Datenschutz schafft Arzt-Patienten-Vertrauen

Einleitung

Der Datenschutz ist längst nicht erst seit der DSGVO im Jahr 2018 vielen Behandlungsteams in besonderem Maße präsent (geworden). Doch Datenschutz beginnt nicht im oft schwer greifbaren‚ Digitalen‘ sondern bereits wenige Meter hinter der Praxistür auf vertrautem Terrain.
Dürfen wir Wartende überhaupt noch mit ihrem Namen aufrufen? Was sollte bereits am Empfang vermieden werden? Können wir noch unverschlüsselte E-Mails verschicken? Was sollten wir konkret im Alltag tun? Diese und viele weitere Fragen beantwortet das Gespräch zwischen Dr. med. Dierk Heimann aus Mainz und Jurist sowie Datenschutzexperte Martin Bastius. Hier kann die Medizin viel von anderen Branchen lernen. Der Datenschutz wird zur Chance. In vielerlei Hinsicht.
Datenschutz kann ganz pragmatisch im Alltag gelebt werden und auch zu einem vertrauensvollen Arzt-Patienten-Verhältnis beitragen.

Dr. med. Dierk Heimann: Und damit herzlich willkommen, liebe Kolleginnen und Kollegen.
Wir möchten uns in den nächsten knapp 45 Minuten mit der Frage beschäftigen, wie sollte denn eigentlich Datenschutz in der Praxis aus der Sicht des Patienten und der Patientin aussehen? Denn nur, wenn ein sicheres Umfeld da ist, wenn man sich wirklich fallen lassen kann, wenn man sicher sein darf, dass mit den eigenen Daten, mit den eigenen Informationen zu Medikamenten, aber auch zu Erkrankungen oder zu einer Arbeitsunfähigkeitsbescheinigung wirklich sorgsam und vertrauensvoll umgegangen wird, nur dann können wir uns ja wirklich sicher sein, dass ein gutes und eben auch ein ganz vertrauensvolles Arzt-Patienten- und Patientinnen-Verhältnis entsteht. Das ist eben wesentlich mehr als nur an den Rechner zu denken oder E-Mails, sondern das beginnt schon, wenn man in die Praxis hinein kommt und auf den Empfang zugeht. Wir möchten heute mit Martin Bastius sprechen. Er ist Datenschutzanwalt und uns aus Berlin zugeschaltet. Natürlich Corona konform. Grüße Sie herzlich, Herr Bastius.

Martin Bastius: Hallo.

Dr. med. Dierk Heimann: Sie haben Jura an verschiedenen Universitäten studiert, unter anderem Tel Aviv. Finde ich ganz sympathisch. Da habe ich auch einmal studiert. Sie haben jeden Tag mit Ihrem Unternehmen Kontakt zu vielen Menschen aus vielen Branchen, wenn es um das Thema Datenschutz geht. Dafür sind Sie heute bei uns. Wir haben bewusst gesagt, wir schauen nicht nur auf die IT, wir schauen nicht nur auf E-Mails, sondern wir wollen uns wirklich in den nächsten Minuten die Praxis an sich anschauen. Wir können einmal einen virtuellen Gang im Geiste durch so eine Praxis machen. Tür geht auf, ich komme in die Praxis, ich stehe kurz vor dem Empfang und schon könnte das erste Problem passieren.

00:02:10

Martin Bastius: Ja, auf jeden Fall. Wenn man als Patient*in die Praxis betritt und der Empfang ist nicht besetzt, dann kann man natürlich in die Praxis eintreten, ohne dass es jemand merken würde. Dann weiß auch der Praxisinhaber, die Praxisinhaberin schon nicht mehr, wer theoretisch Zugriff auf die Daten nehmen kann, wer sich gerade in der Praxis befindet. Da setzen wir als Datenschützer an und würden sagen; „Bitte achten Sie darauf, dass tatsächlich der Empfang durchgehend besetzt ist.“

00:02:38

Dr. med. Dierk Heimann: Das klingt ja ganz banal. Klar, der Empfang sollte dauernd besetzt sein. Aber je nach Größe der Praxis, gerade wenn es eine Privatpraxis ist, vielleicht nur halbtags, dann ist häufig ja auch nur eine Kraft da. Die muss ja nur eine kleine Aufgabe gerade erledigen, irgendwelche Hygieneartikel zubereiten, das Labor vielleicht fertig machen, und schon ist der Empfang nicht besetzt. Da sagen Sie aber schon, das ist eigentlich das erste vermeintlich ganz banale Problem, dass man im Blick haben sollte.

00:03:07

Martin Bastius: Klar, absolut. Wir wissen natürlich auch aus unserer täglichen Arbeit, dass Praxisinhaber*innen und Mitarbeiter*innen durchaus auch andere Sachen zu tun haben, als den Empfang zu besetzen. Trotzdem ist das eine Empfehlung, die wir einfach abgeben wollen, weil man sonst den Überblick verliert.

00:03:23

Dr. med. Dierk Heimann: Aber das ist ja noch einmal spannend. Wenn wir davon ausgehen, dass der Alltag daraus besteht, dass tatsächlich eine Mitarbeiterin vielleicht nicht gerade am Empfang sein kann, was muss ich dann tun? Ich kann mir jetzt nicht einfach einen weiteren Kollegen, eine weitere Kollegin aus den Rippen schneiden in so einem Praxisalltag. Muss ich dann die Tür schließen?

