Datenschutz schafft Arzt-Patienten-Vertrauen

Zertifiziert in D, A bis 18.10.2024, 2 CME-Punkt(e)

Interessengebiete: , , , , ,

Der Datenschutz ist längst nicht erst seit der DSGVO im Jahr 2018 vielen Behandlungsteams in besonderem Maße präsent (geworden). Doch Datenschutz beginnt nicht im oft schwer greifbaren ‚Digitalen‘ sondern bereits wenige Meter hinter der Praxistür. Auf vertrautem Terrain.
Dürfen Wartende überhaupt noch mit ihrem Namen aufgerufen werden? Was sollte bereits am Empfang vermieden werden? Können noch unverschlüsselte E-Mails verschickt werden? Was sollte konkret im Alltag getan werden? Diese und viele weitere Fragen beantwortet das Gespräch zwischen Dr. med. Dierk Heimann aus Mainz und Jurist sowie Datenschützer Martin Bastius. Hier kann die Medizin viel von anderen Branchen lernen. Der Datenschutz wird zur Chance. In vielerlei Hinsicht.
Die Podcastfolge macht hörbar, dass Datenschutz ganz pragmatisch im Alltag gelebt werden kann und auch zu einem vertrauensvollen Arzt-Patienten-Verhältnis beiträgt. Er ist damit viel mehr als das viel zitierte, lästige Übel oder ‚nur‘ eine gesetzliche EU-Vorgabe, der es nachzukommen gilt. Er schafft Vertrauen.
Ein ‚virtueller Praxis-Rundgang‘ erhört in etwas mehr als 50 Minuten, auf was Ärztinnen und Ärzte sowie das gesamte Team achten können – und sollten.
Eine Transkription der Fortbildung steht als PDF zur Verfügung.

Tutorielle Unterstützung

Die tutorielle Unterstützung der Fortbildungsteilnehmer erfolgt durch unseren ärztlichen Leiter Dr. med. Alexander Voigt in Zusammenarbeit mit der arztCME-Redaktion. Inhaltliche Fragen können über das Kommentarfeld, direkt per Mail an service@arztcme.de oder via Telefon unter Tel.: +49(0)180-3000759 gestellt werden. Inhaltliche Fragen werden von unserem ärztlichen Leiter bzw. nach Rücksprache mit diesem und evtl. dem Autor auch von der arztCME-Redaktion beantwortet.

Technischer Support

Der technische Support der arztCME-Online-Akademie erfolgt durch geschulte Mitarbeiterinnen und Mitarbeiter des Betreibers health&media GmbH unter der E-Mail-Adresse technik@arztcme.de oder via Telefon unter Tel.: 49(0)180-3000759.

Schreiben Sie eine Nachricht an die Redaktion

Zertifiziert in:D, A
Zeitraum:19.10.2023 - 18.10.2024
Punkte:2 CME-Punkte
VNR:2760602023303600002
Zertifiziert von:Landesärztekammer Hessen
Faxteilnahme:Nein
Autor/innen:Dr. med. Dierk Heimann, Martin Bastius
Sponsor:
Veranstalter:health&media GmbH

Transparenzinformation

Kursinhalt

Einleitung

Der Datenschutz ist längst nicht erst seit der DSGVO im Jahr 2018 vielen Behandlungsteams in besonderem Maße präsent (geworden). Doch Datenschutz beginnt nicht im oft schwer greifbaren‚ Digitalen‘ sondern bereits wenige Meter hinter der Praxistür auf vertrautem Terrain.
Dürfen wir Wartende überhaupt noch mit ihrem Namen aufrufen? Was sollte bereits am Empfang vermieden werden? Können wir noch unverschlüsselte E-Mails verschicken? Was sollten wir konkret im Alltag tun? Diese und viele weitere Fragen beantwortet das Gespräch zwischen Dr. med. Dierk Heimann aus Mainz und Jurist sowie Datenschutzexperte Martin Bastius. Hier kann die Medizin viel von anderen Branchen lernen. Der Datenschutz wird zur Chance. In vielerlei Hinsicht.
Datenschutz kann ganz pragmatisch im Alltag gelebt werden und auch zu einem vertrauensvollen Arzt-Patienten-Verhältnis beitragen.

