Zuletzt aktualisiert: Mai 2021

Was Schweigepflicht und Datenschutz verbindet

Welche Regelungen gelten für Schweigepflicht und Datenschutz im medizinischen Bereich? Wie wirken sich diese auf die Praxisorganisation aus? Welche Schulungen müssen nachgewiesen werden und wie sehen diese praktisch aus?

Die ärztliche Schweigepflicht ist ein hohes Gut und eine essenzielle Grundlage für die vertrauensvolle Arzt-Patient-Beziehung. Sie geht zurück auf den berühmten Hippokrates von Kos und ist damit seit Jahrtausenden in der Berufsethik fest verankert. Im heutigen hochdifferenzierten Gesundheitsbereich gilt die Schweigepflicht selbstverständlich nicht nur für Ärzte und Ärztinnen, sondern auch für Angehörige anderer medizinischer Berufszweige wie etwa Physiotherapeuten oder Heilpraktiker.

Mit dem Aufkommen der modernen Technologien und der zunehmenden interdisziplinären Vernetzung erstreckt sich die Schweigepflicht auch auf diese Bereiche. Sensible Patientendaten sind einem besonders strengen Datenschutz unterworfen. Eine Verletzung des Datengeheimnisses wird nicht erst seit der EU-Datenschutz-Grundverordnung aus 2018 mit hohen Strafen geahndet.

Dennoch hat die DSGVO im medizinischen Bereich für Verunsicherung gesorgt. Zusätzlich verstärkt wurde dies durch Updates diverser Social-Media-Plattformen, wie zuletzt etwa durch die kryptisch formulierten Änderungen der Nutzungsbedingungen bei WhatsApp.

Im Folgenden soll daher ein Überblick über die rechtlichen Vorschriften des Datenschutzes in der medizinischen Praxis gegeben werden. Beispiele aus dem Alltag verbessern das Verständnis und können ein Leitfaden für konkrete Anlässe sein. Für rechtlich verbindliche Informationen sei auf spezialisierte Einrichtungen verwiesen, die auch die Vorgaben der verpflichtenden Schulungen entwickeln.

Welche Gesetze regeln den Datenschutz?

Grundsätzlich berühren zahlreiche verschiedene Vorschriften die Schweigepflicht, den damit verbundenen Datenschutz und weitere Folgen daraus. Bei Verstößen können daher strafrechtliche, zivilrechtliche und berufsrechtliche Konsequenzen drohen. Näher erläutert werden hier insbesondere die Regelungen aus Strafrecht und Berufsordnung und die, die sich aus der DSGVO ergeben.

Strafrecht und Berufsordnung

Im Strafrecht, konkret in § 203 Abs. 1 StGB, wird der Umgang mit fremden Geheimnissen behandelt. Wer durch seine Tätigkeit als Arzt, Apotheker oder Angehöriger eines anderen Heilberufs ein fremdes Geheimnis erfahren hat und dieses unbefugt weitergibt, ist von einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe bedroht. Für Ärzte und Ärztinnen ist die Schweigepflicht darüber hinaus in der ärztlichen Berufsordnung geregelt.

Die Schweigepflicht umfasst demnach alle Informationen von Patienten, die dem Arzt im Rahmen seiner Berufsausübung bekannt werden. Darunter fallen Namen genauso wie Laborberichte, private Lebensumstände des Patienten oder der Patientin und Beobachtungen, die z.B. bei einem Hausbesuch gemacht werden.

Sämtliche Geheimnisse müssen über den Tod des Patienten hinaus bewahrt werden und dürfen nur in genau festgelegten Ausnahmen weitergegeben werden. Solche Ausnahmen betreffen insbesondere Abrechnungen mit Krankenkassen oder Gefahrensituationen, z.B. ein begründeter Verdacht auf Kindesmissbrauch oder meldepflichtige Erkrankungen.

Darüber hinaus können Patienten den Arzt auch jederzeit von der Schweigepflicht entbinden und so beispielsweise eine Diagnose den Angehörigen mitteilen lassen.

EU-DSGVO

In der DSGVO, die seit 25.5.2018 in der europäischen Union in Kraft ist, sind einige zusätzliche Punkte enthalten, die über das bis dato gültige Recht hinausgehen. Besonders wegen des hohen Strafrahmens, der bei schweren Verstößen Bußgelder bis zu mehreren Millionen Euro ermöglicht, hat die DSGVO zahlreiche Proteste auf den Plan gerufen.

