Datenschutz und Datensicherheit
An Datenschutz und Datensicherheit werden beim Umgang mit Patientendaten besonders hohe Anforderungen gestellt. Gemäß Art. 9 der EU-Datenschutzgrundverordnung (DSGVO) werden Gesundheitsdaten den besonderen Kategorien personenbezogener Daten zugeordnet und verdienen einen höheren Schutz.
Was das für die Umsetzung im Praxisalltag bedeutet und welche Verordnungen und Gesetze für den Datenschutz und die Datensicherheit von Patienten- bzw. Gesundheitsdaten relevant sind, wird im vorliegenden Artikel erläutert.
Weiterführende Inhalte
Was ist Datenschutz?
Datenschutz ist ein Grundrecht und mittlerweile in der Grundrechtecharta der Europäischen Union (Art. 8 EU-Grundrechtecharta) verankert. Dort ist festgelegt, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit der Einwilligung des Betroffenen oder auf gesetzlichen Grundlage verarbeitet werden dürfen. Ferner hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Konkret bedeutet das, dass jede Person das Recht hat, selbst zu entscheiden, wem gegenüber und zu welchen Zwecken sie ihre personenbezogenen Daten preisgibt.
Datenschutz umfasst alle Maßnahmen zum Schutz von personenbezogenen Daten jedes Einzelnen vor missbräuchlicher Erhebung, Speicherung und Weitergabe (kurz: Verarbeitung). In der Arztpraxis fällt die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, z.B. in Form von elektronischen oder analogen unter das Datenschutzrecht.
Der Beitrag hat informativen Charakter und erhebt keinen Anspruch auf rechtliche Vollständigkeit und Korrektheit.
Was sind personenbezogene Daten?
Personenbezogene Daten ist der Schlüsselbegriff im Datenschutzrecht. Laut der Europäischen Kommission sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.“ [9]
Beispiele für personenbezogene Daten sind:
- Name und Vorname;
- die Privatanschrift;
- die Ausweisnummer;
- die persönliche Emailadresse
- eine IP-Adresse
- Daten, die in einem Krankenhaus oder einer Arztpraxis vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten;
- Gesundheitsdaten, die gemäß Art. 9 DSGVO sogar unter besondere Kategorien personenbezogener Daten fallen.
Personenbezogene Daten können derartig anonymisiert werden, so dass eine Identifizierung der betroffenen Person nicht mehr möglich ist. Wenn die Anonymisierung nicht rückgängig zu machen ist, gelten die Daten nicht länger als personenbezogene Daten und fallen nicht mehr in den Anwendungsbereich der DSGVO. Solange eine Person aufgrund ihrer verschlüsselten personenbezogenen Daten noch in irgendeiner Form identifiziert werden kann, sind die Daten nicht anonymisiert. Diese unterfallen sodann weiterhin dem Anwendungsbereich der DSGVO.
Welche Verordnungen und Gesetze sind relevant für den Datenschutz?
Der Schutz von personenbezogenen Daten ist in der EU-Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie den Landesdatenschutzgesetzen (LDSG) für die einzelnen Bundesländer geregelt. Da das Verbotsprinzip zentraler Grundsatz des gesamten Datenschutzrechts ist, ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Erlaubt ist die Datenverarbeitung nur dann, wenn die Voraussetzungen einer der Erlaubnisnormen der DSGVO greift (Art. 6 Abs. 1 DSGVO), z.B. auf Grundlage einer Einwilligung oder eines Gesetzes.
Zusätzlich zu den Bestimmungen von DSGVO, BDSG und LDSG können im Praxisalltag weitere datenschutzrechtliche Anforderungen hinzukommen, die dann für den speziellen Bereich Vorrang haben. Beispiele dafür sind unter anderem:
- § 203 StGB bzgl. der Verletzung von Privatgeheimnissen (insb. Absatz 1, der die Offenbarung zum persönlichen Lebensbereich gehörender Geheimnisse durch Ärzte, Zahnärzte, Apotheker und Angehörige anderer Heilberufe unter Strafe stellt)
- § 67a Sozialgesetzbuch 10 (SGB X) sowie § 284 Sozialgesetzbuch fünf (SGB V) bzgl. der Erhebung von Sozialdaten durch Sozialleistungsträger, insb. durch Krankenkassen,
- Vorschriften in § 11 des Transfusionsgesetzes (TFG) zum Datenschutz bei der Spenderdokumentation,
- Datenübermittlung zur Erfüllung von Meldepflichten gemäß § 9 Infektionsschutzgesetz (IfSG)
- für Ärzte z.B. die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT Sicherheit
Für den ärztlichen Bereich hat die Bundesärztekammer umfassende „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ erlassen, die einen guten Überblick über die Gesamtheit der Datenschutzanforderungen geben.
Datensicherung
Die Datensicherung ist ein wichtiger Aspekt des Datenschutzes und untrennbar damit verbunden.
Im Zusammenhang mit personenbezogenen Daten ist Datensicherung mehr als die Anfertigung von Backups auf geeigneten Speichermedien wie z.B. externen Festplatten oder USB-Sticks zum Schutz vor der Vernichtung von Daten durch Störfälle. Zur Datensicherung gehört auch die Aufbewahrung von analogen Datensätzen, wie z.B. Ausdrucke, Notizen oder Formulare auf Papier sowie Maßnahmen zum Schutz der Daten.
In der Arztpraxis werden hohe Anforderungen an den Schutz von Gesundheitsdaten gestellt, weshalb ein Datensicherungskonzept auf dem neuesten Stand der Technik erstellt werden muss. Berücksichtigt werden müssen der Schutz der Daten und Speichermedien vor unbefugtem Zugriff sowie Verlust, Fälschungen und Fehlern, z.B. beim Sicherungsprozess selbst.
Hinzu kommt, dass Patientendaten vor Gefahren wie technischen Störfällen, höherer Gewalt sowie menschlichem Zutun geschützt werden müssen. Denkbare Probleme sind Stromausfälle, Brände oder der einfache Klick eines Praxismitarbeitenden auf einen falschen Knopf am Computer. Damit dadurch keine Daten verloren gehen, helfen z.B. regelmäßige automatische Backups sowie Brandschutztüren oder -schränke.
Die Einzelheiten hierzu sind in diversen Richtlinien der kassenärztlichen Bundevereinigung geregelt, die auch Handlungsempfehlungen ausspricht.
- Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (Stand: 22.01.2021)
- Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V (Stand: 13.07.2023)
- Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (Stand: 15.09.2021)
- Datenschutz-Check 2018: Was müssen Arztpraxen angesichts der Vorschriften zum Datenschutz tun? (Stand: 09.03.2018)
Aufbewahrungsmöglichkeiten
Von digitalen Daten können Sicherheitskopien z.B. in der Cloud, auf externen Festplatten, PC-Laufwerken, USB-Sticks oder CD/CD-R angefertigt werden. Bei allen verwendeten Speichermedien ist sicherzustellen, dass diese ausreichend geschützt sind.
Cloud-Lösungen müssen vor unbefugtem Zugriff geschützt sein, für die Speicherung von Gesundheitsdaten zertifiziert sein und auf Servern in Deutschland bereitgestellt werden. Computer, Programme oder PC-Laufwerke sind durch sichere Passwörter zu schützen. Externe Speichermedien müssen in verschließbaren Räumen oder Schränken aufbewahrt werden. Gleiches gilt für analoge Dokumente und Behandlungsunterlagen, die z.B. in Archivakten entsprechend verschließbar aufbewahrt werden müssen.
Bei der Wahl des Speichermediums sollten außerdem die vorgeschriebenen Aufbewahrungsfristen beachtet werden. Aufbewahrungsfristen sind häufig 10 Jahre oder länger und die Technik entwickelt sich rasant weiter. Da sollte man sich gegebenenfalls die Frage stellen, ob das gewählte Speichermedium, z.B. eine CD-ROM, in 10 Jahren überhaupt noch gelesen werden kann.
