Datensicherheit und Datenschutz in der Arztpraxis

Worum geht es?

Das Vertrauen des Patienten in seinen Arzt ist eine unabdingbare Grundlage für die erfolg­reiche Behandlung. Der Patient vertraut darauf, dass der Arzt verant­wortungsvoll mit seinen Daten umgeht. Schon vor 2000 Jahren bezeichnete Hippo­krates die Wahrung des Patienten­geheim­nis­ses als „heilige Pflicht“ des Arztes. Mit dem hippokratischen Eid verpflichten sich Mediziner daher noch heute zur Verschwiegenheit.

Die DZ CompliancePartner GmbH will Ärzte dabei unter­stützen, den Datenschutz in der Praxis zu opti­mieren.So bleibt das Patienten­geheimnis ein Geheimnis, und die Grundlage für ein berechtigtes Vertrauen des Patienten in seinen Arzt wird geschaffen. Eine gute Daten­schutz­organisation kann überdies helfen, die Abläufe in der Praxis generell zu optimieren.

Welche Grundlagen sind für Ärzte verpflichtend?

Die wesentlichen Grundlagen für die Daten­sicherheit und den Datenschutz in der Arztpraxis ergeben sich aus der ärztlichen Schweigepflicht gem. § 203 Strafgesetzbuch (StGB) i. V. m. § 9 Berufs­ordnung (MBO) sowie aus dem Bundes­daten­schutzgesetz. Dieses gilt für schützenswerte patienten­bezogene Daten und betrifft insbesondere die Erhebung und Übermittlung von Daten.

Gemäß § 10 Abs. 1 MBO und als Nebenpflicht aus dem Behand­lungs­vertrag sind Ärzte zur Dokumentation verpflichtet. In diesem Zusam­men­hang müssen alle Ärzte das Persönlichkeitsrecht des Patienten in der Ausprägung des informationellen Selbst­bestim­mungsrechts sowie die Wahrung des Patientengeheimnisses beachten. Dies spiegelt sich in der Doku­mentation der Behandlungs­abläufe und -ergebnisse wider.

Darüber hinaus steht dem Patienten in der Regel das Recht zu, Einsicht in die objektiven Teile der ärztlichen Aufzeichnungen zu nehmen. Subjektive Einschätzungen können, müssen aber nicht offenbart werden.

Der (externe) Datenschutzbeauftragte im Gesundheitswesen

Nach § 4 f BDSG müssen Sie einen betrieb­lichen Daten­schutz­beauftragten bestellen, wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung personen­bezogener Daten beschäftigt sind. Ärzte, die aufgrund der Größe ihrer Praxis nicht der Bestellpflicht unterliegen und deshalb nicht über einen betrieblichen Datenschutz­­beauftragten verfügen, müssen die Verpflich­tungen aus dem Bundes­daten­schutzgesetz selbst erfüllen.

Bei der Verarbeitung beson­ders sensibler Daten (wie es insbeson­dere Gesundheitsdaten nach Definition des § 3 Abs. 9 BDSG sind) muss grundsätzlich eine sog. Vorabkontrolle der Anwendung durch­geführt werden. Dieser Pflicht, um nur ein Beispiel zu nennen, muss dann der Arzt ohne einen Daten­schutz­beauf­tragten eigen­verantwortlich nachkommen.