00:03:41

Martin Bastius: Ja, tatsächlich. Die beste Möglichkeit wäre natürlich, für Ersatz zu sorgen. Das betrifft auch im Übrigen die Pausen. Wir haben jetzt gerade nur darüber gesprochen, dass die Mitarbeiterin etwas anderes erledigt. Aber es kann natürlich auch sein, dass sie einfach Mittagspause hat. Der vielleicht nicht so schöne Fall für die Patient*innen, aber für ihre Daten durchaus besser, ist ein Schild an die Praxistür zu hängen, ich bin in fünf Minuten wieder da, und dann warten die Patient*innen kurz vor der Tür. Das wäre datenschutzkonform der beste Weg.

00:04:10

Dr. med. Dierk Heimann: Jetzt haben wir das datenschutzkonform, wir haben das menschliche Miteinander-Umgehen. Aber wenn ich Sie richtig verstehe oder das versuche im Subtext zu verstehen, dann sagen Sie eigentlich, es geht vor allen Dingen darum, darüber nachzudenken. Sich wirklich bewusst zu machen, der Datenschutz beginnt schon am Empfang, wenn da keiner sitzt und vielleicht gerade ein Fax mit dem Namen aus diesem Faxgerät läuft.

00:04:32

Martin Bastius: Ja, genau. Oder am Empfang liegen ja auch andere Daten herum. Man kann theoretisch Zugriff haben auf Kalender, die da vielleicht hängen, analog, nicht digital. Oder auf den digitalen Computer, wenn man das dann nicht unter Kontrolle hat, wer dann gerade mal herüberschaut. Wir wissen alle, Menschen sind durchaus neugierige
Wesen.

00:04:50

Dr. med. Dierk Heimann: An ihrer Umwelt interessiert.

00:04:53

Martin Bastius: An ihrer Umwelt interessiert, genau. Dann kann schon einmal jemand Zugriff auf Daten nehmen, der das jetzt vielleicht gar nicht so bewusst gemacht hat. Das hängt auch, ich habe es ja gerade schon so ein bisschen gesagt, mit der Platzierung sicherlich zusammen. Wenn jetzt der Kalender so hängt, dass da jeder hereingucken kann oder so aussieht, dass da jeder hereingucken kann, macht man die Sache natürlich auch nicht besser. Zum Beispiel könnte der Computer auch gesperrt sein.

00:05:15

Dr. med. Dierk Heimann: Das war jetzt der Fall, der Empfang ist gerade nicht besetzt und
mögliche sensible Daten liegen da einfach herum oder es besteht die Gefahr, dass sie eingesehen werden können, weil eben das Fax so steht, dass es lesbar da herausläuft, wenn mir ein Kollege, eine Kollegin gerade etwas schickt. Jetzt nehmen wir mal den zweiten Fall. Wir bleiben am Empfang. Da ist eine Patientin, die macht gerade einen Termin, die spricht mit der MFA, die dort sitzt, oder mit einem anderen Mitarbeiter, einer anderen Mitarbeiterin, was ist dann? Schon dann kann es, wenn der berühmte Abstand in Corona-Zeiten von zwei Metern Plus eingehalten wird, zu einem Datenschutzproblem kommen.

00:05:54

Martin Bastius: Klar. Sie haben es ja gerade angesprochen. Es geht dann um den berühmten Diskretionsabstand. Der ist natürlich zu Personen, die schon warten, also anderen Patient*innen, einzuhalten. Aber letztendlich auch natürlich zu den schon im Wartezimmer Sitzenden. So hat man das natürlich auch unter Kontrolle, indem man entsprechend die Räumlichkeiten positioniert, vielleicht einen extra Wartebereich kenntlich macht, auch einen Wartebereich, wo man für den Empfang wartet, einfach um den Abstand ausreichend zu wahren. Man kann natürlich auch selber schauen, was man so für Informationen im Gespräch preisgibt.

00:06:26

Dr. med. Dierk Heimann: Das war jetzt so ein bisschen gestreift. Der erste Kontakt mit so einer Arztpraxis am Empfang und wir haben gerade schon von Martin Bastius gelernt, schon da können im Grunde auf diesen ersten Metern Probleme auftreten. Im Hinterkopf weiß Mann und Frau das ja, nur es wird einem vielleicht nicht jeden Tag wieder bewusst. So ähnlich wie die Zeitschriften im Wartezimmer, die eigentlich ganz aktuell und doch schon zwei Jahre alt sind. Vielleicht jetzt aber noch einmal zu diesem Diskretionsabstand, Herr Bastius. Jetzt sind Sie Rechtsanwalt, Sie gucken ganz anders auf solche Themen. Gibt es denn so einen Diskretionsabstand eigentlich in einem normalen
Empfangsbereich? Da reichen noch zwei Meter niemals aus.

00:07:13

Martin Bastius: Letztendlich hat man es natürlich auch unter Kontrolle, wie laut man am Empfang spricht und, wie ich es auch gerade schon gesagt habe, welche Informationen man tatsächlich preisgibt. Es gibt ja diese typische Frage am Anfang, die man gerne mal gestellt bekommt, wenn man zu Ärzt*innen kommt, was fehlt ihnen denn heute? Das fängt ja teilweise auch am Empfang schon an, dass dort gefragt wird. Man fühlt sich als Patient*in dann genötigt schon etwas vom Gesundheitszustand preiszugeben. Könnte man sicherlich auch anders lösen, indem man das entsprechenden Patient*innen freistellt, ob sie das jetzt schon kundtun wollen. Klar, man muss auch irgendwie planen, das ist schon klar, aber möglicherweise kann man das dann mit etwas gedämpfter Lautstärke auch hinbekommen.

00:07:56

Dr. med. Dierk Heimann: Das ist natürlich nicht so ganz einfach, weil es gibt irgendwelche SOPs, diese Standard Operation Procedures, wie das so schön in der Abkürzung heißt, also Vorgaben, wie es in der Praxis zu laufen hat. Vielleicht ist da einmal festgelegt worden, ich würde gerne wissen, warum der oder diejenige meine Praxis nun gerade besucht. Dann kommt es genau zu der Frage, die Sie skizziert haben. Machen wir uns das zu wenig bewusst, wie sensibel diese Daten sind?