Aufbewahrungsfristen
Wichtige Mindest- und Höchstaufbewahrungsfristen für Arztpraxen sind in den Tabellen 1 und 2 aufgeführt. Detaillierte Übersichten zu Aufbewahrungsfristen für Vertragsärzte finden sich bei den Kassenärztlichen Vereinigungen der Länder.
Tabelle 1: Wichtige Mindestaufbewahrungsfristen für Arztpraxen [2]
| Art des Dokuments | Mindestaufbewahrungsfrist | Grundlage |
|---|---|---|
| Patientenakte / allgemeine ärztliche Aufzeichnungen | 10 Jahre | § 630f Abs. 3 BGB § 10 Abs. 3 MBO-Ä § 57 Abs. 2 BMV-Ä |
| Einzelne vertragsärztliche Formulare | fallen nicht unter 10-jährige Aufbewahrungsfrist | Einzelheiten bei der jeweiligen Kassenärztlichen Vereinigung |
| Sicherungskopie der Abrechnungsdatei bei Abrechnung mittels EDV | 4 Jahre | § 1 Ziffer 4 Richtlinie KBV für Einsatz von IT-Systemen |
| Für nach § 175 Abs. 1 StrlSchV ermächtigte Ärzte: Gesundheitsakten von beruflich exponierten Personen (s. § 175 Abs. 3 StrlSchV) | bis zur Vollendung des 75. Lebensjahres der Person, mindestens aber 30 Jahre | §§ 79 Abs. 3, 167 StrlSchG |
| Aufzeichnungen bei der Anwendung radioaktiver Stoffe oder ionisierender Strahlung zur Forschung am Menschen | 30 Jahre | § 140 StrlSchV |
| Für nach § 175 Abs. 1 StrlSchV ermächtigte Ärzte: Gesundheitsakten von beruflich exponierten Personen (s. § 175 Abs. 3 StrlSchV) | bis zur Vollendung des 75. Lebensjahres der Person, mindestens aber 30 Jahre | §§ 79 Abs. 3, 167 StrlSchG |
| Nachweis über die Mitarbeiterbelehrung im Strahlenschutz | 5 Jahre | § 63 Abs. 6 S. 3 StrlSchV |
| Durchgangsarztverfahren nach Arbeits- und Wegeunfällen | 15 Jahre | Richtlinien für die Bestellung von Durchgangsärzten |
| Fehlerhaft ausgefertigte Betäubungsmittelrezepte | 3 Jahre | § 8 Abs. 5 BtMVV |
| Dokumente zum Nachweis von Verbleib und Bestand von Betäubungsmitteln | 3 Jahre | § 10 Abs. 4, § 13 Abs. 3 BtMVV |
| Gewinnung von Blut und Blutbestandteilen sowie die Anwendung von Blutprodukten | 15, 20 bzw. 30 Jahre | §§ 11 Abs. 1, 14 Abs. 3 TFG |
| Akten der Lebendspendekommission | 30 Jahre | § 15 Abs. 1 i.V.m. § 8 Abs. 3 TPG |
| Arbeitsunfähigkeitsbescheinigung | 1 Jahr | Erläuterungen zur Vordruckvereinbarung als Anlage des BMV-Ä |
| Überweisungsscheine (bei EDV-Abrechnung) | 1 Jahr | § 7 Abs. 2 Anlage 4 BMV-Ä |
| europäische Krankenversicherungskarte (für Vertragsärzte sind Unterlagen von Patienten, die über die europäische Krankenversicherungskarte einen Anspruch auf Behandlung nachweisen aufzubewahren; Zweitkopie/Durchschläge der abrechnungsbegründeten Unterlagen sowie Patientenerklärung) | 2 Jahre | „Checkliste für die Praxis: So funktioniert die Abrechnung bei Patienten, die im Ausland krankenversichert sind“ der KBV, Seite 4 von 11, Stand Juli 2020 |
| Labor – Aufzeichnungen über die interne und externe Qualitätssicherung (inkl. Ringversuchszertifikate) – Ergebnisse der Kontrollproben / Einzelmessungen – Laborqualitätssicherung (Kontrollkarten) | 5 Jahre | § 9 Abs. 2 MPBetreibV, Teil B 1 (quantitative laboratoriumsmedizinische Untersuchungen) Nr. 2.1.7 (4), 2.2 (5) sowie Teil B 2 (qualitative laboratoriumsmedizinische Untersuchungen) Nr. 2.1.3 (3) und 2.2 (4) der Richtlinie der Bundesärztekammer zur Qualitätssicherung laboratoriumsmedizinischer Untersuchungen |
Tabelle 2: Wichtige Höchstaufbewahrungsfristen für Arztpraxen [2]
| Art des Dokuments | Höchstaufbewahrungsfrist | Grundlage |
| (Fersenblut) Filterpapierkarten | 3 Monate | Kinder-Richtlinien Anlage 2 |
| Ergebnisse genetischer Untersuchungen | 10 Jahre (bzw. unverzüglich, wenn Betroffener Vernichtung wünscht) | § 12 GenDG |
| Für nach § 175 Abs. 1 StrlSchV ermächtigte Ärzte: Gesundheitsakten beruflich exponierter Personen | bis beruflich exponierte Person das 75. Lebensjahr vollendet hat, mindestens 30 Jahre nach Ende dessen Tätigkeit, maximal 100 Jahre nach dessen Geburt | § 79 Abs. 3 StrlSchG |
Welche Maßnahmen der Datensicherung werden unterschieden?
Die Maßnahmen zur Datensicherung werden in drei Kategorien unterschieden:
- organisatorische Maßnahmen: unter organisatorische Maßnahmen fallen z.B. die Erstellung von Sicherungskopien, die Aufbewahrung von Datenträgern sowie der Raumschutz;
- technische Maßnahmen: z.B. Sicherung der EDV-Anlage, Alarmanlagen und Türsicherung;
- programmtechnische Maßnahmen: z.B. Benutzerkennung und Passwort am PC, Festlegung von Zugriffsberechtigungen, Kopierschutz, Virenschutz und Datenverschlüsselung.
Umgang mit Datenschutz und Datensicherheit in der Arztpraxis
Gemäß Art. 9 DSGVO dürfen nur Daten, die für die Durchführung der Behandlung und Diagnose benötigt werden, verarbeitet werden. Diese dürfen außerdem nur von Fachpersonal und deren Gehilfen erhoben werden, die dem Berufsgeheimnis unterliegen.
Die ärztliche Schweigepflicht, der gemäß § 203 III StGB auch die „berufsmäßig tätige(n) Gehilfen“ wie Azubis, MFA und alle weiteren Mitarbeitenden der Praxis unterliegen, verbietet die Weitergabe von wichtigen personenbezogenen Daten und Gesundheitsdaten. Zugrundeliegende Verordnungen und Gesetze sowie die Umsetzung der Schweigepflicht im Praxisalltag werden in den Artikeln Schweigepflicht in der Arztpraxis und Schweigepflicht und Schweigepflichtentbindung erläutert.
Wann wird ein Datenschutzbeauftragter benötigt?
Ob eine Arztpraxis einen Datenschutzbeauftragten bestellen muss oder nicht, hängt in erster Linie davon ab, wie viele Personen in die Datenverarbeitung involviert sind und in welchem Umfang diese stattfindet.