Dr. med. Dierk Heimann: Und damit herzlich willkommen, liebe Kolleginnen und Kollegen.
Wir möchten uns in den nächsten knapp 45 Minuten mit der Frage beschäftigen, wie sollte denn eigentlich Datenschutz in der Praxis aus der Sicht des Patienten und der Patientin aussehen? Denn nur, wenn ein sicheres Umfeld da ist, wenn man sich wirklich fallen lassen kann, wenn man sicher sein darf, dass mit den eigenen Daten, mit den eigenen Informationen zu Medikamenten, aber auch zu Erkrankungen oder zu einer Arbeitsunfähigkeitsbescheinigung wirklich sorgsam und vertrauensvoll umgegangen wird, nur dann können wir uns ja wirklich sicher sein, dass ein gutes und eben auch ein ganz vertrauensvolles Arzt-Patienten- und Patientinnen-Verhältnis entsteht. Das ist eben wesentlich mehr als nur an den Rechner zu denken oder E-Mails, sondern das beginnt schon, wenn man in die Praxis hinein kommt und auf den Empfang zugeht. Wir möchten heute mit Martin Bastius sprechen. Er ist Datenschutzanwalt und uns aus Berlin zugeschaltet. Natürlich Corona konform. Grüße Sie herzlich, Herr Bastius.

Martin Bastius: Hallo.

Dr. med. Dierk Heimann: Sie haben Jura an verschiedenen Universitäten studiert, unter anderem Tel Aviv. Finde ich ganz sympathisch. Da habe ich auch einmal studiert. Sie haben jeden Tag mit Ihrem Unternehmen Kontakt zu vielen Menschen aus vielen Branchen, wenn es um das Thema Datenschutz geht. Dafür sind Sie heute bei uns. Wir haben bewusst gesagt, wir schauen nicht nur auf die IT, wir schauen nicht nur auf E-Mails, sondern wir wollen uns wirklich in den nächsten Minuten die Praxis an sich anschauen. Wir können einmal einen virtuellen Gang im Geiste durch so eine Praxis machen. Tür geht auf, ich komme in die Praxis, ich stehe kurz vor dem Empfang und schon könnte das erste Problem passieren.

00:02:10

Martin Bastius: Ja, auf jeden Fall. Wenn man als Patient*in die Praxis betritt und der Empfang ist nicht besetzt, dann kann man natürlich in die Praxis eintreten, ohne dass es jemand merken würde. Dann weiß auch der Praxisinhaber, die Praxisinhaberin schon nicht mehr, wer theoretisch Zugriff auf die Daten nehmen kann, wer sich gerade in der Praxis befindet. Da setzen wir als Datenschützer an und würden sagen; „Bitte achten Sie darauf, dass tatsächlich der Empfang durchgehend besetzt ist.“

00:02:38

Ein personell unbesetzter Praxisempfang ist aus Datenschutzsicht ein Problem, unabhängig von der Praxisgröße.

Dr. med. Dierk Heimann: Das klingt ja ganz banal. Klar, der Empfang sollte dauernd besetzt sein. Aber je nach Größe der Praxis, gerade wenn es eine Privatpraxis ist, vielleicht nur halbtags, dann ist häufig ja auch nur eine Kraft da. Die muss ja nur eine kleine Aufgabe gerade erledigen, irgendwelche Hygieneartikel zubereiten, das Labor vielleicht fertig machen, und schon ist der Empfang nicht besetzt. Da sagen Sie aber schon, das ist eigentlich das erste vermeintlich ganz banale Problem, dass man im Blick haben sollte.

00:03:07

Martin Bastius: Klar, absolut. Wir wissen natürlich auch aus unserer täglichen Arbeit, dass Praxisinhaber*innen und Mitarbeiter*innen durchaus auch andere Sachen zu tun haben, als den Empfang zu besetzen. Trotzdem ist das eine Empfehlung, die wir einfach abgeben wollen, weil man sonst den Überblick verliert.

00:03:23

Dr. med. Dierk Heimann: Aber das ist ja noch einmal spannend. Wenn wir davon ausgehen, dass der Alltag daraus besteht, dass tatsächlich eine Mitarbeiterin vielleicht nicht gerade am Empfang sein kann, was muss ich dann tun? Ich kann mir jetzt nicht einfach einen weiteren Kollegen, eine weitere Kollegin aus den Rippen schneiden in so einem Praxisalltag. Muss ich dann die Tür schließen?

