskunftserteilung bezüglich besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten ist nur gegenüber dem Betroffenen oder gesetzlich befugten Dritten gestattet (Betreuer, Bevollmächtigte, Krankenkassen usf.).
Die Redaktion von Datenschutz.org
K. says
Vielen Dank für diese hilfreiche Zusammenfassung. Wie verhält es sich bei der Datentrennung , wenn eine Praxis in den Räumen einer Klinik ist und sowohl die gleichen Angestellten als auch ein gemeinsames Computerprogramm mit einem Kalender benutzt wird. Reicht die Schweigepflichtvereinbarung der Mitarbeiter oder sind 2 getrennte Systeme notwendig, auf die aber alle zugreifen können?
Datenschutz.org says
Hallo,
ausschlaggebend ist die Bewertung der Zugriffsberechtigung. Bitte wenden Sie sich für eine genaue Abwägung an Ihren Datenschutzbeauftragten.
Die Redaktion von Datenschutz.org
Tanja says
Hallo – darf mein Arzt mir ein Rezept zukommenlassen auf dem Postweg?
Datenschutz.org says
Hallo Tanja,
wenn entsprechendes mit Ihnen vereinbart wurde oder eine anderweitige Übergabe nicht möglich scheint, ist dies ggf. zulässig. Zudem schützt das allgemeine Post-/Briefgeheimnis das übersendete Dokument vor den Blicken Unbefugter.
Die Redaktion von Datenschutz.org
Frank says
Wie ist das mit dem Datenschutz bei Psychologen, Psychiatern, Nervenärzten? Insbesondere stellt sich die Frage, ob “Herr Mustermann in Zimmer 2 bitte” nicht schon das personenbezogene Datum des Namens in Verbindung mit dem Aufstehen (und somit Erkennen, um wen es sich handelt) im Wartezimmer zu einer Datenschutzverletzung führt. Beim Hausarzt wohl eher kein Thema, aber bei der o.g. Ärztegruppe? Und dann wohl eher grundsätzlich? Wie ist das einzuschätzen?
Datenschutz.org says
Hallo Frank,
auszugehen ist vom jeweiligen Einzelfall (liegt eine Einwilligung des Patienten vor oder ein berechtigtes Interesse des Arztes). Wir können dies an dieser Stelle nicht abschließend bewerten, auch nicht im Hinblick auf das besondere Berufsgeheimnis.
Die Redaktion von Datenschutz.org
Steffi says
Darf bzw kann mir mein Arzt meine Befunde mailen oder faxen?
Datenschutz.org says
Hallo Steffi,
dies ist in der Regel dann zulässig, wenn Sie eine Einwilligung erteilen.
Die Redaktion von Datenschutz.org
Chris says
Darf der Arzt mich namentlich im Wartezimmer aufrufen oder fällt das nicht unter die DSVGO?
Datenschutz.org says
Hallo Chris,
Das richtet sich ggf. nach dem jeweiligen Einzelfall (vorliegendes Einverständnis, Information durch den Praxis usf.). Viele Fragen des praktischen Alltags bedürfen noch einer genauen Klärung, da sich hier Praktikabilität der DSGVO und Alltag begegnen.
Die Redaktion von Datenschutz.org
Silke says
Hallo
meine Ärztin hat die Gemeinschaftspraxis an meinem Wohnort verlassen und ist nun in einer anderen Praxis (ca. 40km vom Wohnort weg ) tätig. Unterrichtet wurden ihre Patienten nur über ein Schild an der bisherigen Praxis. Nun habe ich das Problem dass Sie meine komplette Krankenakte in die neue Praxis mitgenommen hat. Ich habe dort angerufen, daraufhin hat man mir gesagt dass der Drucker gerade kaputt ist und ich deshalb meine Unterlagen nicht bekomme. Jetzt habe ich nach dem 4 Wochen verstrichen sind einen Freiumschlag an die neue Praxis geschickt mit der Bitte mir alles bis 30.6.18 zukommen zu lassen. Wieder nix passiert. Keine Reaktion. Was kann ich unternehmen? Wie sieht es mit Datenschutz aus? Langsam bin ich echt sauer.
Datenschutz.org says
Hallo Silke,
bitte wenden Sie sich ggf. an den zuständigen Landesbeauftragten für Datenschutz oder andere zuständige Stellen, wenn Sie einen Verstoß gegen das Medizinrecht oder Ihr Recht auf Auskunft vermuten.
Die Redaktion von Datenschutz.org
Gertrud says
gute Zusammenfassung.
