Arztpraxis und Datenschutz

Sind denn meine Patientendaten sicher bei meinem Arzt?
Logo_Behr_IS (PresseBox) (München, ) Das Bewusstsein um den Schutz der eigenen persönlichen Daten verbreitet sich positiverweise stetig im Zuge der permanenten Datenskandale. Dabei stehen aktuell vor allem die bei den jüngeren Generationen beliebten sozialen Netzwerke und Online-Communities im Blickpunkt. Es ist so einfach in Kontakt zu sein, wenn nicht der Preis dafür zu zahlen wäre, dass ein Eintrag persönlichster Daten und ein unsicheres Wissen über den Umgang bzw. die Verwertung dieser Daten durch den Online-Dienst den ungenierten Genuss trüben würden.

In diesem Umfeld wächst jedoch auch die Sensibilität der Nutzer moderner Medientechnologien. Aber sehr häufig gibt es wesentlich näher liegende Gefährdungen mit deutlich weiter reichenden Konsequenzen.

Stellen sie sich vor, sie laufen durch die Stadt und sehen eine interessantes Gebäude. Sie schalten ihre Handy-Kamera ein und richten sie auf das Gebäude. Schon erfahren sie, um welches Gebäude es sich handelt, wer es wann erbaut hat usw.. Gerade als sie zu Filmen beginnen wollen, läuft eine Person durch das Bild. Und schon können sie lesen, wie diese Person heißt, wo sie wohnt, wie alt sie ist und welche Wehwehchen sie plagen. Ein Horrorszenario? Vielleicht heute noch?

Es gibt bekannte Online-Systeme, die bereits heute in der Lage sind, via Gesichtserkennung Personen zu identifizieren. Diese Information zusammengeführt mit weiteren durchaus legal gespeicherten Daten von z. B. Kundenkartensystemen, (womöglich weniger abgesicherten ausländischen) Online-Händlern oder von Kassenterminals des Marktes an der Ecke geben ein Gesamtbild einer Person, für das einige Konzerne bereit sind, eine Menge Aufwand zu investieren.

Der einzelne Nutzer von modernen Instrumenten der Kommunikation und des Konsums ist nur bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.

Gerade Betriebe für deren Geschäftsmodell die Verwendung von besonders schützenswerten personenbezogenen Daten wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben, unablässig ist, sind zu erhöhter Sorgfaltspflicht im Umgang mit personenbezogenen Daten verpflichtet.

Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.

Analog dieser Formulierung müssten die meisten niedergelassenen Ärzte sich rein juristisch keine Gedanken zum Thema Datenschutz machen. Zumal die ärztliche Schweigepflicht die Schutzbedürfnisse der Patienten abzudecken scheint. Dies ist aber nur die eine Seite der Medaille.

Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes oder der Ärztin. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden, menschliche Fehlleistungen verursachen tiefgreifende Gefährdungen und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen Fertigkeit unlauterer Zeitgenossen stand halten.

Da ist es verständlich, dass Patienten sich trotz Schweigepflicht mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein dringendes Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.

Nach Bundesdatenschutzgesetz müssen alle öffentlichen und nicht-öffentlichen Stellen, die automatisiert personenbezogene Daten mit mehr als 10 Mitarbeitern erheben, verarbeiten oder nutzen einen Datenschutzbeauftragten bestellen. Demnach bestünde für die meisten Arztpraxen juristisch kein Bedarf dazu. Wenn jedoch durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft alle ärztlichen Fachrichtungen.

Eine Vorabkontrolle kann nach BDSG für Arztpraxen entfallen, wenn alle bisherigen, aktuellen und künftigen Patienten schriftlich ihr Einverständnis in die Verarbeitung ihrer Daten geben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es bleibt jedoch vorbehalten, ob dies elektronisch geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb in der zugegebenermaßen recht theoretischen Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.

Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich Datenschutz-konform zu positionieren:
- entweder durch die Bestellung eines Datenschutzbeauftragten oder
- durch die schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.

Nicht zuletzt ist die Absicherung des Umgangs mit Patientendaten durch einen externen Datenschutzbeauftragten ein erfreuliches Argument zur Stabilisierung der Arzt-/Patientenbeziehung und zur Gewinnung neuer Patienten.

Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und nicht zu Letzt die doch erheblichen Strafen, die im Falle einer Abmahnung drohen, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis Datenschutz-konform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen. Die gelegentlich zu hörende Ansicht, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, wie auch fachlich unzureichend.

In Erweiterung des eigenen Portfolios mit dem zunehmend wichtigen Thema Datenschutz Rechnung zu tragen, hat die Münchner Inline Sales GmbH, ein führender Spezialist für Business Process Outsourcing in Marketing und Vertrieb, eine Kooperation mit dem Unternehmensberater Dipl. Inf. Bernhard Behr, München, geschlossen. Ziel ist eine umfassende Unterstützung von Unternehmen im Inland und aus dem Ausland, die im deutschen Markt tätig werden möchten, die aktuellen gesetzlichen Anforderungen an den Datenschutz zu erfüllen.

Bernhard Behr ist seit vielen Jahren als interner und externer Datenschutzbeauftragter für Firmen verschiedener Branchen tätig. Nach seiner Informatikausbildung war er als Projekt-, Bereichsleiter und Manager für bekannte Firmen tätig. Einen besonderen Schwerpunkt legt Herr Behr auf die IT-technische Umsetzung der Datenschutz-Richtlinien im Rahmen des IT-Security Managements z. B. unter Zuhilfenahme des BSI IT-Grundschutzes Handbuches und der ISO 27001.

Kontakt

Inline Sales GmbH
Konrad-Adenauer-Strasse 24
D-35415 Pohlheim
Abteilung für Presse & Öffentlichkeitsarbeit

Bilder

Social Media