Technische und organisatorische Maßnahmen in Arztpraxen

Letzte Änderung am 17. Dezember 2020 von Benjamin Kunzmann

Die Umsetzung der DSGVO macht auch Arztpraxen regelmäßig zu schaffen. Da personenbezogene Daten verarbeitet werden, müssen nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen in Arztpraxen getroffen werden. Dabei zeigen sich in der Regel folgende Mängel:

Fehlende Vertraulichkeit im Bereich der Anmeldung

Insbesondere aufgrund von schwer veränderlichen baulichen Gegebenheiten, liegen Fälle vor, in denen keine ausreichende Trennung zwischen der Anmeldung und dem Wartebereich gegeben war. Patienten sind somit dem Risiko ausgesetzt, dass Wartende die Daten der Person und den Grund für den Arztbesuch aus dem Wartebereich im Detail erfahren können. Dies auch in der Weise, dass Bildschirminhalte auf den IT-Systemen der Anmeldung durch die Wartenden einsehbar sind. Den Verantwortlichen ist eine Prüfung anzuraten, sowohl optisch als auch akustisch für einen hinreichenden Schutz vor der Kenntnisnahme durch Dritte zu sorgen.

Aktenaufbewahrung angrenzend zum Wartebereich

In einigen Fällen waren Warteplätze auf dem Flur in der Nähe von Aktenschränken eingerichtet, die dem Personal der Anmeldung einen leichten Zugriff auf die Papierakten ermöglichen. Im Alltagsgeschäft kann schnell vergessen werden, diese Schränke wieder sicher zu verschließen, was eine Schutzverletzung darstellt. Der Verantwortliche muss in Bezug auf den Inhalt des Aktenschranks prüfen, ob Vertraulichkeit und Verfügbarkeit hinreichend sichergestellt sind.

Möglichkeit des unbefugten Zugriffs auf Daten im Behandlungszimmer

Sofern eine Patientin oder ein Patient allein im Behandlungszimmer wartet, ergibt sich in dieser Zeitspanne häufig die Möglichkeit, in Notizen, etwaige offenliegende Akten oder in angezeigte Bildschirminhalte Einsicht zu nehmen oder aktiv auf die IT-Systeme zuzugreifen. Je nach Aktualität des Systems genügt bereits das Einführen eines USB-Sticks, um das Betriebssystem zu kompromittieren und somit Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden. Neben der Sicherstellung der Aktualität der IT-Systeme ist ggf. der Arbeitsablauf entsprechend diesem Risiko so zu gestalten, dass solche Risiken vermieden werden.

Fehlende SSL/TLS-Verschlüsselung der Webseite

Die Webauftritte der Arztpraxen ermöglichen nicht selten auch eine Kontaktaufnahme zu Termin- oder Behandlungszwecken. Sofern personenbezogene Daten übermittelt werden, muss der Schutz der Vertraulichkeit, Integrität und Authentizität, regelmäßig durch Einsatz von SSL/TLS, sichergestellt sein. Stichprobenartige Prüfungen zeigen hier schon deutliche Verbesserungen, da immer mehr Verantwortliche eine SSL/TLS-gesicherte Verbindung mit dem Webserver ermöglichen.

Betreiber haben Sorge zu tragen, dass der Datenschutz durch geeignete technische und organisatorische Maßnahmen in Arztpraxen sichergestellt wird. Hierzu zählt ebenfalls, dass das eingesetzte Personal auf die Entgegennahme von Hinweisen und einen sensiblen Umgang mit personenbezogenen Daten geschult ist.

Weiterer interessanter Artikel: Weitergabe von Gesundheitsdaten in Arztpraxen