Datenschutz in der Berliner Praxis

Informationen zum Datenschutz und der Datenverarbeitung unter der besonderen Berücksichtigung der erhöhten Anforderungen innerhalb einer Arztpraxis

Bei der ärztlichen Dokumentation gilt die Beachtung von Pflichten zu den Datenschutzvorschriften und damit verbundene Auskunfts- und Einsichtsmaßnahmen. Dabei müssen die Herausgaberechte der Patienten von den niedergelassenen Arztpraxen beachtet werden. Die Ärzte verpflichten sich dabei nach § 10 Abs. 1 MBO-Ä sowie §630f des Bürgerlichen Gesetzbuches aus dem Behandlungsvertrag zur Dokumentation der Patientenakten.
Für Firmen und Unternehmen gelten die Bestimmungen des Bundesdatenschutzgesetzes.
Durch §4 BDSG (Bundesdatenschutzgesetz) werden die Voraussetzungen für Datenerhebung, Verarbeitung und Nutzung geregelt. Die Voraussetzungen werden durch das BDSG geregelt. Gesundheitsdaten werden nach §3 Abs. 9 BDSG geregelt, die für die Datenerhebung einer Einwilligung bedürfen. Der Patient muss schriftlich über die Bearbeitung und Nutzung seiner persönlichen Daten informiert werden. Die Verarbeitung oder die Nutzung muss sich laut § 4a Abs. 3 BDSG ausdrücklich auf die Daten beziehen. Im dritten Abschnitt des BDSG befinden sich die für den Arzt relevanten Daten. Hier werden die Erhebung, Speicherung, Veränderung oder Übermittelung personenbezogener Daten geregelt.
Bei Nichtbeachtung der datenschutzrechtlichen Vorschriften muss für den Verantwortlichen mit einer Ordnungswidrigkeit in Form von Bußgeld oder sogar die Ahndung als Straftat gerechnet werden.
Bei der Verarbeitung automatisierter Daten sind nicht öffentliche Stellen nach § 4f Abs. 1 BDSG dazu verpflichtet, für die Anwesenheit eines betrieblichen Datenschutzbeauftragten zu sorgen. Sobald Ihr Unternehmen mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, müssen Sie dieser Verpflichtung nachkommen.
Ärztliche Dokumente müssen nach dem Gesetz der Aufbewahrungspflicht 10 Jahre lang aufbewahrt werden. (s. 4.3). § 35 Abs. 3 Nr. 1 BDSG regelt hierbei den Anspruch auf Löschung auf Sperrung patientenbezogener Daten. Um die Weiterverarbeitung oder Nutzung dieser Daten einzuschränken, müssen diese gesperrt werden. Damit die Anforderungen des BDSG eingehalten werden, muss ihr Unternehmen nach § 9 des BDSG der Verpflichtung nachkommen, technische und organisatorische Maßnahmen zu treffen. Hierzu ist auf die Anforderungen der Anlage 1 des BDSG zu verweisen.

Grundlagen zur Dokumentation

Das informationelle Selbstbestimmungsrecht des Patienten ist in der Arztpraxis besonders zu beachten. Der Arzt sowie seine Mitarbeiter haben darauf zu achten, das keine unbefugten Dritten im Empfangsbereich oder den Behandlungsräumen Einblick oder Zugriff auf die Patientendaten erlangen. Dabei ist es unerheblich, ob es sich um konventionelle Patientenakten oder Datenverarbeitungstechniken handelt. Bildschirme sind so aufzustellen, dass nur der Arzt und das Praxispersonal diese einsehen können. Sollte der Schutz vor der Einsicht anderer wartender Patienten nicht gewährleistet sein, muss der EDV-Arbeitsplatz gesperrt werden. Solange nach gesetzlichen Vorschriften keine längere Aufbewahrungspflicht besteht, müssen die Aufzeichnungen der Patientendaten für 10 Jahre nach der Behandlung aufgehoben werden (s. § 10 Abs. 3 MBO-Ä, § 630f Abs. 3 BGB sowie für den vertragsärztlichen Bereich § 57 Abs. 2 BMV-Ä).
Bei den Aufbewahrungsfristen für die Aufzeichnungen über eine Röntgenbehandlung können laut § 28 Abs. 3 Satz 1 RöV und bei der Anwendung von Blutprodukten nach § 14 Abs. 3 Transfusionsgesetz längere Aufbewahrungsfristen gelten. Um einen Arzthaftungsprozess zu vermeiden, muss der Arzt die Patientenakte bis zum Ende dieses Zeitraumes aufbewahren. Erst 30 Jahre nach einer fehlerhaften Behandlung können mögliche Schadensersatzansprüche endgültig verjähren (§ 199 Abs. 2 BGB). Durch den Einsatz geeigneter Software können nachträgliche Änderungen automatisch bei elektronisch geführten Patientenakten kenntlich gemacht werden. Als das Patientenrechtegesetz in Kraft trat, gab es erst wenige Praxisverwaltungssysteme (PVS), die mit einer solchen Funktionalität ausgestattet waren. Gesetzlich wurde kein Übergangszeitraum festgelegt. Der Arzt sollte sich jedoch unabhängig davon eine schriftliche Bestätigung des PVS-Herstellers geben lassen, in der die Anforderungen des § 630f BGB beachtet werden.

