AERZTE Steiermark 03/2025

 

Wie richtet man die Ordination datenschutzkonform ein?

Gesundheitsdaten sind höchst sensibel. In jeder Ordination müssen daher angemessene technische und organisatorische Maßnahmen umgesetzt werden. Die wichtigsten Tipps von der Schulung des Personals bis zur Verwahrung der Daten im Überblick.

Von Sebastian Pils

Die Verarbeitung personenbezogener Daten im Rahmen eines Ordinationsbetriebes ergibt sich bereits aus der berufsrechtlichen Verpflichtung zur Dokumentation. Da sie mit dem Gesundheitszustand der Patient:innen zusammenhängen, handelt es sich bei den verarbeiteten Daten um Gesundheitsdaten im Sinne des Artikels 4 Z 15 DSGVO. Diese unterliegen einem besonderen Schutz. Ordinationsinhaber:innen haben als Verantwortliche im Sinne des Artikels 4 Z 7 DSGVO dafür zu sorgen, dass die Verarbeitungsvorgänge den datenschutzrechtlichen Anforderungen entsprechen und dies im Bedarfsfall auch nachzuweisen.

Technisch und organisatorisch

Jede:r Verantwortliche hat je nach Größe des Ordinationsbetriebes, der personellen Ausstattung, der Komplexität der IT-Infrastruktur und der konkret stattfindenden Datenverarbeitungsprozesse angemessene technische und organisatorische Maßnahmen (Art 32 DSGVO; im Folgenden kurz: TOM) zu etablieren, um ein angemessenes Datenschutzniveau zu gewährleisten. TOM beschränken sich dabei nicht auf den Bereich digitaler Datenverarbeitungen, sondern setzen bereits bei der räumlichen Ausgestaltung der Ordination an.  Nachdem in Bestandsgebäuden erfahrungsgemäß häufig kein datenschutzrechtlich optimales Raumkonzept möglich ist, sind bei der Umsetzung von TOM der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Patient:innen zu berücksichtigen.

Diskretion bei jedem Gespräch

Diskretion steht dabei schon aufgrund der ärztlichen Verschwiegenheitspflicht an oberster Stelle. Schon bei der Anmeldung sollte sichergestellt sein, dass unbefugte Dritte nicht von sensiblen Patient:innendaten Kenntnis erlangen. Dies kann etwa durch das Einrichten einer Diskretionszone im Empfangsbereich, die entsprechend (gut sichtbar) gekennzeichnet wird, oder schriftlich auszufüllende Anamnesebögen umgesetzt werden. Optimal ist eine räumliche Trennung zwischen dem Empfangs- und dem Wartebereich. Die Behandlungsräume sollten abgetrennt sein und während des laufenden Betriebs geschlossen gehalten werden, um den Inhalt des ärztlichen Gespräches und den Behandlungsvorgang gegenüber unbefugten Dritten geheim zu halten.

Schulung des Personals

Besonders in kleineren Ordinationsstrukturen werden Anmeldungen von Patient:innen und organisatorische Telefonate von ein- und derselben Person vorgenommen. Gesprächsinhalte, die Rückschlüsse auf eine:n bestimmte:n Patient:in oder gar den Gesundheitszustand zulassen, müssen vor der Kenntnisnahme Dritter geschützt werden. Kann man diese Gespräche nicht durch räumliche Trennung akustisch abschirmen, können Ordinationsassistent:innen nach entsprechender Schulung zu einer bestimmten Form der diskreten Gesprächsführung angehalten werden. Möglich wäre es auch, Patient:innen durch gut sichtbare Hinweise im Anmeldebereich dazu anzuhalten, personenbezogene Daten von sich nur schriftlich bekanntzugeben und nicht im Gespräch bei der Anmeldung zu erwähnen.

Gesundheitsdaten geschützt verwahren

Weder im Anmelde- noch im Wartebereich sollten sich für unbefugte Dritte einsehbare Patient:innendaten befinden. Hier ist insbesondere auf herumliegende Krankengeschichten, Patientenkarteien, Terminkalender, frei zugängliche Faxgeräte und einsehbare Computerbildschirme zu achten. Aktenschränke sowie Lagerräume für IT-Hardware sollten versperrbar und nur dem befugten Personal zugänglich sein. Dem Reinigungspersonal sollte der Zugang zu Aktenschränken und Serverräumen verwehrt sein.

Strafen vermeiden

Wie wichtig das Achten auf die datenschutzrechtlichen Bestimmungen ist, zeigen auch die potenziell hohen Geldbußen, die verhängt werden können, sollten keine angemessenen TOM umgesetzt werden: Dies sind bis zu EUR 10 Millionen bzw. 2 %
des Jahresumsatzes. Auch wenn die Aufsichtsbehörden beim erstmaligen Verstoß ihre Strafbefugnis bei weitem nicht ausreizen, so kann es dennoch zu empfindlich hohen Geldbußen kommen,  schließlich geht es um höchst sensible Daten. Dass keine angemessenen TOM implementiert wurden, kommt außerdem oft nur begleitend zu einem möglicherweise noch drastischer sanktionierten Verstoß gegen zwingende Bestimmungen der DSGVO hinzu. Im Zweifel ist anzuraten, Spezialist:innen für den Datenschutz zu konsultieren, um mögliche alternative Datenschutzkonzepte zu finden und deren Zulässigkeit überprüfen zu lassen.

 

Dr. Sebastian Pils LL.M.ist Rechtsanwalt in der Kanzlei Heitzmann Pils Tauss Rechtsanwälte in Graz

Fotocredit: beigestellt