Leseprobe
Inhalt
1 Einführung
1.1 Beratung
1.2 Übungsaufgaben und Lösungen
1.3 Farben in diesem Buch
2 Was bedeutet E-Health?
2.1 Das System in Zahlen
2.2 Praxisbeispiele für den Einsatz von E-Health
3 Patientendaten
3.1 Die Patientendaten
3.2 Wieso werden Daten erhoben
3.3 Welche Regelungen gelten
3.4 Auf welche Verordnungen oder Gesetze achten
3.5 Meldungen nach dem IT-Sicherheitsgesetz
3.6 Kommunikation mit Patienten per neue Medien
3.6.1 E-Mail
3.6.2 Messenger-Dienste
3.6.3 Einsatz von externen Mailboxen
4 Der Datenschutzbeauftragte
4.1 Aufgaben
4.2 Meldung an Behörden
4.3 Hierarchie
4.4 Interne und externe Datenschutzbeauftragte
4.5 Schweigepflicht
4.6 Voraussetzungen
4.7 Datenschutzverantwortlicher
5 Schweigepflicht
5.1 Berufe mit Schweigepflicht
5.2 Was wird genau als Geheimnis gesehen
5.3 Kein Patientenbezug = kein Geheimnis
5.4 Offenbarungspflicht
5.4.1 Ausdrückliches Einverständnis
5.4.2 Stillschweigende Willenserklärung
5.4.3 Gesetzliche Ausnahmen
5.4.4 Betriebsprüfung, Finanzamt
5.4.5 Offenbarung zur Abwendung von Straftaten
5.5 Anfragen von Krankenkassen und Ämtern
5.6 Konsequenzen
5.7 Anforderung an eine Einwilligung
6 Dokumentation
6.1 Grundsatz
6.2 Einwilligung, Originale
6.3 Gesetzliche Grundlagen
6.4 Inhalte der Dokumentation
6.5 Manipulationen, Änderungen
6.6 Elektronische Dokumentation
6.7 Aufbewahrungspflicht
6.8 Auskünfte und digitaler Versand
7 Schutz der Patientendaten
7.1 Grundsätzliches
7.2 Empfang
7.3 Behandlungszimmer
7.4 Wartebereich, Aufrufen
7.5 Computer
7.5.1 Passwörter
7.5.2 Korrekter Umgang mit dem Computer
7.5.3 Firewall und Anti-Virus-Programm
7.6 Datensicherungen
7.7 Verschlüsselung
7.7.1 Warum ist eine Verschlüsselung so wichtig?
7.7.2 Praxisbeispiele Verschlüsselung
7.7.3 Verfahren/Methoden der Verschlüsselung
7.8 Arbeit mit digitalen Zertifikaten
7.9 Digitale Signaturen
7.10 Fernwartung der Systeme
7.10.1 Grundsätzliches
7.10.2 Organisatorische Maßnahmen
7.10.3 Sonstiges
7.11 Wohin mit Hardwaremüll?
7.12 Empfangene Schriftstücke
7.13 Aushändigen von Rezepten
7.14 Auskunft an Apotheken
8 Zugangskontrollen Grundwissen
8.1 Zugangskontrolle in der Praxis
8.2 Umgang mit Dritten
9 Administrative Aufnahme eines Patienten
9.1 Datenaufnahme
9.2 Behandlungsvertrag
9.3 Einwilligungen
9.3.1 Besonderheiten Privatpatienten
9.4 Datenübermittlung zum Zweck der Abrechnung
10 Briefe, Faxe
10.1 Eingang
10.2 Ausgang
10.2.1 Fax an andere Ärzte
10.2.2 Fax an Beihilfestellen
10.2.3 Fax an Patienten
11 Gesundheitsinformationssystem (GIS)
11.1 Unterstützung
11.2 Vertraulichkeit und Datenschutz
11.3 Zugriffe auf ein GIS
11.4 Nutzungsbedingungen
11.5 Spezielle Sicherheit im Gesundheitsinformationssystem.
12 Weitere Informationen
12.1 Webseite der Praxis
12.2 Aufsichtsbehörden in Deutschland
12.2.1 Deutschland
12.2.2 Baden-Württemberg
12.2.3 Bayern
12.2.4 Berlin
12.2.5 Brandenburg
12.2.6 Bremen
12.2.7 Hamburg
12.2.8 Hessen
12.2.9 Mecklenburg-Vorpommern
12.2.10 Niedersachsen
12.2.11 Nordrhein-Westfalen
12.2.12 Rheinland-Pfalz
12.2.13 Saarland
12.2.14 Sachsen
12.2.15 Sachsen-Anhalt
12.2.16 Schleswig-Holstein
12.2.17 Thüringen
12.3 Umgang mit Patientenbewertungen
13 Quellenangaben
14 Änderungshinweise zur Vorgängerversion
15 Situationsaufgaben
15.1 Aufgabe 1
15.2 Aufgabe 2
15.3 Aufgabe 3
15.4 Aufgabe 4
16 Übungsaufgaben
16.1 Dürfen Sie Patientendaten ohne die Einwilligung des Betroffenen per E-Mail versenden?
16.2 Wie wird ein sicheres Passwort erstellt?
16.3 Welche der unten aufgeführten Kombinationen stellt ein sinnvolles Passwort dar?
16.4 In einem Krankenhaus kam es in der Vergangenheit zu unbefugten Zugriffen auf digital abgelegte Krankenakten. Welche Möglichkeiten gibt es, um die Zugangskontrolle, also den unberechtigten Zugang zur Krankenhaus-EDV, zu verhindern?
16.5 Was müssen Sie beim Verlassen des Bildschirmarbeitsplatzes beachten?
16.6 Was muss bei der Fernwartung durch externe Dienstleister beachtet werden?
16.7 Welche Sanktionen drohen bei der Verletzung der ärztlichen Schweigepflicht?
16.8 Was sollte am Empfang einer medizinischen Einrichtung bei der Patientenaufnahme eingehalten werden
16.9 Durch welche Funktion kann der Schutz dienstlich genutzter Accounts verbessert werden?
16.10 Was müssen Sie bei der Verwendung von Passwörtern beachten?
16.11 Wer ist neben den Ärzten an die ärztliche Schweigepflicht noch gebunden?
16.12 Eine Krankenschwester im einzigen Krankenhaus einer Kleinstadt hat am Wochenende einen Mann kennengelernt. Da sie Zugriff auf das zentrale Krankenhausinformationssystem hat, überprüft sie seine Daten, um zu erfahren, ob er bereits wegen irgendwelchen ansteckenden Krankheiten behandelt wurde. Ist ein solches Vorgehen erlaubt?
16.13 Wer bleibt bis zur Abgabe der Patientenakten an das Archiv für ebendiese verantwortlich?
16.14 Was müssen die Praxismitarbeiter am Empfang im Umgang mit Patientendaten am Computer beachten?
16.15 Welche Vorsichtsmaßnahme sollte vor der Versendung von Faxen mit patientenbezogenen Daten beachtet werden?
16.16 Welche Daten dürfen bei der medizinischen Aufnahme erhoben werden?
16.17 Was müssen Sie im Umgang mit Patientenakten oder anderen schriftlichen Aufzeichnungen von Patientendaten beachten?
16.18 Was muss bei der Gestaltung eines Aufnahmeformulars beachtet werden?
16.19 Welche Daten dürfen vom Patienten bei der administrativen Aufnahme in Krankenhäuser oder Pflegeeinrichtungen immer erhoben und gespeichert werden?
