In Zeiten zunehmender digitaler Vernetzung ist es dringlicher denn je: Sensible Daten müssen sensibel gehandhabt werden. Das trifft insbesondere für den Umgang mit Gesundheits-, also Patientendaten zu. Auch hier haben Persönlichkeitsrechte – jene der Patientinnen und Patienten – höchste Priorität. Den Verantwortlichen in medizinischen Einrichtungen ist das bewusst. Dennoch kommt es immer wieder zu datenschutzrechtlichen Nachlässigkeiten und Fehlern.
Gründe dafür sind der Umfang der mit dem Datenschutz verbundenen Vorgaben und eine oft nur oberflächliche Kenntnis eben dieser Vorgaben. Hinzu kommt die nicht zu unterschätzende Aufgabenfülle im Alltag einer Klinik oder Arztpraxis. Dabei gerät der Datenschutz schneller aus dem Fokus, als man vielleicht glaubt.
Aus Sicht der Datenschützer zählt die oft mangelnde Diskretion bei der Kommunikation zwischen Personal und Patienten zu einem der häufigsten Schwachpunkte im Praxisbetrieb. Was oberflächlich betrachtet vielleicht harmlos klingen mag und meist „in aller Unschuld“ geschieht, etwa beim Gespräch an der Rezeption vor anderen Patienten, ist es bei genauer Betrachtung schnell nicht mehr. Denn was mit dem einzelnen Patienten und dem Praxispersonal besprochen wird, ist tatsächlich nur für diese bestimmt.
Um in Praxen für ausreichende Diskretion zu sorgen, werden folgende Maßnahmen empfohlen:
- Erhöhter Schallschutz (Schallschutzklasse II) bei Trennwänden und Türen zwischen Behandlungsräumen sowie zwischen Behandlungsräumen und Fluren
- Raumtür zwischen Rezeption und Warteraum
- Akustische Abschirmung des Empfangsbereichs bei offener Raumfolge zum Wartebereich (z. B. durch Raumteiler oder gezielte Diskretionsbeschallung)
- Telefone mit mobilem Empfangsteil oder Headsets, damit Mitarbeiterinnen und Mitarbeiter für vertrauliche Gespräche einen ruhigen Ort in der Praxis wählen können
Die ärztliche Schweigepflicht umfasst auch die Diskretion im Umgang mit Patientenakten und Datenträgern. Beim Umgang mit diesen ist immer zu gewährleisten, dass unbefugte Personen keine Einsicht in die Akten erlangen können. Wichtig ist hier, dass auch bei der Übermittlung von Patientenakten bzw. Gesundheitsdaten an Krankenkassen und Versicherungen zu gewährleisten ist, dass auch wirklich nur die rechtlich zulässigen Informationen an diese Instanzen gegeben werden.
Mit Blick auf die Digitalisierung mahnen Datenschützer zudem immer wieder das Fehlen einer ausreichend konsistenten Cyber-Security-Strategie in Arztpraxen an. Gemeint ist das Fehlen einer angemessenen IT-Infrastruktur, die bei der Nutzung digitaler Services von Drittanbietern (Webhosting-Dienstleister, Cloud-Services usw.) auf die notwendigen Sicherheits- und Verschlüsselungsstandards achtet.
Das alles zeigt, dass Datenschutz in Arztpraxen und Kliniken vor allem eine arbeitsorganisatorische Herausforderung ist. Vier Hauptschwerpunkte müssen dabei beachtet werden:
- Datenerhebung: Es muss Klarheit bei Ärzten und Personal herrschen, welche Daten überhaupt gesammelt und abgefragt werden dürfen und welche nicht.
- Datenweitergabe: Der Transfer erhobener Daten an andere Praxen oder Versicherungen ist nur mit Einwilligung der Patienten erlaubt.
- Datensicherung: Wichtig ist die sicherheitsrelevante Installation eines Zugriffsmanagements, das ausschließlich dem dafür autorisierten Personal bzw. Patienten Einsicht in die betreffenden Unterlagen ermöglicht.
- Archivpflege: Damit das Akten-Archiv irgendwann nicht aus allen Nähten platzt, werden alte Jahrgänge nach Ablauf der Aufbewahrungsfristen aussortiert. Auch während dieser Arbeit und bis zur Entsorgung müssen Datenschutz und Datensicherheit gewährleistet sein.
Ein in diesem Kontext unbedingt zu berücksichtigender Umstand ist, dass alle Bestimmungen zur Datenerhebung, -weitergabe und -sicherung auch den Umgang mit Röntgenbildern betreffen.
Röntgenaufnahmen sind in verschließbaren Aktenschränken zu verwahren. Im Fall aussortierter Aufnahmen müssen diese in abschließbaren Datensicherheitsbehältern (DSB) gesammelt werden. Darüber hinaus tragen Arztpraxen auch für die korrekte Entsorgung der Röntgenbilder die Verantwortung. Die Gesetzeslage verpflichtet ganz klar den Abfallerzeuger bzw. Abfallbesitzer (in diesem Falle also die Arztpraxen und medizinischen Einrichtungen) für die fach- und das heißt eben auch datenschutzkonforme Entsorgung der betreffenden Abfälle. Röntgenbilder schließt das dezidiert mit ein.
Ihre Entsorgung darf nur durch professionalisierte Unternehmen ausgeführt werden. Also Unternehmen, die über ein entsprechendes Zertifikat nach Kreislaufwirtschaftsgesetz (KrWG) und Datenschutzgrundverordnung (DSGVO) verfügen (DIN SPEC 66399-3 / ISO/IEC 21964 – Schutzklasse 1 bis 3-, Sicherheitsstufen P7, F7, P4). Die Sorgfaltspflicht darüber, ob das beauftragte Entsorgungsunternehmen über diese Kompetenzen und entsprechende Zertifikate verfügt, obliegt dem Abfallerzeuger/Abfallbesitzer. Also der Arztpraxis.
Gemeinhin legen zertifizierte Entsorgungsfachbetriebe schon in der Angebotsphase und unaufgefordert die nötigen Zertifikate vor. Ist das nicht der Fall, mahnen Datenschützer erhöhte Achtsamkeit an, da der wertvolle Silberanteil im Röntgenbildmaterial u.U. etwaige Begehrlichkeiten auch bei nicht qualifizierten, also rechtlich nicht befugten Unternehmen wecke. Unabhängig vom damit einhergehenden Strafbestand einer unrechtmäßigen Aneignung ist sich seitens der medizinischen Verantwortlichen immer vor Augen zu halten, dass Röntgenbilder zu den hochsensiblen personenbezogenen Datenträgern gehören. Gelangen diese in nicht autorisierte Hände, kann auch das für den dafür Verantwortlichen, sprich den jeweiligen Abfallerzeuger/Abfallbesitzer, empfindliche rechtliche Konsequenzen nach sich ziehen.
Wie eingangs erwähnt, können datenschutzrechtliche Verstößen mit hohen Bußgeldern oder gar Haftstrafen geahndet werden. Vom Schaden, der damit für die Reputation einer Arztpraxis einhergehen kann, ganz zu Schweigen. Es ist demnach wichtig, auch im fordernden Alltagsbetrieb, Datenschutz in seiner ganzen Dimension zu beachten und Verantwortliche festzulegen. Der Umgang mit Patientenakten inklusive Röntgenaufnahmen gehört wesentlich dazu.