Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Praxis

Ärztliche Datenschutzverstöße: Faxen mit fatalen Folgen

Melanie Hurst
Die sensiblen Gesundheitsdaten müssen besonders gut geschützt werden.

Was als harmloser Rezeptversand per Fax gedacht war, endete als peinliche Datenschutzpanne. Denn mehrere saarländische Praxen faxten sensible Patientendaten ausgerechnet an die Aufsichtsbehörde. Damit Ihnen so was nicht passiert, sollten Sie die wichtigsten Datenschutzmaßnahmen für Arztpraxen  kennen.

Schneller wurden in Deutschland wohl noch nie Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) entdeckt. Denn das Corpus Delicti landete praktischerweise gleich direkt im Faxgerät der Datenschützer. Und das nicht nur einmal. Immer wieder fischten die Mitarbeitenden des Unabhängigen Datenschutzzentrums Saarland, das für die Einhaltung der Datenschutz-Vorschriften zuständig ist, ärztliche Rezepte aus ihrem Faxgerät. Offensichtlich hatten MFA aus Versehen die Faxnummer der Behörde statt einer Apotheke eingetippt – ein Datenschutzverstoß par excellence!

Problem: personenbezogene Daten wurden offengelegt

Da Rezepte den Namen, die Anschrift und das Geburtsdatum des Patienten enthalten sowie das verordnete Präparat, liegt mit einem Fehlversand die Offenlegung personenbezogener Daten besonderer Kategorien gemäß Art. 4 Nr. 2 i. V. m. Art. 9 Abs. 1 DSGVO vor. Passiert einer Arztpraxis so ein Fauxpas, muss sie innerhalb von 72 Stunden den Datenschutzverstoß bei der zuständigen Behörde melden. Ein Bürokratievorgang, der in diesen Fällen sogar in Rekordzeit abgewickelt wurde.

Datenschutz in der Praxis: Was Sie wissen sollten

Praxischefinnen und -chefs müssen die Informations- und Nachweispflicht der Datenschutz-Grundverordnung (DSGVO) beachten. Dafür müssen sie insbesondere vier Punkte im Blick behalten: Sie müssen ein Verzeichnis von Verarbeitungstätigkeiten erstellen, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann. Zudem müssen sie eine Patienteninformation auslegen, die über den Datenschutz in der Praxis informiert. Mit den externen Dienstleistern müssen sie eine Vereinbarung zur Auftragsverarbeitung abschließen, wenn diese auf Patienten- oder Mitarbeiterdaten zugreifen können. Und sie müssen alle technischen und organisatorischen Maßnahmen erfassen, die die Praxis zum Schutz von personenbezogenen Daten ergreift. Dazu gehört zum Beispiel:

  • Für die Patienten ist Diskretion gewährleistet. Die Anmeldung sollte getrennt zum Wartebereich angeordnet sein. Wenn es räumlich nicht anders geht, sollte ein Schild auf den nötigen Warteabstand zum Empfangstresen hinweisen.

  • Bei Auskünften am Telefon wird die Identität des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.

  • Vertrauliche Patientengespräche führen Ärztinnen und Ärzte nur in geschlossenen Räumen.

  • Die Patientenakten sind sicher verwahrt, die Computer sind passwortgeschützt und die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden außerdem nur so hingelegt, dass andere Patienten sie nicht einsehen können, oder sie sind weggeräumt, wenn Patienten allein im Raum sind.

  • Patientendaten werden nie unverschlüsselt per E-Mail über das Internet versendet.

  • Es ist festgelegt, wer in der Praxis Zugriffsberechtigungen für Dateien hat und wann und durch wen personenbezogene Daten gelöscht werden.

  • Patientenakten werden nach DIN-Normen vernichtet.

  • Es ist abgestimmt, was bei Datenschutzverstößen zu tun ist und wer die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden macht.

  • Die Praxismitarbeiter wurden über die Einhaltung der Schweigepflicht und den Datenschutz informiert.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit sowie Leiterin des Unabhängigen Datenschutzzentrums Saarland, Monika Grethel, nimmt es mit Humor: „Während unsere Dienststelle sonst eher mit den Regelungen der Datenschutz-Grundverordnung und weniger mit konkreten Medikationsplänen zu tun hat, wuchs hier unfreiwillig unser Wissen über gängige Arzneimittelverordnungen.“    

Wie es zu diesem Missgeschick kam

In ihrem vor Kurzem vorgestellten Tätigkeitsbericht über das Jahr 2024 erklärt die Juristin auch, wie es zu diesen Irrläufern kommen konnte: „Wer heute im Internet nach der Faxnummer einer bestimmten Praxis oder Apotheke sucht, kann leicht auf unsere Kontaktdaten stoßen. Dies liegt daran, dass zahlreiche Unternehmen und medizinische Einrichtungen in ihren Datenschutzerklärungen pflichtbewusst auf uns als zuständige Aufsichtsbehörde verweisen. Unsere dort veröffentlichten Kontaktdaten werden von den Suchmaschinen dann oftmals fälschlicherweise als Kontaktinformationen des betroffenen Unternehmens interpretiert und dargestellt. Eine oberflächliche Recherche kann so fatale Folgen haben: Ein Rezept wird nicht an die richtige Apotheke, sondern an das Unabhängige Datenschutzzentrum gesandt – ein Fall von Datenschutzironie in Reinform.“

Die Datenschützer reagierten kulant

Saarlands oberste Datenschützerin ließ aber in den meisten Fällen Gnade vor Recht ergehen und wies die Arztpraxen nur freundlich auf ihren Datenschutzverstoß hin – mit der Bitte um Unterlassung. Monika Grethel: „Immerhin kann ein einmaliger Irrtum jedem passieren.“

Nur bei einem Kollegen sah sich die Behörde gezwungen, ein Bußgeldverfahren einzuleiten. Denn als Reaktion auf den Behördenanruf trudelte am nächsten Tag das gleiche Rezept erneut per Fax ein und nach einem weiteren Telefonat postwendend ein weiteres Rezept. „Während sich viele ähnlich gelagerte Datenschutzverstöße oft mit Unkenntnis oder Nachlässigkeit erklären lassen, war in diesem Fall zumindest in den zwei Wiederholungsfällen grobe Fahrlässigkeit gegeben“, erklärt die Landesbeauftragte für Datenschutz. „Für die Zukunft empfehlen wir medizinischen Einrichtungen neben der sorgfältigen Überprüfung der Faxnummer vor dem Versand auch eine grundsätzliche Überlegung: Ist Fax im Jahr 2024 noch das Mittel der Wahl für die Übermittlung sensibler Gesundheitsdaten? Mit der Einführung des eRezepts steht jedenfalls seit Januar 2024 in vielen Fällen eine sichere und effiziente Alternative zur Verfügung, die solche Fehlübermittlungen von vornherein ausschließt.“

ARZT & WIRTSCHAFT-Umfrage: Wie halten Sie es mit dem Datenschutz?

Datenschutz ja – aber auf einem niedrigen Level
Ich bin für Datenschutz, aber im Rahmen. Wenn es die Praxisprogramme blockiert und vor allem auch viel Zeit und Nerven raubt, dann sollte man damit aufhören. Die Systeme sind so anfällig – Stichwort eRezepte und jetzt noch die ePA. Mein Fazit: Man sollte die Maßnahmen zum Datenschutz einhalten, aber auf einem niedrigen Level.
Dr. med. Stanislaw Nawka, Hausarzt aus Hamburg

Beim Datenschutz muss jeder in die Eigenverantwortung gehen
Datenschutz ist natürlich ein Thema und wird in den Praxen manchmal sträflich vernachlässigt. In Bayern wird mit KIM gearbeitet, einer verschlüsselten Datenkommunikation zwischen Hausärzten, Fachärzten und Krankenhäusern, was sehr gut funktioniert. Trotzdem muss sich jeder an die eigene Nase fassen, was zum Beispiel Passwörter angeht. Ich mache beispielsweise generell keine E-Mail auf, deren Absender ich nicht kenne. Die Praxismail läuft auf einem gesonderten Server. Bei einem Hackerangriff würde so nicht das ganze Praxissystem beschädigt.
Dr. med. Stefan Feige, Hausarzt aus Ampfing

Die Datenschutzmaßnahmen sind übertrieben
Ich finde die Datenschutzmaßnahmen übertrieben. Jeden Patienten die Datenschutzerklärungen unterschreiben zu lassen, ist sehr arbeitsintensiv. Als Ärztin oder Arzt ist man sowieso zur Schweigepflicht verpflichtet, das genügt.
Heide Bassaly, Hausärztin aus Wohratal

Stichwörter

Datenschutz