Übermittlung der Patientenakten

Bei der externen elektronischen Kommunikation müssen besondere Vorkehrungen zur Wahrung der Datensicherhit beachtet werden. Der Computer mit Patientendaten muss bei einer Verbindung zu einem anderen PC getrennt werden, wenn dieser über eine Internetanbindung verfügt. Es wird dringend eine verschlüsselte Speicherung der Daten empfohlen. Die dabei einzusetzende Firewall sollte leistungsfähig sein und regelmäßig aktualisiert und gewartet werden. Durch diese Maßnahme wird ein unbefugter Zugriff Dritter Nutzer auf den Praxiscomputer verhindert. Das Ausspähen, Verändern oder gar Löschen von Informationen wird somit verhindert.
Sobald patientenbezogene Daten über ein öffentliches Datennetz übermittelt werden, so muss der Arzt den Zugriff Unbefugter auf diese Dokumente ausschließen können. Durch ein sicheres Übertragungsverfahren werden die Daten der Betroffenen verschlüsselt übertragen. Hierfür eignet sich für Ihr Unternehmen eine qualifizierte elektronische Signatur. Für ein noch höheres Sicherheitsniveau wird ein gesichertes Datennetz genutzt, in dem die zu übertragenden Daten nochmal verschlüsselt werden. Für die Kommunikation bei Praxisverbünden und Praxisnetzen sollte daher diese Methode verwendet werden. In jedem Fall muss der Arzt sich verbindlich zusichern lassen, dass bei der Kommunikation die Vertraulichkeit der Patientendaten gewährleistet ist, um sich gegen Unklarheiten der deutschen Rechtslage abzusichern. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) empfiehlt bei der Nutzung von Internet-Telefonie über Drahtlosnetzwerke (WLAN) eine zusätzliche Absicherung (z.B. Verschlüsselung).

Regeln bei der Nutzung eines EDV-Systems

Es sind tägliche Sicherungskopien der Patientendaten auf dafür geeigneten externen Medien zu erstellen. Die Daten dürfen außerhalb der Praxis nur unter bestimmten Voraussetzungen gespeichert werden. Der externe Dienstleister darf dabei keine Kenntnis personenbezogener Patientendaten nehmen. Durch den Ausschluss technischer Mängel wird das geschützte Patientengeheimnis nach § 203 StGB gewahrt. Nach § 11 BDSG muss zwischen Ihrem Unternehmen und dem externen Dienstleister ein Vertrag über den Umgang der Auftragsdaten geschlossen werden. Hierbei muss sich der Arzt vor Beginn und während der externen Verarbeitung der Daten regelmäßig beim externen Dienstleister davon zu überzeugen, dass dieser die technischen und organisatorischen Bedingungen einhält. Das Ergebnis muss dabei dokumentiert werden. Im Fall einer Datenpanne muss Ihr Unternehmen diesen Vorfall innerhalb von 72 Stunden der Aufsichtsbehörde mitteilen. Die Art der Daten ist dabei nicht ausschlaggebend.

Regeln während der gesetzlichen Aufbewahrungsfristen

Innerhalb der gesetzlichen Aufbewahrungsfristen müssen die bereits aufgezeichneten elektronischen dokumentierten Daten nach einem Wechsel des EDV-Systems oder der Programme vom Arzt in einer angemessenen Zeit wiederherstellbar sein und verfügbar gemacht werden können.

Wenn das System die Möglichkeiten für eine (Fern-)Wartung von EDV-Systemen anbietet, müssen einzelne Maßnahmen durch die Autorisierung des Arztes überwacht werden. Dabei müssen der Name der Wartungsperson und die durchgeführten Maßnahmen protokolliert werden. Bei der Ausmusterung von Datenträgern muss durch das mehrfache Überschreiben mit einer geeigneten Software sichergestellt sein, dass die Datenträger unbrauchbar sind. Beim Abschluss eines EDV-Vertrages sowie bei jedem einzelnen Wartungs- und Reparaturfall hat der Arzt darauf zu achten, dass die gesetzlichen Vorschriften eingehalten werden. Das Unternehmen hat für die Datensicherheit der Patientendaten zu sorgen.

Nehmen Sie Kontakt mit uns auf