WiWo App 1 Monat für nur 0,99 €
Anzeigen

Deutschlands Ärzte und die DSGVO Daten- statt Patientenpflege

DSGVO für Ärzte Quelle: Getty Images

Europa bekommt neue Regeln für den Datenschutz – und die Unternehmen zittern. Selbst Ärzte, der Inbegriff der Verschwiegenheit, sind in Sorge, was die Datenschutzgrundverordnung in ihren Praxen anrichten könnte.

  • Artikel teilen per:
  • Artikel teilen per:

58 Seiten sollen Zahnärzte in Westfalen-Lippe davor schützen, verklagt zu werden. Der Flyer „Das neue Datenschutzrecht – Informationen für die Zahnarztpraxis“ klärt darüber auf, was die kommende Datenschutzgrundverordnung (DSGVO) von Ärzten verlangt. Allein: So richtig verstehen können ihn längst nicht alle. Bisher herrscht jedenfalls eher Kopfschütteln als gefügiges Nicken auf den Versammlungen der Ärztekammern, wenn das Datenschutzrecht zur Sprache kommt. „Die Kollegen sind hochgradig verunsichert“, sagt Jost Rieckesmann, Vizepräsident der Zahnärztekammer Westfalen-Lippe.

Nicht nur die Sorgen sind groß, auch der Zeitdruck ist es. Freitag, der 25. Mai, ist Stichtag. Ab dann muss jedes Unternehmen in der EU nachweisen können, wofür es personenbezogene Daten von beispielsweise Bewerbern, Nutzern oder Kunden verwendet. Personenbezogene Daten – das können Namen, Adressen, Telefonnummern, Religionszugehörigkeit oder auch Gesundheitsinformationen sein. Der Hintergrund: Mit der Zunahme von digitaler Datenverwaltung steigt auch das Risiko von Hackerangriffen. Die DSGVO soll sicherstellen, dass Unternehmen alles tun, um Daten zu schützen und ihre Praktiken ernsthaft hinterfragen.

Da schon die Beantwortung von E-Mails darunter fällt, trifft die DSGVO so gut wie jedes Unternehmen. Und viele haben Angst, dass sie sich nicht vor Klagen schützen können. Viele Paragraphen seien schwammig formuliert, klagen Unternehmer. Die potenziellen Strafen dafür umso klarer und beängstigender. Bis zu vier Prozent des Jahresumsatzes sind als Sanktion vorgesehen (siehe Infokasten).

Kurz & knapp: Die Grundsätze der DSGVO

Dass selbst Ärzte sich sorgen, überrascht. Sie gelten schließlich als der Inbegriff der Verschwiegenheit. Doch neben Geheimhaltungsklauseln verlangt die DSGVO von Unternehmen wie von Ärzten diverse Protokolle zu führen.

Jeder Schritt, der mit Daten zu tun hat, muss festgehalten, einer Kategorie zugeordnet und mit Sicherungsmaßnahmen verknüpft werden. Diese Verzeichnisse zu führen kostet Zeit – im Fall eines Arztes die der Patienten. Sich zu weigern, ist keine Option. Die Strafen, die die DSGVO für Verstöße vorsieht, tun richtig weh.

Praxen bereit für die DSGVO zu machen, dauert. Was jedoch voraussichtlich recht schnell passieren kann, ist überprüft zu werden. Sind Patienten unsicher, ob Ärzte mit ihren Daten richtig umgehen, haben sie das Recht, ein detailliertes Protokoll die Verwendung einzusehen. Haben Praxen diese Protokolle nicht innerhalb von vier Wochen parat, folgt eine Untersuchung.

Bisher war es andersherum. Kläger mussten nachweisen, dass mit ihren Daten nicht richtig umgegangen wurde. Ab dem 25. Mai liegt die Beweispflicht beim Unternehmen. Was genau aber unter dem richtigen Umgang mit Daten und der gerichtsfesten Dokumentation im Sinne der DSGVO gemeint ist, ist je nach Paragraph mehr oder weniger klar definiert. Von „angemessenen Maßnahmen“ ist die Rede.

Diese beginnen beim Betreten der Arztpraxis. Ein Patient kommt zum Röntgen in die Praxis, meldet sich an und gibt seine Versichertenkarte ab. So weit, so normal. „Vom 25. Mai an muss ich alle datenschutzrelevanten Tätigkeiten in meiner Praxis genauestens beschreiben und in differenzierten Verzeichnissen hinterlegen“, sagt Rieckesmann. Das bedeute, dass er nicht nur – wie vorher auch schon – seine Patientenakten auf dem neuesten Stand halten muss. Künftig muss er in ein separates Verzeichnis eintragen, dass die Aktenbearbeitung überhaupt Teil seiner Arbeit ist. Es folgen Akteneinträge über jede denkbare Tätigkeit eines Arztes. Irgendwann sei diese Liste dann komplett und alles, was die Praxis tut, steht drin. In welcher Form die Protokolle vorliegen sollen, ist nicht geregelt.

