Um´s vorwegzunehmen, ich bin kein Jurist, habe allerdings langjährige Erfahrung in der Beratung von Arztpraxen im Bereich Praxis- und Qualitätsmanagement, wozu dann auch das Thema Datenschutz gehört. Ähnlich wie bei meiner Beratertätigkeit möchte ich vorab eines festhalten: Alles, was ich hier zu Papier bringe, haben weder die Schweizer noch ich erfunden. Ich bin demnach lediglich der Überbringer dieser Forderungen – entscheiden, was Sie davon wie umsetzen, dürfen natürlich Sie.

Praxis-Tipps

Starten möchte ich mit einer persönlichen Episode, lange vor der DSGVO. Wobei oft vergessen wird, dass es Datenschutz-Regeln nicht erst seit der DSGVO gibt.

Aber nun zu meiner Geschichte: Der junge Herr Krämer hatte mal wieder einen Hörsturz und saß beim HNO-Arzt seines Vertrauens in der Praxis. Besagte Praxis ließ bzgl. der medizinischen Versorgung, der Fachkompetenz und der Freundlichkeit aller Mitarbeiter keine Wünsche offen und alles lief, trotz permanenter Überfüllung, ausgesprochen entspannt ab. Von meinem Platz aus konnte ich viele interessante Dinge beobachten.

Die Patienten strömten in schier unfassbarer Menge in die viel zu kleinen Praxisräume. Da das Wartezimmer, dessen Tür ständig offenstand, auch viel zu klein war, nahmen viele Patienten auf Stühlen in den ebenfalls viel zu engen Gängen Platz. Dadurch, dass die Tür zum Wartezimmer nie geschlossen wurde, konnte ich so manche Unterhaltung mithören. Auch die MFA am Empfang war bestens zu verstehen, wenn sie sich mit Patienten vor Ort oder am Telefon unterhielt, denn sie hatte mit Abstand die höchste Dezibelzahl aller MFAs zu bieten. Wenn mir diese Unterhaltungen zu langweilig wurden, konnte ich von meinem Platz aus (an der Ecke des Empfangs) auf dem PC-Bildschirm des Empfangs mitlesen oder direkt vor meiner Nase (an der gegenüberliegenden Wand, gleich neben der Tür des Behandlungszimmers) die Patientenakten studieren, die aufgeschlagen in einer transparenten Wandhalterung auf den nächsten Patienten warteten.

Was meine Neugier angeht, habe ich bei dieser Schilderung natürlich hoffnungslos übertrieben und das, was ich ungewollt doch mitbekommen habe, habe ich selbstverständlich gleich wieder vergessen. Die Zustände waren allerdings exakt so, wie von mir geschildert.

Was will ich Ihnen damit sagen? Natürlich kann man an der baulichen bzw. räumlichen Situation nur selten etwas ändern, allerdings kann man mit wenig Aufwand den Schutz von persönlichen Daten deutlich verbessern, z.B. durch folgende Maßnahmen:

• Diskretionsabstand bei der Anmeldung einhalten
• Wartezimmertür geschlossen halten
• Keine sensiblen Daten am Telefon preisgeben
• Unterschriften-Mappe für Dokumente verwenden
• Karteikarten verdeckt ablegen
• Blickdichte Wandhalterungen verwenden
• Bildschirmschoner aktivieren
• Bildschirmfolie anbringen, die seitliche Blicke auf den Bildschirm verhindert

Website

Ungemach bzgl. eines möglichen Datenschutz-Vergehens kann auch von Ihrer Website ausgehen, den man, ums vorwegzunehmen, aber mit geringem Aufwand vermeiden kann. Folgende Dinge müssen auf einer Website u.a. enthalten sein, bzw. sind bei dieser zu beachten:

• Impressum nach DDG (Digitale-Dienste-Gesetz): Name und Anschrift der Praxis, E-Mail-Adresse, Telefonnummer, zuständige Aufsichtsbehörde/Ärztekammer, gesetzliche Berufsbezeichnung, Staat in dem die Berufsbezeichnung verliehen wurde.
• Datenschutzerklärung
• Google Fonts und Cookies: 
Nicht ohne Einverständnis der Nutzer einsetzen.
• SSL-Verschlüsselung verwenden: 
Erkennt man daran, dass die Adresszeile Ihrer Website im Browser mit https:// statt mit http:// beginnt.

Hier ist Vorsicht geboten, da man Ihnen Ärger bereiten kann ohne jemals in Ihrer Praxis gewesen zu sein, weil es immer leichter wird, mittels spezieller Technologien Regelverletzungen aufzudecken.

