Bitte nicht faxen – Mängel beim Datenschutz in Arztpraxen

Christian Beneker | 9. April 2013

Autoren und Interessenskonflikte

Die Kassenärztliche Vereinigung Bayern (KVB) hat Anfang März eine umfangreiche Broschüre aufgelegt: „Datenschutz in der Arzt-/Psychotherapeutenpraxis“. Die Lektüre zeigt: Dem Datenschutz fehlen offenbar informierte Ärzte. „Oder wussten Sie zum Beispiel, dass die Schweigepflicht des Arztes auch gegenüber den Eltern von Jugendlichen gilt, die er untersucht hat?“, fragt der Autor der Broschüre, Herbert Baus, vom Fachreferat Datenschutz der KVB.

Die alltägliche Arbeit etwa von Hausärzten dürfte auf diese Bestimmung kaum Rücksicht nehmen. Nicht aus Ignoranz, sagt Baus, sondern aus Nichtwissen. „Viele Ärzte haben uns nun immer wieder nach einer grundsätzlichen und vollständigen Klärung der Datenschutzvorschriften gefragt. Dieser Bitte sind wir jetzt nachgekommen“, so Baus zu Medscape Deutschland.

Stichprobe in Praxen zeigt: Viele Daten ungeschützt

In der Tat ist der Datenschutz beim Doktor nachbesserungswürdig. Das zeigt auch der Tätigkeitsbericht 2012 des Bayerischen Landesamtes für Datenschutzaufsicht. Darin sind zahlreiche Lecks aufgeführt, die Patienten und Arzt Schwierigkeit bereiten könnten. Insgesamt hat das Landesamt eine Stichprobe von 12 Praxen unter die Lupe genommen.

Ziel sei es gewesen, „die einzelne Praxis gegebenenfalls auf Versäumnisse hinzuweisen und sie zu unterstützen, den Umgang mit personenbezogenen Daten zu verbessern. Darüber hinaus wollen wir uns einen Einblick verschaffen, wie es ‚in der Praxis“ läuft“, schreiben die Autoren des Berichtes.

Tatsächlich konnten die Prüfer auf ungeschützten Bildschirmen zum Beispiel Patientendaten erkennen. Dies ist umso bedenklicher, als dass es sich bei Gesundheitsdaten um „Daten mit einer erhöhten Schutzbedarfsklasse handelt“, so der Bericht.

Auch andere Versäumnisse wurden offenbar: Datenträger werden in vielen Praxen nicht in Schutzräumen aufbewahrt, und ebenso fehlen „durchgängige Berechtigungskonzepte“ für den Zugang zu den Daten, wie in anderen Branchen des IT-Bereichs, haben die Autoren des Berichtes festgestellt – also eine Regelung, wer welche Daten einsehen darf und wer nicht.

In diesem Zusammenhang entdeckten die Besucher auch, dass die meisten Praxischefs keine Verträge mit denjenigen Technikern haben, die ihre Computer warten. Denn auch IT-Dienstleister unterliegen der Schweigepflicht, weil sie zu den Patientendaten Zugang haben – aber nur, wenn dies vertraglich abgesichert ist. Außerdem wissen viele Ärzte nicht, welche Daten sie zu welchen Gelegenheiten an Kollegen weitergeben und mit ihnen teilen dürfen – um nur einige potentielle Datenlecks zu nennen.

Broschüre soll helfen

Um solche Lücken schließen zu helfen, hat die KV Bayern mit ihrer Broschüre eine Grundlage geschaffen. „Wir wollen Unsicherheiten beseitigen“, sagt Baus. So ist etwa der Arzt grundsätzlich zum Schweigen über seine Patienten, ihre Krankheiten, Diagnosen und Prognosen et cetera verpflichtet. Aber die Autoren verweisen auch auf die Ausnahmen. So könne es zulässig sein, die HIV-Infektion eines Patienten seiner Lebensgefährtin bekannt zu geben, wenn es der Patient nicht selbst tue.

Eine Lockerung des Datenschutzes ist auch dann möglich,  wenn ein Arzt seinen Anwalt einschalten muss, um Geld von Privatpatienten einzuklagen. Allerdings muss der Arzt seinen Patienten auf den zuvor geschickten Mahnungen deutlich darauf hingewiesen haben, dass Anwälte oder Inkasso-Büros im Zweifel seine Abrechnungsdaten sehen können.

Die knapp 50seitige Broschüre dekliniert die Facetten des Datenschutzes in der Arztpraxis durch und verdeutlicht die einzelnen Schwerpunkte mit Alltagsbeispielen – von der Organisation des Empfangsbereiches über die Praxis EDV bis hin zum Datenschutz bei gemeinschaftlicher Berufsausübung.

So schließt ein Patient in einer Gemeinschaftspraxis grundsätzlich mit allen Ärzten der Praxis einen Behandlungsvertrag. In diesem Fall ist es also kein Problem, wenn Ärzte die Daten ihrer Patienten untereinander austauschen. Anders ist es aber, wenn der Patient ausdrücklich nur mit einem Arzt einen Vertrag schließt oder die Praxis so organisiert ist, dass jeder Arzt einen eigenen Patientenstamm hat. In diesen Fällen müssen auch die Zugriffsrechte der Ärzte auf die gemeinsame EDV geregelt werden.

Schwachstelle Empfang: Um im Getriebe des Praxisalltags mit Patientendaten nicht unachtsam zu werden, empfehlen die Autoren, Patientendaten niemals per Fax zu verschicken. Außerdem müssen die Bildschirme an der Anmeldung vor Patientenblicken geschützt aufgestellt werden. Wartezimmer, Anmeldung und Behandlungsraum sollten stets getrennt sein: Und bei Telefonaten mit Patienten sollte der Arzt nie den Patientenamen nennen – zu leicht und ungewollt erfahren sonst Mithörende, wie es um den Harnwegsinfekt von Frau Meier steht.

Die Bayerische Broschüre ist ausschließlich im Internet erhältlich (www.kvb.de). Laut Baus soll sie jährlich aktualisiert werden.

Autoren und Interessenskonflikte

Christian Beneker
Es liegen keine Interessenskonflikte vor.

Wir bitten darum, Diskussionen höflich und sachlich zu halten. Beiträge werden vor der Veröffentlichung nicht überprüft, jedoch werden Kommentare, die unsere Community-Regeln verletzen, gelöscht.