Datenverwaltung und Datenschutz
Wie gut ist anonym?
Der § 9 des Bundesdatenschutzgesetzes (BDSG) schreibt vor, dass die innerbetriebliche Organisation so gestaltet sein muss, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sollen je nach Art der zu schützenden personenbezogenen Daten erforderliche Maßnahmen getroffen werden. Das heißt zum Beispiel auch, dass Monitore so aufgestellt werden müssen, dass sie vor neugierigen Blicken geschützt sind. Viele Detailtipps finden Sie in den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis der Bundesärztekammer (siehe Webtipp).
Grundsätzlich sieht § 9 BDSG unterschiedliche technische und organisatorische Maßnahmevarianten vor, die die Einhaltung der datenschutzrechtlichen Vorschriften gewährleisten sollen:
- Zugangskontrolle: Die Nutzung der Datenverarbeitungssysteme durch Unbefugte muss verhindert werden. Üblicherweise geschieht das durch ein Passwort. Beim Verlassen des Rechners sollte direkt der Bildschirmschoner mit Passwortschutz aktiviert werden.
- Eingabe- und Weitergabekontrolle: Es muss insbesondere auch nachträglich durch Protokollierung festgestellt werden können, von wem personenbezogene Daten im System eingegeben, verändert, entfernt oder weitergegeben worden sind.
- Personenbezogene Daten müssen gelöscht werden, wenn ihre Kenntnis nicht mehr erforderlich ist. Bei Patientendaten sind aber natürlich die Aufbewahrungsfristen der ärztlichen Berufsordnung zu beachten. Das Löschen von Daten umfasst neben der Vernichtung von elektronischen Datenträgern auch die von Papier und Folien.
Um die Sicherheit von E-Mails und anderen Arten der elektronischen Kommunikation zu verbessern, ist ein verschlüsselter Versand unerlässlich. Dazu müssen Sender und Empfänger ein einheitliches Verschlüsselungssystem benutzen.
Datenschutz analog
Datenschutz ist übrigens nicht nur bei der elektronischen Dokumentation wichtig: Wenn Ihre Praxis noch Karteikarten nutzen sollte, muss gewährleistet sein, dass sich immer nur die Karteikarte des jeweiligen Patienten im Behandlungsraum befindet. An der Rezeption dürfen keine Rezepte, Patientenakten oder andere personenbezogene Dokumente einsehbar sein.
An der Rezeption werden personenbezogene Daten häufig auch per Telefon oder Telefax übermittelt: bei der Terminvergabe, beim Erfragen von Befunden oder Rückfragen zu Medikationen. Das erleichtert den Praxisalltag oft erheblich, man sollte aber unbedingt auch hier auf den Datenschutz achten. Generell gilt dabei: Möglichst keine personenbezogenen Daten am Telefon. Es ist zwar freundlich, wenn Sie den Patienten mit seinem Namen ansprechen – wenn aber andere Patienten im Warte- oder Empfangsbereich mithören können, sollten Sie das vermeiden. Dass Sie keine Auskünfte an Dritte geben, sollte selbstverständlich sein. Es sei denn, es liegt das schriftliche Einverständnis des Patienten vor, dass der Ehepartner oder Kinder / Eltern hier eingebunden werden.
Ein Sonderfall in der Patientenkommunikation sind Recalls – also die Erinnerung an Arzttermine oder Vorsorgeuntersuchungen als Service für die Patienten. Rechtlich ist es so, dass die Erinnerung an weitere Termine grundsätzlich zulässig ist, es sei denn, der Patient wünscht das nicht. Aber nur, wenn die Erinnerung tatsächlich mit der Briefpost kommt.
