Datenschutz ist keine Hexerei – aber Pflicht
Der Münchner Fachanwalt für Medizinrecht kann das nachvollziehen: Infos per WhatsApp versenden geht schnell und unkompliziert. „Aber WhatsApp gehört zu Facebook, und die sind nun wirklich nicht bekannt für sorgfältigen Umgang mit Daten.“ Es gibt andere Messenger, die Ähnliches leisten, aber über eine bessere Verschlüsselung verfügen.
Übrigens besteht das Problem nicht nur bei WhatsApp, sondern auch wenn man Patientendaten in die i- oder die Google-Cloud hochlädt, warnte Dr. Staufer: „Die Daten landen auf Servern in den USA – haben Sie mit den Anbietern dort einen Verarbeitungsvertrag geschlossen? Nein? Dann sollten Sie sich etwas anderes überlegen.“
Verschlüsselung ist auch beim E-Mail-Versand gefragt
Unverschlüsselte E-Mails, die Patientendaten enthalten, dürfen Sie noch nicht einmal an den Patienten selbst schicken, selbst wenn er sie dazu auffordert. Denn der Patient kann zwar in die Verarbeitung seiner Daten bei Ihnen oder einem Dritten einwilligen, nicht aber in einen Verstoß gegen technische und organisatorische Vorgaben. Zwar ist noch nicht klar, wie Gerichte in so einem Fall entscheiden, „aber ich empfehle Ihnen, nach einer anderen Lösung zu suchen“, riet Dr. Staufer.
Er selbst nutzt für seine anwaltliche Tätigkeit eine geschützte Cloud, in der er Daten über eine gesicherte Verbindung ablegt, die Mandanten, Kollegen oder Gerichte dann z.B. per Passwort abrufen können.
Patienten informieren, was mit den Daten geschieht
Datenpannen müssen Sie ernst nehmen und unverzüglich handeln! Wenn Sie oder eine Helferin beispielsweise eine E-Mail mit Patienteninformationen versehentlich an eine falsche E-Mail-Adresse geschickt haben, geht es nicht einfach darum, den Fehler zu korrigieren – Sie müssen unverzüglich die Datenschutzbehörde informieren. Unverzüglich heißt: binnen 72 Stunden, und zwar unabhängig von Wochenende oder Feiertagen. Passiert so etwas an Heiligabend, muss die Behörde spätestens am zweiten Weihnachtsfeiertag Bescheid wissen. Sonst haben Sie mehr juristischen Ärger am Hals als durch das Datenleck selbst.
Noch einen wichtigen Hinweis hatte Dr. Staufer für niedergelassene Ärzte: Sie sollten in der Praxis ein Verzeichnis der Verarbeitungstätigkeiten führen. Das ist Pflicht, wenn man mit Gesundheitsdaten umgeht, sofern nicht alles rein analog läuft. „Sie dürfen Daten digital speichern und an Dritte übermitteln“, so der Experte. „Aber Sie brauchen einen Vertrag und Sie müssen das in Ihr Verzeichnis aufnehmen, damit dokumentiert ist, wer was mit den Daten macht.“ Ein guter Anbieter gibt der Praxis ein Muster mit und schreibt in den Vertrag, welche Daten er verarbeitet und wie lange er sie speichert. Alle diese Angaben gehören ins Verzeichnis der Verarbeitungstätigkeiten.
Als Praxisinhaber haben Sie außerdem Informationspflichten. Sie müssen jeden – Patienten und Mitarbeiter – informieren, was Sie mit deren Daten machen. „Das können Sie auch auf der Homepage machen und dann darauf verweisen“, erklärte Dr. Staufer. Das vereinfacht vieles. Die Datenschutzerklärung auf der Praxishomepage sollten Sie aber nicht einfach irgendwo kopieren, sondern darauf achten, dass sie auch dem entspricht, was in Ihrer Praxis und auf Ihrer Homepage abläuft.
Kongressbericht: Diabetes Kongress 2019