00:08:21

Martin Bastius: Durchaus. Als Patient*in merkt man das schon sehr gut, wenn man in die Praxis kommt.

00:08:26

Dr. med. Dierk Heimann: Wenn man selber betroffen ist.

00:08:27

Martin Bastius: Wenn man selber betroffen ist, genau. Betroffenheit ist im Datenschutz auch eines der Keywords. Aus Sicht des Betroffenen sind das wichtige Daten, gar keine Frage. Diejenige, die betroffen ist, möchte auch, dass diese Daten gut geschützt sind. Im Alltag, wenn man regelmäßig mit entsprechenden Daten zu tun hat, macht man sich vielleicht nicht immer bewusst, dass es letztendlich sehr schützenswerte Daten sind.

00:08:49

Dr. med. Dierk Heimann: Haben Sie denn da einen Tipp? Sollte man immer überlegen, wenn man etwas sagt, ob man das selber so wollen würde? Wenn man vielleicht eine tabubesetzte Erkrankung hätte … „Sie mit den Hämorrhoiden, kommen Sie herein“.

00:09:00

Martin Bastius: Finde ich eigentlich eine ziemlich gute Idee. Quasi diese Testfragen, die Sie gerade gestellt haben. Man fragt sich, wie es selber wäre, wenn man in den Schuhen stecken würde. Wir wissen alle, im stressigen Alltag kann auch einmal etwas danebengehen, aber Bewusstsein schaffen ist sowieso im Datenschutz schon die halbe Miete.

00:09:17

Dr. med. Dierk Heimann: Bewusstsein schaffen hat in der Medizin auch viel mit diesem Qualitätsmanagement zu tun. Jede Praxis sollte so ein Qualitätshandbuch haben. Sollte man so etwas vielleicht dann da herein schreiben, dass man sich selber bewusst macht, wie möchten wir am Empfang mit Patientinnen und Patienten umgehen?

00:09:33

Martin Bastius: Tatsächlich ist das sogar ein Thema, was man einen Schritt weiter gehen könnte und man in der Datenschutzschulung unterbringen könnte. Man kann auch schon im Handbuch schreiben, wie man begrüßen sollte. Aber tatsächlich sind das konkrete Datenschutzthemen, die auch in einer Datenschutzschulung erzählt sein sollten.

00:09:52

Dr. med. Dierk Heimann: Eine Frage hätte ich da aber noch. Jetzt haben wir eine Datenschutzschulung gemacht. Das wäre sicher der best case, der beste Fall. Wir haben versucht, das in unserem Qualitätshandbuch abzubilden, aber es gibt ja auch so Dinge, die über dem Datenschutz stehen. Der Patient hat zum Beispiel Atemnot oder ganz, ganz schwere Bauchschmerzen und wird in dieser Sekunde ob seiner Beschreibung zum Notfall. Das muss ich natürlich auch wissen. Wie mache ich denn das?

00:10:14

Martin Bastius: Selbstverständlich. Datenschutz ist ja kein Selbstzweck. Datenschutz dient natürlich letztendlich den Betroffenenrechten. Wenn es dem Betroffenen besonders schlecht geht, kann man natürlich die Maßstäbe nicht genau einhalten. Was ja zu seinen Gunsten am Ende des Tages ist. Das sollte eigentlich außer Frage stehen. Letztendlich wird man natürlich auch nicht jeden Fall klären können. Man braucht dann auch immer noch das persönliche Verständnis, um reagieren zu können. Aber ich gehe davon aus, das können die Mitarbeiter*innen in den Praxen eigentlich fast am besten.

00:10:42

Dr. med. Dierk Heimann: Jetzt haben wir am Empfang ganz häufig so eine Situation, dass eine der Mitarbeiterinnen vielleicht gerade vorbei läuft, ruft dem oder der anderen etwas zu und sagt: „Könnt ihr die Frau Müller in Sprechzimmer zwei bringen?“ Das ginge dann, wenn ich Ihnen aufmerksam zugehört habe, auch wenn es wahrscheinlich in vielen Praxen so Alltag ist, streng genommen auch nicht.

00:11:02

Martin Bastius: Ja, es gab die Diskussion am Anfang, als Datenschutz 2018 auf europäische Ebene gehoben wurde, ob man Patient*innen noch mit dem Namen aufrufen kann. Das klang jetzt ja gerade auch so ein bisschen mit in der Anekdote. Da bin ich ehrlich gesagt relativ schmerzbefreit. Ich glaube, es ist absolut normal, dass man in Deutschland aus Tradition Menschen mit ihrem Nachnamen anspricht und deshalb würde ich das auch in der Arztpraxis machen. Ich würde jetzt nicht sagen, das ist Frau Meier mit dem verdrehten Knie. Das ist vielleicht noch harmlos, aber es gibt durchaus unschönere Krankheiten, Sie haben selber auch schon welche genannt.

00:11:37

Dr. med. Dierk Heimann: Ja, wenn sie Balletttänzerin ist, könnte das ja sehr störend sein, wenn wir über ein verdrehtes Knie reden und daneben sitzt vielleicht der Direktor, der übermorgen ihren Vertrag verlängern soll.

00:11:47

Martin Bastius: Richtig. Auch nicht schön, klar. Aus Sicht der Betroffenen, sehr gut analysiert, auf jeden Fall ein Gesundheitsdatum, was man nicht kundtun sollte. Namen, aus meiner Perspektive, kann man nennen. Das kann man gut verargumentieren, auch wenn es personenbezogene Daten sind. Die Krankheitsbilder würde ich dann eher weglassen.

00:12:04

Dr. med. Dierk Heimann: Sie haben ja gerade die Situation in dem Wartezimmer beschrieben, wie es üblicherweise ist. Gehen wir noch einmal an den Empfang zurück. Jetzt kommt vielleicht der Mitarbeiter raus und ruft einer anderen Mitarbeiterin zu: „Bei der Frau Müller müssen wir noch Blut abnehmen.“ Das wäre dann schon wieder eine Information mehr als nur der Name. Das könnte auch ein Röntgenbild sein oder ein Ultraschall oder irgendetwas anderes. Sollte ich da vielleicht lieber nur den Anfangsbuchstaben nehmen, bei der Frau M? Wie würden Sie da raten?

00:12:30

Martin Bastius: Ich glaube, ich würde lieber die Behandlung an sich etwas leiser kundtun statt zurufen. Ich glaube nicht, dass wir den Leuten ausreden können, Namen zur Identifizierung zu verwenden, sondern ich würde generell bei der Behandlung ansetzen. Das ist vielleicht dann auch etwas, wenn wir auf das Handbuch zurückkommen, wo man das dann auch klären könnte. Namen ist in Ordnung. Behandlungsinformationen teilen wir eher nicht laut.

00:12:56

Dr. med. Dierk Heimann: Wenn ich das jetzt so ein bisschen zusammenfasse, jetzt haben wir uns ganz bewusst diesen Praxisräumen angenähert. Das ist die ganz analoge Welt im Grunde, wie gehen wir alle mit dem Thema Datenschutz und im Grunde Sicherheit von Daten um? Das hat ja nun ganz viel mit den Menschen zu tun, die da agieren.

00:13:14

Martin Bastius: Absolut, gar keine Frage. Es ist natürlich so, dass eine Arztpraxis bisher nur die Mitarbeiter*innen sind, natürlich gehört auch der Behandler dazu. Aber wenn wir die jetzt alle wegnehmen, dann bleibt ja eigentlich keiner mehr übrig, der groß auch etwas falsch machen kann. Deshalb sind es die Menschen, bei denen man natürlich ansetzen muss.

00:13:32

Dr. med. Dierk Heimann: Aber wie schaffen wir das denn? Wir haben eben schon das Qualitätsmanagementhandbuch erwähnt. Wir haben eine Datenschutzschulung erwähnt. Da denken wahrscheinlich viele gar nicht daran. Da geht es mehr um Hygieneschulung und andere Dinge. Aber Datenschutzschulung ist vielleicht etwas, das gar nicht
so richtig auf der eigenen Agenda steht. Aber Mindset sagt man so in neudeutsch, man muss dafür sensibilisiert sein, damit richtig umzugehen. Jetzt können wir von Ihnen ja ein bisschen lernen, weil Sie ja viele, viele Branchen als Kunden haben, die Ihren Rat suchen. Wie schaffen Sie das denn, in solchen Betrieben so ein Verständnis zu etablieren?

00:14:05

Martin Bastius: Tatsächlich läuft dann natürlich viel über die Schulung. Es geht nicht nur bei der Schulung los. Es gibt ja auch gewisse Sachen, gewisse Informationsblätter oder gewisse Verpflichtungserklärungen, die Mitarbeiter*innen auch unterschreiben, zum Beispiel im Rahmen des Arbeitsvertrags oder auch später. Aber bei der Schulung wird es natürlich dann wesentlich plastischer, weil man dann auch mit Beispielen arbeiten kann und den Mitarbeiter*innen auch anhand von Beispielen zeigen kann, wie es dann tatsächlich laufen sollten.

00:14:33

Dr. med. Dierk Heimann: Jetzt ist ja nichts so geduldig wie Papier. Eigentlich wissen in so einer Arztpraxis alle, wir haben da wirklich super Verschwiegenheitspflicht, wir dürfen nichts weitergeben. Wir sind die Branche, die fast am höchsten geschützt ist, neben vielleicht den Rechtsanwälten. Aber noch einmal, Papier ist geduldig. Wie machen Sie es ganz konkret? Ist das so ein Weg, dass Sie sagen, stellt euch selber vor, ihr seid betroffen und würdet ihr das wollen, dass euer Nachbar weiß, dass ihr Hämorrhoiden habt?

00:15:00

Martin Bastius: Finde ich tatsächlich eine sehr gute Lösung. Ist tatsächlich bisher zumindest noch nicht Teil von meiner eigenen Datenschutzschulung, aber ich kann mir das sehr gut vorstellen, das als Idee zu platzieren, um demjenigen, derjenigen zu zeigen, wie es ist, in den betroffenen Schuhen zu stehen.

00:15:16

Dr. med. Dierk Heimann: Jetzt haben wir über den Bereich der Arztpraxis geredet. Wir haben über den Bereich des Empfangs geredet. Worüber wir noch gar nicht so richtig geredet haben, sind die Medien, die ich einsetze. Datenschutz gar nicht als Verschwiegenheit und dass alle Daten bei mir bleiben, sondern Datenschutz im Sinne der medialen Nutzung. Davon gibt es ja nun richtig viele. Beginnen wir vielleicht einmal mit einem der ältesten, mit dem Telefon. Da steht jetzt das Telefon. Ich telefoniere, am Empfang wird telefoniert, vielleicht wird sogar im Arztzimmer telefoniert, weil ein wichtiger Anruf hereinkommt. Ist das eine häufige Quelle von Problemen?

00:15:55

Martin Bastius: Ja, an das Telefon schließt sich natürlich alles Mögliche an. Am Telefon werden Informationen entgegengenommen und sie werden auch preisgegeben. Das ist natürlich so ein bisschen der Punkt, wo es in der Arztpraxis durchaus etwas schwieriger werden kann.

00:16:09

Dr. med. Dierk Heimann: Jetzt haben Sie eben gesagt, am Telefon werden Informationen preisgegeben. Ich stelle mir das jetzt einmal konkret vor. Es klingelt bei mir im Sprechzimmer, Patientin sitzt noch vor mir. Ein Patient ist dran, hat gerade eine dringende Frage, wurde deswegen rein verbunden. Ab dieser Sekunde bin ich ja im Datenschutzkonflikt.

00:16:27

Martin Bastius: Richtig, genau. Es ist natürlich die Frage, ob man in dem Fall dann auch noch den Namen kundtut. Wenn das jetzt beispielsweise der Behandler ist und der Telefonanruf wird in das Behandlungszimmer durchgeschaltet, dann muss ja nicht unbedingt klar sein, dass derjenige, die diejenigen, die jetzt gegenübersitzt, der Patient, die Patientin, die schon im Raum ist, tatsächlich auch mitbekommt, um wen es geht. Dann hat man als Behandler natürlich auch unter Kontrolle, den Namen bei der Begrüßung nicht zu nennen und dann auch gleichzeitig nicht zu verraten, um wen es geht.

00:16:55

Dr. med. Dierk Heimann: Das heißt, wäre das ein guter Weg, das vielleicht sogar am Telefon zu sagen? Zu sagen: „Ich sage jetzt mal nicht Ihren Namen, weil wir gerade nicht allein sind, aber ich kann ihnen schnell die Antwort geben.“ Zum Beispiel. Der beste Weg wäre natürlich, man verlässt das Zimmer, telefoniert woanders. Wir alle wissen,
das ist im Alltag häufig schwierig. Aber wäre das dann so ein Weg, das wirklich mit dem Gegenüber offen zu kommunizieren? Bin jetzt gerade nicht allein im Zimmer. Ich werde deswegen keine Details nennen, nicht ihren Namen, aber wir können ja schnell über das eine Problem sprechen.

00:17:21

Martin Bastius: Ja, absolut. Wesentlich besser als zu sagen: „Frau Meier, Ihr Bluttest ist negativ.“

00:17:28

Dr. med. Dierk Heimann: Das war das Telefon. Jetzt würde ich gerne einmal einen technischen Aspekt ansprechen. Ich meine, wir alle, oder die meisten Ärztinnen und Ärzte, haben bewusst Medizin gemacht und nicht IT und auch nicht Jura. Das gute alte Telefon obliegt ja diesem Fernmeldegeheimnis, mit eigenen Leitungen, mit eigenen Verbindungen, mit eigenen Schaltstellen, mit früher der Dame an der Schalteinrichtung, die es dann gemacht hat, der Vermittlung. Aber jetzt haben wir ja in neue Zeiten dieses Voice over IP. Diese Stimmen, die dann im Grunde über normale digitale Leitungen verschickt werden. Ist das denn dann auch noch vom Fernmeldegesetz geschützt? Ist das auch noch so sicher oder wo stehen wir denn da?

00:18:13

Martin Bastius: Ich gehe stark davon aus, dass es auch vom Fernmeldegeheimnis geschützt ist. Sie haben ja selber schon gesagt, es steckt auch noch der digitale Anbieter mit dabei. Was man auf jeden Fall mitbedenken muss, ist, dass man mit dem jeweiligen Anbieter dann auch noch einen entsprechenden Dienstleistungsvertrag schließt. Wir sprechen im Datenschutzbereich immer von Auftragsverarbeitungsverträgen und die regeln dann gewisse Datenschutzpflichten. Da würde dann zum Beispiel auch die Vertraulichkeit genannt werden.

00:18:40

Dr. med. Dierk Heimann: Ehrlich gesagt bin ich ganz froh, dass Sie mit der Antwort kurz gezögert haben, weil ich selbst schon Schwierigkeiten gehabt habe, die Frage, die auf meinem Zettel steht, richtig zu verstehen. Aber ich habe etwas ganz Konkretes von Ihnen mitgenommen. Sie haben gerade gesagt, ich muss das mit meinem Anbieter im Zweifel dann wirklich klären. Auftragsdatenverarbeitung ist ja so ein Stichwort. Das heißt, sagen Sie, wenn es jetzt um IT, um Computer, um Software im weitesten Sinne geht, dann sollte ich mir von meinem Dienstleister immer bescheinigen lassen, dass das wirklich auf dem entsprechenden Niveau nach Stand der Dinge gemacht worden ist.

00:19:12

Martin Bastius: Ja, absolut. Vor allem wenn es natürlich jetzt nicht klassische Software ist, die auf dem eigenen Computer, auf der eigenen Festplatte abgespielt wird, sondern Software im Sinne von SaaS- oder Cloud-Anwendungen, wo der Anbieter tatsächlich personenbezogene Daten, teilweise wahrscheinlich auch Gesundheitsdaten, auch auf seinen Server mitbekommt. In solchen Fällen sind dann die Auftragsverarbeitungsverträge abzuschließen.

00:19:36

Dr. med. Dierk Heimann: Auftragsverarbeitungsverträge haben Sie es genannt. Das ist genau das Wort, was ich dann vielleicht mein Gegenüber einmal fragen würde. Wenn ich jetzt noch einmal auf die Frage davor zurückkommen darf, das würde dann auch einschließen, wenn ich jemanden habe, der meine Telefonanlage wartet oder der mein Faxgerät, was daran hängt, auch noch mit wartet, was eben vielleicht über Datenleitungen dann funktioniert, auch von denen müsste ich so etwas einfordern.

00:19:59

Martin Bastius: Ein sehr schönes Beispiel, weil es durchaus Fälle gibt, wo man aus Datenschutzsicht darüber diskutieren kann, ob man da jetzt noch einen Auftragsverarbeitungsvertrag braucht oder nicht. Ob da tatsächlich die Datenverarbeitung noch im Vordergrund steht, ob da andere Leistungen im Vordergrund stehen. In letzterem Fall würde möglicherweise eine normale Vertraulichkeit ausreichen, eine Verpflichtung auf die Vertraulichkeit. Der Auftragsverarbeitungsvertrag ist da quasi noch eine Schippe darauf. Ich würde dazu raten, zur Sicherheit einen abzuschließen. Da geht auch so ein bisschen die allgemeine Meinung im Datenschutzbereich hin, auch im Bereich von Fernwartung beispielsweise Auftragsverarbeitungsverträge abzuschließen.

00:20:40

Dr. med. Dierk Heimann: Da gehe ich gerne auch noch einmal heran, Stichwort Fernwartung. Das haben ja nun viele von uns, sei es TeamViewer oder wie diese ganzen Programme heißen, dass dann eben der IT Spezialist von wo auch immer auf meinen Rechner schauen kann und kann dann da Dinge reparieren, die gerade kaputt sind.
Jetzt ist natürlich die Situation, und das kennen wir alle, wir haben jetzt vielleicht unsere Praxisverwaltungssoftware gerade auf, da stehen sogar Namen drin, und da sind sie wieder, die schon vier Mal ein bisschen im Spaß und zum Teil auch nicht zitierten Hämorrhoiden von Frau Meier oder Müller, und die sieht jetzt der Mensch von der Fernwartung, weil das gerade auf ist, weil das Programm gerade hakt, was auch immer. Wie gehe ich denn damit um?

00:21:19

Martin Bastius: Gut, im besten Fall ist natürlich der Herr von der Fernwartung, wenn er auch mit der Praxisverwaltungssoftware kommt, gewissermaßen Mitarbeiter ist, ist er natürlich selber schon darauf verpflichtet, mit Gesundheitsdaten umzugehen und deshalb auch besonders zu Vertraulichkeit verpflichtet ist. Schöner wäre es natürlich, wenn er die Daten von vornherein nicht sehen könnte, wenn die beispielsweise ausgegraut werden et cetera.

00:21:42

Dr. med. Dierk Heimann: Was ja nicht klappt, bei so einer Fernwartung. Mein Programm hängt gerade und dann sagt er: „Ich würde gerne den Fehler sehen und zeigen Sie mir noch einmal, wo das genau war“ und dann sieht er natürlich, weil es ein Praxisverwaltungssystem ist, die Patientennamen. Die kann ich ja gar nicht ausgrauen. Kann man bestimmt, aber ich nicht.

00:21:59

Martin Bastius: Richtig. Da muss man mit Vertraulichkeiten arbeiten. Wenn der entsprechende Mitarbeiter an der Praxisverwaltungssoftware mit daran hängt, dann hoffe ich stark, dass er arbeitsvertraglich zu einer ausreichenden Vertraulichkeit verpflichtet ist.

00:22:14

Dr. med. Dierk Heimann: Jetzt sind sie Jurist und gute Juristen lassen ihr Gegenüber nicht so leicht aus den Fängen. Das versuche ich jetzt auch einmal. Jetzt haben wir ja nicht nur den Menschen, der zu dem Praxisverwaltungsprogramm zählt, sondern auch vielleicht das Systemhaus der Praxis, das sich darum kümmert, schließt mein Fax an und macht meinen Computer ganz und andere Dinge, und der macht nun gerade diese notwendige Fernwartung. Mit denen müsste ich aber dann so einen Vertrag abschließen.

00:22:40

Martin Bastius: Absolut. Da sollte man auch noch einmal speziell auf die ärztliche Schweigepflicht und so Bezug nehmen. Das ist, glaube ich, auch klar. Ansonsten würde man aus Versehen Gesundheitsdaten, für die man natürlich noch eine besondere Vertraulichkeit hat, Personen in die Hände geben, die eigentlich keinen Zugriff haben sollten.

00:22:56

Dr. med. Dierk Heimann: Wir versuchen zu verstehen, wie wir mit den richtigen Datenschutzmaßnahmen im Alltag das Arzt-Patienten-Verhältnis noch vertrauensvoller machen können. Damit eben niemand den Eindruck hat, mit meinen Daten, mit meinem Wissen, mit den Wissensinformationen um meine Erkrankung wird nicht ordentlich umgegangen. Damit man sich eben wirklich fallen lassen kann in eine solche Arzt-Patienten-Beziehung. Martin Bastius ist bei uns, zugeschaltet aus Berlin, als Anwalt und Datenschutzexperte. Sie haben eben gesagt, man sollte solche Verträge schließen. Bei Verträgen sträuben sich mir immer die Nackenhaare. Wo bekomme ich denn da die richtigen Texte her? Wie mache ich das denn richtig? Ich weiß vielleicht, wie ich ein Antibiotikum dosieren soll und wann man es einnehmen muss. Aber wenn es um so einen Vertrag geht, dann bin ich eben nicht der Spezialist. Wie mache ich das dann? Wen frage ich?

00:23:45

Martin Bastius: Da gibt es mehrere Möglichkeiten. Entweder greift man auf Vorlagen zurück, beispielsweise von der kassenärztlichen Vereinigung. Das ist natürlich jetzt eine Vereinigung, die auch entsprechende Vertragsmuster zur Verfügung stellt. Ob das jetzt für jeden Fall, den man abdecken muss, der Fall ist, wäre ich mir jetzt nicht so sicher. Aber es gibt da durchaus gewisse Vorlagen, mit denen man arbeiten kann. Eine andere Möglichkeit ist, dass man sich den Sachverstand selber besorgt. Man kauft ihn ein. Ob das jetzt der externe Datenschutzbeauftragte ist oder ein spezieller Datenschutzanwalt, das bleibt jedem dann selber natürlich überlassen.

