Update Datenschutz: Virtuelle Möglichkeiten – reale Gefahren

„Datenschutz beim Arzt: Laxer Umgang mit Patientendaten“, so titelt die Stiftung Warentest im März 2016, um auf die Ergebnisse eines „Praxis“-Tests zum Thema Datenschutz durch die Stiftung aufmerksam zu machen. Der Begriff der „Praxis“ meint hier gleich zweierlei: Er weist einmal auf eine „Anwendungsbeobachtung“ (in der Praxis) als auch auf die Zielgruppe des Testszenarios, nämlich die Arztpraxis, hin.

So nicht: Patientendatenschutz ist bei so vielen mithörenden Ohren nicht gewährleistet. Foto: Shutterstock/Robert Kneschke

So nicht: Patientendatenschutz ist bei so vielen mithörenden Ohren nicht gewährleistet.
Foto: Shutterstock/Robert Kneschke

Mängel in Sachen (Patienten-)Datenschutz

Die Stiftung Warentest hatte eine verhältnismäßig kleine Anzahl an Arztpraxen näher unter die Lupe genommen und dabei zum Teil erhebliche Mängel in Sachen (Patienten-)Datenschutz festgestellt. So sollen den Ergebnissen der Studie nach in jedem zweiten Fall ein „Datenleck“ aufgedeckt und Verstöße gegen die ärztliche Schweigepflicht festgestellt worden sein. Kein Wunder also, dass die kleine Studie auch in der Öffentlichkeit eine erhebliche Beachtung widerfahren hat (2). Was war geschehen?

Ärzte im Test: Perfekter Datenskandal

Die Stiftung versuchte in jeweils zehn Fällen, über Testpersonen an vertrauliche Patientendaten Dritter zu gelangen. In einem ersten Testszenario wurden zehn Patienten zu ihren jeweiligen Hausärzten geschickt. Nicht, um sich untersuchen zu lassen, sondern um herauszufinden, ob sensible Gesundheitsdaten der Tester oder anderer Patienten dort während des Aufenthalts hörbar, lesbar oder anderweitig zugänglich waren.

Tester gaben sich als Angehörige aus – und erhielten Auskünfte

In einem weiteren Test gaben sich Anrufer aus dem Prüfinstitut der Stiftung als Angehörige von Patienten der getesteten Praxis aus und erkundigten sich beispielsweise nach Labor­werten oder verordneten Arzneien.

Im dritten Szenario schickte die Stiftung E-Mail-Anfragen an deren Hausarzt und nutzte hierfür neu angelegte, bewusst unpersönlich gehaltene Adressen wie zum Beispiel sommerwind_x@gmx.de. Auch über die E-Mails wurden Gesundheitsdaten des Patienten abgefragt. Jedenfalls in einem Fall erhielt die Stiftung postwendend einen vollständigen Laborbefund als Antwort. Damit war der Datenskandal perfekt.

Quick Check:

  • Können Sie im Wartebereich ohne Nennung eines Patientennamens oder Wahrnehmung desselben durch anwesende Patienten telefonieren?
  • Sind die Computerbildschirme in Ihrer Praxis so aufgestellt oder durch Folien gesichert, dass nur (!) Sie selbst und Ihr Personal Einblick hierauf nehmen können?
  • Nutzen Sie für die elektronische Patientenkommunikation verschlüsselte, authentifizierte und verifizierte Übermittlungswege?

Bei „Vogel-Strauss-Politik“ drohen die Staatsanwaltschaft und Imageverlust

Man mag über die Testanordnung und ihre Repräsentativität trefflich diskutieren und sich auch die Frage stellen, wie die Ergebnisse ausgefallen wären, hätte man die Studie auf eine breitere Basis gestellt. Gleichwohl belegt die Studie erneut zweierlei: die Notwendigkeit, sich als Arzt/Zahnarzt mit Fragen des Datenschutzes und der Datensicherheit zu befassen, und die Sensibilität und öffentliche Beachtung, die das Thema Datenschutz in der Arzt- und Zahnarztpraxis in den vergangenen Jahren erfährt. Wer hier „Vogel-Strauss-Politik“ betreibt, dem droht im Extremfall nicht nur der Besuch durch die Staatsanwaltschaft, sondern auch ein erheblicher Image- und Vertrauensverlust für die Praxis, der kurz- und mittelfristig zu einem Patientenabgang und damit zu erheblichen negativen wirtschaftlichen Konsequenzen führen kann.