16.20 Was ist bei der Weitergabe der Patientendaten an den Krankenhausgeistlichen notwendig?
16.21 Darf der Arzt die Behandlungsdaten ohne die Einwilligung des Patienten an den angegebenen Hausarzt weiterleiten?
16.22 Über welche Maßnahme muss der Patient zwingend von der Krankenhausverwaltung informiert werden?
16.23 Was müssen Sie bei der Nutzung von Faxgeräten in Zusammenhang mit patientenbezogenen Inhalten beachten?
16.24 Welche Voraussetzung muss vorliegen, damit bei Privatpatienten die Abrechnung über die privatärztliche Verrechnungsstelle erfolgen darf?
16.25 Was gilt zwingend bei der Postöffnung in der Poststelle?
16.26 In welchen Räumlichkeiten einer medizinischen Einrichtung müssen Patientenunterlagen nicht besonders vor dem Zugriff und der Einsichtnahme durch Unbefugte geschützt werden?
16.27 Welche typischen Gefahrensituationen kennen Sie bei einem Gesundheitsinformationssystem?
16.28 Welches ist die größte Gefahr für das Patientengeheimnis beim Einsatz mobiler Geräte im Gesundheitsumfeld?
16.29 Ein Krankenhaus möchte ein informationstechnisches System einführen, das neben den Patientenakten auch medizinische Statistiken über Anamnesen, Diagnosen, Untersuchungsergebnisse etc. beinhaltet. Wie wird ein solches IT-System gemeinhin bezeichnet?
16.30 Was muss ein Mitarbeiter unternehmen, wenn er Sicherheitsverletzungen feststellt?
17 Übungsaufgaben – Lösungen
17.1 Dürfen Sie Patientendaten ohne die Einwilligung des Betroffenen per E-Mail versenden?
17.2 Wie wird ein sicheres Passwort erstellt?
17.3 Welche der unten aufgeführten Kombinationen stellt ein sinnvolles Passwort dar?
17.4 In einem Krankenhaus kam es in der Vergangenheit zu unbefugten Zugriffen auf digital abgelegte Krankenakten. Welche Möglichkeiten gibt es, um die Zugangskontrolle, also den unberechtigten Zugang zur Krankenhaus-EDV, zu verhindern?
17.5 Was müssen Sie beim Verlassen des Bildschirmarbeitsplatzes beachten?
17.6 Was muss bei der Fernwartung durch externe Dienstleister beachtet werden?
17.7 Welche Sanktionen drohen bei der Verletzung der ärztlichen Schweigepflicht?
17.8 Was sollte am Empfang einer medizinischen Einrichtung bei der Patientenaufnahme eingehalten werden
17.9 Durch welche Funktion kann der Schutz dienstlich genutzter Accounts verbessert werden?
17.10 Was müssen Sie bei der Verwendung von Passwörtern beachten?
17.11 Wer ist neben den Ärzten an die ärztliche Schweigepflicht noch gebunden?
17.12 Eine Krankenschwester im einzigen Krankenhaus einer Kleinstadt hat am Wochenende einen Mann kennengelernt. Da sie Zugriff auf das zentrale Krankenhausinformationssystem hat, überprüft sie seine Daten, um zu erfahren, ob er bereits wegen irgendwelchen ansteckenden Krankheiten behandelt wurde. Ist ein solches Vorgehen erlaubt?
17.13 Wer bleibt bis zur Abgabe der Patientenakten an das Archiv für ebendiese verantwortlich?
17.14 Was müssen die Praxismitarbeiter am Empfang im Umgang mit Patientendaten am Computer beachten?
17.15 Welche Vorsichtsmaßnahme sollte vor der Versendung von Faxen mit patientenbezogenen Daten beachtet werden?
17.16 Welche Daten dürfen bei der medizinischen Aufnahme erhoben werden?
17.17 Was müssen Sie im Umgang mit Patientenakten oder anderen schriftlichen Aufzeichnungen von Patientendaten beachten?
17.18 Was muss bei der Gestaltung eines Aufnahmeformulars beachtet werden?
17.19 Welche Daten dürfen vom Patienten bei der administrativen Aufnahme in Krankenhäuser oder Pflegeeinrichtungen immer erhoben und gespeichert werden?
17.20 Was ist bei der Weitergabe der Patientendaten an den Krankenhausgeistlichen notwendig?
17.21 Darf der Arzt die Behandlungsdaten ohne die Einwilligung des Patienten an den angegebenen Hausarzt weiterleiten?
17.22 Über welche Maßnahme muss der Patient zwingend von der Krankenhausverwaltung informiert werden?
17.23 Was müssen Sie bei der Nutzung von Faxgeräten in Zusammenhang mit patientenbezogenen Inhalten beachten?
17.24 Welche Voraussetzung muss vorliegen, damit bei Privatpatienten die Abrechnung über die privatärztliche Verrechnungsstelle erfolgen darf?
17.25 Was gilt zwingend bei der Postöffnung in der Poststelle?
17.26 In welchen Räumlichkeiten einer medizinischen Einrichtung müssen Patientenunterlagen nicht besonders vor dem Zugriff und der Einsichtnahme durch Unbefugte geschützt werden?
17.27 Welche typischen Gefahrensituationen kennen Sie bei einem Gesundheitsinformationssystem?
17.28 Welches ist die größte Gefahr für das Patientengeheimnis beim Einsatz mobiler Geräte im Gesundheitsumfeld?
17.29 Ein Krankenhaus möchte ein informationstechnisches System einführen, das neben den Patientenakten auch medizinische Statistiken über Anamnesen, Diagnosen, Untersuchungsergebnisse etc. beinhaltet. Wie wird ein solches IT-System gemeinhin bezeichnet?
17.30 Was muss ein Mitarbeiter unternehmen, wenn er Sicherheitsverletzungen feststellt?
1 Einführung
Mit dem „Handbuch E-Health“ haben Sie alles, was für Ihr Grundverständnis im Umgang mit Patienten wichtig ist. Dieses Skript wurde so konzipiert, dass viele verschiedene Lernzielkataloge abgedeckt sind. Egal, ob Sie sich auf eine Prüfung vorbereiten wollen oder einfach nur die Grundlagen erlernen: Mit dem „Handbuch E-Health“ sind Sie auf dem richtigen Weg.
Um alles möglichst einfach zu halten, benutze ich männliche Formen, wie „Patient“ oder „Arzt“. Natürlich sind hier alle Geschlechter gemeint.
1.1 Beratung
Als langjähriger Dozent und Autor verschiedenster Bücher, Prüfungen, Übungen und Praxisaufgaben, sehe ich es als Selbstverständlichkeit, meinen Kunden und Teilnehmern mit Rat und Tat zur Seite zu stehen. Wenn Sie also Fragen oder Probleme mit irgendeiner Fragestellung haben, können Sie gerne eine E-Mail senden :-)
1.2 Übungsaufgaben und Lösungen
Übungsaufgaben mit Lösungen finden Sie am Ende des Buches. Diese befassen sich mit dem Inhalten des Buches und sind nicht als Prüfungsvorbereitung einer bestimmten Zertifizierung zu verstehen.