00:24:17

Dr. med. Dierk Heimann: Jetzt haben Sie gesagt, man kauft sich diese Expertise ein. Datenschutzbeauftragter … das sind Dinge, die spätestens, vorhin haben Sie das ganz kurz erwähnt, seit der Datenschutzgrundverordnung, dieser DSGVO heißt die dann insgesamt in der Abkürzung, durch alle Praxen geistern. Irgendwie hat man ständig den Eindruck, man macht etwas falsch und um die nächste Ecke kommt schon irgendein Abmahnverein, der einem dann ganz, ganz böse Abmahnungen ins Haus schickt, die richtig teuer werden können. Datenschutzbeauftragte und Datenschutzgrundverordnung. Da haben viele Fachgesellschaften Tipps gegeben. Reicht das denn oder brauche ich da wirklich jemand ganz schlauen, der darauf guckt?

00:24:54

Martin Bastius: Formell braucht man den Datenschutzbeauftragten erst ab 20 Mitarbeitern, die mit Daten umgehen. Bei 20 Mitarbeitern zählt man sich natürlich als Praxisinhaber selber auch mit.

00:25:04

Dr. med. Dierk Heimann: Es müsste schon eine große Praxis sein.

00:25:06

Martin Bastius: Es müsste schon eine große Praxis sein. Oder dann, da kommt die Rückausnahme, wenn im Besonderen umfangreich mit Patientendaten umgegangen wird, mit Gesundheitsdaten.

00:25:15

Dr. med. Dierk Heimann: Dann ist es doch wieder die Praxis.

00:25:17

Martin Bastius: Es ist nicht jede Praxis, auf jeden Fall. Man versucht da natürlich Klarheit zu bekommen. Wenn man Klarheit im Datenschutzbereich möchte, dann fragt man die Datenschutzbehörden. Die sagen dann aber auch nur, für eine einzeln geführte Praxis braucht man keinen Datenschutzbeauftragten, bei drei Behandlern wohl auch noch nicht. Aber wo jetzt genau die Grenze ist, das kann keiner so genau sagen. Man muss wahrscheinlich eher auf die Patientenanzahl schauen, letztendlich.

00:25:43

Dr. med. Dierk Heimann: Jetzt haben Sie gerade erwähnt, das fand ich einen guten Tipp, dass man einfach bei der kassenärztlichen Bundesvereinigung noch einmal schaut, vielleicht bei den Ärztekammern. Ich selbst hatte die einzelnen Fachgesellschaften noch erwähnt, die häufig dann inhaltsbezogen noch einmal Tipps geben, wie damit umzugehen ist. Wir haben eben lange über den IT-Beauftragten in meiner Praxis gesprochen, kamen dann zum Datenschutzbeauftragten. Ich würde gerne zurückkommen zu den Menschen, die die IT, die Computer, die Software bei mir warten. Jetzt gibt es ja oft so einen Punkt, ich habe da einen Schwiegersohn oder einen Freund, der kann das ganz gut. Meine Praxis ist nicht so groß, die hat drei oder vier Plätze. Das kann der oder die doch mitmachen. Ist das ein guter Tipp?

00:26:18

Martin Bastius: Bei solchen Sachen, die tatsächlich wichtig sind, die auch eine wirtschaftliche Bedeutung haben, schließt man besser Verträge ab, weil man sich dann auch für den Zweifelsfall abgesichert hat. Das ist jetzt kein Gefälligkeitsverhältnis einfach die IT mit zu schmeißen und ist auch vom Aufwand her ein bisschen zu groß. Ich würde also schon zu dem Vertrag raten.

00:26:36

Dr. med. Dierk Heimann: Wir wollen ja ein ganz vertrauensvolles Arzt-Patienten-Verhältnis durch diesen Datenschutz auch gewährleisten. Das hat ja eine unmittelbare Auswirkung auf meine Behandlung, auf den Behandlungserfolg. Sagt mir mein Gegenüber wirklich alles, was ihn oder sie belastet? Darum geht es ja heute so ein bisschen hier bei unserem Podcast. Aber bleiben wir noch einmal bei diesen rechtlichen Implikationen. Jetzt schreibt mir jemand eine E-Mail. Mit dieser E-Mail, das habe ich irgendwann gelernt, ist ja wie mit einer Postkarte umzugehen. Sei bitte sicher, was du da darauf schreibst. Es muss dir bewusst sein, dass andere das lesen dürfen. Ist das immer noch so?

00:27:16

Martin Bastius: Ja, das ist leider immer noch so. Die unverschlüsselte E-Mail ist kein Kanal, der zur Weitergabe von Gesundheitsdaten gedacht ist. Oder zumindest nach aktueller Ansicht eher nicht dafür gedacht ist, weil es letztendlich so ist wie eine Postkarte, ja.

00:27:29

Dr. med. Dierk Heimann: Das heißt aber auch, wenn mir der Patient, die Patientin, jetzt Daten schickt, kann ich das ja nicht vermeiden. Ich kann nur sagen: „Bitte tun Sie das nicht“ und ich schreibe das vielleicht irgendwo hin und ich sage es auch immer wieder, aber das kann ich ja nicht vermeiden. Darf ich auf so eine Mail antworten?

00:27:42

Martin Bastius: Sehr, sehr schwierige Frage natürlich. Die E-Mail, die man bekommt, die man nicht angefordert hat, würde man im Datenschutzjargon die aufgedrängte Verarbeitung nennen. Da kann man natürlich erst einmal nichts machen. Schwieriger wird es erst, wenn man sich dann selber damit beschäftigt und tatsächlich etwas mit dem Inhalt macht und beispielsweise Auskunft auf eine Frage, wiederum per E-Mail, erteilt, die tatsächlich Gesundheitsbezug hätte.

