Ärztin mit Tablet in Behandlungszimmer - Aufmacherbild zu KI-Verordnung in der Arztpraxis

Häufige Fragen zum Datenschutz in der Arztpraxis

Kommentar verfassen / Arzt und Datenschutz / Von /

Wir geben regelmäßig Seminare zum Datenschutz für Mitarbeiterinnen und Mitarbeiter in Arztpraxen. Der Input und die Fragen aus diesen Seminaren sind eine wichtige Hilfe. So verstehen wir immer besser, was unsere Kunden bewegt: Von der telefonischen Beratung bis zur Behandlung von Kolleginnen und Kollegen.

1) Patienten wünschen zunehmend Befunde per Mail zugesandt zu bekommen – und sind auch entsprechend ungehalten, wenn dies aus Datenschutzgründen verwehrt wird. Ist dies überhaupt möglich, bzw. muss beiderseits bestimmte Verschlüsselungssoftware installiert sein?

Der Versand von Befunden per E-Mail ist grundsätzlich problematisch, da unverschlüsselte E-Mails nicht den Anforderungen der DSGVO entsprechen. Eine datenschutzkonforme Lösung wäre die Nutzung einer Ende-zu-Ende-Verschlüsselung. Dies setzt voraus, dass sowohl die Praxis als auch der Patient über kompatible Verschlüsselungssoftware verfügen. Alternativ kann eine gesicherte Patientenplattform genutzt werden, auf der Befunde zum Abruf bereitgestellt werden. Wenn trotz aller Bedenken die E-Mail genutzt werden soll, ist Mindestvoraussetzung die Verschlüsselung des Anhangs mit den entsprechenden Informationen.

2) Patienten geben an der Anmeldung Adressdaten und Telefonnummer an – dies kann von anderen mitgehört werden. Ist dies zulässig, oder muss dies alles schriftlich erfolgen, oder muss hierfür ein separater Raum zur Verfügung stehen?

Grundsätzlich sollte der Datenschutz auch im Anmeldebereich gewährleistet sein. Die Praxis muss dafür sorgen, dass personenbezogene Daten nicht ohne weiteres von Dritten mitgehört werden können. Dies kann durch organisatorische Maßnahmen wie eine diskrete Befragung und größere Abstände erfolgen.

3) Ist es zulässig, Diagnosen oder Therapiepläne eines Patienten vor anderen Patienten zu besprechen, beispielsweise im Aufwachraum nach einer OP oder in einem Mehrbettzimmer einer Belegklinik?

Medizinische Gespräche sollten möglichst unter Wahrung der Vertraulichkeit geführt werden. Wenn keine Einzelgespräche möglich sind, sollte auf eine möglichst diskrete Kommunikation geachtet werden, z. B. durch leises Sprechen oder die Nutzung von Sicht- und Schallschutzmaßnahmen.

4) Ist bei telefonischer Beratung eine bestimmte Verschlüsselungssoftware notwendig, oder gibt es Einschränkungen, z. B. dass eine Beratung nicht über das reguläre Telefon erfolgen darf?

Telefonische Beratungen sind zulässig, eine Verschlüsselungssoftware ist nicht notwendig.

5) Wenn ein Patient für einen Rückruf eine Telefonnummer angibt und dann die Ehefrau ans Telefon geht – begeht die Praxis einen Datenschutzverstoß, wenn der Anrufer sich mit Namen und Adresse meldet und nach dem Patienten fragt?

Bereits die Tatsache, dass eine bestimmte Person Patient der Praxis ist, unterliegt dem Datenschutz. Es sollte vermieden werden, Details zu nennen oder den Grund des Anrufs offenzulegen. Stattdessen kann allgemein gefragt werden, ob der Patient erreichbar ist oder ob er zurückrufen kann.

6) Ein Patient hält während der Behandlung sein Telefon hin, um mit einem Dolmetscher zu sprechen. Darf dies akzeptiert werden, oder besteht ein Datenschutzproblem, da die Sicherheit der Verbindung nicht bekannt ist?