1.3 Farben in diesem Buch
Ich habe einige Farben genutzt, um es Ihnen einfacher zu machen, optionale oder wichtige Teile identifizieren zu können. Folgende farbige Markierungen sind im Text enthalten, hier nun die Bedeutung:
- Grüne Wörter, Sätze oder Absätze sind optionales oder ergänzendes Wissen.
- Blaue Wörter, Sätze oder Absätze beziehen sich auf Quellen (Nummerierung beachten!). Die genaue Quellangabe erfolgt in der jeweiligen Fußzeile oder direkt am Text. Manchmal sind hier auch Paragrafen markiert, die keine Quellenangabe besitzen.
- Rote Wörter, Sätze oder Absätze sind sehr wichtig!
- Lila Wörter, Sätze oder Absätze weißen auf ergänzende Unterlagen oder Programme hin, die ich Ihnen beispielsweise auf meiner Webseite zur Verfügung stelle.
Viel Spaß und Erfolg!
2 Was bedeutet E-Health?
Das englische Wort Electronic Health bedeutet elektronische Gesundheit und wird für alle Situationen eingesetzt, in denen digitale Techniken im Gesundheitssektor zum Einsatz kommen. Dazu zählt die klassische Patientenakte, die nun digital angelegt und verfügbar ist. Aber auch Dienstleistungen anderer Unternehmen, die im Grunde wenig mit dem Gesundheitsbereich zu tun haben, können Teil von E-Health werden, beispielsweise, wenn ein IT-Unternehmen Reparaturen oder Wartungen in einer Arztpraxis vornehmen.
Sie werden in den folgenden Kapiteln eine Vielzahl von Methoden, Dienstleistungen und Einsatzgebiete im Zusammenhang mit E-Health kennenlernen.
Aufgrund der Komplexität des deutschen Gesundheitssystems ist ein Grundverständnis einiger Themen unvermeidlich.
2.1 Das System in Zahlen
- Es gibt über 2.200 Krankenhäuser und 2015 wurden ca. 72.000 Arztpraxen gezählt.
- Knapp 210.000 Ärzte und Therapeuten.
- 81.453.631 Einwohner von denen 90% der gesetzlichen Versicherung angehören (73.308.268).
- 109 Krankenkassen (Stand: Januar 2019).
- Über 1,5 Milliarden Kontakte zwischen Arzt und Patient pro Jahr.
- Ca. 4 Millionen Kontakte zwischen Apotheker und Patient pro Jahr.
- Es werden geschätzt 5 Milliarden neue Patentendokumente pro Jahr erstellt.
2.2 Praxisbeispiele für den Einsatz von E-Health
- Ein Hausarzt führt seine Patientenakten digital, das ist die sogenannte elektronische Gesundheitsakte .
- Ein Arzt sucht in einer Wissensdatenbank nach alternativen Medikamenten, da der Patient sein altgedientes Medikament nicht verträgt.
- Ein behandelnder Arzt möchte sich eine Zweitmeinung einholen und nutzt dafür sogenannte Telemediendienste. Dies kann eine Video-Konferenz mit einem Kollegen sein.
- Ein Patient führt ein Blutdrucktagebuch und teilt die eingetragenen Ergebnisse mit seinem Hausarzt bzw. der Praxis.
- Ein Mediziner eröffnet ein Blog und betreibt damit aktiv Aufklärung für Patienten (in der Regel medizinische Laien) in Form eines Gesundheitsportals.
- Die vielen Onlineapotheken zählen ebenso in den Bereich E-Heath
- Anlagen und Geräte zur Patientenüberwachung im eigenen Heim oder in Pflegeheimen. Zum Beispiel der bekannte Notruf-Knopf, Bettunterlagen die Regungslosigkeit registrieren und Alarm schlagen etc.
Im Januar 2016 ist das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz)“ in Kraft getreten, um die Entwicklung und Einführung der Digitalisierung zu regeln, leiten und zu unterstützen. 1
E-Health bezeichnet die Gesamtheit der Digitalisierung im Gesundheitswesen. Das E-Health Gesetz regelt die Einführung der digitalen Infrastruktur.
3 Patientendaten
3.1 Die Patientendaten
Unter Patientendaten werden alle gespeicherten Informationen verstanden, die im Kontext zum Patienten stehen. Dazu zählen sämtliche Stammdaten, Gesundheits- und Behandlungsdaten, Informationen zur Versicherung, Befunde oder auch Maßnahmen die geplant oder durchgeführt werden. Wichtig ist auch, dass die betroffene Person identifiziert oder identifizierbar ist.
Es gilt bei Daten „So wenig wie möglich – so viel wie nötig“.
3.2 Wieso werden Daten erhoben
Da es sehr umständlich wäre, immer wieder alle Daten neu erheben zu müssen, existiert die Patientenakte – auch elektronische Gesundheitskarte – die hier gesammelten Daten geben einen Überblick des Gesundheits- und Behandlungsverlaufes, getroffene Maßnahmen, Diagnosen und so weiter. Mit dieser Sammlung an Daten kann sich ein behandelnder Arzt auch ein Gesamtbild machen und Zusammenhänge erkennen, die bei einer einzelnen Behandlung eventuell nicht auffallen würden.
Eine elektronische Gesundheitskarte hilft auch, wenn der Patient den Arzt wechselt oder einen Facharzt besucht. Das spar Zeit, da somit ein paar Feststellungsbehandlungen wegfallen können (sofern sie schon dokumentiert sind).
3.3 Welche Regelungen gelten
Im Grunde kann jeder Arzt das Speichern von Daten und in welchem Umfang dies geschieht, selbst bestimmen, wenn die gesetzlichen Bestimmungen erfüllt sind. Typischer Weise existiert ein Datensatz in einem EDV-Programm und die klassische, abgeheftete, Behandlungskarte parallel.
Patientendaten sind besonders geschützt. Zum einen durch das Arztgeheimnis und zum anderen durch die Regelungen des Datenschutzgesetzes. Dazu gleich mehr.
Der Umgang mit Patientendaten wird durch vielerlei Verordnungen oder Gesetze geregelt. Hier die wichtigsten:
Abbildung in dieser Leseprobe nicht enthalten
Im Bild: Typische Hierarchie. Das Bundesdatenschutzgesetz baut auf dem Grundrecht auf Datenschutz und der DSGVO auf. Landesgesetze bauen auf Bundesgesetze auf, Verordnungen auf Landesgesetze und die persönliche Abwägung auf den vorher genannten Gesetzlichen Regelungen und der entsprechenden Situation.
3.4 Auf welche Verordnungen oder Gesetze achten
Diese Übersicht ist recht groß und natürlich nicht abschließend. Die meisten Einrichtungen definieren Ihre eigenen Regelungen, die auf dem Bundesdatenschutzgesetz aufbauen. Ob spezifische Verordnungen oder Gesetze gelten, muss im Einzelfall geprüft werden und kann pauschal nicht beantwortet werden. Einige relevanten Paragrafen sind im Sozialgesetzbuch zu finden.