Gemäß § 38 BDSG ist die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Kerntätigkeit in der umfangreichen Verarbeitung von Patientendaten besteht. Auch, wenn eine Praxis von zwei oder mehr Ärztinnen oder Ärzten betrieben wird, muss ein Datenschutzbeauftragter bestellt werden. Auch für viele kleinere Arztpraxen ist die Bestellung eines Datenschutzbeauftragten ohne gesetzliche Verpflichtung sinnvoll, da die Einhaltung des Datenschutzes natürlich in jeder Praxis sichergestellt sein muss.
Nur Personen, die das erforderliche Fachwissen und Zuverlässigkeit besitzen (Art. 37 Abs. 5, Art. 36 Abs. 6 Satz 2 DSGVO) dürfen zum Datenschutzbeauftragten benannt werden. Praxisverantwortliche (meist Inhabende), Systemadministratorinnen bzw. -administratoren sowie die Personalleitung dürfen nicht als Datenschutzbeauftragte eingesetzt werden.
Information der betroffenen Person
Patientinnen und Patienten müssen gemäß Art. 13 DSGVO umfassend über die Verarbeitung ihrer personenbezogenen Daten informiert werden, bevor diese erhoben werden. Dazu gehört:
- Name und Kontaktdaten des Verantwortlichen (üblicherweise ist dies der Praxisinhabende)
- Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
- Zweck und Rechtsgrundlage der beabsichtigten Datenverarbeitung
- An welche Empfänger werden Patientendaten übermittelt
- Dauer der beabsichtigten Datenspeicherung
- Hinweis auf bestehende Datenschutzrechte der Patienten
- Hinweis auf Beschwerderecht und Kontaktdaten der Aufsichtsbehörde
An wen dürfen Gesundheitsdaten übermittelt werden?
Gesundheitsdaten dürfen nur auf Grundlage einer Rechtsvorschrift oder Einwilligung der Patientin bzw. des Patienten an weitere Personen oder Stellen übermittelt werden. Beispiele für zulässige Übermittlungen von Patientendaten sind in Tabelle 3 dargestellt.
Tabelle 3: Beispiele für Empfänger einschließlich Zweck und Gesetzesgrundlage an die Patientendaten übermittelt werden dürfen
| Empfänger | Zweck | Grundlage |
|---|---|---|
| Kassenärztliche Vereinigung | Kassenärztliche Vereinigung | § 285 SGB V i. V. m. § 100 SGB X |
| Kassenärztliche Vereinigung | Prüfung einer Arztrechnung | § 275 SGB V |
| zuständiges Gesundheitsamt | zuständiges Gesundheitsamt | §§ 6 ff. Infektionsschutzgesetz |
| Externes medizinisches Labor | Analyse von Proben | § 9 Abs. 4 BOÄK SH, Art. 13 und 14 DSGVO, bei ausreichender Information über die Arbeitsabläufe der Praxis |
Patientendaten dürfen nicht einfach zwischen Kollegen weitergegeben werden, wenn diese nicht mit der Betreuung oder der Datenverarbeitung des Betroffenen beschäftigt sind. So dürfen z.B. in einer Gemeinschaftspraxis keine Gesundheitsdaten zwischen Ärztinnen oder Ärzten ausgetauscht werden, wenn diese nicht an der Untersuchung oder Behandlung beteiligt sind.
Da zwischen Ärzten die Schweigepflicht ebenfalls gilt, muss für den Austausch von Patientendaten die Einwilligung der Patientin bzw. des Patienten vorliegen. Eine solche Einwilligung wird auch für Kooperationen bzw. Datenaustausch mit anderen Leistungserbringern des Gesundheitswesens (z.B. mit Pflegediensten oder Therapeutinnen und Therapeuten) benötigt. Wenn Patientendaten an Ehegatten oder Angehörige sowie Forschungsinstitute übermittelt werden sollen, setzt auch das eine Einwilligung der betroffenen Person voraus.