00:03:41

Martin Bastius: Ja, tatsächlich. Die beste Möglichkeit wäre natürlich, für Ersatz zu sorgen. Das betrifft auch im Übrigen die Pausen. Wir haben jetzt gerade nur darüber gesprochen, dass die Mitarbeiterin etwas anderes erledigt. Aber es kann natürlich auch sein, dass sie einfach Mittagspause hat. Der vielleicht nicht so schöne Fall für die Patient*innen, aber für ihre Daten durchaus besser, ist ein Schild an die Praxistür zu hängen, ich bin in fünf Minuten wieder da, und dann warten die Patient*innen kurz vor der Tür. Das wäre datenschutzkonform der beste Weg.

00:04:10

Dr. med. Dierk Heimann: Jetzt haben wir das datenschutzkonform, wir haben das menschliche Miteinander-Umgehen. Aber wenn ich Sie richtig verstehe oder das versuche im Subtext zu verstehen, dann sagen Sie eigentlich, es geht vor allen Dingen darum, darüber nachzudenken. Sich wirklich bewusst zu machen, der Datenschutz beginnt schon am Empfang, wenn da keiner sitzt und vielleicht gerade ein Fax mit dem Namen aus diesem Faxgerät läuft.

00:04:32

Martin Bastius: Ja, genau. Oder am Empfang liegen ja auch andere Daten herum. Man kann theoretisch Zugriff haben auf Kalender, die da vielleicht hängen, analog, nicht digital. Oder auf den digitalen Computer, wenn man das dann nicht unter Kontrolle hat, wer dann gerade mal herüberschaut. Wir wissen alle, Menschen sind durchaus neugierige
Wesen.

00:04:50

Dr. med. Dierk Heimann: An ihrer Umwelt interessiert.

00:04:53

Martin Bastius: An ihrer Umwelt interessiert, genau. Dann kann schon einmal jemand Zugriff auf Daten nehmen, der das jetzt vielleicht gar nicht so bewusst gemacht hat. Das hängt auch, ich habe es ja gerade schon so ein bisschen gesagt, mit der Platzierung sicherlich zusammen. Wenn jetzt der Kalender so hängt, dass da jeder hereingucken kann oder so aussieht, dass da jeder hereingucken kann, macht man die Sache natürlich auch nicht besser. Zum Beispiel könnte der Computer auch gesperrt sein.

00:05:15

Auch Plexiglas-Schutzwände und/ oder Maskenpflicht erlauben keine Ausnahmen am Empfang.

Dr. med. Dierk Heimann: Das war jetzt der Fall, der Empfang ist gerade nicht besetzt und
mögliche sensible Daten liegen da einfach herum oder es besteht die Gefahr, dass sie eingesehen werden können, weil eben das Fax so steht, dass es lesbar da herausläuft, wenn mir ein Kollege, eine Kollegin gerade etwas schickt. Jetzt nehmen wir mal den zweiten Fall. Wir bleiben am Empfang. Da ist eine Patientin, die macht gerade einen Termin, die spricht mit der MFA, die dort sitzt, oder mit einem anderen Mitarbeiter, einer anderen Mitarbeiterin, was ist dann? Schon dann kann es, wenn der berühmte Abstand in Corona-Zeiten von zwei Metern Plus eingehalten wird, zu einem Datenschutzproblem kommen.

00:05:54

Martin Bastius: Klar. Sie haben es ja gerade angesprochen. Es geht dann um den berühmten Diskretionsabstand. Der ist natürlich zu Personen, die schon warten, also anderen Patient*innen, einzuhalten. Aber letztendlich auch natürlich zu den schon im Wartezimmer Sitzenden. So hat man das natürlich auch unter Kontrolle, indem man entsprechend die Räumlichkeiten positioniert, vielleicht einen extra Wartebereich kenntlich macht, auch einen Wartebereich, wo man für den Empfang wartet, einfach um den Abstand ausreichend zu wahren. Man kann natürlich auch selber schauen, was man so für Informationen im Gespräch preisgibt.