Hier nun eine kleine, nicht abschließende, Auflistung:
Abbildung in dieser Leseprobe nicht enthalten
Weiterhin zu erwähnen sind:
- Die jeweiligen Berufsordnungen
- Das Zivilrecht (z. B. § 630a BGB)
- Das Bundesdatenschutzgesetz
- Die EU-Datenschutz-Grundverordnung
- Landesdatenschutzgesetze
- Strafgesetzbuch
- Das IT-Sicherheitsgesetz
3.5 Meldungen nach dem IT-Sicherheitsgesetz
Betreiber von besonders gefährdeten Netzwerken und Systemen ist vorgeschrieben, mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zu kooperieren. Da das Gesundheitswesen zu diesen „besonders gefährdeten“ Netzwerken gehört, bedeutet dies im Einzelnen:
- Es sind regelmäßige Sicherheitsaudits durchzuführen (mindestens alle zwei Jahre).
- Bei Vorfällen, die die Sicherheit betreffen, muss das BSI informiert werden.
- Über Ergebnisse und Maßnahmen der Audits muss das BSI informiert werden.
- Es ist zulässig, diese Audits von externen Dienstleistern verwalten/durchführen zu lassen.
3.6 Kommunikation mit Patienten per neue Medien
3.6.1 E-Mail
Eine Kommunikation via E-Mail ist nur bedingt zulässig. Zum einen kommt es auf die Art der Kommunikation an: Sind die E-Mails verschlüsselt oder unverschlüsselt?
In der Regel ist allerdings eine schriftliche Einwilligung ausreichend, um mit dem Patienten via E-Mail zu kommunizieren, unabhängig davon, ob die E-Mail verschlüsselt wurde. In der Praxis empfiehlt sich, für beide Arten eine Einwilligung einzuholen.
3.6.2 Messenger-Dienste
Verwendung von sogenannten Messenger-Diensten ist aktuell umstritten. Grundsätzlich geht die Empfehlung dahin, komplett darauf zu verzichten.
Probleme bereiten nicht nur die Frage der Identität, sondern auch des undurchsichtigen Datenschutzes bei ausländischen Diensten wie beispielsweise bei WhatsApp.
Mit dem eindeutigen Einverständnis des Patienten sollte es keine Probleme geben, sofern alternativen Angeboten werden (z. B. E-Mail). Befragen Sie dazu am besten die Aufsichtsbehörde bzw. den Datenschutzbeauftragten des Landes.
3.6.3 Einsatz von externen Mailboxen
Externe Dienstleister (z. B. Anrufbeantworterdienste oder Sekretariatsdienste) sind nach Auffassung der Datenschutzbehörden zulässig und unterliegen nicht der Auftragsdatenverarbeitung.
Stammdaten und Befunde zählen zu den Patientendaten. Das Speichern und Erheben dieser Daten unterliegt verschiedenen Gesetzen und Verordnungen. Alle bauen auf dem Bundesdatenschutzgesetz auf.
4 Der Datenschutzbeauftragte
Eine Besonderheit im Gesundheitssektor ist der Datenschutzbeauftragte, da viele davon ausgehen, dass er nur in großen Unternehmen existiert. Diese Position ist wichtig und vor allem auch gesetzlich geregelt.
Im Allgemeinen kann gesagt werden: Wenn zwanzig oder mehr Personen mit der Verarbeitung personenbezogener Daten beschäftigt werden, muss ein Datenschutzbeauftragter bestimmt werden. Einrichtungen wie Krankenhäuser müssen, unabhängig der Personenzahl, immer einen Datenschutzbeauftragten bestellen.
Hinweis: Die hier genannte Zahl ist eine Neuregelung. In manchen Unterlagen und auch Prüfungen wird noch nach der „ alten “ Regelung gefragt: Diese lautete, wenn zehn oder mehr Personen mit der Verarbeitung personenbezogener Daten beschäftigt werden.
Bei Praxen und sonstigen Einrichtungen geht man immer davon aus, dass alle Mitarbeiter, die Zugriff auf die Daten, Kalender, Termine, E-Mails oder ähnliches haben, zu diesem Personenkreis zählen.
Praxen und Einrichtungen die eine Datenschutz-Folgeabschätzung aufgrund der Datenerhebung durchführen müssen, haben immer einen Datenschutzbeauftragten zu benennen.
4.1 Aufgaben
Die Aufgaben sind in § 7 BDSG (neu)2 geregelt. Im Grunde muss der Datenschutzbeauftrage die Umsetzung gesetzlicher Regelungen
- beachten,
- durchsetzen,
- Mitarbeiter aufklären und verpflichten oder
- mit Aufsichtsbehörden zusammenarbeiten.
Es ist erlaubt, dass diese Aufgaben nicht hauptberuflich ausgeführt werden. Das bedeutet:
Ein Datenschutzbeauftragter kann durchaus seinen „normalen Arbeiten“ nachgehen, wie beispielsweise auch Mitglieder eines Betriebsrates. Seine Tätigkeiten dürfen allerdings nicht zu Interessenskonflikten mit der Aufgabe als Datenschutzbeauftragter führen.
4.2 Meldung an Behörden
Datenschutzbeauftragte müssen, je nach Landesrecht, den entsprechenden Datenschutzbehörden gemeldet werden. Hierfür existieren meist Web-Formulare.
Abgesehen davon muss ein Datenschutzbeauftragter mit Kontaktdaten veröffentlicht werden.
4.3 Hierarchie
Datenschutzbeauftragte dürfen keinen Weisungen unterliegen, die ihren Aufgabenbereich berühren. Er darf in seiner Funktion weder eingeschränkt, noch benachteiligt werden. So muss er Weisungen, die konkret den Datenschutz betreffen, nicht Folge leisten.
Ebenso untersteht ein Datenschutzbeauftragter immer der obersten Leitung und berichtet nur dort hin. Wer diese Aufgabe übernimmt darf nicht benachteiligt werden und hat ein Recht auf Weiterbildung.
4.4 Interne und externe Datenschutzbeauftragte
Es dürfen auch externe Datenschutzbeauftragte berufen werden. Damit minimiert sich meist das Haftungsrisiko.
Mitarbeiter die zum Datenschutzbeauftragten berufen werden, können nur noch außerordentlich gekündigt werden. Im Übrigen steht immer der Verantwortliche in der Haftung. In den meisten Fällen ist dies der vertretungsberechtigte (Geschäftsführer, Inhaber und so weiter).
4.5 Schweigepflicht
Auch Datenschutzbeauftragte unterliegen einer Schweigepflicht, sofern sie davon nicht ausdrücklich befreit werden.3
4.6 Voraussetzungen
Es können nur Personen berufen werden, deren berufliche Qualifikation und das eigene Fachwissen geeignet sind. Es existiert keine gesetzliche Verpflichtung irgendwelche Kurse zu besuchen. Dieses Fachwissen muss selbstverständlich auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis beruhen. Die gesetzlichen Vorgaben müssen bekannt sein.
Aufgrund dieser Voraussetzungen ergibt sich das Recht auf Weiterbildung und in gewisser Weise auch die Pflicht sich immer auf dem neusten Stand zu halten.
Auch die Landesdatenschutzbeauftragte fordern in der Regel seit 2018 keine Pflicht-Seminare mehr. Dazu fragen Sie allerdings am besten immer die zuständige Aufsichtsbehörde oder sehen sich entsprechende Handlungsempfehlungen auf deren Webseite an.
4.7 Datenschutzverantwortlicher
Abzugrenzen sind die sogenannten Datenschutzverantwortlichen. Diese werden nicht berufen und unterliegen auch keiner Gesetzlichen Regelung. Im Grunde handelt es sich schlicht um Mitarbeiter, die sich nebenbei um den Datenschutz kümmern.
Gerade bei Praxen, Einrichtungen und Unternehmen, die nicht zur Berufung verpflichtet sind, empfiehlt sich immer einen Ansprechpartner zu bestimmen, der sich um die Grundsätzlichen Dinge kümmert.
Krankenhäuser müssen immer einen Datenschutzbeauftragten berufen, ansonsten: zwanzig oder mehr Personen mit Zugriff auf Patientendaten ist der Schwellwert – dann muss ebenso ein Datenschutzbeauftragter berufen werden. Dieser soll Fachwissen im Bereich Datenschutz besitzen und ist der oberen Leitung unterstellt.
5 Schweigepflicht
Die meisten Bürger kennen die sogenannte ärztliche Schweigepflicht. Auch das der Pfarrer ein Beichtgeheimnis zu wahren hat ist bekannt. Der Schutz von Privatgeheimnissen ist fest im Strafgesetzbuch verankert. Dies tangiert nicht nur Behandlungsergebnisse, sondern alles, was der Behandelnde von seinem Patienten erfährt.
Sie werden zu diesem Thema mit mehreren Synonymen konfrontiert, die alle das gleiche meinen:
- Ärztliche Schweigepflicht
- Schweigepflicht
- Verschwiegenheitspflicht
- Schweigegebot
- Geheimhaltungspflicht
Für den Gesundheitsbereich ist auch interessant, dass die Verschwiegenheitspflicht nicht mit dem Tod des Patienten endet (§ 203 Abs. 4 StGB).
Die Schweigepflicht ist immer direkt mit dem Datenschutz verknüpft.
5.1 Berufe mit Schweigepflicht
- Alle, staatlich geregelte, Heilberufe (Ärzte, Zahnärzte, Apotheker usw.)
- Auch die Angestellten dieser Berufsgruppe
- Praktikanten, Aushilfen und alle Personen die Patientendaten zur Kenntnis nehmen können
- Mitarbeiter des Rettungsdienstes (egal ob Feuerwehr oder Rettungsdienstleister)
- Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater, Berufspsychologen
- Mitarbeiter von staatlich anerkannten Beratungsstellen (Schwangerschaftskonfliktberatung, Suchtberater, Jugend,- Familien-, Eheberater, Sozialarbeiter und Sozialpädagogen
- Mitarbeiter von Versicherungsunternehmen
- Amtsträger
- Personalvertretung und Datenschutzbeauftragte
- Eine abschließende Auflistung findet sich in § 203 StGB.
5.2 Was wird genau als Geheimnis gesehen
Im Grunde ist man sehr gut beraten alles, was anvertraut wird, auch bei sich zu behalten.
Wichtig zu wissen ist aber, dass auch Erkenntnisse, die nicht direkt vom Patienten kommen und egal auf welche Weise bekannt werden, unter die Schweigepflicht fallen.
Eine, nicht abschließende, Liste typischer Situationen und Informationen, die in jedem Fall unter die Verschwiegenheitspflicht fallen, sind:
- Die Tatsache das ein Patient überhaupt Kontakt aufnimmt.
- Alle Informationen zu den Stammdaten des Patienten.
- Alle Inhalte der Patientenakte, beispielsweise: Krankheitsverlauf, Diagnose, Befunde, Art der Erkrankung, Ergebnisse von Bluttests, der Diagnostik und ähnlichem.
- Maßnahmen die Durchgeführt werden oder wurden, Überweisungen zu anderen Ärzten oder Einrichtungen.
- ALLE anderen Informationen, die durch den Patienten oder über einen anderen Weg in Erfahrung gebracht werden (Neigungen, Lebenssituation, Vermögen, Hygiene und so weiter).
5.3 Kein Patientenbezug = kein Geheimnis
Wenn bestimmte Einzelheiten auf garkeinen Fall Rückschlüsse auf eine bestimmte Person (egal ob bekannt oder unbekannt) zulassen, fällt dies nicht unter die Schweigepflicht. Sinn davon ist es, beispielsweise die Erhebung von anonymen Daten für Statistiken und ähnlichem zu gewährleisten.
Auch hier: Datenschutz und Schweigepflicht gelten nur, wenn ein Patient identifiziert oder identifizierbar ist.
5.4 Offenbarungspflicht
Die Schweigepflicht gilt gegenüber jedem. Egal ob Eltern, Kollegen, Chef, Polizei oder auch ein Gericht.
Allerdings gibt es Situationen, die eine Offenbarung von Geheimnissen rechtfertigt oder sogar Leben retten. Und aus genau diesem Grund haben wir folgende Offenbarungspflichten:
5.4.1 Ausdrückliches Einverständnis
Die häufigste Offenbarung ist, wenn der Patient dieser ausdrücklich zustimmt.
In der Praxis passiert das meist schon bei der Anmeldung: Der Patient gibt sein Einverständnis das bestimmte Daten an andere Ärzte (beispielsweise zur Weiterbehandlung) weitergegeben werden dürfen. Aber auch bei einem Arztwechsel oder Facharztbesuch gibt der Patient seine Einwilligung.
5.4.2 Stillschweigende Willenserklärung
In manchen Situationen darf der Geheimnishüter von einer sogenannten stillschweigenden Entbindung ausgehen. Dies passiert immer dann, wenn die betreffende Person nicht ansprechbar oder selbst in der Lage ist, das Einverständnis zu erklären.
In der Praxis gibt es viele Beispiele. Hier nun zwei Situationen:
Ein Patient erleidet einen Herzinfarkt und wird medizinisch Versorgt. Der Patient ist nicht ansprechbar und kann somit kein Einverständnis geben, das der Rettungsdienst seine Behandlungsdaten an das Krankenhaus weitergibt, in das der Patient gebracht wird. Die Frage, ob der Patient im ansprechbaren Zustand sein Einverständnis geben würde, kann hier immer mit „Ja“ beantwortet werden.
Ein junger Patient wird in der Pädiatrie stationär behandelt. Während der Behandlung fällt der Patient in ein Koma und muss zur weiteren Behandlung in eine andere Station verbracht werden. Rein rechtlich wäre es nun notwendig, den Patienten oder die Eltern um die Einwilligung zu bitten, die Behandlungsdaten, Befunde und so weiter an die andere Station weitergeben zu dürfen, da es sich um zwei Unterschiedliche Behandlungsteams handelt. Da der Patient nicht ansprechbar ist, darf von einer stillschweigenden Willenserklärung ausgegangen werden.
Hinweis: Sie müssten schon sehr grob fahrlässig handeln, um sich rechtlich strafbar zu machen. Auch wenn der Patient im Nachgang behauptet, er wäre nicht mit der Weitergabe einverstanden, passiert Ihnen im Regelfall nichts. Alleine schon Ihre Verpflichtung zur ersten Hilfe schützt und deckt Ihre Entscheidung.
5.4.3 Gesetzliche Ausnahmen
Es gibt auch gesetzliche Regelungen, die zur Offenbarung führen. Beispielsweise der „ rechtfertigende Notstand “. Es muss eine gegenwärtige Gefahr für Leben, Leib, Freiheit, Ehre, Eigentum oder ein anderes Rechtsgut bestehen. Es muss zwingend eine Güterabwägung zwischen den Interessenlagen erfolgen. Handeln im Notstand rechtfertigt nur, wenn die Güterabwägung richtig entschieden wurde.
Bei Anfragen von Gerichten: Diese müssen die Zustimmung des Patienten versichern. Tun sie dies, darf der Arzt keine Kopie verlangen, sondern muss dem Wort des Gerichts glauben und Auskunft erteilen.
5.4.4 Betriebsprüfung, Finanzamt
Gegenüber von Prüfern des Finanzamtes besteht ein Auskunftsverweigerungsrecht. Dieses wurde vom Bundesfinanzhof in einer Grundsatzentscheidung festgestellt.
„Nach § 102 Abs. 1 Nr. 3 AO können u. a. Rechtsanwälte, Notare, Steuerberater und Ärzte die Auskunft über das verweigern, was ihnen in dieser Eigenschaft anvertraut oder bekannt geworden ist. Nach § 104 Abs. 1 S. 1 AO können diejenigen Personen, die die Auskunft verweigern dürfen, auch die Vorlage von Urkunden verweigern. Dabei besteht allerdings kein umfassendes Verweigerungsrecht, sondern nur ein jeweils auf die einzelne Unterlage bezogenes.“ – BFH Urteil vom 28. 10. 2009 VIII R 78/05, BStBl. 2010 II S. 455
Die ärztliche Schweigepflicht ermöglicht bis zu einem gewissen Grad, die Einsicht in Unterlagen zu verweigern. Eine Prüfung als solche muss aber dennoch möglich sein.
5.4.5 Offenbarung zur Abwendung von Straftaten
Wenn ein Patient mit Straftaten droht, ist der Arzt NICHT zur Anzeige verpflichtet. Ebenso sind alle „berufsmäßigen Gehilfen“ von der Anzeigepflicht verschont „wenn er sich ernsthaft bemüht hat, ihn von der Tat abzuhalten oder den Erfolg abzuwenden.“.
Ausnahmen: Mord oder Totschlag, Völkermord, Kriegsverbrechen, erpresserischen Menschenraub, Geiselnahme, Angriff auf den Luft- und Seeverkehr oder einen Angriff durch eine terroristische Vereinigung (§ 139 StGB).
5.5 Anfragen von Krankenkassen und Ämtern
Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten.
Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.
Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften oder Ämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten eine Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.
5.6 Konsequenzen
Wer gegen die Verschwiegenheitspflicht verstößt muss mit harten Strafen rechnen. Dazu zählt neben einer hohen Geldstrafe auch Freiheitsentzug oder Berufsverbot. Dazu kommt in den meisten Fällen auch der Schadenersatzanspruch des Patienten.
5.7 Anforderung an eine Einwilligung
Eine Einwilligung im Sinne des Bundesdatenschutzgesetzes muss verschiedene Kriterien erfüllen. Diese sind im § 4a BDSG geregelt. Demnach ist eine Einwilligung nur unter folgenden Aspekten zulässig:
- Der Patient gibt die Einwilligung freiwillig.
- Die Einwilligung muss Zweckbezogen sein und kann nicht pauschal gegeben werden.
- Der Patient muss aufgeklärt werden was aufgrund seiner Einwilligung passiert oder welche Folgen eine Verweigerung der Einwilligung haben.
- Die Einwilligung bedarf der Schriftform.
- Eine Einwilligung muss als solche eindeutig zu identifizieren sein.
- Wenn sich die Einwilligung auf Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben bezieht, muss dies eindeutig formuliert werden.
6 Dokumentation
Ist der Patient ein Patient, werden automatisch verschiedene Daten, Befunde oder andere Erkenntnisse gespeichert. Zusätzlich zum Aspekt des Datenschutzes existieren Regelungen, die die Dokumentation von Behandlungen regelt.
6.1 Grundsatz
Eine Dokumentation soll geordnet, manipulationssicher und dokumentenecht erfolgen. Eine Dokumentation dient auch als Beweisunterlage, dies sollten Sie sich immer vor Augen halten.
6.2 Einwilligung, Originale
Eine Einwilligung muss, wie schon gelernt, immer Nachweisbar sein. Ein Scan ist als Nachweis geeignet. Aufgrund der Digitalisierung ist es beispielsweise gestattet, Einwilligungserklärungen auf einem Tablet unterschreiben zu lassen – der erste Schritt um das Papierchaos in Praxen und Einrichtungen zu minimieren.
6.3 Gesetzliche Grundlagen
Abgesehen von Berufsspezifischen Anforderungen und Regelungen existiert der § 630f BGB als Grundlegender Wegweiser der Dokumentation.
6.4 Inhalte der Dokumentation
Da alle Unterlagen auch als Beweise oder Nachweise dienen sollen, ist im Einzelfall zu prüfen und festzulegen, was in welcher Form dokumentiert wird. Absatz 2 des § 630f sagt:
„Der Behandelnde ist verpflichtet, in der Patientenakte sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen, insbesondere die Anamnese, Diagnosen, Untersuchungen, Untersuchungsergebnisse, Befunde, Therapien und ihre Wirkungen, Eingriffe und ihre Wirkungen, Einwilligungen und Aufklärungen. 2Arztbriefe sind in die Patientenakte aufzunehmen.„
Zusätzliche Vermerke, Notizen und Dokumenten können ebenso eingetragen werden.
6.5 Manipulationen, Änderungen
Dokumentationen dürfen nicht mit Bleistift oder anderen Stiften erfolgen, die im Nachhinein einfach wieder entfernt werden können (radierbarer Kugelschreiber etc.).
Egal in welcher Form die Dokumentation erfolgt: Eine Manipulation der Daten muss ausgeschlossen werden können. Dazu gilt der Leitfaden, wenn handschriftliche Notizen geändert oder entfernt werden sollen: Nicht unkenntlich machen, nur durchstreichen – damit sichergestellt ist, den ursprünglichen Text noch zur Kenntnis nehmen zu können.
Jeder Eintrag und jede Änderung muss ein Datum, Uhrzeit und den Namen des Eintragenden enthalten.
6.6 Elektronische Dokumentation
In EDV Systemen soll ein gemachter Eintrag nicht bearbeitbar sein. Einträge müssen mit einem Zeitstempel und Namen versehen werden. Ein korrigiert oder Löschen muss verhindert werden.
6.7 Aufbewahrungspflicht
Wenn die Behandlung beendet ist, müssen sämtliche Inhalte der Patientenakte für 10 Jahre archiviert werden. Es empfiehlt sich allerdings eine längere Aufbewahrungsfrist zu wählen. Schadenersatzansprüche können ggf. auch noch nach 15 oder 30 Jahren geltend gemacht werden.
6.8 Auskünfte und digitaler Versand
Viele wissen es nicht und doch steht es im § 630g BGB4 geschrieben: Jeder Patient darf unverzüglich Einsicht in alle Daten verlangen, die über ihn gespeichert sind. Dazu zählt beispielsweise die komplette physische Patientenakte, aber auch die elektronische. Dieses Recht ist vererbbar. Sollte der Patient also versterben, können die rechtmäßigen Erben Akteneinsicht verlangen.
Achtung: Solange berufsrechtliche Aufbewahrungsfristen laufen ist es nicht erlaubt, die originale Patientenakte herauszugeben!
Unverzüglich ist aber nicht so gemeint, dass alles stehen und liegen gelassen werden muss. Der behandelnde Arzt hat durchaus das Recht, vorher die Vollständigkeit der Akte zu prüfen. In der Praxis sollte zwischen Bekanntgabe und Einsicht nicht mehr als eine bis zwei Wochen vergehen.
Im BGB steht noch der Zusatz „soweit nicht erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen“ geschrieben. Wenn etwas gegen die Einsicht spricht, darf sie dennoch nicht vollständig verwehrt werden.
Wenn ein Erziehungsberechtigter also Akteneinsicht für das Minderjährige Kind fordert und dadurch ein Patienteninteresse gestört werden könnte, wird die Akte teilweise zur Einsicht herausgegeben. Ein Hinweis, welche Daten fehlen, muss dann allerdings gegeben werden.
Achtung 2: Statt der Einsicht kann in Einzelfällen auch eine Erörterung mit dem Arzt erfolgen.
Der Patient darf auch den digitalen und postalischen Versand der Unterlagen verlangen, sofern er eventuell anfallende Kosten dafür trägt.
Kostenhinweis: Nach BGB darf eine Gebühr erhoben werden, nach DSGVO muss die Auskunft kostenfrei erfolgen. Praxisempfehlung: Die erste Auskunft sollte kostenfrei erfolgen. Wenn der Patient vermehrt Einsicht, Kopien und ähnliches verlangt, können Gebühren erhoben werden (Diese müssen vorab kommuniziert sein). Auskünfte von Behörden, Gerichten oder Ämtern können immer nach Vergütungstabelle in Rechnung gestellt werden.
7 Schutz der Patientendaten
Die Schweigepflicht ist nur ein kleiner Teil, der zum Schutz von Patientendaten existiert. Auch technische und Menschenlogische Maßnahmen sind notwendig, um diesen Schutz zu gewährleisten.
Die sehr sensiblen Patientendaten erfordern ein hohes Maß an Datenschutz. Gerade in kleinen Praxen werden nicht immer alle Maßnahmen getroffen, die geeignet sind, Patientengeheimnisse zu wahren. Im Folgenden nun die wichtigsten Aspekte.
7.1 Grundsätzliches
Getroffene Maßnahmen müssen der Sensibilität von gespeicherten Daten Rechnung tragen. Jeder ist verpflichtet, nach seinen Möglichkeiten, den höchstmöglichen Schutz zu gewährleisten.
Zu den grundsätzlichen Anforderungen an die IT-Sicherheit zählen vor allem:
- Beachten der Vertraulichkeit
- Bedeutung: Daten und Informationen sollen nur Personen zur Kenntnis nehmen, die dafür vorgesehen sind und alle Rechte besitzen, diese Daten oder Informationen zu erhalten.
- Sicherstellen der Integrität
- Bedeutung: Das System muss fehlerfrei funktionieren. Auch Daten die gespeichert werden müssen vor Manipulation geschützt werden. Die Daten müssen fehlerfrei und korrekt sein.
- Sicherstellen der Verfügbarkeit
- Bedeutung: Daten sollen Verfügbar bleiben. Dies schließt nicht nur die unwiderrufliche Vernichtung von Daten ein, sondern auch der generelle Betrieb der Systeme.
7.2 Empfang
Im stressigen Praxisalltag bleiben Akten liegen und der Datenschutz wird aus den Augen verloren.
Gerade räumliche Gegebenheiten sind schwer einzuschätzen und nur selten gut einzubeziehen. Beim Empfangstresen kommen viele Patienten, manchmal auch gleichzeitig, an. Dort ist es sehr wichtig eine Diskretionszone zu schaffen. Auch die Entfernung vom Tresen zum Wartebereich muss berücksichtigt werden, da die Hörreichweite in einer kleinen Praxis dementsprechend ist.
Regeln für den Datenschutzkonformen Empfang:
- Eine geeignete Diskretionszone markieren. Wenn Platzmangel herrscht, müssen neue Patienten zur Not auch vor der Türe warten bis sie Empfangen werden.
- Keine Patientenakten, Notizen zu Patienten und ähnliches im Sichtbereich des Empfangs ablegen.
- Der eventuell vorhandene Monitor darf nicht einsehbar sein.
- Ein Faxgerät darf nicht in Sichtweite der Patienten stehen.
- Der Empfang darf nicht unbeaufsichtigt bleiben.
- Wenn die Distanz zwischen Empfang und Wartebereich zu klein ist und damit „in Hörreichweite“ liegt, sollte über einen Raumteiler oder ähnliches nachgedacht werden.
7.3 Behandlungszimmer
Wenn der Patient alleine im Behandlungszimmer warten muss, kann pauschal nicht von einem Verstoß gegen Datenschutzrichtlinien gesprochen werden. Aber Gelegenheit macht Diebe – und wenn zufällig der Name eines Bekannten auf dem Tisch liegt, versucht jeder etwas zu lesen.
Daher sollten Patienten erst eingelassen werden, wenn auch wirklich ein Mitarbeiter (oder der Arzt) anwesend ist. Alternativ kann die Hemmschwelle angehoben werden, indem beispielsweise die Tür offensteht. Natürlich ist es am einfachsten keine Patientendaten und Unterlagen offen liegen zu lassen und den Computer zu sperren.
7.4 Wartebereich, Aufrufen
Immer wieder hört man davon, dass Patienten nicht mehr namentlich aufgerufen werden dürfen.
Verschiedene Stellen haben Handlungsempfehlungen formuliert und sind sich einig: Das Aufrufen eines Patienten mit seinem Namen spricht nicht gegen die DSGVO.
Dazu ein kleiner Auszug aus dem Tätigkeitsbericht 2017/2018 des bayrischen Landesamtes für Datenschutzaufsicht:
„ Eine namentliche Ansprache von Patienten in der Arztpraxis halten wir weiterhin für zulässig. Dies ist gesellschaftsüblich und dient dazu, dass sich Patienten als Menschen wahrgenommen fühlen. Wir halten es deshalb nicht für erforderlich, in Arztpraxen ein Nummern-System einzuführen oder auf eine unpersönliche Ansprache auszuweichen. Bittet ein Patient bei der Anmeldung aber darum, dass sein Name nicht im Beisein anderer Patienten genannt wird, sollte dem nach Möglichkeit Rechnung getragen werden. Arztpraxen müssen also nicht den jahrelang praktizierten persönlichen Umgang mit dem Patienten auf Grund der DSGVO ändern, wenn man bereits im Vorfeld auf die datenschutz-rechtlichen Vorgaben geachtet hat. “ – https://www.lda.bayern.de/media/baylda_report_08.pdf
7.5 Computer
Alle Computer sollten mit geeigneten Maßnahmen vor unbefugten Zugriff geschützt werden. Ein solides Passwort ist der Grundstein. Besser ist die sogenannte Mehrfachauthentifizierung. Dies ist eine Kombination aus mehreren Sicherungsmaßnahmen.
