Termine, Medikation, Befunde – Viele telefonische Auskünfte sind in Sachen Datenschutz bedenklich

Patientenmanagement , Praxismanagement Autor: Isabel Aulehla

Die rechtssichere Identifikation am Telefon ist fast unmöglich. Die rechtssichere Identifikation am Telefon ist fast unmöglich. © iStock/Zinkevych

Medizinische Fachangestellte geben am Telefon vielfältige Auskünfte. Was nach tollem Service klingt, ist datenschutzrechtlich heikel. Eine kleine Umfrage der Medical Tribune weist auf Nachholbedarf in vielen Praxen hin.

Das Praxistelefon klingelt, der Anrufende möchte wissen, wann seine Schilddrüsenwerte zuletzt bestimmt wurden, den TSH-Wert hätte er auch gerne. Würde er diese Daten am Telefon Ihrer Praxis bekommen? Wenn ja, sollten Sie Ihre Mitarbeiter in Sachen „Datenschutz am Telefon“ sensibilisieren. Die Praxis verstößt gegen die Datenschutz-Grundverordnung (DSGVO). Und dafür haftet der Praxisinhaber.

Viele Praxen gehen am Telefon offenbar leichtsinnig mit Patientendaten um, zeigt eine nicht-repräsentative Umfrage der Medical Tribune. Bei 12 von 18 Anrufen in haus- und fachärztlichen Praxen beantworteten die Fachangestellten bereitwillig Fragen zu Terminen, Medikation und sogar Befunden. Eine Identifikation des Anrufers erfolgte höchstens durch einen Abgleich des Geburtsdatums mit den im System hinterlegten Daten. Nur in 6 der 18 Fällen verweigerten die Mitarbeiter eine telefonische Auskunft und baten darum, persönlich in die Praxis zu kommen.

„Wir merken immer wieder, dass Ärzten und Medizinischen Fachangestellten bei diesem Thema das Problembewusstsein fehlt“, erklärt Ingrid Gerlach, Vorsitzende des Bildungswerks für Gesundheitsberufe (BIG), Wirtschaftsjuristin und zertifizierte Datenschutzbeauftragte. Häufig würde das Praxispersonal die Herausgabe von Daten als eine Art gut gemeinte Serviceleistung fehlinterpretieren.

Dabei sei die Rechtslage eindeutig, meint die Expertin. „Die Mitarbeiter dürfen Daten nur preisgeben, wenn sie den Patienten zweifelsfrei identifizieren können.“ Allerdings sei das fast nie gegeben. Selbst wenn ein Anrufer personenbezogene Daten – etwa Geburtsdatum oder Versichertennummer – korrekt wiedergeben kann, bedeute dies nicht, dass es sich tatsächlich um den Patienten handle. Auch die vermeintlich sichere Identifikation eines bekannten Patienten anhand seiner Stimme sei juristisch fragwürdig.

Rückruf unter hinterlegter Telefonnummer sinnvoll

Trotzdem muss das Praxisteam nicht jeden Anrufer bitten, wegen seines Anliegens persönlich zu erscheinen. „Eine rechtssichere Methode ist der Rückruf unter der im System hinterlegten Telefonnummer“, empfiehlt Gerlach. Sie weiß jedoch, dass dies im Praxisalltag zeitraubend und umständlich sein kann. Ebenfalls als etwas sicherer gelten Passwörter oder PIN, die Patienten in der Praxis hinterlegen und bei Anrufen nennen, um sich zu authentifizieren. Allerdings würden gerade ältere Patienten solche Angaben nicht gut verwahren, sodass ein Missbrauch durch Dritte nicht ausgeschlossen werden könne. In der Verantwortung der Praxis liege das jedoch nicht.

Schweigepflichtsentbindung meist zu allgemein gehalten

Häufig rufen auch die Angehörigen älterer Patienten an, um stellvertretend Termine auszumachen, nach der Medikation zu fragen oder mit dem Arzt Befunde zu besprechen. Auch hier gilt: Eine Auskunft am Telefon ist rechtswidrig. Und natürlich muss auch für eine Auskunft in der Praxis eine schriftliche Zustimmung des Patienten vorliegen, in der der Angehörige namentlich genannt ist. Für die Besprechung von Befunden mit Angehörigen muss der Patient den Arzt zuvor schriftlich von der Schweigepflicht entbinden. Gerlach warnt vor den gängigen Vordrucken der Kassenärztlichen Vereinigungen: „Sie sind meist zu allgemein gehalten.“

Ein korrektes Formular zur Entbindung der Schweigepflicht benennt laut Gerlach den entbundenen Arzt, den Menschen, mit dem er sich besprechen darf, den Patienten und den konkreten Fall. Das bedeutet: Über das aktuelle Anliegen des Patienten hinaus gilt die Entbindung nicht. Gerlach rät dazu, ein Dokument zu erstellen, in dem Patienten die entsprechenden Angaben selbst eintragen können. Das spare Arbeit und ermögliche es den Betroffenen, bewusst über ihre Entscheidung nachzudenken. Rechtssichere Vordrucke können beim Bildungswerk für Gesundheitsberufe angefordert werden.

Stellt sich heraus, dass ein Mitarbeiter am Telefon unbefugt Daten an einen Dritten herausgegeben hat, greift das bei Verstößen gegen die DSGVO vorgegebene Verfahren: Der Praxisinhaber muss abwägen, ob er eine Meldung bei der Datenschutzbehörde macht, gegebenenfalls verhängt diese ein Bußgeld (sie­he Kasten).

Was tun bei Verstößen gegen die DSGVO?

Wurden Patientendaten unbefugt weitergegeben, muss der Praxisinhaber möglichst objektiv abwägen, welcher Schaden dem Betroffenen entstehen könnte. „Hier sind auch immaterielle Schäden zu bedenken“, betont Gerlach. Befindet der Arzt, dass die Datenweitergabe für den Patienten Folgen hat, muss er dies innerhalb von 72 Stunden bei der Datenschutzaufsichtsbehörde des Landes melden. In einem Formular muss angegeben werden, wem was passiert ist, welche Maßnahmen ergriffen wurden, damit der Verstoß nicht erneut passiert und was bereits unternommen wurde, um den Schaden zu minimieren. Insbesondere sollte angemerkt werden, ob der Betroffene informiert wurde. Die Datenschutzbehörde prüft den Vorfall und verhängt gegebenenfalls ein Bußgeld – wovon sie bei erstmaligen und kleineren Verstößen aber auch absehen kann. Meint der Praxisinhaber, dass dem Patienten durch die Weitergabe seiner Daten kein Schaden entsteht, muss er den Vorfall nicht melden.

Gerlach kritisiert, Ärzte würden es sich häufig zu leicht machen. Die Dunkelziffer der unterschlagenen Verstöße sei hoch. Sie rät davon ab, datenschutzwidrige Vorfälle zu verheimlichen. „Wenn ein Patient oder seine Angehörigen von dem Verstoß erfahren und ihn bei der Datenschutzbehörde melden, kann das Bußgeld deutlich höher ausfallen.“ Medizinische Fachangestellte lernen theoretisch im ersten Ausbildungsjahr, wie sie rechtskonform mit Patientendaten umgehen. ­Andrea Weis, zuständige Lehrkraft an der Andreas-Albert-Schule in Fran­kenthal gibt jedoch zu bedenken, dass die Auszubildenden in den Praxen meist von Beginn an am Empfang arbeiten. Gerade am Anfang der Ausbildung sei eine Schulung zum Datenschutz daher sinnvoll. Bei ihr entfallen etwa acht Stunden auf dieses Thema, je nach Leistungsniveau der Schüler. Mehr Zeit könne man darauf nicht verwenden, da sonst andere Lerninhalte zu kurz kämen. 

Medical-Tribune-Bericht