Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Interview mit Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW

05.07.2018 KVNO aktuell, Praxisinfos

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) hat in den letzten Wochen hohe Wellen geschlagen. Dabei ist vieles nicht neu. Helga Block ist die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) und leitet damit die zuständige Aufsichtsbehörde. KVNO aktuell hat Block gefragt, was Ärzte und Psychotherapeuten jetzt wissen müssen. Ihre Antworten lesen Sie hier.

KVNO aktuell: Ist die EU-DSGVO wirklich das Schreckgespenst, zu dem sie in den letzten Wochen in vielen Medien gemacht wurde?

Block (LDI NRW): Panik ist nicht angebracht. So viele neue Anforderungen sind es gar nicht. Wer bisher schon seine Praxis datenschutzrechtlich in Ordnung gehalten hat, muss nur wenige Anpassungen vornehmen. Wer sich bisher allerdings nicht um Datenschutz gekümmert hat, hat einiges zu tun – den Handlungsbedarf gab es dann aber schon früher.

Was wäre das zum Beispiel?

Nach wie vor sind Ärzte und Psychotherapeuten berufs- und datenschutzrechtlich zur Wahrung des Arzt-Patienten-Geheimnisses verpflichtet. Jede Praxis sollte noch einmal prüfen, ob dies eingehalten wird. Dazu können eine Diskretionszone am Empfang eingerichtet, Gespräche leise geführt sowie Nummern vergeben werden, anstatt Patienten mit Namen aufzurufen.

Weiterhin ist auch bei Telefonaten darauf zu achten, dass keine personenbezogenen Daten wie Name, Adresse, Telefonnummer, Geburtsdatum, Diagnosen oder Behandlungsmaßnahmen mitgehört werden können. Sollte dies nicht gewährleistet sein und sollten Unbefugte am Empfang oder im Rahmen der Behandlung Kenntnis von Akteninhalten bzw. Patientnedaten erlangen, liegt ein Verstoß gegen die ärztliche Schweigepflicht vor – dies ist übrigens auch ein Straftatbestand.

Neu sind aber einige Informations- und Nachweispflichten …

Genau. Ein Arzt oder Psychotherapeut muss seinen Patienten die Datenschutzinformation aktiv anbieten und auch nachweisen, dass er die Informationspflicht erfüllt. Dafür gibt es je nach Situation verschiedene Möglichkeiten.
Man kann den Patienten die Datenschutzinformation beispielsweise als Informationsblatt aushändigen und dies in der Patientenakte vermerken. Quittiert werden muss der Erhalt der Information nicht. Auf Anfrage eines Patienten sollten Ärzte, Psychotherapeuten und Praxispersonal ihm allerdings Informationen zu Datenverarbeitung und Datenschutzmaßnahmen der Praxis an die Hand geben können. Ein persönliches Gespräch oder eine Kontrolle, ob alles verstanden wurde, ist aber nicht erforderlich.

Was muss die Praxis tun, wenn der Patient per Telefon oder online Kontakt aufnimmt?

Sofern Praxen eine Homepage betreiben, bietet es sich an, entsprechende Informationen in die Datenschutzerklärung auf dieser Seite aufzunehmen. Am Telefon sollte eine Information zur Datenverarbeitung und ihrem Zweck erfolgen, wenn persönliche Daten abgefragt werden. Ein Vorlesen von Datenschutzinformationen ist allerdings nicht erforderlich. Es genügen Hinweise wie:

„Dann nehme ich jetzt die Angaben, die Sie mir gemacht haben, in unser Verwaltungssystem auf, um Ihren Termin für uns festzuhalten. Informationen über unsere Datenverarbeitung und Ihre Rechte in diesem Zusammenhang finden Sie auf unserer Homepage (www. …) oder hier in unserer Praxis.“

Alternativ könnten Sie statt des letzten Satzes sagen:

„Möchten Sie Informationen über unsere Datenverarbeitung und Ihre in diesem Zusammenhang bestehenden Rechte?“
Bei Antwort „Nein“ sind keine weiteren Informationen mehr erforderlich. Bei Antwort „Ja“ können Ärzte auf die Homepage oder den Aushang in der Praxis verweisen.

Muss die Patienteninformation bei jedem Kontakt erfolgen?

Nein, nur wenn dabei personenbezogene Daten – wie Name, Geburtsdatum oder Adresse – erneut erhoben werden. Dies ist ja auch nicht bei jedem Telefonat der Fall. Eine bereits erteilte Information muss auch nicht wiederholt werden.

Was ist damit gemeint, dass Praxen den Zugang zu personenbezogenen Daten gewährleisten müssen?

Auch die Verfügbarkeit personenbezogener Daten ist datenschutzrelevant. Es sind also zum Beispiel Vorkehrungen zu treffen, dass nach einem Festplattenausfall die personenbezogenen Daten aus einem Backup wiederhergestellt werden können.

Wie können Ärzte und Psychotherapeuten Sanktionen verhindern?

Bei den neuen Regeln gibt es noch einige Rechtsunsicherheit für alle Anwender. Unser Ziel als Aufsichtsbehörde in NRW ist, dass die Verantwortlichen rechtskonform handeln. Das ist manchmal schon durch Beratung zu erreichen. Sanktionen wie Geldbußen sind nicht das erste Mittel der Wahl. Geldbußen sind dann erforderlich, wenn unseren Ratschlägen und Empfehlungen nicht gefolgt wird oder wenn es um einen erheblichen Datenschutzverstoß geht. Aufgrund der Aktualität des Themas ist allerdings nicht auszuschließen, dass es zu Abmahnungen von spezialisierten Anwälten kommen kann. Also: Vorsicht – aber keine Panik!

Vielen Dank für Ihre Antworten, Frau Block!

Yvonne Klingebiel