Nachrichten & Meinung
Fortbildung

Fachbereiche
Allgemeinmedizin
Chirurgie
Dermatologie
Diabetologie/Endokrinologie
Gastroenterologie
Gynäkologie
Infektiologie
Innere Medizin
Intensiv-Notfallmedizin
Kardiologie
Medizinpraxis
Neurologie
Onkologie
Pädiatrie
Pneumologie
Psychiatrie
Rheumatologie
Sonstige Fachgebiete
Ausgabe: Deutsch

Medscape

English
Deutsch
Español
Français
Português
UKNew

Univadis

Registrieren
Deutsche Ausgabe

Medscape

Univadis

    X
    Univadis from Medscape
    Freitag, 2. Juni 2023
    Nachrichten & Meinung Fortbildung
    Nachrichten & Meinung > Medscape

    MEINUNG

    „Finger weg von E-Mails!“ Ein Experte von der Kassenärztlichen Vereinigung gibt präzise Tipps zur Datenschutz-Grundverordnung

    Christian Beneker

    Interessenkonflikte

    11. Juli 2018

    Matthias Reinecke

    Der Jurist und Datenschutz-Beauftragte der Kassenärztlichen Vereinigung Niedersachsen (KVN), Matthias Reinecke, ist derzeit ein gefragter Mann. Denn er ist zuständig für Fragen der neuen Datenschutz-Grundverordnung (DSGVO) [1]. Sie gilt seit dem 25. Mai 2018 und zwingt die niedergelassenen Ärzte in ihrer Praxis zu einer ganzen Reihe von Maßnahmen – allen voran die Information der Patienten über den Umgang mit ihren Daten. Im Gespräch mit Medscape erklärt Reinecke, worauf die Praxis-Chefs und Chefinnen achten müssen.

    Medscape: Herr Reinecke, aus der KV Bremen hörte man von einer „Abmahnungswelle“, die niedergelassene Ärzte getroffen habe, weil sie die neuen Regelungen der Datenschutz-Grundverordnung in ihren Praxen nicht eingehalten haben. Müssen Niedergelassene jetzt flächendeckend mit Post von Abmahn-Anwälten rechnen?

    Reinecke: Meines Wissens gab es nur wenige Fälle in Bremen. Aus anderen KVen habe ich da noch nichts gehört. Allerdings ist die Furcht vor Abmahnungen bei den Niedergelassenen ziemlich groß.

    Medscape: Ist diese Furcht berechtigt?

    Reinecke: In der Vergangenheit wurden durch Abmahn-Kanzleien massenhaft Mahnungen plus Zahlungsaufforderungen verschickt in der Hoffnung, dass die Angeschriebenen sich von dem Schreiben beeindrucken lassen und Geld zahlen. Zum Beispiel bei Änderungen zum Urheberrecht. Aus der Vergangenheit wissen wir, dass auch so genannte Geschädigten-Vereine über Anwälte pauschal Rechnungen verschicken. Sie verlangen Schadenersatz für ihre Mandanten, weil angebliche Rechtsverstöße vorliegen würden – nach dem Motto: `Bitte zahlen sie folgenden Betrag, dann sehen wir von rechtlichen Schritten ab´. Ähnliche Abmahn-Wellen wurden auch vor Inkrafttreten der DSGVO befürchtet.

    Medscape: Wie verhält sich der Praxis-Chef bei einer Abmahnung am besten?

    Reinecke: Ich rate dazu, keinen Cent zu zahlen! Betroffene Ärzte sollten zunächst den vorgeworfenen Verstoß prüfen. Häufig werden keine individuellen, sondern pauschale Texte verschickt. Sollte sich der Vorwurf bestätigen, sollte der Arzt den Anwalt seines Vertrauens aufsuchen. Er erkennt, ob die Zahlungsforderung rechtens ist.

     
    Ich rate dazu, keinen Cent zu zahlen! Matthias Reinecke
     

    Medscape: Wie können sich Praxis-Inhaber schützen?

    Reinecke: Es gibt nach der neuen Datenschutz-Grundverordnung eine ganze Reihe neuer Verpflichtungen. Zum Beispiel müssen die Praxischefs einen Datenschutz-Beauftragten benennen. Das ist immer dann nötig, wenn in der Praxis mindestens zehn Personen mit elektronischer Datenverarbeitung befasst sind. Allerdings gab es bei diesem Punkt in der Vergangenheit einige Irritationen. Es war unklar, wie gezählt wird: Gehören die Teilzeit-Beschäftigten dazu, oder die Assistenten? Und so weiter. Jetzt ist klar: Es gilt das „Kopfprinzip“. Wer immer mit elektronischen Daten zu tun hat – und das sind in der Regel alle Angestellten und der Chef, beziehungsweise die Chefin – zählen mit. Abgesehen vom Reinigungspersonal sind das in einer Arztpraxis eigentlich alle, die dort arbeiten.

    Medscape: Längst arbeiten viele Praxen mit Homepages, bieten Google Maps für die Anfahrtsbeschreibung zur Praxis oder stellen sogar die Befunde für die Patienten ins Internet.

    Reinecke: So ist es. Darum besteht hier die proaktive Informationspflicht. Wenn ich personenbezogen Daten erhebe, dann muss ich auf meiner Praxis-Homepage klarmachen, welche Daten ich verwende und wozu. Allein wenn ein User meine Webseite aufruft, wird zumindest seine Webadresse gespeichert. Das gilt erst recht, wenn die Praxis etwa eine Facebook-Seite hat oder über Google Maps die Anfahrt erklärt wird. Denn dabei gibt der Patient seine eigene Adresse ein.

    Medscape: Aber ich habe damit ja nicht automatisch eingewilligt, dass Google meine Daten erhält, oder?

    Reinecke: Der Arzt muss mitteilen, wohin die Patientendaten gehen, wer sie verwendet und was mit diesen unternommen wird. Nur so kann der User im Zweifel die Löschung der Daten, etwa bei Google, beantragen. Google bietet aber auch für Webseiten entsprechende Tools an, da muss man sich von einem Fachmann beraten lassen.

    Zum Umgang mit Google-Maps auf der eigenen Webseite gibt es auch seitens der Landesdatenschutz-Behörden noch keine weitergehenden Aussagen. Bayern hat das Konstrukt der „aufgedrängten Daten“ bei Telefonanrufen entwickelt. Das bedeutet: Wer bei Anrufen freiwillig Daten angibt, muss weder über die Verwendung informiert werden noch bedarf es einer Einwilligung für die Verarbeitung. Ob dieses Konstrukt auch auf die Verwendung von Google Maps übertragbar ist, ist noch offen. Aktuell sollte auf jeden Fall in der Datenschutz-Erklärung der Webseite die Benützung von Google mit aufgeführt werden. Google stellt dafür Mustertexte bereit.

    Wo und wie Patientendaten weitergegeben werden, muss der Arzt etwa mit deutlich sichtbaren Plakaten im Wartezimmer und mit Informationsblättern auf dem Anmeldetresen hinweisen. Er muss darüber informieren, dass etwa seine Daten an die KVen gehen oder an Reha-Einrichtungen und so weiter. Auch bei Heimpatienten oder Hausbesuchen muss der Arzt daran denken, diese Informationen bereitzustellen.

    Medscape: Was müssen die MFAs zur neuen Datenschutz-Grundverordnung wissen?

    Reinecke: Die Mitarbeiter müssen vor allem sensibilisiert werden. Was zum Beispiel ist zu tun, wenn ein Angehöriger eines Patienten in die Praxis kommt und die Blutwerte des Ehepartners erfahren will? Wie reagieren, wenn ein Angehöriger anruft und nach den Laborwerten des Ehepartners fragt?

     
    Auch bei Heimpatienten oder Hausbesuchen muss der Arzt daran denken, Informationen zum Datenschutz bereitzustellen. Matthias Reinecke
     

    Grundsätzlich dürfen die MFAs hier keine Auskunft geben! Es sei denn, der Patient hat zuvor eine Reihe von Vertrauenspersonen benannt und eine entsprechende Liste in der Praxis hinterlegt. Für den Telefonkontakt kann man sich auch mit einem Passwort behelfen, das nur den MFAs und dem Patienten vorliegt. Hier müssen die Praxisinhaber auf jeden Fall Regelungen schaffen.

    Übrigens muss der Praxisinhaber auch seine Mitarbeiter darüber informieren, was er mit ihren Daten macht. Etwa dann, wenn ein Lohnbüro die Gehaltsabrechnungen macht. Mit IT-Dienstleistern, die in die Praxis kommen und Dateneinsicht haben, muss indessen eine Auftragsverarbeitungs-Vereinbarung abgeschlossen werden. Das gilt auch für die Lohnbüros.

    Medscape: Welche Bestimmungen gelten für E-Mails?

    Reinecke: Finger weg von Patientendaten in E-Mails! Das gilt auch für WhatsApp oder SMS. Hier kann im Zweifel jeder mitlesen. Wenn aber unbedingt eine Anlage per E-Mail verschickt werden muss, dann stets verschlüsselt. Das können inzwischen die Programme wie Word, Excel usw.

    Medscape: Wann muss der Arzt aktiv eine persönliche Einwilligung des Patienten über die Verarbeitung seiner Daten einholen?

    Reinecke: Nur zur Befundübersendung an einen anderen Arzt oder die Befundanforderung von einem anderen Arzt. Hier braucht er die schriftliche Einwilligung des Patienten – entweder auf einem Vordruck oder nach einer mündlichen Information, die der Patient dann mit seiner Unterschrift bestätigt.

    Medscape: Das klingt nach viel Bürokratie.

    Reinecke: Ja, das stimmt. Aber der Arzt kann sich vom Patienten die Weiterleitung der Befunde oder ihre Anforderung für die mitbehandelnden Ärzte pauschal erlauben lassen. Die schriftliche Bestätigung kann er dann einscannen und in der Patientenakte hinterlegen.

     
    Finger weg von Patientendaten in E-Mails! Matthias Reinecke
     

    Medscape: Wie lauten ihre Empfehlungen zu Laborergebnissen – auch hier werden ja Daten weiter gegeben ...

    Reinecke: Hier stellt sich die Situation bei formaler Betrachtung kurios da: Die Übersendung der Laborprobe bedarf keiner Einwilligung des Patienten. Für die Übermittlung der Laborergebnisse bedarf es dieser aber. Liegt eine solche nicht vor, müsste korrekterweise die Werte an den Patienten selbst übersandt werden. Es ist aber davon auszugehen, dass nur in absoluten Einzelfällen die Einwilligung für diesen Fall nicht gegeben wird.

    Wichtig ist außerdem, dass eine Verweigerung der Einwilligung nicht zu einer Behandlungsverweigerung seitens des Arztes führen darf. Die Datenerhebung innerhalb der Praxis ist gesetzlich gedeckt.

    Medscape: Wer kontrolliert, ob die Maßnahmen in der Praxis ausreichen?

    Reinecke: Prüfberechtigt sind die die Landesdatenschutz-Behörden als Aufsichtsbehörden zur Einhaltung des Datenschutzes. Für sie muss der Arzt ein Verarbeitungsverzeichnis der Daten vorhalten: Wo und wozu erhebe ich Daten? Warum erhebe ich Daten? Auf welcher rechtlichen Grundlage erhebe ich Daten? Was unternehme ich dafür, dass Patientendaten nicht in falsche Hände geraten? Das Ganze hilft übrigens auch dabei, sich über den eigenen Umgang mit Patientendaten klar zu werden.

    Medscape: Wer hilft Ärzten bei diesem Verzeichnis?

    Reinecke: Vordrucke findet der Arzt in der Regel auf den Seiten seiner KV unter dem Stichwort DSGVO. Für Einzelfragen kann er sich auch direkt an seine KV wenden.

    Medscape: Welche Strafen drohen, wenn der Praxisinhaber mit seinen Informationspflichten nachlässig ist?

    Reinecke: Betroffene Patienten können im Zweifel Schadenersatz beanspruchen. Die Höhe ist zunächst unbegrenzt. Die Landesdatenschutz-Behörden können laut Gesetz zwei bis vier Prozent des Vorjahresumsatzes als Strafe festsetzen. Allerdings sollen diese Summen-Androhungen vor allem für die großen Datenkraken zur Einhaltung des Datenschutzes zwingen, die Strafen früher aus der Portokasse begleichen konnten. Ärzte müssen aber zunächst nicht mit Sanktionen rechnen, solange sie überhaupt etwas im Sinne der neuen Datenschutzgrundverordnung getan haben.

     

    MEHR

    Kommentar

    3090D553-9492-4563-8681-AD288FA52ACE
    Wir bitten darum, Diskussionen höflich und sachlich zu halten. Beiträge werden vor der Veröffentlichung nicht überprüft, jedoch werden Kommentare, die unsere Community-Regeln verletzen, gelöscht.

    wird bearbeitet....

    Feedback
    Help us make reference on Medscape the best clinical resource possible. Please use this form to submit your questions or comments on how to make this article more useful to clinicians.
    Pleasedo not use this form to submit personal or patient medical information or to report adverse drug events. You are encouraged to report adverse drug event information to the FDA.
    Medscape Logo
    Über Medscape Datenschutzbestimmungen Redaktionelle Richtlinien Cookies Nutzungsbedingungen Impressum Hilfe
    All material on this website is protected by copyright, Copyright © 1994-2023 by WebMD LLC. This website also contains material copyrighted by 3rd parties.