Meine Frage:
ich führe als Ärztin (Privatpraxis) reine Papierakten, speichere keine Daten auf dem PC. Rezepte schreibe ich per Hand. Ich nehme alle Telefonate (also auch Bestellungen von Wiederholungsrezepten) selber an, habe keine Angestellten. Rechnungen schreibe ich selber, sie werden nicht gespeichert. Auf meiner Homepage habe ich ein Kontaktformular. Die Datenschutzverordnung ist im Impressum aufgenommen.
Im Empfangsbereich ist Datenschutzverordnung ausgelegt.
Gibt es eine Lücke?
Datenschutz.org says
Hallo Gertrud,
wir sind an dieser Stelle nicht in der Lage, eine umfassende Einschätzung zu den getroffenen Maßnahmen abzugeben, zumal uns die genauen Abläufe der Praxis sowie die (auch nicht automatisierten) Verarbeitungsprozesse (gemäß vorgeschriebenem Verarbeitungsverzeichnis) nicht bekannt sind und wir keine verbindliche Einzelfall-Beratung erteilen können. Bitte wenden Sie sich an einen Datenschutzbeauftragten oder greifen Sie auf die Beratungs- und Hilfsangebote der Ärztekammern zurück.
Die Redaktion von Datenschutz.org
Andreas S. says
Hallo, tolle Übersicht. Ein Aspekt fehlt mir: in vielen Arztpraxen werde ich gebeten, nein sogar gezwungen, deren Datenschutzregeln zu unterschreiben. Ich halte das für überflüssig und nicht notwendig. Vor allem, weil dann parallel gejammert wird, dass das ja so ein Verwaltungsaufwand wäre (Einscannen, Zuordnen, Ablegen). Aber sie berufen sich dann immer auf irgendwelche Anweisungen und Verordnungen ohne aber genaueres sagen zu können.
Was sagen Sie dazu? Meines Wissens ist das öffentliche Aushängen vollkommen ausreichend.
Datenschutz.org says
Hallo Andreas,
sofern die Erhebung und Verarbeitung von personenbezogenen Daten nicht an die Einwilligung des Betroffenen gebunden ist (bei gesetzlicher Verpflichtung oder Zulässigkeit), bedarf es in aller Regel keiner entsprechenden Unterschrift. Stattdessen genügt dann ein Hinweis auf die Datenverarbeitung inklusive der gesetzlichen Grundlagen, den Verarbeitungszwecken, der Rechte der Betroffenen sowie der betroffenen Daten. Im Einzelfall kann eine Einwilligung aber dennoch erforderlich sein, wenn mehr Daten erhoben werden, als für den jeweiligen Vorgang erforderlich.
Die Redaktion von Datenschutz.org
Regina says
Hallo,
Diese Seite ist wirklich sehr informativ.
Vielen Dank!!!
Ist es denn möglich, dass eine Mfa über homeoffice arbeitet, wenn sie dazu Patientendaten benötigt??
Vielen Dank für die Antwort
Datenschutz.org says
Hallo Regina,
die Übermittlung personenbezogener Daten an externe Stellen ist ggf. möglich, sofern die Übertragung sicher ist (verschlüsselt, Zugangskontrolle am Empfangsgerät u. a.). Arbeiten im Homeoffice können hier unterschiedliche Schwachstellen zeigen. Der Rat eines Datenschutzbeauftragten kann ggf. helfen.
Die Redaktion von Datenschutz.org
Peter Z. says
Super, danke!
Fiby says
Hallo,
wie verhalte ich mich wenn ich als Datenschutzbeauftragte einen Mangel in der Praxis festgestellt habe u der Praxisinhaber diesen nicht behebt. Und drohen mir, als angestellte MFA, für den Datenschutz verantwortlich, rechtliche Konsequenzen wenn ein Mangel der Datenschutzbehörde bekannt wird?
MfG u vielen Dank im voraus
Datenschutz.org says
Hallo Fiby,
gemäß Art. 33 DSGVO besteht eine Meldepflicht. Wenden Sie sich ggf. für eine rechtliche Einschätzung an einen Anwalt.
Die Redaktion von Datenschutz.org
Besorgt says
Guten Tag,
besten Dank für die ausführliche und informative Seite!
Ich habe als Patient eine Frage zur Handhabung des Datenschutzes in den Arztpraxen an sich. Und zwar sollte ich bei meinem Urologen die Datenschutzerklärung unterschreiben. Darin ist ein Passus zur Datenweitergabe enthalten, den ich als Gummiparagraphen empfinde, und den ich so nicht unterschreiben wollte.