Ein klarer Vorteil der Verordnung ist die einheitliche europäische Regelung, die auch die Position gegenüber großen internationalen Firmen stärkt. Das angekündigte Update von WhatsApp, wodurch die Daten mit Facebook geteilt werden sollen, hat für europäische Nutzer damit keine direkten Folgen. Auch nach der Änderung der Nutzungsbedingungen am 8.2.2021 müssen WhatsApp-Nutzer in der europäischen Union daher nicht befürchten, dass Facebook automatisch Zugriff auf ihre Daten erhält.

Die wichtigsten inhaltlichen Punkte sind im Folgenden aufgezählt:

• Es muss ein Verzeichnis geführt werden, wie und wann welche Daten von Patienten und Patientinnen verarbeitet werden. Dieses muss bei Kontrollen vorgelegt werden.

• Für eine bessere Dokumentation und eine höhere Sicherheit muss ein Datenschutzplan erstellt werden, der allen Mitarbeitern und Mitarbeiterinnen zugänglich ist. Genauere Vorgaben, wie der Schutz der Daten im Einzelnen erfolgen soll, werden nicht gemacht.

• Bei Datenerhebung müssen die Patienten und Patientinnen aufgeklärt werden, wie diese Daten verarbeitet werden und welchem Zweck die Datenverarbeitung dient.

• Darüber hinaus muss den Betroffenen auf Wunsch Einsicht in die über sie erhobenen Daten zugestanden werden. Auch Löschungen können nach Ende der Aufbewahrungspflicht verlangt werden.

• Bei einer Auftragsverarbeitung muss ein Vertrag geschlossen werden, der externe Dienstleister zur Geheimhaltung verpflichtet. Auftragsverarbeitung liegt dann vor, wenn externe Dienstleister wie beispielsweise Anbieter von Terminvergabesoftware zur Wartung Zugriff auf Patientendaten haben.

• Sobald mindestens 10 Mitarbeiter und Mitarbeiterinnen berufsmäßig Einblick in sensible Daten haben, muss ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte benannt werden. Diese Person muss eine fachliche Qualifikation nachweisen und dient als Ansprechpartner in allen Fragen des Datenschutzes.

Wie wirken sich die Bestimmungen im medizinischen Alltag aus?

Die theoretischen Grundlagen wurden damit im Groben umrissen, jetzt soll ein kleiner Einblick in die praktische Umsetzung geboten werden.

Datenverarbeitung und -weitergabe

Wie bereits dargestellt, dürfen Daten nur zweckgebunden verarbeitet werden. In der Praxis heißt das, die erhobenen Patientendaten dienen nur der Behandlung und der damit verbundenen Administration. Damit dürfen Ärzte, Physiotherapeuten, Heilpraktiker etc. Patientendaten nicht für eigene Zwecke nutzen, beispielsweise für Freundschaftsanfragen auf Social Media.

Es darf nur Kontakt aufgenommen werden, soweit dies medizinisch notwendig ist und auch hier ist auf eine eindeutige Identifikation des Patienten oder der Patientin zu achten.

Ein klassisches Beispiel für eine zulässige Kontaktaufnahme ist die telefonische Befundbesprechung, nachdem sich der Arzt überzeugt hat, dass er tatsächlich mit dem Patienten selbst spricht.

Unzulässig dagegen wäre, wenn ein Arzt Geburtstagsglückwünsche an seine Patienten verschickt oder gar privat mit den Patienten Kontakt aufnimmt, beispielsweise, um sich einen Handwerker zu organisieren.

Generell müssen die Patienten und Patientinnen der Datenerhebung und -verarbeitung zustimmen. Bei Nutzung von Webseiten geschieht dies meist durch Anklicken eines Buttons, der einen Link zur Datenschutzerklärung enthält. In einer medizinischen Praxis wäre dafür ein klar sichtbarer Aushang denkbar, zur besseren Transparenz sollten die Patienten und Patientinnen darauf explizit aufmerksam gemacht werden.

Eine Einsicht in die eigene Patientenakte muss jederzeit möglich sein, nach Ende der gesetzlichen Aufbewahrungsfristen kann auch die Löschung gewünscht werden. Unabhängig davon dürfen Patienten eine Löschung verlangen, wenn unzulässigerweise Daten erhoben worden sind. Dabei kann es sich um Daten handeln, die eine Zweckbindung vermissen lassen, z.B., wenn die Passnummer abgefragt wurde.

Strikt untersagt ist eine Weitergabe von personenbezogenen Daten an Dritte, egal ob dies kommerziellen Zwecken dient oder im privaten Umfeld des Arztes, Physiotherapeuten oder Heilpraktikers erfolgt.