00:06:26

Dr. med. Dierk Heimann: Das war jetzt so ein bisschen gestreift. Der erste Kontakt mit so einer Arztpraxis am Empfang und wir haben gerade schon von Martin Bastius gelernt, schon da können im Grunde auf diesen ersten Metern Probleme auftreten. Im Hinterkopf weiß Mann und Frau das ja, nur es wird einem vielleicht nicht jeden Tag wieder bewusst. So ähnlich wie die Zeitschriften im Wartezimmer, die eigentlich ganz aktuell und doch schon zwei Jahre alt sind. Vielleicht jetzt aber noch einmal zu diesem Diskretionsabstand, Herr Bastius. Jetzt sind Sie Rechtsanwalt, Sie gucken ganz anders auf solche Themen. Gibt es denn so einen Diskretionsabstand eigentlich in einem normalen
Empfangsbereich? Da reichen noch zwei Meter niemals aus.

00:07:13

Martin Bastius: Letztendlich hat man es natürlich auch unter Kontrolle, wie laut man am Empfang spricht und, wie ich es auch gerade schon gesagt habe, welche Informationen man tatsächlich preisgibt. Es gibt ja diese typische Frage am Anfang, die man gerne mal gestellt bekommt, wenn man zu Ärzt*innen kommt, was fehlt ihnen denn heute? Das fängt ja teilweise auch am Empfang schon an, dass dort gefragt wird. Man fühlt sich als Patient*in dann genötigt schon etwas vom Gesundheitszustand preiszugeben. Könnte man sicherlich auch anders lösen, indem man das entsprechenden Patient*innen freistellt, ob sie das jetzt schon kundtun wollen. Klar, man muss auch irgendwie planen, das ist schon klar, aber möglicherweise kann man das dann mit etwas gedämpfter Lautstärke auch hinbekommen.

00:07:56

Dr. med. Dierk Heimann: Das ist natürlich nicht so ganz einfach, weil es gibt irgendwelche SOPs, diese Standard Operation Procedures, wie das so schön in der Abkürzung heißt, also Vorgaben, wie es in der Praxis zu laufen hat. Vielleicht ist da einmal festgelegt worden, ich würde gerne wissen, warum der oder diejenige meine Praxis nun gerade besucht. Dann kommt es genau zu der Frage, die Sie skizziert haben. Machen wir uns das zu wenig bewusst, wie sensibel diese Daten sind?

00:08:21

Martin Bastius: Durchaus. Als Patient*in merkt man das schon sehr gut, wenn man in die Praxis kommt.

00:08:26

Dr. med. Dierk Heimann: Wenn man selber betroffen ist.

00:08:27

Martin Bastius: Wenn man selber betroffen ist, genau. Betroffenheit ist im Datenschutz auch eines der Keywords. Aus Sicht des Betroffenen sind das wichtige Daten, gar keine Frage. Diejenige, die betroffen ist, möchte auch, dass diese Daten gut geschützt sind. Im Alltag, wenn man regelmäßig mit entsprechenden Daten zu tun hat, macht man sich vielleicht nicht immer bewusst, dass es letztendlich sehr schützenswerte Daten sind.

00:08:49

Dr. med. Dierk Heimann: Haben Sie denn da einen Tipp? Sollte man immer überlegen, wenn man etwas sagt, ob man das selber so wollen würde? Wenn man vielleicht eine tabubesetzte Erkrankung hätte … „Sie mit den Hämorrhoiden, kommen Sie herein“.

00:09:00

Martin Bastius: Finde ich eigentlich eine ziemlich gute Idee. Quasi diese Testfragen, die Sie gerade gestellt haben. Man fragt sich, wie es selber wäre, wenn man in den Schuhen stecken würde. Wir wissen alle, im stressigen Alltag kann auch einmal etwas danebengehen, aber Bewusstsein schaffen ist sowieso im Datenschutz schon die halbe Miete.

00:09:17

Jede Praxis sollte ein Qualitätshandbuch haben und auch Datenschutzmaßnahmen darin aufnehmen.

Dr. med. Dierk Heimann: Bewusstsein schaffen hat in der Medizin auch viel mit diesem Qualitätsmanagement zu tun. Jede Praxis sollte so ein Qualitätshandbuch haben. Sollte man so etwas vielleicht dann da herein schreiben, dass man sich selber bewusst macht, wie möchten wir am Empfang mit Patientinnen und Patienten umgehen?

