Sind Sie diskret genug?

Quer durch die Republik haben die Tester nach eigenen Angaben 30 Hausarztpraxen in Sachen Schweigepflicht und Diskretion geprüft und dabei eine ganze Reihe Datenlecks ausfindig gemacht. In zehn Praxen erschienen sie persönlich, in ebenfalls zehn erfragten sie als vermeintliche Angehörige per Telefon Informationen über Patienten, und in noch einmal zehn Praxen wurden über E-Mail-Adressen Patientenanliegen vorgebracht. Ergebnis: Bei 15 der 30 Praxen stellten die Tester Verstöße gegen den Datenschutz fest.

„In drei von zehn besuchten Praxen konnten die Wartenden Intimes mithören“, heißt es bilanzierend. „Einmal ging es zum Beispiel um eine Schuppenflechte inklusive Behandlung, einmal um eine Frau, die schnell einen Platz im Pflegeheim brauchte. Am Telefon gaben acht der zehn Praxen Anrufern, die sich vorgeblich im Auftrag von Patienten meldeten, freimütig Auskunft. Nach E-Mail-Anfragen verschickten vier von zehn Praxen sensible Daten unverschlüsselt per E-Mail, zum Beispiel ein komplettes Laborblatt.“

Angesichts dieser – alarmierenden – Zahlen bemühte Stiftung Warentest den hippokratischen Eid: „Was ich bei der Behandlung sehe oder höre [...], werde ich [...] verschweigen und solches als ein Geheimnis betrachten.“ Ergänzend betonten die Tester in ihrem Bericht noch, dass die Mediziner neben dem Eid heutzutage außerdem durch die ärztlichen Berufsordnungen und das Bundesdatenschutzgesetz zur Verschwiegenheit verpflichtet sind. Das Strafgesetzbuch sehe sogar Geld- oder Freiheitsstrafen vor, wenn in Praxen Patientengeheimnisse offenbart werden.

Besonders anfällig erwies sich laut Test das Telefonverhalten des Praxispersonals: In acht der zehn geprüften Praxen gab es ohne Weiteres Auskünfte, ohne die Identität oder Berechtigung des Anrufers zu hinterfragen. So wurde freimütig etwa über Laborwerte und deren Einordnung genauso informiert wie über die Dosis von Arzneimitteln.

Der Eingangsbereich erwies sich dabei als markante Problemzone: Weil Empfangs- und Wartebereich häufig ineinander übergehen, konnten die Tester sensible Informationen und Daten mithören. Hinzu kam, dass die Tester auch mitbekamen, wie sich Praxismitarbeiter untereinander über Patienten austauschten. „Plaudertaschen in vielen Praxen“ titelte dann auch Stiftung Warentest.

Auch beim Thema E-Mail-Anfragen gab es laut Testbericht vielfach Probleme: Vier der zehn geprüften Praxen verschickten bedenkenlos Patientendaten über (unverschlüsselte) E-Mails. Stiftung Warentest betont aber auch, dass sechs der zehn Praxen keine Daten per E-Mail weitergegeben haben. Positiv vermerkt war, dass aus den Behandlungszimmern selbst keine Informationen nach außen in den Wartebereich gelangt seien, ebenso sei kein Blick auf den PC-Bildschirm oder auf handschriftliche Unterlagen möglich gewesen, um so Akten von anderen Patienten einsehen zu können.

EDV und Datenschutz in der Zahnarztpraxis

Die Bundeszahnärztekammer und die Kassenzahnärztliche Bundesvereinigung geben in ihrem gemeinsamen Ratgeber „Datenschutz- und Datensicherheitsleitfaden für die Zahnarztpraxis-EDV“ konkrete Hinweise, wie man die datenschutzrechtlichen Bestimmungen einhält, um die Daten vor dem unbefugtem Zugriff Dritter zu schützen.Einzelne Ratschläge:

• Kennwörter: Grundsätzlich sollten die eingesetzten (Abrechnungs-)Programme durch Kennwörter geschützt werden. Ein Kennwort sollte länger als sieben Zeichen sein, nicht im Wörterbuch vorkommen und keine Namen oder Geburtsdaten enthalten. Es sollte aus Sonderzeichen wie $, ?, (, &, Ziffern und einem Wechsel von Groß- und Kleinbuchstaben gebildet werden. Kennwörter sollten regelmäßig geändert werden, um das Risiko zu minimieren, dass ein ausgespähtes Kennwort verwendet werden kann. Verlässt ein Mitarbeiter die Praxis, ist die Zugriffsberechtigung sofort zu löschen oder zu ändern. Nach mehreren Versuchen, mit einem falschen Passwort in das System zu gelangen, sollte die Software den Zugriff automatisch sperren.