Also übersetzt, so dass es auch Nicht-ITler verstehen: Es gibt Programme, die durchs Internet sausen und Seiten herausfiltern, bei denen z.B. das Impressum fehlt oder nicht die Pflichtangaben enthält. Die werden dann weitergeleitet an irgendwelche Anwälte, die dann massenweise Abmahnungen versenden. Und, wenn´s dumm läuft, werden dann schnell mal 500 € an Gebühr fällig. Leicht verdientes Geld für solche Typen. Dagegen kann man sich zwar wehren, allerdings meist nur mit Anwalt und der kostet schnell mehr als 500 €.

Das DDG (Digitale-Dienste-Gesetz) ersetzt übrigens seit Mitte 2024 das häufig noch genannte TMG (Telemediengesetz). Inhaltlich hat sich nichts geändert. Aber der Bezug in Ihrem Impressum stimmt womöglich nicht mehr. Das ist erst mal kein Drama, sofern die Pflichtangaben korrekt sind. Es zeigt aber jedem Besucher, auch den Aufsichtsbehörden, dass es mit der Pflege der Inhalte und Rechtsanforderungen auf Ihrer Webseite nicht zum Besten bestellt ist.

Informationen und Dokumentationen

Neben diesen eher „praktischen“ Dingen, gibt es auch eine Reihe von Informationen und Dokumentationen, die der Datenschutz fordert. Das bedeutet zwar wieder einen gewissen Aufwand, klingt andererseits aber auch schlimmer als es ist. Denn das meiste hiervon muss einmalig erstellt werden und ist damit dann aber auch schon erledigt. Hierzu gehört u.a.:

• Patienteninformation: Wenn personenbezogene Daten erhoben werden, ist die betroffene Person zu informieren über die Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des DSB, den Zweck und Rechtsgrundlage der Datenverarbeitung, die Speicherdauer, die Empfänger der Daten und die Betroffenenrechte. Diese Information kann in Form eines Flyers, der persönlich übergeben wird oder in Form eines Aushanges erfolgen.
• Verarbeitungsverzeichnis: In dieses Verzeichnis gehören alle Vorgänge, bei denen die Praxis personenbezogene Daten verarbeitet, also z.B. Verarbeitung von Patientendaten, Abrechnung über GKV/PVS, aber auch Vorgänge, die ihre Mitarbeiterinnen und Mitarbeiter betreffen, wie Lohnabrechnung und Personalaktenführung. Hierbei geht es lediglich darum die Eckdaten dieser Vorgänge zu erfassen. Im Falle des Vorgangs „Verarbeitung von Patientendaten“ (um hierfür ein Beispiel zu nennen) gehört in dieses Dokument, neben den Kontaktdaten des Praxisinhabers und ggf. des Datenschutzbeauftragten, eine Auflistung folgender Dinge:
  • Welche Personen sind betroffen? 
Patienten, Erziehungsberechtigte
  • Um welche Behandlungsdaten geht es? 
Diagnose, Untersuchungsergebnisse, Therapiemaßnahmen
  • Wem gegenüber werden die Daten offengelegt? 
Praxispersonal, Ärzte (Vor-, Mit- und Nachbehandler), Labor, Krankenkasse, KV
  • Wann werden die Daten gelöscht? 
Behandlungsdaten und Patientendaten 10 Jahre nach Abschluss der Behandlung
• Auftragsverarbeitungsverträge: 
Diese sind mit Dienstleistern abzuschließen, die personenbezogene Daten auf Weisung der Praxis verarbeiten, also beispielsweise mit Ihrem IT-Dienstleister, dem Betreiber Ihrer Website oder Ihrem Lohnbüro. Häufig stellen besagte Dienstleister diese Verträge ihrerseits bereits zur Verfügung.
• Liste der technischen und organisatorischen Maßnahmen (TOM-Liste): In diese Liste gehören alle Maßnahmen durch welche Sie den Datenschutz in Ihrer Praxis gewährleisten, z.B. Patientenakten, nicht offen und immer unter Aufsicht aufbewahren, Passwortschutz für PC, Netzwerkschutz gegen Schadsoftware, Regelmäßige Datensicherung, Mitarbeiterschulungen, regelmäßige Revision des Sicherheitskonzeptes.

Datenpanne

Was, wenn es dann doch einmal zu einer Datenpanne kommt? Und was ist eigentlich eine Datenpanne und wann muss ich diese melden? Die einschlägigen Bestimmungen hierzu lauten, „eine meldepflichtige Datenpanne liegt immer dann vor, wenn eine Verletzung des Schutzes personenbezogener Daten gegeben ist und sich hieraus ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt“. Dazu gleich zwei Beispiele.