Z.B. bei Liquidationen, Abrechnungen, Kooperationen mit anderen Leistungserbringern im Gesundheitswesen oder der Telemedizin muss der elektronische Datentransfer verschlüsselt geschehen. Eine Ende-zu-Ende-Verschlüsselung ist Pflicht. Für die sichere Übertragung von Patientendaten soll das besonders geschützte Datennetzwerk der Gesundheitsbranche, die Telematikinfrastruktur (TI) verwendet werden. Anderenfalls müssen die Patientendaten auf dem Postweg übermittelt werden.
Was muss eine Einwilligungserklärung enthalten?
Die landläufig bekannte Einwilligungserklärung heißt eigentlich Schweigepflichtsentbindungserklärung und muss folgendes enthalten:
- Wer übermittelt die Daten? (Name, Anschrift)
- Wessen Daten werden übermittelt? (Name des Betroffenen)
- Wer erhält die Daten? (Name, Anschrift)
- Welche Daten werden übermittelt? (Datenumfang)
- Wofür? (Zu welchem Zweck)
- Hinweis auf Freiwilligkeit
- Hinweis auf Möglichkeit des Widerrufes („mit Wirkung für die Zukunft, ohne Angabe von Gründen“)
Die betroffene Person muss wissen, wofür diese zustimmt sowie die Bedeutung und Tragweite dieser Entscheidung überblicken können, damit die Einwilligung wirksam ist (§ 203 Abs. 1 Nr. 1 StGB). Außerdem muss der Betroffene über die Folgen einer Verweigerung bzw. des Widerrufes der Einwilligung aufgeklärt sein.
Die Einwilligung in die Schweigepflichtsentbindung kann zwar mündlich erteilt werden (Art. 7 DSGVO), jedoch empfiehlt sich eine Unterschrift. Denn die Praxis muss aber nachweisen können, dass der Betroffene alle erforderlichen Informationen erhalten und eingewilligt hat (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht).
Unbeabsichtigte Offenbarung von Patientendaten
Offenbarung von Patientendaten bedeutet, dass (unbefugte) Dritte von diesen Daten Kenntnis erlangen können. Dies kann z.B. geschehen, wenn
- sich mehrere Patientinnen bzw. Patienten im Empfangsbereich aufhalten und so mithören und unbefugt Informationen über andere Personen sowie ihre Diagnosen erhalten können;
- Patientenakten frei zugänglich im Behandlungsbereich liegen;
- Personal den Empfangsbereich verlässt (z.B. um bei einer Behandlung zu assistieren) und dadurch Schränke, Akten oder Computer unbeaufsichtigt sind;
- sich Mitarbeitende der Arztpraxis über Diagnosen, Testergebnisse von Patienten austauschen (z.B. laute Gespräche im Empfangsbereich);
- Kommunikation per E-Mail oder Telefon stattfindet. Dabei kann das Praxisteam nicht sicherstellen, dass es tatsächlich mit der richtigen Person kommuniziert. Somit ist die Gefahr erhöht, Patientendaten an Nichtberechtigte weiterzugeben.
Um diesen schwierigen Situationen zu begegnen, müssen entsprechende Maßnahmen getroffen werden. So müssen z.B. der Empfangs- und der Wartebereich strikt voneinander getrennt sein. Die Einrichtung von Diskretionsbereichen für die Vergabe von Terminen und anderen Absprachen kann ebenfalls sinnvoll sein. Durch organisatorische Maßnahmen muss sichergestellt werden, dass keine Unterlagen mit Patientendaten unbeaufsichtigt sind. Auch Bildschirme müssen so aufgestellt werden, dass Unbefugte nicht mitlesen können. Alle Patientendaten, unabhängig davon, ob diese digital oder analog vorliegen, müssen mit adäquaten Mitteln jederzeit vor Diebstahl geschützt werden.
Literatur
Dr. von Reibnitz ist promovierte Gesundheitswissenschaftlerin und Hochschuldozentin im Bereich des Gesundheitsmanagement. Seit 2013 ist sie bei Dr. Ausbüttel zuständig für den Bereich Krankenkassenmanagement und Expertin für die Themen Abrechnung und Recht.