00:28:06

Dr. med. Dierk Heimann: Das heißt jetzt ganz konkret, wie würde ich das machen? Würde ich dann antworten und sagen: „Danke für Ihre Mail“, ohne dass die alte Mail wieder reinkopiert wird? Das gibt es ja auch häufig bei diesen E-Mail-Systemen. Dann geht der ganze Inhalt noch einmal zurück und wird noch einmal als Postkarte verschickt. Was schreibe ich dann rein? Danke für Ihre Mail, bitte rufen Sie mich an oder lassen Sie uns einen Termin vereinbaren? Was würden sie da raten?

00:28:24

Martin Bastius: Im Idealfall ja. Es gibt noch eine weitere Möglichkeit, über die man nachdenken kann. Es gibt auch Ärzte, die das tatsächlich so handhaben, dass man sich noch eine Einwilligung dafür einholt, dass man per E-Mail mit den Patient*innen über Gesundheitsdaten korrespondiert. Es ist nicht ganz klar, ob das datenschutzrechtlich tatsächlich zu einer absoluten Idealsituation führt, weil nicht ganz klar ist, ob tatsächlich für diese niedrigeren Sicherheitsstandards überhaupt eine Einwilligung möglich ist.

00:28:50

Dr. med. Dierk Heimann: Weil die Konsequenzen so schwer abschätzbar sind. Wir hatten ja eben die Balletttänzerin mit dem verdrehten Knie. Das war Ihr Beispiel. Blöderweise sitzt der Direktor, der ihren Vertrag verlängern soll, daneben. Der hat aus irgendwelchen Gründen Kenntnis von dieser Mail erlangt. Das könnte ja dann richtig doof werden. Genehmigung hin oder her.

00:29:05

Martin Bastius: Genau. Aber es ist natürlich meistens so, wenn eine Genehmigung vorliegt, im Datenschutzbereich würde man von Einwilligung sprechen, gibt es natürlich auch weniger Leute, die sich darüber beschweren. Die wissen ja, worauf sie sich eingelassen haben, wenn sie informiert zugestimmt haben, dass es in Ordnung ist. Das heißt, in der Realität wird es eine Möglichkeit sein. Vorgesehen ist die Einwilligung tatsächlich eher für den konkreten Umgang von Daten und nicht für niedrigere Sicherheitsstandards. Das wäre so ein bisschen die Abgrenzung.

00:29:31

Dr. med. Dierk Heimann: Die Kurzzusammenfassung wäre hier, wenn jemand mir eine Mail schickt, aufgedrängte Verarbeitung haben Sie das genannt, dagegen kann ich mich nicht wehren, die landet in meinem Postfach. Wenn ich aber keine Einwilligung habe, könnte ich darauf nur allgemein antworten, ohne den Inhalt wieder automatisch zu kopieren. Sie haben dann den Aspekt der Einwilligung noch einmal ins Spiel gebracht. Der Patient, die Patientin stimmen ausdrücklich zu, dass sie per Mail informiert werden möchten und darüber kommunizieren möchten. Vielleicht da noch einmal ganz konkret nachgefragt. Für morgen früh, 08:34 Uhr, wenn der Patient bei mir in der Praxis steht, heißt dann Einwilligung schriftlich ausgedruckt, von beiden unterschrieben? Oder heißt Einwilligung, es reicht, wenn ich es in meiner Akte, in meinem Arztinformationssystem hinterlege? Was heißt dann Einwilligung?

00:30:16

Martin Bastius: Eine Einwilligung im Datenschutzbereich ist eine ausdrückliche Erklärung. Ausdrücklich heißt, dass der Patient aktiv geworden sein muss. Das heißt, wenn ich jetzt selber abhake, würde das nur ausreichen, wenn der Patient trotzdem vor mir gestanden hätte und mündlich ja gesagt hätte. Wenn er im Nachgang dann behauptet, er hätte es nicht gesagt, hat man natürlich ein Beweisproblem.

00:30:37

Dr. med. Dierk Heimann: Die minimale Anforderung, wenn ich das wieder in den Arztalltag übersetze, wäre, ich muss es mindestens in meiner Arztakte dokumentieren, so wie sonst auch. Mit Frau Müller darüber gesprochen, sie möchte ausdrücklich, dass Informationen über ihr verdrehtes Knie oder andere Dinge per Mail verschickt werden. Wenn ich Sie aber richtig verstehe, im Zweifel noch einmal ausdrucken und unterschreiben lassen.

00:30:55

Martin Bastius: Genau. Das muss nicht unbedingt schriftlich sein. Man könnte auch darüber nachdenken, das per E-Mail zu machen. Es muss nur klar zuordenbar sein. Plus man muss tatsächlich auch dann sagen, was genau mit den Daten so passiert. Die Einwilligung im Ärzteverhältnis spielt vor allen Dingen bei Weitergaben von Daten natürlich eine Rolle. Beispielsweise ich bin damit einverstanden, dass meine Angehörigen auch in der Praxis anrufen können und Zugriff auf die personenbezogenen Daten bekommen können.

00:31:21

Dr. med. Dierk Heimann: Das ist ein ganz wichtiger Punkt, wohin Sie jetzt überleiten, das ist so ein typisches Alltagsproblem. Jemand ist krank und lässt seine Ehefrau, den Ehemann anrufen oder wen auch immer, und denkt man gleich, ich kennen die alle, vielleicht als Allgemeinmedizinerin, da hat man sowieso engeren Kontakt zu der ga