00:09:33

Martin Bastius: Tatsächlich ist das sogar ein Thema, was man einen Schritt weiter gehen könnte und man in der Datenschutzschulung unterbringen könnte. Man kann auch schon im Handbuch schreiben, wie man begrüßen sollte. Aber tatsächlich sind das konkrete Datenschutzthemen, die auch in einer Datenschutzschulung erzählt sein sollten.

00:09:52

Dr. med. Dierk Heimann: Eine Frage hätte ich da aber noch. Jetzt haben wir eine Datenschutzschulung gemacht. Das wäre sicher der best case, der beste Fall. Wir haben versucht, das in unserem Qualitätshandbuch abzubilden, aber es gibt ja auch so Dinge, die über dem Datenschutz stehen. Der Patient hat zum Beispiel Atemnot oder ganz, ganz schwere Bauchschmerzen und wird in dieser Sekunde ob seiner Beschreibung zum Notfall. Das muss ich natürlich auch wissen. Wie mache ich denn das?

00:10:14

Martin Bastius: Selbstverständlich. Datenschutz ist ja kein Selbstzweck. Datenschutz dient natürlich letztendlich den Betroffenenrechten. Wenn es dem Betroffenen besonders schlecht geht, kann man natürlich die Maßstäbe nicht genau einhalten. Was ja zu seinen Gunsten am Ende des Tages ist. Das sollte eigentlich außer Frage stehen. Letztendlich wird man natürlich auch nicht jeden Fall klären können. Man braucht dann auch immer noch das persönliche Verständnis, um reagieren zu können. Aber ich gehe davon aus, das können die Mitarbeiter*innen in den Praxen eigentlich fast am besten.

00:10:42

Dr. med. Dierk Heimann: Jetzt haben wir am Empfang ganz häufig so eine Situation, dass eine der Mitarbeiterinnen vielleicht gerade vorbei läuft, ruft dem oder der anderen etwas zu und sagt: „Könnt ihr die Frau Müller in Sprechzimmer zwei bringen?“ Das ginge dann, wenn ich Ihnen aufmerksam zugehört habe, auch wenn es wahrscheinlich in vielen Praxen so Alltag ist, streng genommen auch nicht.

00:11:02

Beim Aufrufen der Patienten aus dem Wartezimmer darf der Name – für Dritte hörbar – genannt werden.

Martin Bastius: Ja, es gab die Diskussion am Anfang, als Datenschutz 2018 auf europäische Ebene gehoben wurde, ob man Patient*innen noch mit dem Namen aufrufen kann. Das klang jetzt ja gerade auch so ein bisschen mit in der Anekdote. Da bin ich ehrlich gesagt relativ schmerzbefreit. Ich glaube, es ist absolut normal, dass man in Deutschland aus Tradition Menschen mit ihrem Nachnamen anspricht und deshalb würde ich das auch in der Arztpraxis machen. Ich würde jetzt nicht sagen, das ist Frau Meier mit dem verdrehten Knie. Das ist vielleicht noch harmlos, aber es gibt durchaus unschönere Krankheiten, Sie haben selber auch schon welche genannt.

00:11:37

Dr. med. Dierk Heimann: Ja, wenn sie Balletttänzerin ist, könnte das ja sehr störend sein, wenn wir über ein verdrehtes Knie reden und daneben sitzt vielleicht der Direktor, der übermorgen ihren Vertrag verlängern soll.

00:11:47

Martin Bastius: Richtig. Auch nicht schön, klar. Aus Sicht der Betroffenen, sehr gut analysiert, auf jeden Fall ein Gesundheitsdatum, was man nicht kundtun sollte. Namen, aus meiner Perspektive, kann man nennen. Das kann man gut verargumentieren, auch wenn es personenbezogene Daten sind. Die Krankheitsbilder würde ich dann eher weglassen.

00:12:04

Dr. med. Dierk Heimann: Sie haben ja gerade die Situation in dem Wartezimmer beschrieben, wie es üblicherweise ist. Gehen wir noch einmal an den Empfang zurück. Jetzt kommt vielleicht der Mitarbeiter raus und ruft einer anderen Mitarbeiterin zu: „Bei der Frau Müller müssen wir noch Blut abnehmen.“ Das wäre dann schon wieder eine Information mehr als nur der Name. Das könnte auch ein Röntgenbild sein oder ein Ultraschall oder irgendetwas anderes. Sollte ich da vielleicht lieber nur den Anfangsbuchstaben nehmen, bei der Frau M? Wie würden Sie da raten?

00:12:30

Martin Bastius: Ich glaube, ich würde lieber die Behandlung an sich etwas leiser kundtun statt zurufen. Ich glaube nicht, dass wir den Leuten ausreden können, Namen zur Identifizierung zu verwenden, sondern ich würde generell bei der Behandlung ansetzen. Das ist vielleicht dann auch etwas, wenn wir auf das Handbuch zurückkommen, wo man das dann auch klären könnte. Namen ist in Ordnung. Behandlungsinformationen teilen wir eher nicht laut.

00:12:56

Dr. med. Dierk Heimann: Wenn ich das jetzt so ein bisschen zusammenfasse, jetzt haben wir uns ganz bewusst diesen Praxisräumen angenähert. Das ist die ganz analoge Welt im Grunde, wie gehen wir alle mit dem Thema Datenschutz und im Grunde Sicherheit von Daten um? Das hat ja nun ganz viel mit den Menschen zu tun, die da agieren.

00:13:14

Martin Bastius: Absolut, gar keine Frage. Es ist natürlich so, dass eine Arztpraxis bisher nur die Mitarbeiter*innen sind, natürlich gehört auch der Behandler dazu. Aber wenn wir die jetzt alle wegnehmen, dann bleibt ja eigentlich keiner mehr übrig, der groß auch etwas falsch machen kann. Deshalb sind es die Menschen, bei denen man natürlich ansetzen muss.

00:13:32

Dr. med. Dierk Heimann: Aber wie schaffen wir das denn? Wir haben eben schon das Qualitätsmanagementhandbuch erwähnt. Wir haben eine Datenschutzschulung erwähnt. Da denken wahrscheinlich viele gar nicht daran. Da geht es mehr um Hygieneschulung und andere Dinge. Aber Datenschutzschulung ist vielleicht etwas, das gar nicht
so richtig auf der eigenen Agenda steht. Aber Mindset sagt man so in neudeutsch, man muss dafür sensibilisiert sein, damit richtig umzugehen. Jetzt können wir von Ihnen ja ein bisschen lernen, weil Sie ja viele, viele Branchen als Kunden haben, die Ihren Rat suchen. Wie schaffen Sie das denn, in solchen Betrieben so ein Verständnis zu etablieren?

00:14:05

Bei einer Datenschutz-Schulung kann man den Mitarbeiter*innen auch anhand von Beispielen zeigen, wie bestimmte Situationen ablaufen sollten.

Martin Bastius: Tatsächlich läuft dann natürlich viel über die Schulung. Es geht nicht nur bei der Schulung los. Es gibt ja auch gewisse Sachen, gewisse Informationsblätter oder gewisse Verpflichtungserklärungen, die Mitarbeiter*innen auch unterschreiben, zum Beispiel im Rahmen des Arbeitsvertrags oder auch später. Aber bei der Schulung wird es natürlich dann wesentlich plastischer, weil man dann auch mit Beispielen arbeiten kann und den Mitarbeiter*innen auch anhand von Beispielen zeigen kann, wie es dann tatsächlich laufen sollten.

00:14:33

Dr. med. Dierk Heimann: Jetzt ist ja nichts so geduldig wie Papier. Eigentlich wissen in so einer Arztpraxis alle, wir haben da wirklich super Verschwiegenheitspflicht, wir dürfen nichts weitergeben. Wir sind die Branche, die fast am höchsten geschützt ist, neben vielleicht den Rechtsanwälten. Aber noch einmal, Papier ist geduldig. Wie machen Sie es ganz konkret? Ist das so ein Weg, dass Sie sagen, stellt euch selber vor, ihr seid betroffen und würdet ihr das wollen, dass euer Nachbar weiß, dass ihr Hämorrhoiden habt?

00:15:00

Martin Bastius: Finde ich tatsächlich eine sehr gute Lösung. Ist tatsächlich bisher zumindest noch nicht Teil von meiner eigenen Datenschutzschulung, aber ich kann mir das sehr gut vorstellen, das als Idee zu platzieren, um demjenigen, derjenigen zu zeigen, wie es ist, in den betroffenen Schuhen zu stehen.

