Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), hat in seinem Tätigkeitsbericht für 2013 und 2014 einige interessante Punkte aus dem Themenbereich Datenschutz im Gesundheitswesen erläutert. Ein Schwerpunkt lag dabei auf der Datenübermittlung.
DATENSCHUTZ MISSSTÄNDE BEI ARZTPRAXEN
Das BayLDA spricht hier von einem „häufig zu beobachtenden Missstand, dass die unbefugte Kenntnisnahme von Patientendaten durch andere Patienten nicht konsequent genug durch geeignete Gegenmaßnahmen verhindert wird. (…) So können wartende Patienten durch Sitzgelegenheiten in unmittelbarer Nähe des Empfangsbereichs bzw. infolge mangelnder Trennung von Empfangs- und Wartebereich Gespräche oder Telefonate des Praxispersonals mithören. Patientenakten werden oftmals vom Praxispersonal auf dem Empfangstresen oder im Behandlungszimmer für den Arzt bereit gelegt oder vom Arzt nach der Behandlung dort abgelegt; Patienten, die sich gerade am Empfang anmelden, können dadurch Daten anderer Patienten leicht einsehen. Gleiches gilt, wenn Bildschirme von Praxisrechnern oder von medizinischen Geräten so ausgerichtet sind, dass ohne größere Schwierigkeiten ein Mitlesen durch Dritte ermöglicht wird, oder bei Abwesenheit von Mitarbeitern nicht gesperrt werden. All diese Situationen bergen die Gefahr, dass Dritte sensible Patientendaten zur Kenntnis nehmen und dadurch gegen datenschutzrechtliche Vorschriften verstoßen wird.“
Als Lösung können hier oft schon organisatorische Veränderungen Abhilfe leisten, ohne übermäßig stark in den Praxisbetrieb einzugreifen.
FERNWARTUNG MEDIZINISCHER GERÄTE
Ein Vertrag zur Fernwartung von medizinischen Geräten, der auch die Einschaltung von Subunternehmern außerhalb der EU bzw. des EWR vorsieht, ist dann ausnahmsweise zulässig, wenn die Wartung bzw. der Einsatz des Subunternehmers für das einwandfreie Funktionieren der Geräte erforderlich ist und der Vertrag hierzu transparente Regelungen enthält.
DATENÜBERMITTLUNG
EINSCHALTUNG ÄRZTLICHER VERRECHNUNGSSTELLEN
Bedient sich ein Arzt für die Abrechnung bei privat Versicherten einer ärztlichen Verrechnungsstelle, ist hierfür vom Patienten eine Einwilligungs- und Schweigepflichtentbindungserklärung einzuholen. Diese Erklärung ist häufig fehlerhaft. Beachtet werden muss:
- Die nach § 4a Abs. 1 Satz 1 BDSG erforderliche Freiwilligkeit ist nur dann gewährleistet, wenn dem Patienten eine echte Wahlmöglichkeit verbleibt.
- Der Betroffene muss umfassend und verständlich darüber informiert werden, wie mit seinen Daten umgegangen wird.
- Die Einwilligung bedarf nach § 4a Abs. 1 Satz 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Eine mündliche Einwilligung oder ein Aushang im Wartezimmer genügt deshalb nicht.
- Wird für die Einwilligungserklärung kein gesondertes Formblatt verwendet, sondern ist sie beispielsweise in einen allgemeinen Patientenaufnahmebogen mit Fragen zu Vorerkrankungen, zur Medikation, etc. integriert, muss die datenschutzrechtliche Einwilligungserklärung deutlich vom allgemeinen Teil getrennt werden. (z. B. mit einer aussagekräftigen Überschrift UND farblicher Hinterlegung/Umrandung etc.).
- Auch bei einem gesetzlich Versicherten ist eine Einwilligung zur Abrechnung über die Verrechnungsstelle erforderlich, wenn seine Behandlung nicht über die gesetzliche Krankenkasse abgerechnet, sondern die Rechnung vom Patienten selbst oder von einer privaten Zusatzversicherung beglichen wird.
IDENTIFIZIERUNG VON PATIENTEN MITTELS FOTO ODER AUSWEISKOPIE
Ein Foto, das in den Patientenstammdaten zu Identifizierungszwecken gespeichert werden soll, darf von einer Arztpraxis nur mit Einwilligung des Betroffenen aufgenommen werden. Das Erstellen und Speichern einer Ausweiskopie ist zur Identifizierung des Patienten nicht erforderlich und deshalb nicht zulässig.