Ärztliche Datenschutzverstöße: Faxen mit fatalen Folgen
Melanie HurstWas als harmloser Rezeptversand per Fax gedacht war, endete als peinliche Datenschutzpanne. Denn mehrere saarländische Praxen faxten sensible Patientendaten ausgerechnet an die Aufsichtsbehörde. Damit Ihnen so was nicht passiert, sollten Sie die wichtigsten Datenschutzmaßnahmen für Arztpraxen kennen.
Schneller wurden in Deutschland wohl noch nie Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) entdeckt. Denn das Corpus Delicti landete praktischerweise gleich direkt im Faxgerät der Datenschützer. Und das nicht nur einmal. Immer wieder fischten die Mitarbeitenden des Unabhängigen Datenschutzzentrums Saarland, das für die Einhaltung der Datenschutz-Vorschriften zuständig ist, ärztliche Rezepte aus ihrem Faxgerät. Offensichtlich hatten MFA aus Versehen die Faxnummer der Behörde statt einer Apotheke eingetippt – ein Datenschutzverstoß par excellence!
Problem: personenbezogene Daten wurden offengelegt
Da Rezepte den Namen, die Anschrift und das Geburtsdatum des Patienten enthalten sowie das verordnete Präparat, liegt mit einem Fehlversand die Offenlegung personenbezogener Daten besonderer Kategorien gemäß Art. 4 Nr. 2 i. V. m. Art. 9 Abs. 1 DSGVO vor. Passiert einer Arztpraxis so ein Fauxpas, muss sie innerhalb von 72 Stunden den Datenschutzverstoß bei der zuständigen Behörde melden. Ein Bürokratievorgang, der in diesen Fällen sogar in Rekordzeit abgewickelt wurde.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit sowie Leiterin des Unabhängigen Datenschutzzentrums Saarland, Monika Grethel, nimmt es mit Humor: „Während unsere Dienststelle sonst eher mit den Regelungen der Datenschutz-Grundverordnung und weniger mit konkreten Medikationsplänen zu tun hat, wuchs hier unfreiwillig unser Wissen über gängige Arzneimittelverordnungen.“
Wie es zu diesem Missgeschick kam
In ihrem vor Kurzem vorgestellten Tätigkeitsbericht über das Jahr 2024 erklärt die Juristin auch, wie es zu diesen Irrläufern kommen konnte: „Wer heute im Internet nach der Faxnummer einer bestimmten Praxis oder Apotheke sucht, kann leicht auf unsere Kontaktdaten stoßen. Dies liegt daran, dass zahlreiche Unternehmen und medizinische Einrichtungen in ihren Datenschutzerklärungen pflichtbewusst auf uns als zuständige Aufsichtsbehörde verweisen. Unsere dort veröffentlichten Kontaktdaten werden von den Suchmaschinen dann oftmals fälschlicherweise als Kontaktinformationen des betroffenen Unternehmens interpretiert und dargestellt. Eine oberflächliche Recherche kann so fatale Folgen haben: Ein Rezept wird nicht an die richtige Apotheke, sondern an das Unabhängige Datenschutzzentrum gesandt – ein Fall von Datenschutzironie in Reinform.“
Die Datenschützer reagierten kulant
Saarlands oberste Datenschützerin ließ aber in den meisten Fällen Gnade vor Recht ergehen und wies die Arztpraxen nur freundlich auf ihren Datenschutzverstoß hin – mit der Bitte um Unterlassung. Monika Grethel: „Immerhin kann ein einmaliger Irrtum jedem passieren.“
Nur bei einem Kollegen sah sich die Behörde gezwungen, ein Bußgeldverfahren einzuleiten. Denn als Reaktion auf den Behördenanruf trudelte am nächsten Tag das gleiche Rezept erneut per Fax ein und nach einem weiteren Telefonat postwendend ein weiteres Rezept. „Während sich viele ähnlich gelagerte Datenschutzverstöße oft mit Unkenntnis oder Nachlässigkeit erklären lassen, war in diesem Fall zumindest in den zwei Wiederholungsfällen grobe Fahrlässigkeit gegeben“, erklärt die Landesbeauftragte für Datenschutz. „Für die Zukunft empfehlen wir medizinischen Einrichtungen neben der sorgfältigen Überprüfung der Faxnummer vor dem Versand auch eine grundsätzliche Überlegung: Ist Fax im Jahr 2024 noch das Mittel der Wahl für die Übermittlung sensibler Gesundheitsdaten? Mit der Einführung des eRezepts steht jedenfalls seit Januar 2024 in vielen Fällen eine sichere und effiziente Alternative zur Verfügung, die solche Fehlübermittlungen von vornherein ausschließt.“
ARZT & WIRTSCHAFT-Umfrage: Wie halten Sie es mit dem Datenschutz?
Datenschutz ja – aber auf einem niedrigen Level
Ich bin für Datenschutz, aber im Rahmen. Wenn es die Praxisprogramme blockiert und vor allem auch viel Zeit und Nerven raubt, dann sollte man damit aufhören. Die Systeme sind so anfällig – Stichwort eRezepte und jetzt noch die ePA. Mein Fazit: Man sollte die Maßnahmen zum Datenschutz einhalten, aber auf einem niedrigen Level.
Dr. med. Stanislaw Nawka, Hausarzt aus Hamburg
Beim Datenschutz muss jeder in die Eigenverantwortung gehen
Datenschutz ist natürlich ein Thema und wird in den Praxen manchmal sträflich vernachlässigt. In Bayern wird mit KIM gearbeitet, einer verschlüsselten Datenkommunikation zwischen Hausärzten, Fachärzten und Krankenhäusern, was sehr gut funktioniert. Trotzdem muss sich jeder an die eigene Nase fassen, was zum Beispiel Passwörter angeht. Ich mache beispielsweise generell keine E-Mail auf, deren Absender ich nicht kenne. Die Praxismail läuft auf einem gesonderten Server. Bei einem Hackerangriff würde so nicht das ganze Praxissystem beschädigt.
Dr. med. Stefan Feige, Hausarzt aus Ampfing
Die Datenschutzmaßnahmen sind übertrieben
Ich finde die Datenschutzmaßnahmen übertrieben. Jeden Patienten die Datenschutzerklärungen unterschreiben zu lassen, ist sehr arbeitsintensiv. Als Ärztin oder Arzt ist man sowieso zur Schweigepflicht verpflichtet, das genügt.
Heide Bassaly, Hausärztin aus Wohratal