• Standort des Rechners: Um den Zugriff Dritter auf Daten der Praxis zu vermeiden, müssen Bildschirm, Tastatur, Maus, Kartenlesegerät, Drucker und Rechner so aufgestellt werden, dass sie für Unbefugte nicht zugänglich oder einsehbar sind. Das gilt auch für die Speichermedien zur Datensicherung. Wird der Arbeitsplatz verlassen, sollte der Computer manuell gesperrt werden, so dass bei erneuter Nutzung erst das Kennwort wieder einzugeben ist. Zur Sperrung kann auch der Bildschirmschoner genutzt werden. Dieser wird nach einer einstellbaren – möglichst kurzen – Wartezeit aktiv und kann so konfiguriert werden, dass bei erneuter Nutzung des Rechners eine Kennwortabfrage erfolgt. Vor allem bei Rechnern in Behandlungsräumen sind diese Grundsätze unbedingt zu beachten.

• Verschwiegenheitspflicht: Der Zahnarzt ist nach § 7 Abs. 3 der Musterberufsordnung für Zahnärzte sowie nach der Berufsordnung verpflichtet, alle in der Praxis tätigen Personen über die gesetzliche Pflicht zur Verschwiegenheit zu belehren und dies schriftlich festzuhalten.

Der Leitfaden als Download: www.bzaek.de, www.kzbv.de.

Doch was hindert Ärzte und Praxispersonal eigentlich daran, Diskretion zu wahren? „Der ganz normale Alltag!“, sagt Praxismanagerin Stephanie Weitz aus Bürstadt in Hessen. Wenn es in der Praxis turbulent zugeht, rasch Informationen zwischen Behandlung und Rezeption, Patienten, begleitenden Personen, dem Labor oder einer anderen Praxis ausgetauscht werden müssen, dann liege die Priorität eben des Öfteren bei der zügigen Ablauforganisation. „Indiskretion ist dann keine böse Absicht, sondern dem Praxispersonal und den Chefs gar nicht so bewusst.“

Trotzdem könnten die Fachkräfte an der Rezeption und im Behandlungszimmer dafür sorgen, dass es diskret zugeht: „Alle Türen stets geschlossen halten, insbesondere wenn über Fälle gesprochen wird oder mit Patienten“, sagt Weitz. „An der Rezeption ist ein schnurloses Telefon Pflicht, damit ich mich für Gespräche zurückziehen kann. Dazu sollte auch ein Raum zur Verfügung stehen.“ Für knifflige Situationen empfiehlt sie praxisintern „Codes“ festzulegen. Beispiel: „Wenn bei uns eine Mitarbeiterin schnell Unterstützung vom Chef braucht, kann sie den Begriff „Dr. Winter“ benutzen. Für Unbeteiligte ist das unverfänglich, wir im Team wissen: Da wird rasch Hilfe gebraucht.“

Tipps für den diskreten Umgang hat auch die Praxistrainerin Christa Maurer aus Lindau am Bodensee: „Vertrauliches muss vertraulich bleiben. Daher gilt: Keine Gespräche mit sensiblen Patientendaten oder -informationen im „öffentlichen“ Bereich“, sagt sie. Zahnarztpraxen, bei denen Anmeldung und Warteraum eins sind oder ineinander übergehen, müssten besonders sensibel sein. „Besprechen Sie sich mit den Betroffenen entweder in einem Beratungszimmer oder in einem Behandlungszimmer. “ Gerade bei Telefonaten gelte äußerste Diskretion: „Geben Sie keine Auskünfte über Befunde oder Anwesenheit in der Praxis.“

Zahnärzte sollten im eigenen Interesse dafür sorgen, dass sich Patienten auf Diskretion verlassen können. Dies sei bei der Wahl für oder gegen eine Praxis ein nicht zu unterschätzendes Kriterium. Selbst Angehörige dürften ohne Einwilligung des Patienten nichts über dessen Zustand erfahren. Maurer: „Kann der Patient seine Belange nicht mehr selbst regeln und benötigt die Unterstützung von Familienangehörigen oder anderer Dritter, brauchen diese Vertrauenspersonen eine schriftliche Vollmacht.“

Zweifelsohne ist Diskretion für Praxen eine Herausforderung – umso mehr, je offener Empfang und Wartebereich architektonisch gestaltet sind. Experten raten in diesen Fällen zu kleinen gestalterischen Maßnahmen oder zumindest zu optischen Barrieren wie etwa „Diskretion“-Schildern, Bodenmarkierungen, Fußmatten oder Grünpflanzen als Trennmarkierung. Auch dezente Hintergrundmusik schlucke manches Gespräch.

