Die moderne Informations- und Kommunikationstechnik wird längst auch im Gesundheitswesen eingesetzt und vereinfacht die Arbeitsprozesse zwischen den einzelnen Akteuren. Durch die zunehmende Vernetzung von Ärzten, Medizinischen Versorgungszentren (MVZ), Krankenhäusern, Apotheken, Krankenkassen und Patienten hat sich jedoch nicht nur die Datenmenge, sondern auch das Risiko von Datenmissbrauch erhöht. Eine Checkliste der TÜV SÜD Akademie für Unternehmen im Gesundheitswesen kann helfen, die wichtigsten Aspekte dieses sensiblen Themas zu berücksichtigen.
Eine Verletzung des Patientengeheimnisses kann ernsthafte Folgen für die betroffene Person haben, beispielsweise wenn der Arbeitgeber von einer chronischen Erkrankung eines Mitarbeiters erfährt. Das Vertrauensverhältnis zwischen Arzt und Patient ist deshalb gesetzlich besonders geschützt.
Komplexer rechtlicher Rahmen
Was das Thema zusätzlich herausfordernd macht, ist die Komplexität der rechtlichen Rahmenbedingungen. Neben dem Bundesdatenschutzgesetz hat jedes einzelne Bundesland eigene Datenschutzgesetze. Außerdem sind noch weitere rechtliche Vorgaben zu berücksichtigen wie das Telekommunikationsgesetz, die Landeskrankenhausgesetze und standesrechtliche Vorschriften. Praxisinhaber und Datenschutzbeauftragte sind verantwortlich für die Einhaltung der Rechtsvorschriften und die angemessene Schulung der Mitarbeiter.
Datenschutzbeauftragter ab neun Mitarbeitern
Wenn eine Arztpraxis mehr als neun Mitarbeiter beschäftigt, die personenbezogene Daten verarbeiten, dann muss sie einen Datenschutzbeauftragten benennen. Dieser trägt eine sehr große Verantwortung. Klagt ein Patient vor Gericht, drohen möglicherweise strafrechtliche, aber auch zivilrechtliche Folgen. In solchen Fällen kann es um viel Geld gehen, je nachdem, welcher Schaden durch die Preisgabe des Geheimnisses entstanden ist. Im schlimmsten Fall droht einem Arzt sogar die Aberkennung der Approbation. Die Landesdatenschutzbeauftragten werden in Zukunft voraussichtlich mehr Kontrollen durchführen als heute. Und sie haben im äußersten Fall die Befugnis, datenschutzrechtlich nicht gedeckte Verfahren zu beenden. So etwas könnte einen Betrieb sogar völlig lahmlegen.
Umfassende Kenntnisse gefordert
Datenschutzbeauftragte brauchen einschlägige juristische Kenntnisse und ebenfalls ein Grundverständnis der EDV und IT-Infrastruktur. Die TÜV SÜD Akademie stellt als Service für medizinische Einrichtungen die Checkliste auf der folgenden Seite zur Verfügung, die als Grundlage zur Selbstüberprüfung dienen kann und soll. Die Liste der Fragen in dieser Checkliste erhebt keinen Anspruch auf Vollständigkeit. Zu beachten sind die jeweils gültigen Rechtsvorschriften unter Beachtung der Bundeslandspezifika.
Erschienen in: Der Allgemeinarzt, 2012; 34 (15) Seite 34-35