„Die Praxisführung muss den Mitarbeitern hier blind vertrauen können!“

Was kann man bei Datenschutzschulungen besser machen?

Christian Henrici: Das klassische Datenschutzproblem ist schwer zu definieren. Jede Praxis und jeder Mitarbeiter sind hier individuell zu betrachten. Eine reine Schulung, bei der die Belehrungsthemen Datenschutz und Datensicherheit einfach anhand einer Liste abgehandelt werden und wo nicht darauf geachtet wird, ob die Inhalte bei den Mitarbeitern ankommen, ist nicht zu empfehlen. Hier muss man sich von den doch sehr rechtlichen Grundlagen entfernen und sich eher auf die möglichen Verstöße und Risiken innerhalb der Praxis besinnen.

Wo sehen Sie Lösungsansätze?

Am besten geht der Unterweisende mit den Mitarbeitern durch die Praxis und schaut sich die Schwachstellen gemeinsam mit ihnen an. Zu beachten sind besonders die Rezeption, der Wartebereich und die Behandlungszimmer. Alle Bereiche, die auch in Kontakt mit dem Patienten kommen, machen die Praxen gegebenenfalls von außen angreifbar, deshalb sollte darauf auch ein besonderes Augenmerk gelegt werden. Im Optimalfall analysiert man hier mit der Praxis die Probleme und sucht gemeinsam nach Lösungen.

Welche Tipps haben Sie für die Führung und das Team?

Die Mitarbeiter dürfen sich nicht von vornherein dem Thema Datenschutz und Datensicherheit verschließen. Die richtig gestaltete Schulung bietet die Chance, Probleme und mögliche Risiken zu beheben. Außerdem können die Mitarbeiter sich gegenseitig auf Fehler hinweisen, beispielsweise wenn jemand seinen Arbeitsplatz verlässt und vergisst, den Computer zu sperren.

Der Praxisführung muss das Thema immens wichtig sein und sie hat auf die Qualität der Schulung zu achten, denn sie muss den Mitarbeitern hier blind vertrauen können. Die Praxisführung als datenschutzrechtlicher Verantwortlicher hält bekanntermaßen für jedes Vergehen in erster Instanz den Kopf hin und muss fällige Strafen bezahlen. Um dies zu vermeiden muss eine regelmäßig gut durchgeführte Schulung der Mitarbeiter erfolgen.

Wie kontrolliert man, ob alle auf Stand sind?

Laut Datenschutz-Grundverordnung (DSGVO) muss die Schulung der Mitarbeiter „regelmäßig“ erfolgen. Das ist natürlich ein sehr dehnbarer Begriff. Die dieses Jahr anstehenden „Olympischen Winterspiele“ finden alle vier Jahre auch in einem regelmäßigen Zeitrahmen statt. Für die Landesdatenschutzbehörden zählen solche Abschnitte natürlich nicht als regelmäßig. Die Schulung fließt im Optimalfall in den Pool der jährlichen Schulungen ein. So ist gewährleistet, dass die Mitarbeiter eine gewisse Routine erhalten. Ebenfalls zu bedenken ist, dass neue Mitarbeiter zunächst auf einen gemeinen Schulungsstand gebracht werden. Um eine Regelmäßigkeit zu gewährleisten, muss die Schulung in den Schulungsplan des QM aufgenommen werden. Außerdem ist zu empfehlen, sich als Praxisführung eine wiederkehrende Aufgabe zu setzen, die einmal jährlich an die Planung sämtlicher Schulungen erinnert. Erfahrungsgemäß führen Zeiträume, die mehr als ein Jahr auseinander liegen, aus den verschiedensten Gründen – Fluktuation, Vergessen, Fade-Out im täglichen To-do – dazu, dass neue Regelungen nicht gut genug „ankommen“ und hinderlich einer Verinnerlichung sind.

Die Fragen stellte Laura Langer.