Es folgt der entspr. Textabschnitt aus der “KBV / Patienteninformation zum Datenschutz, Abschnitt 3. Empfänger Ihrer Daten: … IM EINZELFALL ERFOLGT DIE ÜBERMITTLUNG VON DATEN AN WEITERE BERECHTIGTE EMPFANGER.” [meine Großschreibung]
Meines Erachtens wird durch diese Formulierung die Vertraulichkeit meiner Daten komplett ausgehebelt. Ich hatte deshalb diesen Passus (und nur diesen) mit folgendem Vermerk versehen: “Nur nach meiner vorherigen Einwilligung”. Ich wurde daraufhin zur Praxisvorsteherin bestellt, die mir sagte, daß das so nicht ginge und ich die Erklärung als Ganzes ohne Ausnahmen zu unterschreiben hätte. Ansonsten sei man nicht bereit, mich weiter zu behandeln. Ergänzend meinte sie, “Wo kämen wir denn hin, wenn jeder Patient seine eigenen Ausnahmen bestimmen könnte.”
Zum behandelnden Arzt wurde ich erst gar nicht vorgelassen, obwohl er im Formular ausdrücklich als “verantwortlich für die Datenverarbeitung” aufgeführt ist. Das war somit das Ende einer langjährigen und bis dahin immer vertrauensvollen Arzt-Patient Beziehung.
Daher meine Frage an Sie, ist dieses Vorgehen rechtens, oder bewegt man sich hier bereits in Richtung unterlassener Hilfeleistung? An der Beantwortung dieser Frage ist mir viel gelegen, und ich bedanke mich im voraus für Ihre Antwort.
Mit freundlichen Grüßen.
Datenschutz.org says
Hallo,
in aller Regel bedarf es nicht in jedem Falle der Einwilligung des Betroffenen in die Datenverarbeitung oder Datenübermittlung. Insbesondere bei Patientendaten greifen zumeist auch gesetzliche Erlaubnistatbestände sowie sogar Gebote (etwa bei meldepflichtigen Erkrankungen). Aus diesem Grunde ist eine Einwilligung zumeist nur bei darüber hinausgehenden Verarbeitungen erforderlich.
Die Redaktion von Datenschutz.org
Karin says
Mein weit entfernter Facharzt, ein Rheumatologe, will mir trotz meiner Zustimmung nicht mehr per E-Mail Arztbriefe und Laborberichte zusenden, da er dieses seit der neuen Datenschutzverordnung nicht mehr darf. Darf er dieses tatsächlich nicht mehr?
Ixiko says
Dies darf er nicht mehr einfach so. Faktisch sind bis auf das persönliche Gespräch vor Ort alle Kommunikationsformen unverschlüsselt. Da nützt es auch nichts wenn man die Telefonnummern elektronisch hinterlegt damit ein Fax sein richtiges Ziel erreicht. Nach Zwangsumstellung auf IP-Telefonie gibt es nur noch das Medium Internet als Datenübertragungsweg. Auf diesem Wege kann und wird vermutlich auch alles mitgelesen was verschickt wird. Verschlüsseln wäre eine gute Sache. Bei einem Fax geht das aber nicht. Ich habe in den letzten 15 Jahren niemanden gefunden dem ich mal eine verschlüsselte Mail hätte schicken können. Ihr Rheumatologe könnte Ihnen die Daten zusenden, wenn Sie ihm jedesmal für den entsprechenden Kommunikationsweg und Befund die Freigabe schriftlich geben. Er hat aber keine Freizeit mehr übrig, denn er muss sich ja um das Erstellen von Datenschutzkonformen Hinweisen und Dokumente kümmern und manchmal lässt man ihn noch an die Patienten ran.
Der obige Artikel ist eine Traumtänzerei und enthält so einiges an Unwissen. Soweit ich weiß gibt es z.b. keine einzige Praxissoftware mit der Möglichkeit unterschiedliche Zugriffsrechte einzustellen. Und mit der TI und ihren VPN-Konnektoren die man ins Praxisnetzwerk und nicht vor das Netzwerk hängen kann stellt man einen Klotz in die Tür zu ihren Daten. Ich muss den Konnektor an meiner Praxisfirewall vorbei leiten da es offenbar nicht geduldet wird sein Kommunikation zu kontrollieren. Doch nebenbei ist die Tür auch für andere offen. Wozu brauchen wir die DSGVO, wenn die Daten sowieso zugänglich sind. Gehen Sie in das Büro ihres zuständigen BND-Mitarbeiters. Er hat ihre Befunde schon längst. Was er damit will? Na Hauptsache erstmal haben! Der Rest zeigt sich ihm später.