In der Praxis macht es aber mehr Sinn, mit dem Patienten abzustimmen, ob er lieber per Post, Anruf, Fax, E-Mail oder SMS erinnert werden möchte. Dann wird er den Service auch ganz sicher zu schätzen wissen. Recalls per E-Mail, Telefax, Anruf oder SMS bedürfen aber der schriftlichen Zustimmung der Patienten, da sie sonst als unzumutbare Belästigung im Sinne des Wettbewerbsrechts anzusehen sind. Patienten dürfen immer dann an weitere Arztbesuche erinnert werden, wenn es zur Heilung oder Erhaltung der Gesundheit des Patienten erforderlich ist, etwa für Folgebehandlungen im Rahmen der DMP. Eine sinnvolle Anwendung für Recalls sind neben fälligen Terminen auch Früherkennungsuntersuchungen und Impferinnerungen, um Impflücken zu schließen. Zu den Grundsätzen einer vernünftigen Verarbeitung von Patientendaten gehört es auch, Praxisrechner nicht zu privaten Zwecken zu nutzen. Das umfasst sowohl die Onlinekommunikation (E-Mails, Facebook, WhatsApp etc.) als auch die Nutzung privater Software. Hierbei geht es insbesondere um das Risiko, dass Unbefugte von außen Zugriff auf die Patientendaten nehmen können. Entsprechende Schutzvorkehrungen können dem Leitfaden der KBV Anforderungen an Hard- und Software in der Praxis entnommen werden (siehe Webtipp).
Was Patienten hilft, sollte erhalten bleiben
Evert-Jan van Lente ist beim AOK-Bundesverband für EU-Angelegenheiten zuständig.
Herr van Lente, die EU will ihre Bürger besser vor Datenmissbrauch schützen. Was haben wir hier zu erwarten?
Durch die rasante technische Entwicklungen müssen die Rahmenbedingungen für den Datenschutz regelmäßig an neue Gegebenheiten angepasst werden. Es gibt bereits eine EU-Regelung aus dem Jahr 1995, die aber veraltet ist. Das Abhören von Telefongesprächen und das Speichern sämtlicher Internetdaten durch die US-amerikanische Sicherheitsbehörde (NSA) haben die Diskussion noch in Richtung schärferer Bestimmungen befeuert. Grundsätzlich sollen die Bürger in Zukunft ausdrücklich ihre Zustimmung geben, wenn ihre Daten gespeichert und verarbeitet werden sollen.
Gibt es Ausnahmen für das Gesundheitswesen? Schließlich profitiert doch gerade die evidenzbasierte Medizin von transparenten Daten?
Für Krankenversicherungsdaten sind Ausnahmen für die Abrechnung definiert. Das ist unserer Meinung nach zu wenig. Gesundheitsdaten sollten auch pseudonymisiert – also ohne Namen oder andere Identifikationsmerkmale – für die Versorgungsforschung zur Verfügung stehen. Wenn hier nur Daten von Patienten verarbeitet werden dürfen, die explizit zugestimmt haben, sind die Studien oft wertlos, weil die Teilnehmer der Studie nicht repräsentativ für die gesamte Bevölkerung sind. In Deutschland dürfen z. B. Daten daraufhin ausgewertet werden, ob Patienten für ein Disease-Management-Programm in Betracht kommen. Das hilft den Patienten und sollte erhalten bleiben.
Sehen Sie mittelfristig einen größeren Einfluss der EU auf die Versorgung in Deutschland?
Grundsätzlich liegt die Gestaltung der Versorgung in der Hoheit der Mitgliedsstaaten. Aber die Zulassung von Arzneimitteln und Medizinprodukten werden jetzt schon nach EU-Regelungen vorgenommen. Zudem sollen die Bürger überall in Europa Gesundheitsleistungen erhalten können. Das ist natürlich besonders wichtig in Grenzregionen oder Urlaubsgebieten. Nicht zuletzt ist die EU gefordert, wenn die Ausbreitung einer infektiösen Krankheit eine Impfaktion oder andere koordinierte Maßnahmen notwendig macht. Und da kommt immer mehr dazu. Also: Ja, die EU wird mittelfristig mehr Einfluss haben.
Webtipps
- Praxischeck der Kassenärztlichen Bundesvereinigung
www.kbv.de/html/6485.php - Empfehlungen der Bundesärztekammer
bit.ly/T16Eau - Leitfaden der KBV zu Hard- und Software
www.kbv.de/html/6906.php