DSGVO im Gesundheitswesen: Ab 2024 kein Papier mehr

Datenschutzexperte markus sobaunet9gk

Praxen sollten sich zügig um ihren Datenschutz kümmern – sonst drohen Geldstrafen.

Der scheinbar fürsorgliche Ehemann ruft in der Praxis an, um sich nach den kommenden Terminen seiner Frau zu erkundigen. Er sagt, sie selbst habe keine Zeit. Eine Fachangestellte gibt ihm die Termine telefonisch weiter. Ein Szenario, das in vielen Praxen alltäglich ist – aber schwere Konsequenzen mit sich bringen kann.

Denn der Anrufer stellt sich als Stalker heraus, der seiner vermeidlichen Frau auf dem Parkplatz auflauert. Die Patientin wird belästigt und verletzt. Sie klagt gegen die Praxis und fordert Schmerzensgeld. Der Fall ruft zudem den zuständigen Landesbeauftragten für Datenschutz auf den Plan. Vor Gericht geht es schließlich um mehrere 10.000 Euro Strafe und Schmerzensgeld.

Datenschutzexperte Markus Sobau zeigt auf, wie solche Fälle vermeidbar sind und der sensible Umgang mit Patientendaten im Zuge der staatlich angeordneten Digitalisierung gelingt – unter Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Staatliche Förderung

Der Terminkalender an der Rezeption, das ausgedruckte Rezept und ein voller Aktenschrank: All das wird schon sehr bald Geschichte sein. In zwei Jahren soll vom Rezept bis hin zur Krankenakte alles nur noch digital existieren. Das stellt Praxen in ganz Deutschland vor die lange hinausgezögerte und gefürchtete Datenschutzherausforderung. Um Ärzten, Apothekern und Therapeuten den Umstieg leichter zu machen, wurde ein neuer Datenschutzstandard erstellt, an dem sich Praxen entlang hangeln können. Sobau ist Autor des 75 Fragen umfassenden Prüfkatalogs. Aufgrund der Wichtigkeit unterstützt das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) Praxen, die sich bezüglich Anforderungen der DSGVO beraten lassen: Mit bis zu 80 Prozent BAFA-Kostenbeteiligung können Praxen-Inhaber rechnen. So dass am Ende im Schnitt 800 Euro Selbstkosten übrig bleiben.

Aktuelle Problemstellen

Die staatlichen Gelder sollen anspornen, den Datenschutz aufzuarbeiten, bevor er durch Sanktionen und Beschlüsse mit Druck und Halbwissen in den Praxen umgesetzt wird. Dass das Thema politische Brisanz hat, verdeutlicht der Baden-Württembergische Landesbeauftragter für Datenschutz, Dr. Stefan Brink: „Gesundheitsdaten sind die sensibelsten Daten, die wir besitzen. Es gilt sie also ausnahmslos zu schützen“. Dabei sieht Experte Sobau vier Baustellen, die den Digitalisierungsprozess und die Anforderungen an den Datenschutz im Heilwesen aufgehalten haben.

  1. In Krisenzeiten gilt Funktion vor Schutz. So etwa während der Pandemie als viele auf Home-Office umsteigen. „Da ging es darum den Alltag aufrecht zu erhalten – koste es was es wolle. Datenschutz nimmt da eine zweitrangige Position ein“, weiß Autor-Sobau. Auch im Heilwesen rücken die Digitalisierungsaufforderung und der mitschwingende Datenschutz-Marathon in den Hintergrund.

 

  1. Als sich dann die Corona-Situation eingespielt und gelockert hat, kommt das unschöne Erwachen für viele Praxen: Die Zeit rennt, um intern von analog auf digital zu wechseln. Und viele haben die bisherigen Auflagen noch nicht umgesetzt. Aber die Verordnungen sind da, schon seit 2018. Das Thema ist nicht neu oder gar kurzfristig aufgekommen. Die scheinbar lange Zeitspanne von knapp sechs Jahren bis zum Umsetzungszeitpunkt 2024, sowie die unerwartete Krisenlage, haben dazu geführt, dass der Prozess verschleppt wurde.

 

  1. Während der Pandemie ist der Datenschutz liegen geblieben, der Fokus lag auf der Krisenbewältigung. „Jetzt kontrollieren die Behörden aber umso genauer und die Bußgelder sind wieder höher“, beobachtet Sobau. So etwa bei der Software zur digitalen Sprechstunde. Während in pandemischen Zeiten lediglich zählt, dass Ärzte und Therapeuten Patienten weiterhin betreuen, fordert die Kassenärztliche Bundesvereinigung nun ein Zertifikat für Online-Beratungstools. Auch den Bestimmungen der DSGVO wird wieder nachgegangen – und Sanktionen sollen zur schnelleren Umsetzung führen.

 

  1. Das aktuell wohl größte Problem liegt im Engpass an Wissen und Zeit. Durch die Sanktionen sind Praxisinhaber gezwungen, in kürzester Zeit von Papier auf digital umzusteigen. „Durch den coronabedingten Personalmangel ist der Prozess noch schwerer umsetzbar“, sagt Sobau der sich bei der „Deutschen Initiative für Kompetenz und Qualität“ engagiert. Denn ein Therapeut oder Arzt, der wenig Angestellte hat und Termine selbst abarbeitet, hat weder Zeit noch Kopf für Umstrukturierungen.

 

Individuelle Schutzkonzepte

Ein Jahr lang hat Sobau mit seiner Stuttgarter Gesellschaft Consularis testweise mehr als 100 Praxen verschiedenster Fachrichtungen bundesweit nach dem neuen Datenschutzstandard begutachtet. Eingeflossen ist dabei die Expertise von weiteren Datenschützern und Juristen. Mit dem 75 Fragen umfassenden Katalog können Praxen nun herausfinden, was sie richtig machen und wo nachzuarbeiten ist. Der Katalog setzt bei gesetzlich Pflichtunterlagen und Datenschutzdokumenten an. Sind diese Basics nicht vorhanden, lohnt es sich, ein komplettes Datenschutzkonzept für die jeweilige Praxis zuschneiden zu lassen.

„Eine Praxis, die selbst Abrechnungen schreibt, sollte einen größeren Fokus auf Software-Sicherheit legen als eine Praxis, die für Rechnungen einen Dienstleister beauftragt“, nennt Sobau als Beispiele. Auch die bundesweit 40 Prozent der Praxen, die noch keine digitale Terminbuchung anbieten, haben andere Anforderungen an den Datenschutz als Praxen mit Server- oder Cloud-Nutzung. Zusätzlich zum Fragenkatalog sollte ein Vor-Ort-Termin vereinbart werden. Nur so können die Experten sehen, ob etwa der Warte- und Behandlungsbereich im Sinne des Kundenschutzes gestaltet ist.

Daten dauerhaft schützen

Ist der aktuell an noch vielen Standorten fehlende Datenschutzstandard erreicht, kann er durch jährliche Audits leicht erhalten bleiben. Dafür gibt es einen Service, der zeigt, wo Anpassungen notwendig sind. Im Idealfall liegen weder in der Praxis selbst noch vom Gesetzgeber Änderungen vor und alles bleibt beim Alten. Dann lassen sich auch langfristig Vorfälle, wie der des Stalkers auf dem Praxis-Parkplatz, vermeiden.