DSGVO birgt die Gefahr, den Überblick zu verlieren

Die Zahnärztekammer Westfalen-Lippe hat Formulare entwickelt, in denen Zahnärzte die selbstverständlichsten Alltagsdinge dokumentieren können. „Wie arbeitet man in einer Praxis? Wie sorge ich für Sicherheit? Welche Folgen hätte ein Daten-Leck?“, zählt Rieckesmann auf. „Letzteres kann ich doch gar nicht einschätzen, trotzdem muss ich es aufschreiben“, kommentiert der Zahnarzt. Die sogenannte Risikoabschätzung müssen Ärzte deshalb führen, weil sie Gesundheitsdaten und somit hoch sensible Informationen verwalten. Um sicher zu gehen, welche Folgen beispielsweise die Offenlegung von Medikationsplänen für die Patienten hätte, müssten Ärzte rein theoretisch jeden einzelnen anrufen und nachfragen. Nur dann können sie die Frage nach den Folgen von Datenlecks wahrheitsgemäß beantworten.

Wie die Protokolle konkret ausgestaltet werden müssen und welche Schritte tatsächlich notwendig sind, um beispielsweise eine Risikoabschätzung gerichtsfest anzufertigen, weiß niemand. „Die Formulierungen in der DSGVO sind unklar“, klagt er. Gerichtsurteile werden es klären müssen. Getan ist es mit denen ohnehin nicht.

Alle Ärzte, egal ob Zahn-, Augen- oder Ohrenarzt, müssen ab dem 25. Mai sicherstellen, dass Patientendaten gelöscht werden, sobald der Patient mal nicht mehr kommt. Doch während täglich die Wartezimmer aus allen Nähten platzen, nachzuhalten, welcher Patient vielleicht schon lange nicht mehr auf dem Stuhl saß, ist kaum möglich.

Das sollten Sie über die DSGVO wissen

Weitere Bürokratie fällt an, wenn Patienten beispielsweise Zahnersatz bekommen sollen. „Ich muss mich vergewissern, dass das von mir beauftragte Labor auch die DSGVO einhält und auch das muss ich dann protokollieren“, so Rieckesmann. Außerdem müsse der Patient der Übermittlung von Daten an das Labor zustimmen. Doch was ist, wenn der Patient den Arzt wechselt? Wie soll er dann sicherstellen, dass auch das Labor die Patientendaten löscht? An dieser Stelle laufen Ärzte Gefahr, den Überblick zu verlieren.

Eine weitere Schwachstelle im Praxisalltag sind Telefonate. Hört ein anderer Patient zufällig mit, dass eine Patienten einen Termin zum Ziehen eines Zahnes bekommen hat, ist die DSGVO verletzt worden. „Ich bezweifle zwar, dass jemand uns deswegen anschwärzt, aber die Möglichkeit besteht“, so Rieckesmann. Die Meldung bei der Landesbeauftragten für Datenschutz- und Informationsfreiheit des Landes ist sogar anonym und auf Verdacht möglich. Ob der Verstoß schon erfolgt ist oder ob jemand lediglich annimmt, dass es zu einem Verstoß kommen könnte, ist für die Meldung bei der Datenschutzbeauftragten irrelevant.

Ob per Mail oder per Post: Der Arzt muss zum Schluss natürlich noch in der Patientenakte dokumentieren, wem er wann und aus welchem Grund das Röntgenbild geschickt hat. Am besten schaut er auch einmal in das große Protokoll und geht sicher, dass der Vorgang des Röntgens überhaupt schon in der Liste der Behandlungen steht. Auf der sicheren Seite ist er vermutlich erst, wenn er zusätzlich noch die Bestätigung des anderen Arztes hat, dass auch er sich an die DSGVO hält.

Um vor eventuellen Klagen sicher zu sein, müssen Praxen auch die besten und somit oft teuersten Sicherheitssysteme für ihre Computer verwenden. Für die Kosten müssen sie selbst aufkommen. Wie hoch diese ausfallen, hängt aber in der Regel vom beratenden IT-Dienstleister ab, denn die meisten Ärzte wissen nicht, mit welchem IT-System sie vor Klagen geschützt sind. Das weiß niemand, denn in der DSGVO ist das nicht geklärt.

Kommt ein Patient auf die Idee, die Protokolle einzusehen, hat der Arzt dem nachzukommen. Fehlen Protokolle, kann der Patient klagen. Davor hat Rieckesmann am meisten Angst. Die möglichen Sanktionen von bis zu vier Prozent des Jahresumsatzes seien „drakonisch“.

Jost Rieckesmann ist sich sicher, dass Aufwand und positive Effekte der Datenschutzgrundverordnung in keinem guten Verhältnis stehen. Der Zahnarzt hat in den vergangenen Wochen viel Zeit damit zugebracht, Protokolle für den 25. Mai vorzubereiten. „Diese Zeit fehlt mir für meine die Patienten “, sagt er. Und denen soll die Verordnung ja eigentlich helfen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%