Eines aber schon mal vorab – nicht jede gemeldete Datenpanne zieht ein Bußgeld nach sich. Andererseits wurden schon Bußgelder verhängt, wegen einer nicht oder zu spät gemeldeten Panne. Im Zweifelsfall sollte man einen Verstoß also melden. Die Meldung muss spätestens 72 Stunden nachdem man von der Panne wusste, bei der zuständigen Landesdatenschutzbehörde erfolgen. Nun aber zu den versprochenen Beispielen …

Fall 1:
Die Praxis verschickt eine E-Mail mit personenbezogenen Daten an den falschen Empfänger. Da es sich bei diesem um einen langjährigen und gut bekannten Kollegen des Praxisinhabers handelt, kontaktiert man diesen unverzüglich, weist auf das Versehen hin und bittet ihn, die E-Mail zu löschen.

Fall 2:
Die Praxis bemerkt, dass hochsensible Gesundheitsdaten per Briefpost an den falschen Patienten geschickt wurden. Auch hier sollte man unverzüglich (sofern bekannt) den falschen Empfänger über das Versehen informieren und diesen bitten, die Unterlagen sicher zu vernichten oder in die Praxis zurückzubringen. Besteht ein hohes Risiko für die Rechte des Betroffenen, ist auch dieser zu informieren.

In Fall 1 könnte man auf eine Meldung verzichten, in Fall 2 ist eine Meldung unumgänglich.

Trifft man die Entscheidung, eine Panne nicht zu melden, sollte man diese auf alle Fälle dokumentieren – insbesondere auch das, was man unternommen hat, damit kein Risiko hieraus entsteht und wie man solche Pannen zukünftig vermeidet.

Ranking der gemeldeten Datenpannen in Arztpraxen:

Platz 1: Postfehlversand
Platz 2: Cyberangriff
Platz 3: E-Mail-Fehlversand
Platz 4: E-Mail mit „offenem“ Verteiler

Auch wenn das Thema E-Mails in diesem Ranking nicht ganz vorne steht, sollte man dabei besonders vorsichtig sein. Denn eine kleine Unachtsamkeit, ein einziger Klick auf Senden reicht aus und schon ist die E-Mail an den falschen Empfänger oder mit dem falschen Anhang unterwegs.

Dazu ein kleines Beispiel aus meiner eigenen beruflichen Vergangenheit, welches zwar nicht als Datenpanne zu bewerten ist, aber zeigt, was man durch Unkonzentriertheit beim E-Mail-Versand so alles anrichten kann. Wir schreiben das Jahr 1997 – so in etwa. Damals waren E-Mails zwar auch bereits verbreitet, allerdings bei weitem nicht so populär wie heute. Ich war Mitarbeiter eines US-amerikanischen Pharmakonzerns am Standort Heidelberg. Ich bekam eine E-Mail eines Firmenstandortes in Brasilien, in der sinngemäß zu lesen war „bei einem Auto mit der Nummer …. auf dem Parkplatz brennt das Licht“. Ich wusste jetzt also um das Problem auf einem Parkplatz in Rio. Außer mir wussten das weltweit nun noch weitere 45.000 Mitarbeiter, da der Absender versehentlich den damals noch wählbaren Verteiler (alle, international) gewählt hatte. Damit wurde unser E-Mail-Server noch einigermaßen fertig. Als dann aber 1.100 Empfänger dieser E-Mail meinten, einen Kommentar dazu abgeben zu müssen und dabei auf „an alle antworten“ klickten, gab auch der Server den Geist auf und es dauerte 48 Stunden bis dieser wieder online war.

Schlussbemerkung

Dieser Artikel ist als Orientierungshilfe zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Trotzdem hoffe ich, dass Ihnen die Informationen im Praxisalltag hier und da weiterhelfen. Im Zweifelsfall oder bei praxisindividuellen Besonderheiten, kann eine individuelle juristische Prüfung, welche Maßnahmen nach der Datenschutzgrundverordnung in welcher Form in Ihrer Praxis zu ergreifen sind, notwendig sein.

Zum Abschluss, damit Sie den Artikel und dessen Verfasser vielleicht in noch besserer Erinnerung behalten, eine lustige Episode aus der Anfangszeit der DSGVO. Ein nicht ganz ernst gemeinter Aushang in einer Bäckerei im süddeutschen Raum, zu einer Zeit, in der noch nicht so ganz klar war, was unter Geheimhaltung von persönlichen Daten zu verstehen ist: