So kann die DSGVO in der Physiopraxis konkret umgesetzt werden

| Die umfangreichen (und oft schwer verständlichen) Vorgaben der Datenschutzgrundverordnung (DSGVO) müssen konkret im Alltag der Physiopraxis umgesetzt werden. Erfahrungsgemäß ergeben sich hier an mehreren Stellen Probleme. Deshalb hier einige Anregungen für die täglichen Arbeitsabläufe in einer Physiopraxis ‒ wohlwissend, dass aufgrund der jeweiligen Umstände der örtlichen oder sonstigen Gegebenheiten nicht alles 1:1 umgesetzt werden kann. |

Gesundheitsdaten an der Rezeption richtig behandeln

Ein Patient betritt die Praxis, gleichzeitig muss ein anderer nach der Behandlung „auschecken“ oder zur Behandlung in den Behandlungsraum gelotst werden, am Telefon wartet ein Patient auf einen neuen Termin und in der zweiten Leitung klingelt es schon wieder … Zwangsläufig ist es in diesem Trubel an der Rezeption kaum zu vermeiden, dass der eine Patient etwas von dem anderen mitbekommt. Doch hiergegen können Sie Einiges tun:

• Sofern es Ihre Praxisräume zulassen, könnten Sie eine großzügige Diskretionszone einrichten. Lassen Sie Ihr Personal zur Not auch energisch darauf hinweisen. Schließlich ist es in jeder Bank- und Postfiliale absolut üblich, Abstand zu halten. Gleiches muss auch in einer Physiopraxis gelten.

• Ihre Rezeptionskraft ‒ soweit vorhanden ‒ sollte im direkten Gespräch mit den Patienten eine gemäßigte Stimme nutzen und in Anwesenheit Dritter nur das Nötigste besprechen. Wenn ein Patient selbst lautstark seinen Gesundheitszustand zum Besten gibt, so ist dies nicht Ihrem Personal anzukreiden. Sollte es aber größeren Klärungsbedarf geben (z. B. die Erläuterung eines Übungsprogramms für zu Hause), sollte ein anderer Raum für entsprechende Erklärungen genutzt werden.

• Am Telefon sollten Gespräche so abgewickelt werden, dass Dritte möglichst nichts vom Inhalt mitbekommen. Bei größerem Gesprächsbedarf ist es ratsam, entsprechende Telefonate in einen anderen Raum durchzustellen.

• Möglicherweise empfiehlt es sich, dass die Praxistür verschlossen bleibt und ein kontrollierter Einlass nur durch das Praxispersonal ermöglicht wird.

• Allein in Einzelbehandlungszimmern wartende Patienten dürfen keine Einsicht in die Unterlagen anderer Patienten erhalten. Deshalb sollten sich in einem Behandlungszimmer nur solche Papierunterlagen befinden, die den wartenden Patienten selbst betreffen. Bezüglich digitaler Dokumente ist dringend wenigstens zu einer Bildschirmsperre oder zu einem passwortgeschützten Zugang zur Patientensoftware zu raten.

Verschwiegenheit ist auch gegenüber Angehörigen Pflicht

Nicht nur der Datenschutz, sondern auch die Verschwiegenheitsverpflichtung bindet Sie und Ihr Praxispersonal daran, dass Gesundheitsdaten grundsätzlich nur mit dem Patienten selbst ausgetauscht werden. Etwas anderes gilt nur, wenn der Patient dem Physiotherapeuten die Erlaubnis samt Schweigepflichtentbindung erteilt oder sonst eine Rechtfertigung dafür besteht, auch mit Dritten hierüber kommunizieren zu dürfen. Zu diesen Dritten gehören auch alle Familienangehörigen. Im Einzelnen gilt:

• Bei Jugendlichen geben Datenschutz- und Medizinrecht keine explizite Altersgrenze dafür vor, bis zu der alle Gesundheitsbelange ausdrücklich mit den Eltern besprochen werden müssen und dürfen, wobei es ausdrücklich nicht auf die Geschäftsfähigkeit ankommt. Vielmehr wird im Allgemeinen angenommen, dass ab dem Alter von 15 Jahren normal entwickelten Jugendlichen zugetraut wird, sich selbst um ihre medizinischen Belange kümmern bzw. diese verstehen zu können. Die Eltern haben dann also nicht mehr mitzureden bzw. sie sind nicht mehr einzubeziehen.

• PRAXISTIPP | Sollten aber z. B. aufgrund möglicher Kosten die Eltern informiert werden, so ist dies dem Jugendlichen zu vermitteln. Von ihm ist dann die dafür notwendige Einwilligung samt entsprechender Schweigepflichtentbindung einzuholen, damit alle Belange der Behandlung mit den Sorgeberechtigten besprochen werden können.

   

• Auch Eheleute geht die physiotherapeutische Behandlung ihres Partners nichts an. Sollen Ehepartner doch informiert werden, ist die ausdrückliche Einwilligung samt Schweigepflichtentbindung erforderlich.

• Begleiten Ehepartner oder sonstige Angehörige die Patienten in die Behandlung, wird i. d. R. stillschweigend davon ausgegangen, dass der Patient hierzu sein Einverständnis samt Schweigepflichtentbindung erteilt. Etwas anderes gilt nur bei einer offensichtlich nicht voll geschäftsfähigen Person. Hier muss ggf. der gesetzlich bestellte Betreuer ‒ der nicht notwendigerweise der begleitende Angehörige ist ‒ die Erlaubnis und die Schweigepflichtentbindung erteilen.

• PRAXISTIPPS | Bei offensichtlichem Unwohlsein des Patienten in Anwesenheit seiner Familienangehörigen sollte der Patient zunächst allein ausdrücklich gefragt werden, ob er die Anwesenheit der Angehörigen im Behandlungszimmer wünscht. Falls ja, machen Sie sich hierzu einen entsprechenden Vermerk in der Patientenakte. Falls nicht, müssen die Begleiter im Wartezimmer warten. Sie sind auch mit keinerlei medizinischen Informationen zu versorgen, die sie nicht selbst betreffen. Bei Jugendlichen bietet es sich ggf. an, sie zur Anamnese bzgl. der Einnahme bestimmter Medikamente (z. B. Pille), des Konsums von Zigaretten und Rauschmitteln oder zu Essverhaltensstörungen zunächst allein zu befragen.

   

Die Praxis-EDV besonders schützen

Die Praxis-EDV ist quasi das Herzstück einer Physiopraxis, da damit alles verarbeitet und gespeichert wird, was mit den Patienten und deren Behandlung zu tun hat. Insofern muss die Praxis-EDV vor dem unbefugten Zugriff Dritter besonders geschützt werden. Bedenken Sie: Selbst kleinste Praxiseinheiten können für Hacker ein interessantes Ziel sein! Die sog. digitale Erpressung kann jeden treffen. Unabhängig von der Größe eines Unternehmens geht es Erpressern schlicht um schnelles Geld durch Manipulationen einer Praxis-EDV. Auch das Abfischen und das Verkaufen von Gesundheitsdaten ist im Darknet viel Geld wert. Dort werden sie teurer als Kreditkartendaten gehandelt (Quelle: iww.de/s3216).

Wichtig | Die Datenschutzbehörden legen auch größten Wert auf eine angemessene Umsetzung des Datenschutzes durch die „Technischen und Organisatorischen Sicherungsmaßnahmen“ (TOMs). Schmerzlich hat dies Ende 2019 der Internetprovider 1&1 zu spüren bekommen: Das Unternehmen soll keine hinreichenden TOMs ergriffen haben, um seine Kundendaten vor einem unberechtigten Zugriff zu schützen. Dafür verhängte der Bundesdatenschutzbeauftragte ein horrendes Bußgeld in Höhe von 9,55 Mio. Euro. Ob dies auch vor Gericht Bestand haben wird, bleibt abzuwarten.