Datenschutz schafft Arzt-Patienten-Vertrauen
Interessengebiete: Allgemeinmedizin und Innere Medizin, Frauenheilkunde und Geburtshilfe, Hals-Nasen-Ohrenheilkunde, Haut- und Geschlechtskrankheiten, Kinder- und Jugendmedizin, Psychiatrie und Psychotherapie
Der Datenschutz ist längst nicht erst seit der DSGVO im Jahr 2018 vielen Behandlungsteams in besonderem Maße präsent (geworden). Doch Datenschutz beginnt nicht im oft schwer greifbaren ‚Digitalen‘ sondern bereits wenige Meter hinter der Praxistür. Auf vertrautem Terrain.
Dürfen Wartende überhaupt noch mit ihrem Namen aufgerufen werden? Was sollte bereits am Empfang vermieden werden? Können noch unverschlüsselte E-Mails verschickt werden? Was sollte konkret im Alltag getan werden? Diese und viele weitere Fragen beantwortet das Gespräch zwischen Dr. med. Dierk Heimann aus Mainz und Jurist sowie Datenschützer Martin Bastius. Hier kann die Medizin viel von anderen Branchen lernen. Der Datenschutz wird zur Chance. In vielerlei Hinsicht.
Die Podcastfolge macht hörbar, dass Datenschutz ganz pragmatisch im Alltag gelebt werden kann und auch zu einem vertrauensvollen Arzt-Patienten-Verhältnis beiträgt. Er ist damit viel mehr als das viel zitierte, lästige Übel oder ‚nur‘ eine gesetzliche EU-Vorgabe, der es nachzukommen gilt. Er schafft Vertrauen.
Ein ‚virtueller Praxis-Rundgang‘ erhört in etwas mehr als 50 Minuten, auf was Ärztinnen und Ärzte sowie das gesamte Team achten können – und sollten.
Eine Transkription der Fortbildung steht als PDF zur Verfügung.
Kursinhalt
Einleitung
Der Datenschutz ist längst nicht erst seit der DSGVO im Jahr 2018 vielen Behandlungsteams in besonderem Maße präsent (geworden). Doch Datenschutz beginnt nicht im oft schwer greifbaren‚ Digitalen‘ sondern bereits wenige Meter hinter der Praxistür auf vertrautem Terrain.
Dürfen wir Wartende überhaupt noch mit ihrem Namen aufrufen? Was sollte bereits am Empfang vermieden werden? Können wir noch unverschlüsselte E-Mails verschicken? Was sollten wir konkret im Alltag tun? Diese und viele weitere Fragen beantwortet das Gespräch zwischen Dr. med. Dierk Heimann aus Mainz und Jurist sowie Datenschutzexperte Martin Bastius. Hier kann die Medizin viel von anderen Branchen lernen. Der Datenschutz wird zur Chance. In vielerlei Hinsicht.
Datenschutz kann ganz pragmatisch im Alltag gelebt werden und auch zu einem vertrauensvollen Arzt-Patienten-Verhältnis beitragen.
Dr. med. Dierk Heimann: Und damit herzlich willkommen, liebe Kolleginnen und Kollegen.
Wir möchten uns in den nächsten knapp 45 Minuten mit der Frage beschäftigen, wie sollte denn eigentlich Datenschutz in der Praxis aus der Sicht des Patienten und der Patientin aussehen? Denn nur, wenn ein sicheres Umfeld da ist, wenn man sich wirklich fallen lassen kann, wenn man sicher sein darf, dass mit den eigenen Daten, mit den eigenen Informationen zu Medikamenten, aber auch zu Erkrankungen oder zu einer Arbeitsunfähigkeitsbescheinigung wirklich sorgsam und vertrauensvoll umgegangen wird, nur dann können wir uns ja wirklich sicher sein, dass ein gutes und eben auch ein ganz vertrauensvolles Arzt-Patienten- und Patientinnen-Verhältnis entsteht. Das ist eben wesentlich mehr als nur an den Rechner zu denken oder E-Mails, sondern das beginnt schon, wenn man in die Praxis hinein kommt und auf den Empfang zugeht. Wir möchten heute mit Martin Bastius sprechen. Er ist Datenschutzanwalt und uns aus Berlin zugeschaltet. Natürlich Corona konform. Grüße Sie herzlich, Herr Bastius.
Martin Bastius: Hallo.
Dr. med. Dierk Heimann: Sie haben Jura an verschiedenen Universitäten studiert, unter anderem Tel Aviv. Finde ich ganz sympathisch. Da habe ich auch einmal studiert. Sie haben jeden Tag mit Ihrem Unternehmen Kontakt zu vielen Menschen aus vielen Branchen, wenn es um das Thema Datenschutz geht. Dafür sind Sie heute bei uns. Wir haben bewusst gesagt, wir schauen nicht nur auf die IT, wir schauen nicht nur auf E-Mails, sondern wir wollen uns wirklich in den nächsten Minuten die Praxis an sich anschauen. Wir können einmal einen virtuellen Gang im Geiste durch so eine Praxis machen. Tür geht auf, ich komme in die Praxis, ich stehe kurz vor dem Empfang und schon könnte das erste Problem passieren.
00:02:10
Martin Bastius: Ja, auf jeden Fall. Wenn man als Patient*in die Praxis betritt und der Empfang ist nicht besetzt, dann kann man natürlich in die Praxis eintreten, ohne dass es jemand merken würde. Dann weiß auch der Praxisinhaber, die Praxisinhaberin schon nicht mehr, wer theoretisch Zugriff auf die Daten nehmen kann, wer sich gerade in der Praxis befindet. Da setzen wir als Datenschützer an und würden sagen; „Bitte achten Sie darauf, dass tatsächlich der Empfang durchgehend besetzt ist.“
00:02:38
Dr. med. Dierk Heimann: Das klingt ja ganz banal. Klar, der Empfang sollte dauernd besetzt sein. Aber je nach Größe der Praxis, gerade wenn es eine Privatpraxis ist, vielleicht nur halbtags, dann ist häufig ja auch nur eine Kraft da. Die muss ja nur eine kleine Aufgabe gerade erledigen, irgendwelche Hygieneartikel zubereiten, das Labor vielleicht fertig machen, und schon ist der Empfang nicht besetzt. Da sagen Sie aber schon, das ist eigentlich das erste vermeintlich ganz banale Problem, dass man im Blick haben sollte.
00:03:07
Martin Bastius: Klar, absolut. Wir wissen natürlich auch aus unserer täglichen Arbeit, dass Praxisinhaber*innen und Mitarbeiter*innen durchaus auch andere Sachen zu tun haben, als den Empfang zu besetzen. Trotzdem ist das eine Empfehlung, die wir einfach abgeben wollen, weil man sonst den Überblick verliert.
00:03:23
Dr. med. Dierk Heimann: Aber das ist ja noch einmal spannend. Wenn wir davon ausgehen, dass der Alltag daraus besteht, dass tatsächlich eine Mitarbeiterin vielleicht nicht gerade am Empfang sein kann, was muss ich dann tun? Ich kann mir jetzt nicht einfach einen weiteren Kollegen, eine weitere Kollegin aus den Rippen schneiden in so einem Praxisalltag. Muss ich dann die Tür schließen?
00:03:41
Martin Bastius: Ja, tatsächlich. Die beste Möglichkeit wäre natürlich, für Ersatz zu sorgen. Das betrifft auch im Übrigen die Pausen. Wir haben jetzt gerade nur darüber gesprochen, dass die Mitarbeiterin etwas anderes erledigt. Aber es kann natürlich auch sein, dass sie einfach Mittagspause hat. Der vielleicht nicht so schöne Fall für die Patient*innen, aber für ihre Daten durchaus besser, ist ein Schild an die Praxistür zu hängen, ich bin in fünf Minuten wieder da, und dann warten die Patient*innen kurz vor der Tür. Das wäre datenschutzkonform der beste Weg.
00:04:10
Dr. med. Dierk Heimann: Jetzt haben wir das datenschutzkonform, wir haben das menschliche Miteinander-Umgehen. Aber wenn ich Sie richtig verstehe oder das versuche im Subtext zu verstehen, dann sagen Sie eigentlich, es geht vor allen Dingen darum, darüber nachzudenken. Sich wirklich bewusst zu machen, der Datenschutz beginnt schon am Empfang, wenn da keiner sitzt und vielleicht gerade ein Fax mit dem Namen aus diesem Faxgerät läuft.
00:04:32
Martin Bastius: Ja, genau. Oder am Empfang liegen ja auch andere Daten herum. Man kann theoretisch Zugriff haben auf Kalender, die da vielleicht hängen, analog, nicht digital. Oder auf den digitalen Computer, wenn man das dann nicht unter Kontrolle hat, wer dann gerade mal herüberschaut. Wir wissen alle, Menschen sind durchaus neugierige
Wesen.
00:04:50
Dr. med. Dierk Heimann: An ihrer Umwelt interessiert.
00:04:53
Martin Bastius: An ihrer Umwelt interessiert, genau. Dann kann schon einmal jemand Zugriff auf Daten nehmen, der das jetzt vielleicht gar nicht so bewusst gemacht hat. Das hängt auch, ich habe es ja gerade schon so ein bisschen gesagt, mit der Platzierung sicherlich zusammen. Wenn jetzt der Kalender so hängt, dass da jeder hereingucken kann oder so aussieht, dass da jeder hereingucken kann, macht man die Sache natürlich auch nicht besser. Zum Beispiel könnte der Computer auch gesperrt sein.
00:05:15
Dr. med. Dierk Heimann: Das war jetzt der Fall, der Empfang ist gerade nicht besetzt und
mögliche sensible Daten liegen da einfach herum oder es besteht die Gefahr, dass sie eingesehen werden können, weil eben das Fax so steht, dass es lesbar da herausläuft, wenn mir ein Kollege, eine Kollegin gerade etwas schickt. Jetzt nehmen wir mal den zweiten Fall. Wir bleiben am Empfang. Da ist eine Patientin, die macht gerade einen Termin, die spricht mit der MFA, die dort sitzt, oder mit einem anderen Mitarbeiter, einer anderen Mitarbeiterin, was ist dann? Schon dann kann es, wenn der berühmte Abstand in Corona-Zeiten von zwei Metern Plus eingehalten wird, zu einem Datenschutzproblem kommen.
00:05:54
Martin Bastius: Klar. Sie haben es ja gerade angesprochen. Es geht dann um den berühmten Diskretionsabstand. Der ist natürlich zu Personen, die schon warten, also anderen Patient*innen, einzuhalten. Aber letztendlich auch natürlich zu den schon im Wartezimmer Sitzenden. So hat man das natürlich auch unter Kontrolle, indem man entsprechend die Räumlichkeiten positioniert, vielleicht einen extra Wartebereich kenntlich macht, auch einen Wartebereich, wo man für den Empfang wartet, einfach um den Abstand ausreichend zu wahren. Man kann natürlich auch selber schauen, was man so für Informationen im Gespräch preisgibt.
00:06:26
Dr. med. Dierk Heimann: Das war jetzt so ein bisschen gestreift. Der erste Kontakt mit so einer Arztpraxis am Empfang und wir haben gerade schon von Martin Bastius gelernt, schon da können im Grunde auf diesen ersten Metern Probleme auftreten. Im Hinterkopf weiß Mann und Frau das ja, nur es wird einem vielleicht nicht jeden Tag wieder bewusst. So ähnlich wie die Zeitschriften im Wartezimmer, die eigentlich ganz aktuell und doch schon zwei Jahre alt sind. Vielleicht jetzt aber noch einmal zu diesem Diskretionsabstand, Herr Bastius. Jetzt sind Sie Rechtsanwalt, Sie gucken ganz anders auf solche Themen. Gibt es denn so einen Diskretionsabstand eigentlich in einem normalen
Empfangsbereich? Da reichen noch zwei Meter niemals aus.
00:07:13
Martin Bastius: Letztendlich hat man es natürlich auch unter Kontrolle, wie laut man am Empfang spricht und, wie ich es auch gerade schon gesagt habe, welche Informationen man tatsächlich preisgibt. Es gibt ja diese typische Frage am Anfang, die man gerne mal gestellt bekommt, wenn man zu Ärzt*innen kommt, was fehlt ihnen denn heute? Das fängt ja teilweise auch am Empfang schon an, dass dort gefragt wird. Man fühlt sich als Patient*in dann genötigt schon etwas vom Gesundheitszustand preiszugeben. Könnte man sicherlich auch anders lösen, indem man das entsprechenden Patient*innen freistellt, ob sie das jetzt schon kundtun wollen. Klar, man muss auch irgendwie planen, das ist schon klar, aber möglicherweise kann man das dann mit etwas gedämpfter Lautstärke auch hinbekommen.
00:07:56
Dr. med. Dierk Heimann: Das ist natürlich nicht so ganz einfach, weil es gibt irgendwelche SOPs, diese Standard Operation Procedures, wie das so schön in der Abkürzung heißt, also Vorgaben, wie es in der Praxis zu laufen hat. Vielleicht ist da einmal festgelegt worden, ich würde gerne wissen, warum der oder diejenige meine Praxis nun gerade besucht. Dann kommt es genau zu der Frage, die Sie skizziert haben. Machen wir uns das zu wenig bewusst, wie sensibel diese Daten sind?
00:08:21
Martin Bastius: Durchaus. Als Patient*in merkt man das schon sehr gut, wenn man in die Praxis kommt.
00:08:26
Dr. med. Dierk Heimann: Wenn man selber betroffen ist.
00:08:27
Martin Bastius: Wenn man selber betroffen ist, genau. Betroffenheit ist im Datenschutz auch eines der Keywords. Aus Sicht des Betroffenen sind das wichtige Daten, gar keine Frage. Diejenige, die betroffen ist, möchte auch, dass diese Daten gut geschützt sind. Im Alltag, wenn man regelmäßig mit entsprechenden Daten zu tun hat, macht man sich vielleicht nicht immer bewusst, dass es letztendlich sehr schützenswerte Daten sind.
00:08:49
Dr. med. Dierk Heimann: Haben Sie denn da einen Tipp? Sollte man immer überlegen, wenn man etwas sagt, ob man das selber so wollen würde? Wenn man vielleicht eine tabubesetzte Erkrankung hätte … „Sie mit den Hämorrhoiden, kommen Sie herein“.
00:09:00
Martin Bastius: Finde ich eigentlich eine ziemlich gute Idee. Quasi diese Testfragen, die Sie gerade gestellt haben. Man fragt sich, wie es selber wäre, wenn man in den Schuhen stecken würde. Wir wissen alle, im stressigen Alltag kann auch einmal etwas danebengehen, aber Bewusstsein schaffen ist sowieso im Datenschutz schon die halbe Miete.
00:09:17
Dr. med. Dierk Heimann: Bewusstsein schaffen hat in der Medizin auch viel mit diesem Qualitätsmanagement zu tun. Jede Praxis sollte so ein Qualitätshandbuch haben. Sollte man so etwas vielleicht dann da herein schreiben, dass man sich selber bewusst macht, wie möchten wir am Empfang mit Patientinnen und Patienten umgehen?
00:09:33
Martin Bastius: Tatsächlich ist das sogar ein Thema, was man einen Schritt weiter gehen könnte und man in der Datenschutzschulung unterbringen könnte. Man kann auch schon im Handbuch schreiben, wie man begrüßen sollte. Aber tatsächlich sind das konkrete Datenschutzthemen, die auch in einer Datenschutzschulung erzählt sein sollten.
00:09:52
Dr. med. Dierk Heimann: Eine Frage hätte ich da aber noch. Jetzt haben wir eine Datenschutzschulung gemacht. Das wäre sicher der best case, der beste Fall. Wir haben versucht, das in unserem Qualitätshandbuch abzubilden, aber es gibt ja auch so Dinge, die über dem Datenschutz stehen. Der Patient hat zum Beispiel Atemnot oder ganz, ganz schwere Bauchschmerzen und wird in dieser Sekunde ob seiner Beschreibung zum Notfall. Das muss ich natürlich auch wissen. Wie mache ich denn das?
00:10:14
Martin Bastius: Selbstverständlich. Datenschutz ist ja kein Selbstzweck. Datenschutz dient natürlich letztendlich den Betroffenenrechten. Wenn es dem Betroffenen besonders schlecht geht, kann man natürlich die Maßstäbe nicht genau einhalten. Was ja zu seinen Gunsten am Ende des Tages ist. Das sollte eigentlich außer Frage stehen. Letztendlich wird man natürlich auch nicht jeden Fall klären können. Man braucht dann auch immer noch das persönliche Verständnis, um reagieren zu können. Aber ich gehe davon aus, das können die Mitarbeiter*innen in den Praxen eigentlich fast am besten.
00:10:42
Dr. med. Dierk Heimann: Jetzt haben wir am Empfang ganz häufig so eine Situation, dass eine der Mitarbeiterinnen vielleicht gerade vorbei läuft, ruft dem oder der anderen etwas zu und sagt: „Könnt ihr die Frau Müller in Sprechzimmer zwei bringen?“ Das ginge dann, wenn ich Ihnen aufmerksam zugehört habe, auch wenn es wahrscheinlich in vielen Praxen so Alltag ist, streng genommen auch nicht.
00:11:02
Martin Bastius: Ja, es gab die Diskussion am Anfang, als Datenschutz 2018 auf europäische Ebene gehoben wurde, ob man Patient*innen noch mit dem Namen aufrufen kann. Das klang jetzt ja gerade auch so ein bisschen mit in der Anekdote. Da bin ich ehrlich gesagt relativ schmerzbefreit. Ich glaube, es ist absolut normal, dass man in Deutschland aus Tradition Menschen mit ihrem Nachnamen anspricht und deshalb würde ich das auch in der Arztpraxis machen. Ich würde jetzt nicht sagen, das ist Frau Meier mit dem verdrehten Knie. Das ist vielleicht noch harmlos, aber es gibt durchaus unschönere Krankheiten, Sie haben selber auch schon welche genannt.
00:11:37
Dr. med. Dierk Heimann: Ja, wenn sie Balletttänzerin ist, könnte das ja sehr störend sein, wenn wir über ein verdrehtes Knie reden und daneben sitzt vielleicht der Direktor, der übermorgen ihren Vertrag verlängern soll.
00:11:47
Martin Bastius: Richtig. Auch nicht schön, klar. Aus Sicht der Betroffenen, sehr gut analysiert, auf jeden Fall ein Gesundheitsdatum, was man nicht kundtun sollte. Namen, aus meiner Perspektive, kann man nennen. Das kann man gut verargumentieren, auch wenn es personenbezogene Daten sind. Die Krankheitsbilder würde ich dann eher weglassen.
00:12:04
Dr. med. Dierk Heimann: Sie haben ja gerade die Situation in dem Wartezimmer beschrieben, wie es üblicherweise ist. Gehen wir noch einmal an den Empfang zurück. Jetzt kommt vielleicht der Mitarbeiter raus und ruft einer anderen Mitarbeiterin zu: „Bei der Frau Müller müssen wir noch Blut abnehmen.“ Das wäre dann schon wieder eine Information mehr als nur der Name. Das könnte auch ein Röntgenbild sein oder ein Ultraschall oder irgendetwas anderes. Sollte ich da vielleicht lieber nur den Anfangsbuchstaben nehmen, bei der Frau M? Wie würden Sie da raten?
00:12:30
Martin Bastius: Ich glaube, ich würde lieber die Behandlung an sich etwas leiser kundtun statt zurufen. Ich glaube nicht, dass wir den Leuten ausreden können, Namen zur Identifizierung zu verwenden, sondern ich würde generell bei der Behandlung ansetzen. Das ist vielleicht dann auch etwas, wenn wir auf das Handbuch zurückkommen, wo man das dann auch klären könnte. Namen ist in Ordnung. Behandlungsinformationen teilen wir eher nicht laut.
00:12:56
Dr. med. Dierk Heimann: Wenn ich das jetzt so ein bisschen zusammenfasse, jetzt haben wir uns ganz bewusst diesen Praxisräumen angenähert. Das ist die ganz analoge Welt im Grunde, wie gehen wir alle mit dem Thema Datenschutz und im Grunde Sicherheit von Daten um? Das hat ja nun ganz viel mit den Menschen zu tun, die da agieren.
00:13:14
Martin Bastius: Absolut, gar keine Frage. Es ist natürlich so, dass eine Arztpraxis bisher nur die Mitarbeiter*innen sind, natürlich gehört auch der Behandler dazu. Aber wenn wir die jetzt alle wegnehmen, dann bleibt ja eigentlich keiner mehr übrig, der groß auch etwas falsch machen kann. Deshalb sind es die Menschen, bei denen man natürlich ansetzen muss.
00:13:32
Dr. med. Dierk Heimann: Aber wie schaffen wir das denn? Wir haben eben schon das Qualitätsmanagementhandbuch erwähnt. Wir haben eine Datenschutzschulung erwähnt. Da denken wahrscheinlich viele gar nicht daran. Da geht es mehr um Hygieneschulung und andere Dinge. Aber Datenschutzschulung ist vielleicht etwas, das gar nicht
so richtig auf der eigenen Agenda steht. Aber Mindset sagt man so in neudeutsch, man muss dafür sensibilisiert sein, damit richtig umzugehen. Jetzt können wir von Ihnen ja ein bisschen lernen, weil Sie ja viele, viele Branchen als Kunden haben, die Ihren Rat suchen. Wie schaffen Sie das denn, in solchen Betrieben so ein Verständnis zu etablieren?
00:14:05
Martin Bastius: Tatsächlich läuft dann natürlich viel über die Schulung. Es geht nicht nur bei der Schulung los. Es gibt ja auch gewisse Sachen, gewisse Informationsblätter oder gewisse Verpflichtungserklärungen, die Mitarbeiter*innen auch unterschreiben, zum Beispiel im Rahmen des Arbeitsvertrags oder auch später. Aber bei der Schulung wird es natürlich dann wesentlich plastischer, weil man dann auch mit Beispielen arbeiten kann und den Mitarbeiter*innen auch anhand von Beispielen zeigen kann, wie es dann tatsächlich laufen sollten.
00:14:33
Dr. med. Dierk Heimann: Jetzt ist ja nichts so geduldig wie Papier. Eigentlich wissen in so einer Arztpraxis alle, wir haben da wirklich super Verschwiegenheitspflicht, wir dürfen nichts weitergeben. Wir sind die Branche, die fast am höchsten geschützt ist, neben vielleicht den Rechtsanwälten. Aber noch einmal, Papier ist geduldig. Wie machen Sie es ganz konkret? Ist das so ein Weg, dass Sie sagen, stellt euch selber vor, ihr seid betroffen und würdet ihr das wollen, dass euer Nachbar weiß, dass ihr Hämorrhoiden habt?
00:15:00
Martin Bastius: Finde ich tatsächlich eine sehr gute Lösung. Ist tatsächlich bisher zumindest noch nicht Teil von meiner eigenen Datenschutzschulung, aber ich kann mir das sehr gut vorstellen, das als Idee zu platzieren, um demjenigen, derjenigen zu zeigen, wie es ist, in den betroffenen Schuhen zu stehen.
00:15:16
Dr. med. Dierk Heimann: Jetzt haben wir über den Bereich der Arztpraxis geredet. Wir haben über den Bereich des Empfangs geredet. Worüber wir noch gar nicht so richtig geredet haben, sind die Medien, die ich einsetze. Datenschutz gar nicht als Verschwiegenheit und dass alle Daten bei mir bleiben, sondern Datenschutz im Sinne der medialen Nutzung. Davon gibt es ja nun richtig viele. Beginnen wir vielleicht einmal mit einem der ältesten, mit dem Telefon. Da steht jetzt das Telefon. Ich telefoniere, am Empfang wird telefoniert, vielleicht wird sogar im Arztzimmer telefoniert, weil ein wichtiger Anruf hereinkommt. Ist das eine häufige Quelle von Problemen?
00:15:55
Martin Bastius: Ja, an das Telefon schließt sich natürlich alles Mögliche an. Am Telefon werden Informationen entgegengenommen und sie werden auch preisgegeben. Das ist natürlich so ein bisschen der Punkt, wo es in der Arztpraxis durchaus etwas schwieriger werden kann.
00:16:09
Dr. med. Dierk Heimann: Jetzt haben Sie eben gesagt, am Telefon werden Informationen preisgegeben. Ich stelle mir das jetzt einmal konkret vor. Es klingelt bei mir im Sprechzimmer, Patientin sitzt noch vor mir. Ein Patient ist dran, hat gerade eine dringende Frage, wurde deswegen rein verbunden. Ab dieser Sekunde bin ich ja im Datenschutzkonflikt.
00:16:27
Martin Bastius: Richtig, genau. Es ist natürlich die Frage, ob man in dem Fall dann auch noch den Namen kundtut. Wenn das jetzt beispielsweise der Behandler ist und der Telefonanruf wird in das Behandlungszimmer durchgeschaltet, dann muss ja nicht unbedingt klar sein, dass derjenige, die diejenigen, die jetzt gegenübersitzt, der Patient, die Patientin, die schon im Raum ist, tatsächlich auch mitbekommt, um wen es geht. Dann hat man als Behandler natürlich auch unter Kontrolle, den Namen bei der Begrüßung nicht zu nennen und dann auch gleichzeitig nicht zu verraten, um wen es geht.
00:16:55
Dr. med. Dierk Heimann: Das heißt, wäre das ein guter Weg, das vielleicht sogar am Telefon zu sagen? Zu sagen: „Ich sage jetzt mal nicht Ihren Namen, weil wir gerade nicht allein sind, aber ich kann ihnen schnell die Antwort geben.“ Zum Beispiel. Der beste Weg wäre natürlich, man verlässt das Zimmer, telefoniert woanders. Wir alle wissen,
das ist im Alltag häufig schwierig. Aber wäre das dann so ein Weg, das wirklich mit dem Gegenüber offen zu kommunizieren? Bin jetzt gerade nicht allein im Zimmer. Ich werde deswegen keine Details nennen, nicht ihren Namen, aber wir können ja schnell über das eine Problem sprechen.
00:17:21
Martin Bastius: Ja, absolut. Wesentlich besser als zu sagen: „Frau Meier, Ihr Bluttest ist negativ.“
00:17:28
Dr. med. Dierk Heimann: Das war das Telefon. Jetzt würde ich gerne einmal einen technischen Aspekt ansprechen. Ich meine, wir alle, oder die meisten Ärztinnen und Ärzte, haben bewusst Medizin gemacht und nicht IT und auch nicht Jura. Das gute alte Telefon obliegt ja diesem Fernmeldegeheimnis, mit eigenen Leitungen, mit eigenen Verbindungen, mit eigenen Schaltstellen, mit früher der Dame an der Schalteinrichtung, die es dann gemacht hat, der Vermittlung. Aber jetzt haben wir ja in neue Zeiten dieses Voice over IP. Diese Stimmen, die dann im Grunde über normale digitale Leitungen verschickt werden. Ist das denn dann auch noch vom Fernmeldegesetz geschützt? Ist das auch noch so sicher oder wo stehen wir denn da?
00:18:13
Martin Bastius: Ich gehe stark davon aus, dass es auch vom Fernmeldegeheimnis geschützt ist. Sie haben ja selber schon gesagt, es steckt auch noch der digitale Anbieter mit dabei. Was man auf jeden Fall mitbedenken muss, ist, dass man mit dem jeweiligen Anbieter dann auch noch einen entsprechenden Dienstleistungsvertrag schließt. Wir sprechen im Datenschutzbereich immer von Auftragsverarbeitungsverträgen und die regeln dann gewisse Datenschutzpflichten. Da würde dann zum Beispiel auch die Vertraulichkeit genannt werden.
00:18:40
Dr. med. Dierk Heimann: Ehrlich gesagt bin ich ganz froh, dass Sie mit der Antwort kurz gezögert haben, weil ich selbst schon Schwierigkeiten gehabt habe, die Frage, die auf meinem Zettel steht, richtig zu verstehen. Aber ich habe etwas ganz Konkretes von Ihnen mitgenommen. Sie haben gerade gesagt, ich muss das mit meinem Anbieter im Zweifel dann wirklich klären. Auftragsdatenverarbeitung ist ja so ein Stichwort. Das heißt, sagen Sie, wenn es jetzt um IT, um Computer, um Software im weitesten Sinne geht, dann sollte ich mir von meinem Dienstleister immer bescheinigen lassen, dass das wirklich auf dem entsprechenden Niveau nach Stand der Dinge gemacht worden ist.
00:19:12
Martin Bastius: Ja, absolut. Vor allem wenn es natürlich jetzt nicht klassische Software ist, die auf dem eigenen Computer, auf der eigenen Festplatte abgespielt wird, sondern Software im Sinne von SaaS- oder Cloud-Anwendungen, wo der Anbieter tatsächlich personenbezogene Daten, teilweise wahrscheinlich auch Gesundheitsdaten, auch auf seinen Server mitbekommt. In solchen Fällen sind dann die Auftragsverarbeitungsverträge abzuschließen.
00:19:36
Dr. med. Dierk Heimann: Auftragsverarbeitungsverträge haben Sie es genannt. Das ist genau das Wort, was ich dann vielleicht mein Gegenüber einmal fragen würde. Wenn ich jetzt noch einmal auf die Frage davor zurückkommen darf, das würde dann auch einschließen, wenn ich jemanden habe, der meine Telefonanlage wartet oder der mein Faxgerät, was daran hängt, auch noch mit wartet, was eben vielleicht über Datenleitungen dann funktioniert, auch von denen müsste ich so etwas einfordern.
00:19:59
Martin Bastius: Ein sehr schönes Beispiel, weil es durchaus Fälle gibt, wo man aus Datenschutzsicht darüber diskutieren kann, ob man da jetzt noch einen Auftragsverarbeitungsvertrag braucht oder nicht. Ob da tatsächlich die Datenverarbeitung noch im Vordergrund steht, ob da andere Leistungen im Vordergrund stehen. In letzterem Fall würde möglicherweise eine normale Vertraulichkeit ausreichen, eine Verpflichtung auf die Vertraulichkeit. Der Auftragsverarbeitungsvertrag ist da quasi noch eine Schippe darauf. Ich würde dazu raten, zur Sicherheit einen abzuschließen. Da geht auch so ein bisschen die allgemeine Meinung im Datenschutzbereich hin, auch im Bereich von Fernwartung beispielsweise Auftragsverarbeitungsverträge abzuschließen.
00:20:40
Dr. med. Dierk Heimann: Da gehe ich gerne auch noch einmal heran, Stichwort Fernwartung. Das haben ja nun viele von uns, sei es TeamViewer oder wie diese ganzen Programme heißen, dass dann eben der IT Spezialist von wo auch immer auf meinen Rechner schauen kann und kann dann da Dinge reparieren, die gerade kaputt sind.
Jetzt ist natürlich die Situation, und das kennen wir alle, wir haben jetzt vielleicht unsere Praxisverwaltungssoftware gerade auf, da stehen sogar Namen drin, und da sind sie wieder, die schon vier Mal ein bisschen im Spaß und zum Teil auch nicht zitierten Hämorrhoiden von Frau Meier oder Müller, und die sieht jetzt der Mensch von der Fernwartung, weil das gerade auf ist, weil das Programm gerade hakt, was auch immer. Wie gehe ich denn damit um?
00:21:19
Martin Bastius: Gut, im besten Fall ist natürlich der Herr von der Fernwartung, wenn er auch mit der Praxisverwaltungssoftware kommt, gewissermaßen Mitarbeiter ist, ist er natürlich selber schon darauf verpflichtet, mit Gesundheitsdaten umzugehen und deshalb auch besonders zu Vertraulichkeit verpflichtet ist. Schöner wäre es natürlich, wenn er die Daten von vornherein nicht sehen könnte, wenn die beispielsweise ausgegraut werden et cetera.
00:21:42
Dr. med. Dierk Heimann: Was ja nicht klappt, bei so einer Fernwartung. Mein Programm hängt gerade und dann sagt er: „Ich würde gerne den Fehler sehen und zeigen Sie mir noch einmal, wo das genau war“ und dann sieht er natürlich, weil es ein Praxisverwaltungssystem ist, die Patientennamen. Die kann ich ja gar nicht ausgrauen. Kann man bestimmt, aber ich nicht.
00:21:59
Martin Bastius: Richtig. Da muss man mit Vertraulichkeiten arbeiten. Wenn der entsprechende Mitarbeiter an der Praxisverwaltungssoftware mit daran hängt, dann hoffe ich stark, dass er arbeitsvertraglich zu einer ausreichenden Vertraulichkeit verpflichtet ist.
00:22:14
Dr. med. Dierk Heimann: Jetzt sind sie Jurist und gute Juristen lassen ihr Gegenüber nicht so leicht aus den Fängen. Das versuche ich jetzt auch einmal. Jetzt haben wir ja nicht nur den Menschen, der zu dem Praxisverwaltungsprogramm zählt, sondern auch vielleicht das Systemhaus der Praxis, das sich darum kümmert, schließt mein Fax an und macht meinen Computer ganz und andere Dinge, und der macht nun gerade diese notwendige Fernwartung. Mit denen müsste ich aber dann so einen Vertrag abschließen.
00:22:40
Martin Bastius: Absolut. Da sollte man auch noch einmal speziell auf die ärztliche Schweigepflicht und so Bezug nehmen. Das ist, glaube ich, auch klar. Ansonsten würde man aus Versehen Gesundheitsdaten, für die man natürlich noch eine besondere Vertraulichkeit hat, Personen in die Hände geben, die eigentlich keinen Zugriff haben sollten.
00:22:56
Dr. med. Dierk Heimann: Wir versuchen zu verstehen, wie wir mit den richtigen Datenschutzmaßnahmen im Alltag das Arzt-Patienten-Verhältnis noch vertrauensvoller machen können. Damit eben niemand den Eindruck hat, mit meinen Daten, mit meinem Wissen, mit den Wissensinformationen um meine Erkrankung wird nicht ordentlich umgegangen. Damit man sich eben wirklich fallen lassen kann in eine solche Arzt-Patienten-Beziehung. Martin Bastius ist bei uns, zugeschaltet aus Berlin, als Anwalt und Datenschutzexperte. Sie haben eben gesagt, man sollte solche Verträge schließen. Bei Verträgen sträuben sich mir immer die Nackenhaare. Wo bekomme ich denn da die richtigen Texte her? Wie mache ich das denn richtig? Ich weiß vielleicht, wie ich ein Antibiotikum dosieren soll und wann man es einnehmen muss. Aber wenn es um so einen Vertrag geht, dann bin ich eben nicht der Spezialist. Wie mache ich das dann? Wen frage ich?
00:23:45
Martin Bastius: Da gibt es mehrere Möglichkeiten. Entweder greift man auf Vorlagen zurück, beispielsweise von der kassenärztlichen Vereinigung. Das ist natürlich jetzt eine Vereinigung, die auch entsprechende Vertragsmuster zur Verfügung stellt. Ob das jetzt für jeden Fall, den man abdecken muss, der Fall ist, wäre ich mir jetzt nicht so sicher. Aber es gibt da durchaus gewisse Vorlagen, mit denen man arbeiten kann. Eine andere Möglichkeit ist, dass man sich den Sachverstand selber besorgt. Man kauft ihn ein. Ob das jetzt der externe Datenschutzbeauftragte ist oder ein spezieller Datenschutzanwalt, das bleibt jedem dann selber natürlich überlassen.
00:24:17
Dr. med. Dierk Heimann: Jetzt haben Sie gesagt, man kauft sich diese Expertise ein. Datenschutzbeauftragter … das sind Dinge, die spätestens, vorhin haben Sie das ganz kurz erwähnt, seit der Datenschutzgrundverordnung, dieser DSGVO heißt die dann insgesamt in der Abkürzung, durch alle Praxen geistern. Irgendwie hat man ständig den Eindruck, man macht etwas falsch und um die nächste Ecke kommt schon irgendein Abmahnverein, der einem dann ganz, ganz böse Abmahnungen ins Haus schickt, die richtig teuer werden können. Datenschutzbeauftragte und Datenschutzgrundverordnung. Da haben viele Fachgesellschaften Tipps gegeben. Reicht das denn oder brauche ich da wirklich jemand ganz schlauen, der darauf guckt?
00:24:54
Martin Bastius: Formell braucht man den Datenschutzbeauftragten erst ab 20 Mitarbeitern, die mit Daten umgehen. Bei 20 Mitarbeitern zählt man sich natürlich als Praxisinhaber selber auch mit.
00:25:04
Dr. med. Dierk Heimann: Es müsste schon eine große Praxis sein.
00:25:06
Martin Bastius: Es müsste schon eine große Praxis sein. Oder dann, da kommt die Rückausnahme, wenn im Besonderen umfangreich mit Patientendaten umgegangen wird, mit Gesundheitsdaten.
00:25:15
Dr. med. Dierk Heimann: Dann ist es doch wieder die Praxis.
00:25:17
Martin Bastius: Es ist nicht jede Praxis, auf jeden Fall. Man versucht da natürlich Klarheit zu bekommen. Wenn man Klarheit im Datenschutzbereich möchte, dann fragt man die Datenschutzbehörden. Die sagen dann aber auch nur, für eine einzeln geführte Praxis braucht man keinen Datenschutzbeauftragten, bei drei Behandlern wohl auch noch nicht. Aber wo jetzt genau die Grenze ist, das kann keiner so genau sagen. Man muss wahrscheinlich eher auf die Patientenanzahl schauen, letztendlich.
00:25:43
Dr. med. Dierk Heimann: Jetzt haben Sie gerade erwähnt, das fand ich einen guten Tipp, dass man einfach bei der kassenärztlichen Bundesvereinigung noch einmal schaut, vielleicht bei den Ärztekammern. Ich selbst hatte die einzelnen Fachgesellschaften noch erwähnt, die häufig dann inhaltsbezogen noch einmal Tipps geben, wie damit umzugehen ist. Wir haben eben lange über den IT-Beauftragten in meiner Praxis gesprochen, kamen dann zum Datenschutzbeauftragten. Ich würde gerne zurückkommen zu den Menschen, die die IT, die Computer, die Software bei mir warten. Jetzt gibt es ja oft so einen Punkt, ich habe da einen Schwiegersohn oder einen Freund, der kann das ganz gut. Meine Praxis ist nicht so groß, die hat drei oder vier Plätze. Das kann der oder die doch mitmachen. Ist das ein guter Tipp?
00:26:18
Martin Bastius: Bei solchen Sachen, die tatsächlich wichtig sind, die auch eine wirtschaftliche Bedeutung haben, schließt man besser Verträge ab, weil man sich dann auch für den Zweifelsfall abgesichert hat. Das ist jetzt kein Gefälligkeitsverhältnis einfach die IT mit zu schmeißen und ist auch vom Aufwand her ein bisschen zu groß. Ich würde also schon zu dem Vertrag raten.
00:26:36
Dr. med. Dierk Heimann: Wir wollen ja ein ganz vertrauensvolles Arzt-Patienten-Verhältnis durch diesen Datenschutz auch gewährleisten. Das hat ja eine unmittelbare Auswirkung auf meine Behandlung, auf den Behandlungserfolg. Sagt mir mein Gegenüber wirklich alles, was ihn oder sie belastet? Darum geht es ja heute so ein bisschen hier bei unserem Podcast. Aber bleiben wir noch einmal bei diesen rechtlichen Implikationen. Jetzt schreibt mir jemand eine E-Mail. Mit dieser E-Mail, das habe ich irgendwann gelernt, ist ja wie mit einer Postkarte umzugehen. Sei bitte sicher, was du da darauf schreibst. Es muss dir bewusst sein, dass andere das lesen dürfen. Ist das immer noch so?
00:27:16
Martin Bastius: Ja, das ist leider immer noch so. Die unverschlüsselte E-Mail ist kein Kanal, der zur Weitergabe von Gesundheitsdaten gedacht ist. Oder zumindest nach aktueller Ansicht eher nicht dafür gedacht ist, weil es letztendlich so ist wie eine Postkarte, ja.
00:27:29
Dr. med. Dierk Heimann: Das heißt aber auch, wenn mir der Patient, die Patientin, jetzt Daten schickt, kann ich das ja nicht vermeiden. Ich kann nur sagen: „Bitte tun Sie das nicht“ und ich schreibe das vielleicht irgendwo hin und ich sage es auch immer wieder, aber das kann ich ja nicht vermeiden. Darf ich auf so eine Mail antworten?
00:27:42
Martin Bastius: Sehr, sehr schwierige Frage natürlich. Die E-Mail, die man bekommt, die man nicht angefordert hat, würde man im Datenschutzjargon die aufgedrängte Verarbeitung nennen. Da kann man natürlich erst einmal nichts machen. Schwieriger wird es erst, wenn man sich dann selber damit beschäftigt und tatsächlich etwas mit dem Inhalt macht und beispielsweise Auskunft auf eine Frage, wiederum per E-Mail, erteilt, die tatsächlich Gesundheitsbezug hätte.
00:28:06
Dr. med. Dierk Heimann: Das heißt jetzt ganz konkret, wie würde ich das machen? Würde ich dann antworten und sagen: „Danke für Ihre Mail“, ohne dass die alte Mail wieder reinkopiert wird? Das gibt es ja auch häufig bei diesen E-Mail-Systemen. Dann geht der ganze Inhalt noch einmal zurück und wird noch einmal als Postkarte verschickt. Was schreibe ich dann rein? Danke für Ihre Mail, bitte rufen Sie mich an oder lassen Sie uns einen Termin vereinbaren? Was würden sie da raten?
00:28:24
Martin Bastius: Im Idealfall ja. Es gibt noch eine weitere Möglichkeit, über die man nachdenken kann. Es gibt auch Ärzte, die das tatsächlich so handhaben, dass man sich noch eine Einwilligung dafür einholt, dass man per E-Mail mit den Patient*innen über Gesundheitsdaten korrespondiert. Es ist nicht ganz klar, ob das datenschutzrechtlich tatsächlich zu einer absoluten Idealsituation führt, weil nicht ganz klar ist, ob tatsächlich für diese niedrigeren Sicherheitsstandards überhaupt eine Einwilligung möglich ist.
00:28:50
Dr. med. Dierk Heimann: Weil die Konsequenzen so schwer abschätzbar sind. Wir hatten ja eben die Balletttänzerin mit dem verdrehten Knie. Das war Ihr Beispiel. Blöderweise sitzt der Direktor, der ihren Vertrag verlängern soll, daneben. Der hat aus irgendwelchen Gründen Kenntnis von dieser Mail erlangt. Das könnte ja dann richtig doof werden. Genehmigung hin oder her.
00:29:05
Martin Bastius: Genau. Aber es ist natürlich meistens so, wenn eine Genehmigung vorliegt, im Datenschutzbereich würde man von Einwilligung sprechen, gibt es natürlich auch weniger Leute, die sich darüber beschweren. Die wissen ja, worauf sie sich eingelassen haben, wenn sie informiert zugestimmt haben, dass es in Ordnung ist. Das heißt, in der Realität wird es eine Möglichkeit sein. Vorgesehen ist die Einwilligung tatsächlich eher für den konkreten Umgang von Daten und nicht für niedrigere Sicherheitsstandards. Das wäre so ein bisschen die Abgrenzung.
00:29:31
Dr. med. Dierk Heimann: Die Kurzzusammenfassung wäre hier, wenn jemand mir eine Mail schickt, aufgedrängte Verarbeitung haben Sie das genannt, dagegen kann ich mich nicht wehren, die landet in meinem Postfach. Wenn ich aber keine Einwilligung habe, könnte ich darauf nur allgemein antworten, ohne den Inhalt wieder automatisch zu kopieren. Sie haben dann den Aspekt der Einwilligung noch einmal ins Spiel gebracht. Der Patient, die Patientin stimmen ausdrücklich zu, dass sie per Mail informiert werden möchten und darüber kommunizieren möchten. Vielleicht da noch einmal ganz konkret nachgefragt. Für morgen früh, 08:34 Uhr, wenn der Patient bei mir in der Praxis steht, heißt dann Einwilligung schriftlich ausgedruckt, von beiden unterschrieben? Oder heißt Einwilligung, es reicht, wenn ich es in meiner Akte, in meinem Arztinformationssystem hinterlege? Was heißt dann Einwilligung?
00:30:16
Martin Bastius: Eine Einwilligung im Datenschutzbereich ist eine ausdrückliche Erklärung. Ausdrücklich heißt, dass der Patient aktiv geworden sein muss. Das heißt, wenn ich jetzt selber abhake, würde das nur ausreichen, wenn der Patient trotzdem vor mir gestanden hätte und mündlich ja gesagt hätte. Wenn er im Nachgang dann behauptet, er hätte es nicht gesagt, hat man natürlich ein Beweisproblem.
00:30:37
Dr. med. Dierk Heimann: Die minimale Anforderung, wenn ich das wieder in den Arztalltag übersetze, wäre, ich muss es mindestens in meiner Arztakte dokumentieren, so wie sonst auch. Mit Frau Müller darüber gesprochen, sie möchte ausdrücklich, dass Informationen über ihr verdrehtes Knie oder andere Dinge per Mail verschickt werden. Wenn ich Sie aber richtig verstehe, im Zweifel noch einmal ausdrucken und unterschreiben lassen.
00:30:55
Martin Bastius: Genau. Das muss nicht unbedingt schriftlich sein. Man könnte auch darüber nachdenken, das per E-Mail zu machen. Es muss nur klar zuordenbar sein. Plus man muss tatsächlich auch dann sagen, was genau mit den Daten so passiert. Die Einwilligung im Ärzteverhältnis spielt vor allen Dingen bei Weitergaben von Daten natürlich eine Rolle. Beispielsweise ich bin damit einverstanden, dass meine Angehörigen auch in der Praxis anrufen können und Zugriff auf die personenbezogenen Daten bekommen können.
00:31:21
Dr. med. Dierk Heimann: Das ist ein ganz wichtiger Punkt, wohin Sie jetzt überleiten, das ist so ein typisches Alltagsproblem. Jemand ist krank und lässt seine Ehefrau, den Ehemann anrufen oder wen auch immer, und denkt man gleich, ich kennen die alle, vielleicht als Allgemeinmedizinerin, da hat man sowieso engeren Kontakt zu der ganzen Familie, da ist man ja schnell mal geneigt, so eine Auskunft zu geben. Eigentlich ist es gar nicht richtig.
00:31:41
Martin Bastius: Absolut. Ja, da muss man leider gucken. Auch die Weitergabe von Daten ist eine Art von Verarbeitung, ein Umgang mit Daten, und bedarf in dem konkreten Fall, da es um Gesundheitsdaten geht, einer Einwilligung.
00:31:51
Dr. med. Dierk Heimann: Das heißt, vielleicht wäre es beim ersten Kontakt oder auch in der Folge gut, klar zu dokumentieren, wem darf ich Informationen weitergehen.
00:32:02
Martin Bastius: Richtig, genau. Man könnte auch von einer Vollmacht sprechen, aber im Datenschutzbereich ist es eben keine Vollmacht, sondern das ist eine Einwilligung.
00:32:10
Dr. med. Dierk Heimann: Jetzt haben wir ja so zwei Welten. Die eine Welt ist die der Arztpraxis. Da hat man den Eindruck, es geht um Verschwiegenheitspflicht, aber in vielen Fällen auch um Vertrauen. Und man hat zum Beispiel die Welt der Banken. Da geht es auch um Verschwiegenheitspflicht, aber ständig um Dokumente und kein Vertrauen im Sinne von, da muss alles wirklich unterschrieben sein und hier noch die Vollmacht und da noch gegen geprobt und die Unterschriftenprobe und was weiß ich. Sollten wir in der Arztpraxis ein bisschen mehr Banker sein oder braucht es einen intelligenten Weg dazwischen?
00:32:40
Martin Bastius: Man muss natürlich aufpassen, dass auf dem Weg nicht zu viel verloren geht. Wir wissen alle, dass die Arzt-Patienten-Beziehung eine sehr wichtige ist und wenn man die jetzt mit Dokumenten überfrachtet, dann legt man den Schwerpunkt vielleicht auch auf zu viele andere Tätigkeiten, nämlich die Dokumente. Aber so ein bisschen was dazwischen ist sicherlich gut. Zu naiv sollte man an die Sache nicht herangehen und eben auch aus der Betroffenheitsperspektive sich das Ganze anschauen. Der Angehörige kann anrufen und das kann gut gehen, aber vielleicht ruft der Angehörige auch an, ohne dass demjenigen, der davon betroffen ist, das tatsächlich Recht ist. Und wenn man da dann wieder die Betroffenheitsperspektive wechselt, dann ist es eigentlich auch ein ganz guter Test.
00:33:24
Dr. med. Dierk Heimann: Das heißt guter Test im Sinne von, wenn der Patient, die Patientin, vor mir sitzt und ich gerade den Eindruck hätte, wenn ich jetzt drei Genehmigungsformulare auf den Tisch legen würde, dann bin ich vielleicht ein guter Bankdirektor, aber eine schlechte Ärztin. Dann lieber mündlich im Gespräch fragen, antworten und gut in der Akte dokumentieren. Ja, sie dürfen mit meinem Ehemann darüber telefonieren. Meinen Sie so etwas?
00:33:46
Martin Bastius: Genau. Zum Beispiel.
00:33:46
Dr. med. Dierk Heimann: Ich möchte zurückkommen auf das Thema Betroffenheitsperspektive. Das haben Sie gerade erwähnt als Lackmustest, wie man selber gerade mit Daten umgeht. Ich würde gerne noch einmal auf die Teams zurückkommen. Datenschutz in der Praxis, darüber wird sicher selten geredet, wir sagten es schon zu Beginn unseres heutigen Podcasts, aber es ist ganz oft dennoch ein Problem. Aus Ihrer Erfahrung in den verschiedenen Branchen, wie nähert man sich denn da am besten? Bevor ich so eine Schulung buche und das ganze Team ein Wochenende irgendwo hinfährt, muss ich das im Alltag erst einmal leben. Wie mache ich das?
00:34:18
Martin Bastius: Die Datenschutzschulungen dauern kein ganzes Wochenende, sondern eher so eine Stunde. Man weiß ja auch als Datenschutzbeauftragter, wie ich es bin, dass man die entsprechenden Mitarbeiter*innen auch nicht überfrachten sollte. So etwas wird auch regelmäßig wiederholt. Von daher ist es kein ganzes Wochenende. Das wäre eine Überfrachtung der ganzen Angelegenheit.
00:34:37
Dr. med. Dierk Heimann: Aber die Frage würde ich gerne versuchen zu verstehen. Das war jetzt die Schulung. Wir haben von Ihnen gerade gelernt, die dauert vielleicht ein, zwei, drei Stunden, je nachdem, wie viele Probleme man lösen will. Aber ich muss es ja auch im Team irgendwie vorleben. Ich muss ja im Team irgendwie versuchen, eine Gesprächsatmosphäre, eine Zusammenarbeitsatmosphäre zu schaffen, die mir hilft, so einen Datenschutz zu leben. Das ist ja nicht gänzlich trivial. Wie machen das denn andere Branchen, wenn Sie so ein bisschen aus dem Nähkästchen plaudern?
00:35:04
Martin Bastius: Da gehört viel Kommunikation im Team dazu. Typischerweise würde man die Datenschutzschulung ankündigen. Die kommt jetzt nicht aus dem Nirgendwo. Dann würde man natürlich den Mitarbeiter*innen auch anbieten, dass man im Anschluss an die Datenschutzschulung auch gemeinsam darüber spricht, was jetzt für Probleme aus dem Alltag vielleicht schon aktuell vorliegen. Das kann entweder der Praxisinhaber selber machen, die Inhaberin, oder man zieht wieder extern jemanden dazu. Wenn man einen Datenschutzbeauftragten hat, kann man die natürlich ganz gut involvieren und dem dann die Fragen weiterreichen. Dann sagt man beispielsweise: „Wir haben jetzt zwar kein konkretes Problem, aber wir wissen aus dem Alltag, dass die und die Situationen immer mal wieder bei uns speziell in der Praxis auftreten. Wie sollten wir uns da ganz konkret verhalten?“ Wenn man dann die entsprechende Atmosphäre geschaffen hat, dann hofft man, dass es der Fall ist, dass die Mitarbeiter*innen auch proaktiv in Zukunft auf den Praxisinhaber oder auf den Datenschutzbeauftragten zutreten und ihre Fragen beantworten lassen.
00:35:59
Dr. med. Dierk Heimann: Ich bleibe noch einmal so ein bisschen daran im Sinne von aus dem Nähkästchen plaudern. Wie organisieren das andere Institutionen? Sagen die dann, wenn Dinge nicht gut laufen, dann schickt sie mir als Vorgesetzten, damit wir darüber reden können? Muss es ein externer Moderator sein, der die Dinge so ein bisschen bahnt und diskutiert? Wie sind da ganz konkret Ihre Erfahrungen?
00:36:19
Martin Bastius: Das ist ja auch so ein bisschen die Position des Datenschutzbeauftragten. Der ist die unabhängige Instanz innerhalb des Unternehmens. Der ist nicht weisungsgebunden und eignet sich natürlich per se schon ganz gut dafür. Weil er eben die Überwachungsinstanz dazwischen ist und jetzt nicht in der Hierarchie fest mit eingebunden ist. Dem kann man durchaus Sachen erzählen, die man jetzt anderen Leuten nicht erzählen würde.
00:36:42
Dr. med. Dierk Heimann: In Realitas ist das ja häufig der Inhaber, die Inhaberin, die zum Datenschutzbeauftragten einer Praxis werden. Ich habe eben von Ihnen gelernt, kleine Praxen brauchen den sowieso nicht, wenn überhaupt größere, wobei da ist die Größe gar nicht so richtig klar. Wer macht es denn dann?
00:36:58
Martin Bastius: Der Praxisinhaber darf nicht Datenschutzbeauftragter werden. Das geht leider nicht. Der Datenschutzbeauftragte muss per Gesetz unabhängig sein. Das heißt, der Praxisinhaber selbst fällt heraus. Wenn man die Grenze erreicht, 20 Mitarbeiter oder man hat sehr viele Patienten zum Beispiel, dann muss man sich entweder extern jemanden suchen oder eine der Mitarbeiter*innen zum Datenschutzbeauftragten machen.
00:37:20
Dr. med. Dierk Heimann: Aber die Mitarbeiterin würde Weisungen empfangen, das würde ja dann auch wieder nicht gehen.
00:37:26
Martin Bastius: Da muss man dann wirklich in der konkreten Situation schauen. Die Idee ist dann natürlich, wenn jemand intern Datenschutzbeauftragter wird, müsste der auch ein bisschen von seiner Zeit freigestellt werden. Der müsste dann zum Beispiel eine 20 Prozent Stelle als Datenschutzbeauftragter annehmen und in dem Rahmen müsste derjenige, diejenige natürlich dann tatsächlich auch die Möglichkeit haben, zu sagen, was er, sie denkt, ohne Konsequenzen zu spüren.
00:37:50
Dr. med. Dierk Heimann: Klingt sehr theoretisch. Wenn ich Ihnen so zuhöre, habe ich doch den Eindruck, das ist die juristische Sicht auf die Dinge. Ich versuche es noch einmal mit einem Augenzwinkern formuliert. Sie verstehen das richtig. Versuchen wir es mit der ärztlichen Sicht. Ganz konkret. Ich habe ein Team, das sind drei, vier, fünf Leute. Jetzt kann ich nicht eine meiner medizinischen Fachangestellten mit 20 Prozent zur Datenschutzbeauftragten machen und dann so tun, als würde das gar keinen Einfluss auf den Alltag haben. Das mag an der einen oder anderen Stelle schwierig werden, vor allem dann, wenn ich vielleicht den Fehler als Inhaber oder Inhaberin gemacht habe. Was wäre denn dann Ihr Rat? Sollte man dann sagen, wenn ich mich dazu entschließe, so zu arbeiten, dann sollte ich es nach außen geben?
00:38:30
Martin Bastius: Um da noch ein bisschen mehr zu erklären, der interne Datenschutzbeauftragte ist beispielsweise vor Kündigung geschützt. Den kriegt man als Mitarbeiter so gut wie nicht los, was natürlich genau diesen Hintergrund hat. Die Unabhängigkeit des internen Datenschutzbeauftragten soll speziell noch einmal abgesichert werden, dass er, sie auch nicht Angst hat seine Meinung zu sagen. Was natürlich auch ein bisschen in der Frage steckte ist, dass tatsächlich Mitarbeiter*innen, die intern arbeiten, nicht unbedingt auch die Zeit haben. Man kann jetzt vielleicht sagen, du machst jetzt 20 Prozent deiner Zeit auch das noch mit. In der Realität wird es aber häufig dann eine Aufgabe sein, die mitgemacht werden muss, obwohl die anderen Aufgaben natürlich nicht weniger werden. Und das ist gerade nicht die Vorstellung, die der Gesetzgeber bei der Position des Datenschutzbeauftragten hatte.
00:39:18
Dr. med. Dierk Heimann: Die Frage, die sich mir natürlich aufdrängt, jetzt habe ich vielleicht eine Mitarbeiterin, die ist zu 100 Prozent beschäftigt, jetzt mache ich sie zu 20 Prozent zur Datenschutzbeauftragten. Ist sie dann 100 Prozent Kündigungsgeschützt?
00:39:29
Martin Bastius: Genau.
00:39:30
Dr. med. Dierk Heimann: Das heißt, in dem Moment würde ich mir potenziell meine eigenen Strukturen verkomplizieren. Müsste dann eher überlegen, frage ich jemanden von außen. Da würde ich gerne noch einmal hängen bleiben. Jetzt haben wir andere Branchen, da geht es auch um sensible Bereiche. Wir hatten den Banking-Sektor als Beispiel einmal erwähnt. Wenn wir da an den Datenschutz denken, womit machen Sie denn da, aus Ihrer Erfahrung, mit Blick auf viele, viele Branchen die besten Erfahrungen? Sind das dann eben wirklich Externe, die dazu kommen oder ist es eher aus dem Team besser oder gibt es gar keine richtige Empfehlung?
00:40:05
Martin Bastius: Ich glaube, ich bin da etwas voreingenommen, weil ich ja der externe Datenschutzbeauftragte bin. Ich weiß aber auch gleichzeitig, was die internen Datenschutzbeauftragten besser können. Die internen Datenschutzbeauftragten sind tendenziell überlastet. Da haben wir gerade schon so ein bisschen darüber gesprochen. Und sie haben häufig nicht so richtig Ahnung, ohne denen jetzt zu nahe treten zu wollen, von den Einzelheiten.
00:40:29
Dr. med. Dierk Heimann: Ist ja nicht deren Kernkompetenz.
00:40:30
Martin Bastius: Genau. Weil sie ja typischerweise noch eine andere Aufgabe haben. Das macht das Ganze so ein bisschen schwieriger. Schön ist natürlich, dass sie die Abläufe ganz genau kennen und Fragen aus dem Kontext beispielsweise besser beantworten können als ein externer Datenschutzbeauftragter. Da hat man mehr die allgemeinen Datenschutzkenntnisse, aber muss häufiger mal eine Frage stellen, um den Kontext zu verstehen. Das wären so die zwei Gegenpunkte.
00:40:52
Dr. med. Dierk Heimann: Wie findet man denn so einen externen Datenschutzbeauftragten? Jetzt haben Sie selber gesagt, Sie sind selbst mit Ihrem Unternehmen in so etwas engagiert. Jetzt könnte nicht jeder zu Ihnen kommen und Sie als externen Datenschutzbeauftragten bitten. Wie mache ich das? Frage ich bei der Ärztekammer nach? Gehe ich auf die kassenärztliche Vereinigung zu? Wie gehe ich damit um?
00:41:11
Martin Bastius: Ich würde am ehesten über Empfehlungen aus dem Arzt-Bekanntenkreis gehen, denn letztendlich müssen sie natürlich selber mit demjenigen, mit derjenigen zurechtkommen und auch mit dem System zurechtkommen. Wir zum Beispiel arbeiten sehr digital basiert, sind natürlich trotzdem noch immer ganz persönlich. Wir stehen auch für unsere Kunden, Kundinnen zur Verfügung. Wenn man jetzt einen Datenschutzbeauftragten möchte, der ganz herkömmlich in die Praxis läuft, wäre das natürlich dann wiederum nicht die richtige Lösung. Von daher würde ich einfach empfehlen, auf Bekannte zuzugehen, sich ein bisschen umzuhören, mit welchen Datenschutzbeauftragten gute Erfahrungen gemacht werden. So ist es im Endeffekt natürlich bei uns auch mit der Kundenakquise. Die meisten Kunden bekommen wir schon weiterempfohlen.
00:41:53
Dr. med. Dierk Heimann: Jetzt kommen wir vielleicht auf diesen Betroffenheitstest zurück. Wir haben jetzt jemanden gefunden, der sich um die Daten kümmert, immer mit dem Ziel, dass das Patientenverhältnis so gut und so vertrauensvoll wie möglich ist. Und nirgendwo der Eindruck entsteht, diese Praxis arbeitet nicht entlang des Datenschutzes oder entlang dieser Verschwiegenheitspflicht. Ich kann da gar kein völliges Vertrauen haben. Stichwort Whistle Blowing, wie das ja so auf Neudeutsch heißt. Jetzt stelle ich als Mitarbeiterin in meiner Praxis fest, da geht etwas schief mit den Mails oder die Faxe laufen irgendwo raus oder da werden E-Mails auf dem Handy abgebildet, was jeder theoretisch einsehen könnte. Wie gehe ich damit um?
00:42:33
Martin Bastius: Man sollte erst einmal intern das Problem ansprechen. Wenn es einen Datenschutzbeauftragten gibt, dann ist der die richtige Person dafür, um das zu adressieren. Wenn es die nicht gibt, wäre das der Praxisinhaber. Dann auch ganz konkret mit den Folgen, die man dann tatsächlich sieht. Die würde ich mit in den Kontext setzen. Nicht nur zu sagen, hier gehen die E-Mails irgendwie raus, sondern ich habe Angst, dass jemand auf die E-Mail zugreift und wir sehen die und die Gefahr. Ich glaube, dann wird es gleich viel verständlicher. Das ist dann eine Möglichkeit, wie man im Verbund auch die Probleme lösen kann.
00:43:06
Dr. med. Dierk Heimann: Das war jetzt ja noch sehr theoretisch. Ganz konkret muss es ja genau diesen Anlass geben. Heißt das für die Inhaberin, für den Inhaber einer Praxis oder auch eines medizinischen Versorgungszentrums, ich muss eigentlich auch den Raum schaffen, um so etwas ansprechen zu können? Das heißt vielleicht wirklich ein Meeting einmal im Monat als Beispiel und da wirklich ganz offensiv darum bitten. Problem muss ja längst nicht nur der Datenschutz sein. Früher war es immer die Hygiene und dann kam irgendwann der Datenschutz, die ungeliebten Themen mit Beauftragten. Aber dennoch sind sie essenziell wichtig, wir haben es ja mehrfach betont. Braucht es so einen Gesprächsraum? Wie machen das andere Branchen?
00:43:44
Martin Bastius: Zumindest hat der Praxisinhaber, die Praxisinhaberin, auch ein Interesse daran. Diese ganzen Compliance Maßnahmen, das ist nicht nur der Datenschutz, Hygiene, Arbeitssicherheit, alles Mögliche, die können ja auch Folgen mit sich ziehen. Wenn man die nicht befolgt, dann drohen typischerweise ja Bußgelder etc. Das sind alles Sachen, die man selber auch nicht braucht. Reputationsschäden vielleicht auch noch obendrauf. Deshalb hat auch der Praxisinhaber oder die Praxisinhaberin durchaus etwas davon, diesen Raum zu schaffen, beispielsweise im Rahmen eines Gespräches. Ob das jetzt einmal im Monat sein muss oder ob man einfach sowieso klarmacht, dass offen kommuniziert werden kann. Ob das jetzt mit externer Hilfe ist oder nicht, das sei jetzt mal jedem da hingestellt. Wie das zu dem Praxis-Setup passt.
00:44:27
Dr. med. Dierk Heimann: Das heißt, noch einmal für den Hinterkopf, wenn man jetzt sagt, ich erübrige eine halbe Stunde oder eine Stunde Teambesprechung, nennen wir es mal so, oder jeden Tag fünf Minuten, wie auch immer man das organisieren möchte, das klingt ja erst einmal nach toter Zeit. Im Sinne von, die ist ja gar nicht so richtig produktiv, keiner antwortet auf Mails, keiner geht ans Telefon, keiner schreibt irgendwelche Rezepte. Wenn ich Sie jetzt aber richtig verstanden habe, mit Blick auf die Reputationsschäden oder auch echte finanzielle Schäden, ist das schon eine lohnende Zeit.
00:44:55
Martin Bastius: Ja, durchaus. Natürlich möchte keiner die Folgen zu spüren bekommen, die ich gerade skizziert habe. Das Patientenwohl liegt uns natürlich allen am Herzen, das ist auch klar. Deshalb sollte man es natürlich auch machen. Nicht nur angetrieben von den Nachteilen, die man befürchtet. Letztendlich schafft das Ganze natürlich auch noch eine schöne Teamatmosphäre und jeder möchte ja glückliche Mitarbeiter*innen haben.
00:45:20
Dr. med. Dierk Heimann: Jetzt sagen ja zum Beispiel Menschen, die im Luftfahrtbereich arbeiten, bei denen sind Fehler auch immer wieder eine Chance, etwas zu lernen. Das klingt immer so ein bisschen abgedroschen nach so einer Floskel. Jeder Fehler ist eine Chance. Die Luftfahrt-Menschen machen das, weil sie wissen, jeder Absturz kostet unendlich viel Geld und deswegen sollten wir genau das verhindern. In der Arztpraxis, Sie haben es gerade skizziert, ist es der Reputationsschaden, der Vertrauensverlust, ein nicht gutes Verhältnis zwischen Arzt und Patient. Ich würde aber gerne noch einmal nach solchen Fehlern fragen. Gibt es Fehler, aus denen Sie, mit Blick auf ganz viele Branchen, gelernt haben und von denen wir jetzt ein bisschen profitieren können?
00:45:57
Martin Bastius: Es gibt durchaus Fälle, die man vorher nicht bedacht hat. Wenn der Kunde jetzt fragen würde, dürfen wir das und das machen? Dann würde ich natürlich klar sagen, so etwas geht nicht, weil man das dann durchanalysiert. Aber häufig ist es so, dass man natürlich die Fälle nicht vorher gedacht hat. Man muss auch als Datenschutzbeauftragter häufig so ein bisschen kühn in die Zukunft blicken und quasi voraussehen, was denn der Kunde vielleicht alles machen würde. So kann man natürlich viele Hinweise erteilen.
00:46:27
Dr. med. Dierk Heimann: Das heißt jetzt aber, wenn ich Sie richtig verstehe, jeder Fall ist einzeln, im Grunde wie jeder Patient, jede Patientin für sich individuell ist. Das heißt aber auch, jeder neue Fall, der bei mir in der Praxis auftritt, jede neue Situation, vielleicht sogar jeder neue Umgang mit dem Faxgerät oder mit der Eingangstür ist plötzlich anders zu machen. Das wäre eigentlich etwas, wo Sie sagen, das sollte ich dann schon mit meinem Datenschutzbeauftragten besprechen, weil das eine potenzielle Falle sein könnte.
00:46:54
Martin Bastius: Da hilft einem natürlich die Schulung so ein bisschen mit. Die macht man ja als Praxisinhaber auch. Dann würde man natürlich aus den Grundzügen des Datenschutzes dann auch schon ein bisschen ableiten können, was so die konkreten Fälle sind. Aber klar, letztendlich ist es wichtig, dass man auch einfach ein gutes Verhältnis zu seinem Datenschutzbeauftragten hat, damit man keine Hemmung hat auch tatsächlich auf ihn zuzukommen. Besser ist, man erzählt jetzt einmal mehr ein Problem, was tatsächlich kein Problem ist, als dass man es nicht macht.
00:47:21
Dr. med. Dierk Heimann: Martin Bastius war uns aus Berlin zugeschaltet. Er ist Datenschutzanwalt und in vielen Branchen aktiv, das hat er uns vorhin erzählt, wenn es um das Thema Datenschutz geht. Wenn es aber auch darum geht, mit zum Beispiel Gesprächsdaten, mit Telefondaten, mit Faxinformationen, mit Mails umzugehen. Die Datenschutzgrundverordnung haben wir exemplarisch genannt. Wenn ich auf diese letzten Minuten höre und mich frage, was habe ich mitgenommen, dann ist es eigentlich die Betroffenenperspektive. Mir vorzustellen, was passiert, wenn ich der Patient, die Patientin wäre mit einer vielleicht tabuisierten Erkrankung? Ich habe immer wieder mal mit so einem Augenzwinkern die Hämorrhoiden genannt. Möchte man wirklich, dass der Nachbar, die Nachbarin das weiß? Oder das verdrehte Knie, was wir einige Male diskutiert hatten. Wenn bei der Balletttänzerin der Direktor, der den Arbeitsvertrag verlängert, zufällig daneben sitzt und das eben nicht klappt, wie wäre das, wenn mir das passieren würde? Das fand ich ganz, ganz spannend. Die eigenen Vorgänge daran einfach so ein bisschen zu härten und zu schauen, wäre ich damit einverstanden oder nicht? Das Zweite, was ich auch sehr wichtig fand, eine offene Atmosphäre zu schaffen, um wirklich darüber reden zu können und sich zu fragen, kann ich das Thema Datenschutz nicht nur im IT-Sinne, das sei immer wieder betont, wirklich intern abbilden oder sind da so viele auch Aufgaben, dass das einfach nicht nebenbei geht? Oder sollte ich mir Hilfe von außen holen? Und auch dann haben wir eben von Martin Bastius gelernt, ist wahrscheinlich das Nachfragen bei Kolleginnen und Kollegen gar nicht so schlecht. Habt ihr eine Empfehlung für mich, wer das vielleicht machen könnte? Mit wem habt ihr gute Erfahrungen gemacht? Wer versteht mich vielleicht auch? Und last but not least das Thema der Schulung von Mitarbeiterinnen und Mitarbeitern. Wir haben gelernt, das dauert nicht ein Wochenende, sondern vielleicht mal ein, zwei Stunden. In diesem Sinne zu sensibilisieren, worauf sollte und kann ich eigentlich achten? Wir kommen damit mit unserem virtuellen Praxisrundgang so ein bisschen an das Ende. Wir haben eben beim Empfang begonnen. Was passiert, wenn der unbesetzt ist. Und wir haben im Grunde mit der Frage geendet, was sollte ich meinem Datenschutzbeauftragten vielleicht alles erzählen.
Tutorielle Unterstützung
Die tutorielle Unterstützung der Fortbildungsteilnehmer erfolgt durch unseren ärztlichen Leiter Dr. med. Alexander Voigt in Zusammenarbeit mit der arztCME-Redaktion. Inhaltliche Fragen können über das Kommentarfeld, direkt per Mail an service@arztcme.de oder via Telefon unter Tel.: +49(0)180-3000759 gestellt werden. Inhaltliche Fragen werden von unserem ärztlichen Leiter bzw. nach Rücksprache mit diesem und evtl. dem Autor auch von der arztCME-Redaktion beantwortet.
Technischer Support
Der technische Support der arztCME-Online-Akademie erfolgt durch geschulte Mitarbeiterinnen und Mitarbeiter des Betreibers health&media GmbH unter der E-Mail-Adresse technik@arztcme.de oder via Telefon unter Tel.: 49(0)180-3000759.