00:15:16

Dr. med. Dierk Heimann: Jetzt haben wir über den Bereich der Arztpraxis geredet. Wir haben über den Bereich des Empfangs geredet. Worüber wir noch gar nicht so richtig geredet haben, sind die Medien, die ich einsetze. Datenschutz gar nicht als Verschwiegenheit und dass alle Daten bei mir bleiben, sondern Datenschutz im Sinne der medialen Nutzung. Davon gibt es ja nun richtig viele. Beginnen wir vielleicht einmal mit einem der ältesten, mit dem Telefon. Da steht jetzt das Telefon. Ich telefoniere, am Empfang wird telefoniert, vielleicht wird sogar im Arztzimmer telefoniert, weil ein wichtiger Anruf hereinkommt. Ist das eine häufige Quelle von Problemen?

00:15:55

Martin Bastius: Ja, an das Telefon schließt sich natürlich alles Mögliche an. Am Telefon werden Informationen entgegengenommen und sie werden auch preisgegeben. Das ist natürlich so ein bisschen der Punkt, wo es in der Arztpraxis durchaus etwas schwieriger werden kann.

00:16:09

Dr. med. Dierk Heimann: Jetzt haben Sie eben gesagt, am Telefon werden Informationen preisgegeben. Ich stelle mir das jetzt einmal konkret vor. Es klingelt bei mir im Sprechzimmer, Patientin sitzt noch vor mir. Ein Patient ist dran, hat gerade eine dringende Frage, wurde deswegen rein verbunden. Ab dieser Sekunde bin ich ja im Datenschutzkonflikt.

00:16:27

Bei Telefonaten im Beisein anderer Personen sollte man als Behandler den Namen bei der Begrüßung nicht nennen und evtl. darauf hinweisen, dass man nicht alleine ist.

Martin Bastius: Richtig, genau. Es ist natürlich die Frage, ob man in dem Fall dann auch noch den Namen kundtut. Wenn das jetzt beispielsweise der Behandler ist und der Telefonanruf wird in das Behandlungszimmer durchgeschaltet, dann muss ja nicht unbedingt klar sein, dass derjenige, die diejenigen, die jetzt gegenübersitzt, der Patient, die Patientin, die schon im Raum ist, tatsächlich auch mitbekommt, um wen es geht. Dann hat man als Behandler natürlich auch unter Kontrolle, den Namen bei der Begrüßung nicht zu nennen und dann auch gleichzeitig nicht zu verraten, um wen es geht.

00:16:55

Dr. med. Dierk Heimann: Das heißt, wäre das ein guter Weg, das vielleicht sogar am Telefon zu sagen? Zu sagen: „Ich sage jetzt mal nicht Ihren Namen, weil wir gerade nicht allein sind, aber ich kann ihnen schnell die Antwort geben.“ Zum Beispiel. Der beste Weg wäre natürlich, man verlässt das Zimmer, telefoniert woanders. Wir alle wissen,
das ist im Alltag häufig schwierig. Aber wäre das dann so ein Weg, das wirklich mit dem Gegenüber offen zu kommunizieren? Bin jetzt gerade nicht allein im Zimmer. Ich werde deswegen keine Details nennen, nicht ihren Namen, aber wir können ja schnell über das eine Problem sprechen.

00:17:21

Martin Bastius: Ja, absolut. Wesentlich besser als zu sagen: „Frau Meier, Ihr Bluttest ist negativ.“

00:17:28

Dr. med. Dierk Heimann: Das war das Telefon. Jetzt würde ich gerne einmal einen technischen Aspekt ansprechen. Ich meine, wir alle, oder die meisten Ärztinnen und Ärzte, haben bewusst Medizin gemacht und nicht IT und auch nicht Jura. Das gute alte Telefon obliegt ja diesem Fernmeldegeheimnis, mit eigenen Leitungen, mit eigenen Verbindungen, mit eigenen Schaltstellen, mit früher der Dame an der Schalteinrichtung, die es dann gemacht hat, der Vermittlung. Aber jetzt haben wir ja in neue Zeiten dieses Voice over IP. Diese Stimmen, die dann im Grunde über normale digitale Leitungen verschickt werden. Ist das denn dann auch noch vom Fernmeldegesetz geschützt? Ist das auch noch so sicher oder wo stehen wir denn da?

00:18:13

Martin Bastius: Ich gehe stark davon aus, dass es auch vom Fernmeldegeheimnis geschützt ist. Sie haben ja selber schon gesagt, es steckt auch noch der digitale Anbieter mit dabei. Was man auf jeden Fall mitbedenken muss, ist, dass man mit dem jeweiligen Anbieter dann auch noch einen entsprechenden Dienstleistungsvertrag schließt. Wir sprechen im Datenschutzbereich immer von Auftragsverarbeitungsverträgen und die regeln dann gewisse Datenschutzpflichten. Da würde dann zum Beispiel auch die Vertraulichkeit genannt werden.

00:18:40

Dr. med. Dierk Heimann: Ehrlich gesagt bin ich ganz froh, dass Sie mit der Antwort kurz gezögert haben, weil ich selbst schon Schwierigkeiten gehabt habe, die Frage, die auf meinem Zettel steht, richtig zu verstehen. Aber ich habe etwas ganz Konkretes von Ihnen mitgenommen. Sie haben gerade gesagt, ich muss das mit meinem Anbieter im Zweifel dann wirklich klären. Auftragsdatenverarbeitung ist ja so ein Stichwort. Das heißt, sagen Sie, wenn es jetzt um IT, um Computer, um Software im weitesten Sinne geht, dann sollte ich mir von meinem Dienstleister immer bescheinigen lassen, dass das wirklich auf dem entsprechenden Niveau nach Stand der Dinge gemacht worden ist.

00:19:12

Martin Bastius: Ja, absolut. Vor allem wenn es natürlich jetzt nicht klassische Software ist, die auf dem eigenen Computer, auf der eigenen Festplatte abgespielt wird, sondern Software im Sinne von SaaS- oder Cloud-Anwendungen, wo der Anbieter tatsächlich personenbezogene Daten, teilweise wahrscheinlich auch Gesundheitsdaten, auch auf seinen Server mitbekommt. In solchen Fällen sind dann die Auftragsverarbeitungsverträge abzuschließen.

00:19:36

Dr. med. Dierk Heimann: Auftragsverarbeitungsverträge haben Sie es genannt. Das ist genau das Wort, was ich dann vielleicht mein Gegenüber einmal fragen würde. Wenn ich jetzt noch einmal auf die Frage davor zurückkommen darf, das würde dann auch einschließen, wenn ich jemanden habe, der meine Telefonanlage wartet oder der mein Faxgerät, was daran hängt, auch noch mit wartet, was eben vielleicht über Datenleitungen dann funktioniert, auch von denen müsste ich so etwas einfordern.

00:19:59

Auch im Bereich von Fernwartung empfiehlt es sich, Auftragsverarbeitungsverträge abzuschließen.

Martin Bastius: Ein sehr schönes Beispiel, weil es durchaus Fälle gibt, wo man aus Datenschutzsicht darüber diskutieren kann, ob man da jetzt noch einen Auftragsverarbeitungsvertrag braucht oder nicht. Ob da tatsächlich die Datenverarbeitung noch im Vordergrund steht, ob da andere Leistungen im Vordergrund stehen. In letzterem Fall würde möglicherweise eine normale Vertraulichkeit ausreichen, eine Verpflichtung auf die Vertraulichkeit. Der Auftragsverarbeitungsvertrag ist da quasi noch eine Schippe darauf. Ich würde dazu raten, zur Sicherheit einen abzuschließen. Da geht auch so ein bisschen die allgemeine Meinung im Datenschutzbereich hin, auch im Bereich von Fernwartung beispielsweise Auftragsverarbeitungsverträge abzuschließen.

00:20:40

Dr. med. Dierk Heimann: Da gehe ich gerne auch noch einmal heran, Stichwort Fernwartung. Das haben ja nun viele von uns, sei es TeamViewer oder wie diese ganzen Programme heißen, dass dann eben der IT Spezialist von wo auch immer auf meinen Rechner schauen kann und kann dann da Dinge reparieren, die gerade kaputt sind.
Jetzt ist natürlich die Situat