Bei Schilderungen von Krankheitsgeschichten, auch wenn dies unter Kollegen passiert, ist immer auf eine vollständige Anonymisierung zu achten. Besonders, wenn interessante Fälle im Internet veröffentlicht werden, können schon kleine Fehler bei der Anonymisierung dazu führen, dass der betroffene Patient identifiziert werden kann. Damit dies vermieden wird, kann es notwendig sein, nicht nur die unmittelbaren Patientendaten zu verschleiern, sondern auch Details der Krankengeschichte abzuändern.

Datensicherheit

Eine absichtliche Weitergabe von Patientendaten an Dritte ist also verboten, doch auch eine unabsichtliche Datenpanne muss ausgeschlossen werden. Dazu ist es erforderlich, dass in einer Praxis geeignete Schutzmaßnahmen ergriffen werden.

Bei Verwendung von IT-Systemen ist auf größtmögliche Sicherheit zu achten, damit Fremde nicht unbemerkt Zugriff auf sensible Daten erhalten können. Hardware und Software sollten stets auf dem neuesten Stand sein, um Sicherheitslücken zu vermeiden. Besondere Vorsicht ist bei Nutzung von Clouds und anderen derartigen Internet-Datenspeichern geboten.

In der Praxis selbst muss der Empfang so gestaltet sein, dass Patienten und Patientinnen den Computer oder fremde Akten und Karteien nicht einsehen können. Ideal wäre ein räumlich abgetrennter Schalter, den Patienten nur einzeln betreten. Wenn dies nicht möglich ist, soll dennoch ein ausreichend großer Abstand sichergestellt werden, damit wartende Patienten nicht sämtliche Details mithören. Aus dem gleichen Grund soll der Empfangsschalter immer besetzt sein.

In einigen Praxen kommt es auch vor, dass Patienten und Patientinnen sich für kurze Zeit allein im Behandlungsraum aufhalten. Das ist ungünstig, da sich dort noch Unterlagen des vorherigen Patienten befinden könnten.

Wie können Schulungen absolviert werden?

Die besten Regelungen nützen nichts, wenn sie nicht bekannt sind. Daher müssen sämtliche Mitarbeiter und Mitarbeiterinnen einer Praxis bestätigen, dass sie die Datenschutzbestimmungen kennen und danach handeln. Strengere Bestimmungen gelten für den Datenschutzbeauftragten, so die Praxis einen benötigt.

Statt einer zu knappen Einführung durch den Praxisinhaber oder die Praxisinhaberin oder zeitaufwändigen Präsenzfortbildungen empfehlen sich Online-Kurse. Nicht nur in Zeiten von COVID-19 bedingtem Abstand sind Online-Seminare eine probate Alternative zu herkömmlichen Frontalvorträgen. Unabhängig von Zeit und Ort kann das Wissen um Datenschutz und Schweigepflicht erweitert und durch verschiedene Methoden des E-Learnings gefestigt werden. Eine hochwertige Schulung auf Basis der aktuellen gesetzlichen Bestimmungen ist damit gewährleistet.

Die wichtigsten Fortbildungen für Deine Praxis

Pflichtunterweisung Hygiene für 1 Euro 14 Tage testen!

  • Interaktive Module, Übungen und Vorlagen für schnelle Umsetzung in der Praxis
  • Erledige essenzielle Themen in nur zwei Stunden pro Monat
  • Mach Schluss mit langwieriger Recherche und verbring mehr Zeit mit Dingen die Dir wichtig sind!

Ich möchte kostenlos und unverbindlich den was-heilt Info-Newsletter erhalten und stimme der Verarbeitung meiner Daten gemäß Datenschutzerklärung zu. Ich kann diesen Wunsch jederzeit widerrufen.

Empfohlen:

Die innere Ruhe finden – Stress über die Atmung regulieren
E-Zigaretten – Eine echte Alternative zum Rauchen?
Nutzen und Risiken von Kortison
Frauenkrankheit Endometriose – weit verbreitet, aber oft unerkannt
Umprogrammierte Zellen helfen bei Diabetes
E-Health – Auswirkungen der Digitalisierung auf die Medizin
Organspende-Ausweis – sollte er zur Pflicht werden?
Lieferengpässe bei Medikamenten: Antidepressiva, Schmerz- und Beruhigungsmittel gehen zur Neige

Beliebt:

Asthma: Quälende Luftnot
Ablauf und Dauer der Heilpraktikerprüfung
Die Funktionen und Aufgaben von Cholesterin
Immuntherapie soll künftig Blutkrebs besiegen
CBD rauchen – Das musst du dabei beachten