Der Geheimschutz geht weiter, als viele denken
Die Stiftung Warentest und ihre Studie stechen dabei in ein Wespennest und machen ein häufig feststellbares Problemfeld präsent: Patientendatenschutz beginnt bereits bei der Eingehung eines Behandlungsverhältnisses, das heißt, selbst der Umstand, dass sich ein Patient gerade in ihrer (zahn-)ärztlichen Behandlung befindet, ist vom Geheimnisschutz umfasst. Daher müssen vor Übermittlung von Patienteninformationen stets die Identität und Berechtigung des Nachfragenden festgestellt werden. Informationen an eine nicht authentifizierte und verifizierte E-Mail-Adresse zu senden, kann daher in keinem Fall datenschutzrechtlich zulässig sein; ebenso das Telefonat mit einem vermeintlichen Patienten und/oder dessen Angehörigem, den Sie als Zahnarzt nicht sicher, beispielsweise anhand seiner Stimme, identifizieren können.

Vermeintlicher Patientenservice muss hinter Datenschutz zurückstehen

Hier gilt: Vermeintlicher Patientenservice hat hinter dem Datenschutz zurückzustehen, denn bereits die Übermittlung nur einer Patienteninformation an einen unberechtigten Dritten stellt einen erheblichen und gegebenenfalls auch strafbaren (Paragraf 203 StGB) Verstoß gegen die Ihnen obliegenden Geheimnis- und Datenschutzverpflichtungen dar. Dies gilt, auch insoweit ist der Stiftung Recht zu geben, nicht nur für die Kommunikation nach „draußen“, sondern auch für die Kommunikation innerhalb Ihrer Praxis.

Analysieren Sie mal Ihre eigene Praxis

Ist Ihr Wartebereich beispielsweise so ausgestattet, dass hier überhaupt – ohne Nennung eines Patientennamens beziehungsweise Wahrnehmung desselben durch anwesende Patienten – telefoniert werden kann? Sind die Computerbildschirme in Ihrer Praxis so aufgestellt oder (beispielsweise durch Folien) gesichert, dass nur (!) Sie selbst und Ihr Personal Einblick hierauf nehmen können? Nutzen Sie für die elektronische Patientenkommunikation verschlüsselte, authentifizierte und verifizierte Übermittlungswege?

Wenn Sie diese Fragen nicht mit einem eindeutigem „Ja“ beantworten können, ist es an der Zeit, sich mit der Gefahrenanalyse und -beseitigung zu beschäftigen. Zahlreiche Unternehmen und Experten bieten hierfür am Markt Lösungen an, beispielsweise in Form eines Audits oder auch elektronischer Risikoanalysen. Die Ergebnisse dieser Audits sind zuweilen erschreckend, erschreckend einfach und ohne größere Eingriffe in den Praxisalltag leicht umzusetzen, sind aber oft auch die Lösungen für erkannte Problemlagen. Wer hier stets nur die Kosten im Blick hat, dem droht unter Umständen eine Kostenexplosion im Falle eines (vermeidbaren) Verstoßes.

Kostspielige Neuregelungen für 2018 geplant

Lassen Sie sich hier also lieber einmal mehr beraten als wegzusehen. Die Vorgehensweise der Stiftung Warentest zeigt, wie schnell Sie in den Fokus der Öffentlichkeit geraten können; auch anlasslose Kontrollen der Datenschutzaufsicht sind bei weitem keine Seltenheit mehr. Wer erst in einem solchen Fall zu Reaktion gezwungen ist, der bringt sich um die zahlreichen Aktions- und Gestaltungsmöglichkeiten, die das Datenschutzrecht gewährt, und kann insoweit tatsächlich zu den Betriebsablauf behindernden Maßnahmen gezwungen sein.

Gerade erst ist das deutsche Datenschutzrecht durch die EU „zu Grabe getragen“ und durch neue, umfangreiche und im Falle eines Verstoßes auch extrem kostspielige Neuregelungen ersetzt worden, die Ende Mai 2018 in Kraft treten werden. Auch hier wird sich in der zahnärztlichen Praxis Umstellungs- und Anpassungsbedarf ergeben, auf den bereits frühzeitig reagiert werden sollte. Denn auch hier gilt: Wer zu spät kommt, den bestraft das Leben – oder die Datenschutzaufsicht!
Dr. Robert Kazemi, Bonn

RA Dr. Robert Kazemi

RA Dr. Robert Kazemi

Zu unserem Autor:

Dr. Robert Kazemi ist Rechtsanwalt und Partner der auf die Beratung von Heilberufen spezialisierten Rechtsanwaltskanzlei Kazemi & Lennartz Rechtsanwälte in Bonn (www.medi-ip.de).

Er ist Autor zahlreicher Fachpublikationen zu Fragen des Datenschutzrechts.

This page as PDF

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


*