Stiftung Warentest jedenfalls bestärkte abschließend ihre Leser / die Patienten darin, zukünftig auf mehr Diskretion bestehen: „Sagen Sie, dass Sie bestimmte Dinge wie etwa den Befund oder die Medikation nur im Behandlungszimmer besprechen möchten.“ Warb gleichzeitig aber auch um Empathie für das Praxispersonal: „Haben Sie Verständnis dafür, wenn Praxisangestellte am Telefon keine Auskunft geben – oder die Berechtigung überprüfen.“

Expertise zum Datenschutz in der Praxis

In ihrem gerade erschienenen E-Book „Datenschutz in Zahnarztpraxen“ fassen Dr. Thomas H. Lenhard und Dr. Robert Kazemi die Regeln zum richtigen Umgang beim Thema Datenschutz komprimiert zusammen. So heißt es etwa zum Telefonverhalten: „Die Identifikation eines Patienten sollte nicht so erfolgen, dass man ihm Daten vorliest und fragt, ob diese korrekt sind, sondern vielmehr sollte man die Daten zur eindeutigen Identifikation bei dem Anrufer abfragen.“ Beim Thema Datensicherung raten die Experten, essenzielle Standards festzulegen und diese unbedingt einzuhalten. „So muss die Art und Weise, wie Daten gesichert werden, geplant und dokumentiert werden. Diese Dokumentation darf natürlich – ebenso wenig wie die Sicherung – nicht auf dem gesicherten Server gespeichert sein. In diese Dokumentation gehören auch schlüssige Informationen, wie die Datensicherung im Notfall zurückgespielt und das System wiederhergestellt werden kann.“ Weitere Regeln (im Auszug):

• Datenspeicherung/-sicherung: Auch sollte man die Daten regelmäßig speichern, „aber niemals auf demselben Rechner, der dadurch gesichert werden soll“. Stattdessen empfehlen die Fachleute, eine Sicherungsplanung zu erstellen. Ebenfalls sind die Datensicherungen regelmäßig zu testen, zudem sollten die (verschlüsselten) Datensicherungen außerhalb der Praxis gelagert werden.

• Akten und Vernichtung: In keinem Fall sollten Patientenakten, Laborbefunde oder sonstige sensible Unterlagen unbeaufsichtigt herumliegen oder für Besucher und Patienten der Zahnarztpraxis oder auch für den Hausmeisterservice oder den Reinigungsdienst einsehbar sein. Für die Vernichtung von Papierdokumenten gelte: Dokumente der Zahnarztpraxis dürften in keinem Fall im Hausmüll entsorgt werden. Lenhard/Kazemi raten zu Schreddern, die das Papier längs UND quer zerkleinern.

•  Mitarbeiterschulung: Es reiche nicht aus, dass Zahnärzte als Praxisinhaber sich beim Datenschutz auskennen. Vielmehr sei elementar für den Schutz der Patientendaten, dass alle Mitarbeiter für den Umgang mit personenbezogenen Daten sensibilisiert sind. Dazu gehöre auch, dass verschiedene Bedrohungen für die Systeme den Mitarbeitern bekannt sind. So sollten Mitarbeiter, die zum E-Mail-Empfang berechtigt sind, wissen, dass keine Links oder Anhänge von E-Mails angeklickt werden, wenn der E-Mail-Empfänger nicht ohne Zweifel als vertrauenswürdig bekannt ist. Auf jeden Fall sei die Nutzung privater Datenspeicher wie USB-Sticks zu untersagen.

• Internet und E-Mails: Praxisinhaber sollten sich überlegen, ob sie Mitarbeitern den uneingeschränkten Zugang zum Internet erlauben wollen. Dies könne etwa dann notwendig sein, wenn über ein Online-Portal Materialbestellungen durchgeführt werden. Zudem solle man sich fragen, wer in der Praxis berechtigt ist, E-Mails zu empfangen oder zu versenden. Sensible Daten sollten keinesfalls per unverschlüsselter E-Mail versendet werden.

• Cloud Computing: Beim Thema Cloud Computing verweisen die Autoren darauf, dass nach wie vor Haftungsrisiken bestehen und dass es bei der Speicherung und Übermittlung von Patientendaten übers Internet der Patientenzustimmung bedarf. Alles in allem raten sie von Cloud Computing ab. Wer dennoch eine Cloud nutzen möchte, etwa weil er mehrere Standorte betreibt, könne auf ein Online-Archiv zurückgreifen, das in eigener Verantwortung betrieben wird. Derartige Archive seien bereits unter 2.000 Euro zu haben, heißt es.

Zu den Autoren: Dr. Thomas H. Lenhard ist Datenschutzbeauftragter der Deutschen Gesellschaft für Zahn-, Mund- und Kieferheilkunde. Rechtsanwalt Dr. Robert Kazemi ist u. a. als Sachverständiger beim Unabhängigen Landeszentrum für Datenschutz akkreditiert.

Die E-Broschüre als kostenfreier Download:

shop.aerzteverlag.de/buecher/buchimg/extra_190927.pdf