7.5.1 Passwörter
Ein sicheres Passwort zeichnet sich dadurch aus, dass unterschiedliche Zeichen in angemessener Länge Verwendung finden. Eine rechtliche Vorgabe existiert nicht. Allerdings kann Folgender Rahmen genutzt werden:
- 8-16 Zeichen
- Kleinbuchstaben
- Großbuchstaben
- Mindestens zwei Zahlen
- Mindestens zwei Sonderzeichen
- Keine Umlaute oder ß
7.5.1.1 Wertung der Sicherheit eines Passwortes
Die Passwortsicherheit wird ausschließlich durch die möglichen Kombinationen definiert, die möglich sind. Denn je mehr Kombinationen, desto unwahrscheinlicher, dass das Passwort von unbefugten oder Programmen erraten wird.
Also brauchen wir eine höchstmögliche Kombinationszahl. Diese erreichen wir durch viele Arten von Zeichen und die Länge des Passwortes.
Beispiel: Wir wollen den PIN eines Handys erraten. Demnach gibt es vier Zeichen mit je 10 Möglichkeiten. Also ist die Kombinationsrechnung 104= 10.000. Es gibt demnach 10.000 Kombinationsmöglichkeiten. Ein automatisiertes Programm auf einem Haushaltsüblichen Computer braucht dafür ca. 0,0047 Millisekunden.
Wenn die Handy-PIN allerdings aus acht Buchstaben besteht, sieht die Rechnung so aus:
608 = 2,56 Milliarden Kombinationsmöglichkeiten (aufgerundet). Ein typischer Computer braucht für diese Anzahl an Kombinationen 1,20 Sekunden.
7.5.1.2 Einfach ein sicheres Passwort erstellen
Wie kommt man nun an ein sicheres Passwort?
Ganz einfach: Die Methode ist „Satz zu Passwort“. Sie denken sich einen Satz aus und bilden daraufhin das Passwort mit den Anfangsbuchstaben der Wörter inklusive Zahlen und Sonderzeichen. Daran können Sie sich dann sehr leicht erinnern. Versuchen Sie es!
Beispiel: Mein Satz lautet (ohne Anführungszeichen): „ Im Januar 2016 trat das E-Health-Gesetz in Kraft! “, daraus resultiert folgendes Passwort:
IJ2016tdE-H-GiK!
Die Kombinationsrechnung wäre in etwa 8116 = 33,60 Billiarden Kombinationen (= ca. 24 Stunden).
Nicht immer das gleiche Abschließend sei noch zu erwähnen: Nutzen Sie nicht immer das gleiche Passwort. Glücklicherweise brauchen Sie sich allerdings keine 20 unterschiedlichen Passwörter merken. Ergänzen Sie Ihr Passwort, welches Sie gerade erarbeitet haben, mit dem entsprechenden Namen des Dienstes, für den Sie das Passwort nutzen. Das erhöht gleichzeitig auch noch die Kombinationsmöglichkeiten 😉
Beispiele mit dem, gerade ausgedachten, Passwort:
- Für die Webseite Amazon: IJ2016tdE-H-GiK!amazon.com
- Für meine Web.de E-Mail: web.de!IJ2016tdE-H-GiK!
- Für eBay: IJ2016tdE-H-GiK!ebay
Und so weiter.
7.5.2 Korrekter Umgang mit dem Computer
Wer den Computer verlässt, auch wenn es nur einen kurzen Moment ist, muss den Computer sperren. Danach ist zwar eine erneute Passworteingabe erforderlich, allerdings kann nur so der Fremdzugriff ausgeschlossen werden. Einfach nur den Bildschirm auszuschalten hilft in diesem Fall nicht.
In diesem Zusammenhang ist wichtig zu verstehen, dass ein Zugriff auf die Daten nicht gleichbedeutend mit einer Autorisierung ist. Wenn ein fremder das Passwort stielt, erhält er dadurch nicht automatisch die Befugnis, Daten anzusehen oder zu verwenden.
Es sind Regelungen und Anweisungen zu formulieren die im Umgang mit Computersystemen und auch dem Datenschutz regeln. Jeder Mitarbeiter, gleich welcher Form, muss diesen Regelungen und Datenschutzbestimmungen schriftlich zustimmen.
Als Verantwortlicher sollten Computer immer mit einem Administratorkonto und normalen Benutzerkonten ausgestattet werden. Zugriff auf das Administratorkonto sollte nur Angestellten gewährt werden, die das vertrauen besitzen oder in besonderer Funktion tätig sind (beispielsweise der Datenschutzbeauftragte).
Für die Mitarbeiter und Gehilfen ist ein Standardkonto ausreichend. Dieser Unterschied wird von vielen ignoriert oder gar nicht erst wahrgenommen. Administratoren könnten beispielsweise Spyware oder andere Viren auf dem Computer installieren (ob absichtlich oder unabsichtlich). Dieses Privileg haben, je nach Einstellungen, die Standardbenutzer nicht. Beim Versuch, Software zu installieren, wird dann das Passwort des Administrators abgefragt. Da dies nicht allzu häufig vorkommt, handelt es sich hierbei nicht wirklich um eine Beeinträchtigung in der täglichen Arbeit.
7.5.3 Firewall und Anti-Virus-Programm
Selbstverständlich muss eine aktivierte Firewall das interne Netzwerk schützen. Der Computer sollte mit einer aktuellen Antivirensoftware ausgestattet werden.
Abbildung in dieser Leseprobe nicht enthalten
7.6 Datensicherungen
Sämtliche Daten müssen regelmäßig gesichert werden. Einen genauen Rhythmus gibt es nicht. Es kommt ganz darauf an, wie viele Daten tagtäglich bearbeitet, angelegt oder geändert werden.
Empfohlen ist allerdings, tägliche Datensicherungen zu erstellen.
Die Sicherung erfolgt auf einen externen Datenträger. Dies kann ein zusätzlicher Computer sein, ein USB Stick, eine Festplatte oder ähnliches. Der Datenträger muss unter Beachtung der gesetzlichen Regelungen an einem sicheren Ort aufbewahrt werden.
7.7 Verschlüsselung
Ein Computer, der sensible Daten speichert, muss ausreichend gesichert werden. Dazu zählt beispielsweise auch die Verschlüsselung aller Daten. In der Regel existiert auf einem Windows oder Apple Computer immer die hauseigene Möglichkeit, die Festplatte zu verschlüsseln.
Immer wenn der Computer herunterfährt werden sämtliche Daten verschlüsselt und können so, beispielswiese im Falle eines Diebstahls, nicht ausgelesen werden.
Im Arbeitsalltag behindert eine Verschlüsselung den Tagesablauf nicht. Wenn der Computer startet und das korrekte Passwort eingegeben wird, stehen die Daten zur Verfügung.
[...]
- Arbeit zitieren
- Anonym, 2020, Handbuch E-Health. Grundverständnis im Umgang mit Patientendaten, München, GRIN Verlag, https://www.grin.com/document/906797
Ähnliche Arbeiten
Kostenlos Autor werden
Kommentare