Der Patient kann selbst entscheiden, wer ihn unterstützt. Die Praxis sollte den Patienten auf mögliche Datenschutzrisiken hinweisen, bevor sensible Informationen mit Dritten besprochen werden.

7) Wie sollte eine Praxis vorgehen, wenn ein Befund besprochen werden muss und ein Termin vereinbart werden soll?

Die Praxis kann den Patienten über die von ihm für diesen Zweck hinterlegte Telefonnummer anrufen oder schriftlich (z. B. über eine datenschutzkonforme Patientenplattform) darüber informieren, dass eine Rücksprache erforderlich ist.

8) Wie kann ein Patient datenschutzkonform informiert werden, wenn ein Nachsorgetermin vereinbart werden soll, aber keine telefonische Erreichbarkeit besteht?

Falls der Patient nicht telefonisch erreichbar ist, kann ein schriftlicher Hinweis per Post oder eine Benachrichtigung über eine gesicherte Plattform erfolgen. Alternativ kann der Patient bereits beim ersten Termin darauf hingewiesen werden, dass er sich zu einem bestimmten Zeitpunkt selbst melden soll, um den Befund zu erfragen.

9) Wie können Patienten datenschutzkonform über eine kurzfristige Terminverschiebung informiert werden, z. B. wenn der Arzt morgens erkrankt?

Telefonische Benachrichtigungen sind zulässig. Eine SMS kann ebenfalls eine Lösung sein.

10) Wenn ein Patient seinen Termin vergessen hat und telefonisch nachfragt – reicht es zur Identifikation aus, nach Name, Vorname, Adresse und Geburtsdatum zu fragen, oder ist das bereits ein Datenschutzverstoß?

Das Abfragen mehrerer Identifikationsmerkmale ist notwendig, um sicherzustellen, dass die richtige Person am Telefon ist. Die Abfrage von Name, Vorname, Geburtsdatum hierfür sind eine übliche Praxis.

11) Ist für die interne Weiterleitung von Patientenanfragen innerhalb der Praxis ein separates Intranet erforderlich, oder dürfen E-Mails mit Patientendaten intern weitergeleitet werden?

Eine automatische Weiterleitung z.B. bei Abwesenheit ist grundsätzlich nicht zulässig, auch nicht über ein separates Intranet. Sonstige Weiterleitungen dürfen nur innerhalb einer gesicherten Umgebung erfolgen, z. B. über eine Ende-zu-Ende-verschlüsselte Verbindung. Alternativ kann die Anfrage ausgedruckt und dem zuständigen Arzt persönlich übergeben werden oder das Dokument im Praxissystem digital hinterlegt werden.

12) Wie ist der Datenschutz zu wahren, wenn eine MFA aus der eigenen Praxis sich in der Praxis behandeln lassen möchte – insbesondere im Hinblick auf Dokumentation, Abrechnung und Einsicht durch andere MFAs?

Die Behandlung einer Mitarbeiterin oder eines Mitarbeiters (MFA) in der eigenen Praxis stellt eine besondere Herausforderung dar, da Kolleginnen und Kollegen Zugriff auf medizinische Daten haben könnten. Grundsätzlich gilt das Prinzip der Datenminimierung und Zugriffsbeschränkung:

  • Zugriffsrechte einschränken: Der Zugriff auf die Patientenakte sollte auf das unbedingt notwendige Personal beschränkt werden. Falls möglich, kann dies durch eine Berechtigungssteuerung in der Praxissoftware umgesetzt werden.
  • Vertraulichkeitsvereinbarung: Alle Mitarbeitenden unterliegen der Schweigepflicht und sollten schriftlich auf die besondere Sensibilität solcher Fälle hingewiesen werden.
  • Diskrete Durchführung: Falls eine Blutentnahme oder andere Maßnahmen durch Kolleginnen erfolgen müssen, sollte dies unter Wahrung der Vertraulichkeit geschehen.
  • Alternative Behandlung: Falls praktikabel, kann der MFA empfohlen werden, sich in einer anderen Praxis behandeln zu lassen, insbesondere wenn besonders sensible Daten betroffen sind.

Ähnliche Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert