Datenschutz beim Arzt

Friendly · 14. November 2019 um 00:41

Hallo zusammen,
ich entwickel gerade ein Kassensystem für eine Arztpraxis.
Nun möchten die Arzthelferinnen das auf den Quittungen der Name des Patienten eingetragen wird und man hinterher die Datenbank nach diesem Namen durchsuchen kann, um z.B. sagen zu können: Patient x hat Medikament y z mal verschrieben/verkauft bekommen.

Meine Frage nun, ist das rechtens wenn hier die persönlichen Daten mit den Informationen in der Datenbank verknüpft werden?

Viele Grüße

Friendly

Thunderbirdy · 14. November 2019 um 00:41

Hallo Friendly,

pauschal ist das mit den bisher vorhandenen Informationen nur schwer zu beantworten. Prinzipiell sollte das vorher mit dem Datenschutzbeauftragten der Arztpraxis besprochen werden. Nach §4d Abs. 5 BDSG liegt hier eine Voraussetzung für eine Vorabkontrolle vor, da besonders schützenswerte Daten erfasst und verarbeitet werden.
Andererseit gibt es in den meisten Behandlungsverträgen zwischen Arzt und Patient auch eine Klausel, nach der der Patient der Verarbeitung seiner personenbezogenen Daten in der Arztpraxis zustimmt.
Da die genauen Umstände unklar sind, wird es schwer den Sachverhalt detailiert zu klären.

Was genau soll denn erfasst werden? In der Regel verschreiben Ärzte die Medikamente nur und verkaufen sie nicht direkt an ihre Patienten. Verschreibungen landen jedoch automatisch in der jeweiligen Patientenakte (egal ob auf Papier oder elektronisch) und die Arzthelferin oder der Arzt können anhand des Namens die gesamte Krankengeschichte des Patienten einsehen.

Wer bekommt denn die Quittung? Sollte Sie neben dem Patienten und dem ärztlichen Personal an eine andere Stelle gehen, könnte dies in der Tat datenschutzrechtlich bedenklich sein.

Wenn noch weitere Fragen auftauchen können Sie mich auch unter [email protected] erreichen

Viele Grüße
Thunderbirdy

Friendly · 14. November 2019 um 00:41

Hallo Thunderbirdy,
danke für die Antwort. Auf den Gedanken das ein Vertrag zwischen Patient und Arztpraxis geschlossen werden könnte bin ich noch gar nicht drauf gekommen. Da muss ich erstmal Rücksprache mit der Praxis halten.

Also die Daten werden auf jeden Fall nur intern verarbeitet. Und sind auch passwortgeschützt.

Beim direkten Verkaufen geht es um frei verkäufliche Medikamente. Also die direkten Rezepte tauchen in der Datenbank eigentlich gar nicht auf, weil die ja nciht gebucht werden müssen.

Stefan_Lei_l_d4baeb · 14. November 2019 um 00:41

Hallo Friendly,
die Frage lässt sich nicht pauschal beantworten. Da es sich um sogenannte „personenbezogenen Daten der besonderen Art“ handelt, also in dem Fall Gesundheitsdaten, ist eine Vorabkontrolle durch den Datenschutzbeauftragten der Praxis notwendig. Das heißt, es muss vor Inbetriebnahme der Software die Rechtmäßigkeit und auch die Technisch-organistorischen-Maßnahmen überprüft werden. Das geht leider per Ferndiagnose nicht.
Generell stellt sich auch die Frage, ob es nötig ist die Daten in dem Kassenprogramm zu speichern. Wenn die verschriebenen Medikamente bereits in der Patientenakte vermerkt sind würde einen weitere Speicherung im Kassenprogramm dem Grundsatz der Datenvermeidung wiedersprechen.
Dann ist natürlich noch zu klären,ob und welche Daten dann später ggf. dem Steuerberater für die Buchhaltung weiter gegeben werden.
Es sollte auch geprüft werden, ob der Patient im Behandlungsvertrag sein Einverständnis für die Datenverarbeitung gegeben hat. Meiner Erfahrung nach liegt diese nicht bei allem Arztpraxen vor.
Also alles in allem kann die Frage nicht einfach mit ja oder nein beantwortet werden.
Sollten noch Fragen bestehen, können Sie sich gerne auch per Mail an mich wenden. [email protected]

MfG
Stefan Leißl

Ice_n_Heart · 14. November 2019 um 00:41

Hallo alleine.
Im Rahmen des Praxisbetriebs und zur Erfüllung ihrer Aufgaben müssen die Arzthelferinnen auf die Patientendaten zugreifen.
Wichtig ist, dass NUR der Arzt/die Ärztin und von ihm/ihr beauftragtes Personal Zugriff auf die Daten haben.
Gruß
Otto

PS Warum entwickelst Du ein Kassensystem für die Arztpraxis? Das Rad ist doch auch schon erfunden…

Dr_Siegfried_Fachet · 14. November 2019 um 00:41

Hallo, die gemachten Angaben sind recht knapp. Normalerweise werden Rezepta susgestellt, die bei der Apotheke eingelöst werden.
Wenn es hier darum geht, sog. Praxisbedarf, der an Patienten ausgehändigt wurde, zu dokumentieren, wird dies dann zulässig sein, wenn auf der Quittung der Vermerk angebracht wird. „Die Quittung wird edv-mäßig bearbeitet, gespeichert und ausgewertet“. Oder: Um einen Überlick darüber zu haben, welche Medikamente und Hilfsmittel Ihnen ausgehändigt wurden, werden diese Daten personenbezogen für interne Zwecke verarbeitet".

Dies ist der Text einer Einwilligung, der dann zur Datenverarbeitung berechtigt.

Gruss Siegfried

Sebastian_von_Kracht · 14. November 2019 um 00:41

Hallo Friendly,

das ist nicht so ohne tiefere Kenntnis der Details zu beantworten.

Welche Funktionen genau hat das Kassensystem?
Hat es eine Verbindung zu anderen Systemen, z.B. einer Praxisanwendung, in der Diagnosen, Therapien, Untersuchungsergebnisse usw. gespeichert werden?
„Patient x hat Medikament y z mal verschrieben/verkauft bekommen.“ … das „verschrieben“ spricht dafür, dass es nicht nur um Quittungen für Zahlungen, sondern auch um Rezepte und deren Inhalte geht, oder?
Welche „Datenbank“ ist denn gemeint? Die des Kassensystems?

Gerade bei Gesundheitsdaten ist eine Menge zu beachten, da dies unter „besondere Arten von Daten“ fällt.

Für eine Zulässigkeit könnte es sprechen, wenn die Verarbeitung der Daten für die Erfüllung des Zwecks erforderlich ist, d.h. wenn die genannten Informationen später tatsächlich benötigt werden und die Suchfunktion einem anerkanntermaßen zulässigen Zweck dient (und nicht nur zur Befriedigung der Neugierde ). Wenn es beispielsweise darum geht, dass man nicht versehentlich einem Patienten ein nicht ungefährliches Medikament in größeren Mengen abgibt, als er es benötigt, ist das auf jeden Fall eine Rechtfertigung.

Gegen eine Zulässigkeit könnte das Prinzip der Datensparsamkeit sprechen, wenn die Daten für die Erfüllung des Zwecks nicht erforderlich sind.

Wichtig wäre noch, wie die Daten im Kassensystem gegen unerlaubten Zugriff geschützt sind (physischer Zutritt, Zugriff, Berechtigungsteuerung usw. usw.)

Eine Weitergabe der Daten an Dritte (außerhalb der Praxis) erfolgt ja sowieso nicht, oder?

Eigentlich müsste man für das gesamte Kassensystem inkl. aller ggf. vorhandenen technischen oder prozessualen Verknüpfungen zu anderen Systemen ein Datenschutzkonzept erstellen, d.h. sich die gesamte Anwendung und die Prozesse anschauen und die Zulässigkeit der Erhebung, Verarbeitung und Nutzung der Daten im Einzelnen prüfen, außerdem schauen, ob die so genannten „technischen und organisatorischen Maßnahmen“ (im Datenschutz-Jargon „TOMs“ genannt) nach § 9 BDSG und Anhang dazu ausreichend und angemessen sind.

Arztpraxen sind datenschutzmäßig teilweise die reine Wüste, da kümmert sich derzeit erstaunlicherweise kaum jemand drum, aber das wird eines Tages sicher mal kommen. Irgendwann schießt sich die Aufsichtsbehörde mal darauf ein, und dann geht es los, spätestens, wenn es mal irgendwo ein größeres Leck gegeben hat und Patientendaten in dem vielzitierten Papierkorb der Autowaschanlage (Lidl-Vorfall) gefunden wurden.

Tja, also, wenn ich Dir da eine einigermaßen sichere Antwort geben soll, bräuchte ich sehr viel mehr Informationen.

Viele Grüße
Sebastian

Stefan_Meier_95817d · 14. November 2019 um 00:41

Hallo!

ich entwickel gerade ein Kassensystem für eine Arztpraxis.
Nun möchten die Arzthelferinnen das auf den Quittungen der
Name des Patienten eingetragen wird und man hinterher die
Datenbank nach diesem Namen durchsuchen kann, um z.B. sagen zu
können: Patient x hat Medikament y z mal verschrieben/verkauft
bekommen.
Meine Frage nun, ist das rechtens wenn hier die persönlichen
Daten mit den Informationen in der Datenbank verknüpft werden?

Das macht jedes Warenwirschaftssystem nicht anders!? Da es zur Erfüllung der ärztlichen Aufgabe gehört, ist es nach BDSG erlaubt, diese Verknüpung herzustellen.
mfG
Stefan

Olaf_Wejnar · 14. November 2019 um 00:41

Hallo Friendly,

nein, ganz und gar nicht. Ausnahmen hierzu sind im BDSG unter § 4c geregelt. Sofern die Daten ausschließlich der Patientenbetreuung an sich dient und auch nicht an Dritte übermittelt werden.

Der Datenschutzbeauftragte

Anonym_a3674589cd9c · 14. November 2019 um 00:41

Hallo Friendly,
wenn die Patienten eine Einwilligung unterzeichnet haben, in der alle Verarbeitungen Ihren personenbezogenen Daten aufgeführt und der Grund dafür angegeben ist und die einschlägigen Vorschriften des § 9 BDSG und dessen Anlage nachweisbar eingehalten werden, steht der beschriebenen Verarbeitung nichts mehr im Wege. Beachte bitte auch, dass Du dann 2 Arten von Patienten hast, die mit OK und die ohne OK! diese sind entsprechende unterschiedlich zu behandeln!
mfg
RV

bluepower530 · 14. November 2019 um 00:41

Hallo Friendly,

grundsätzlich ist dagegen nichts einzuwenden, denn der „Arztbetrieb“ muss ja die Medikation den PatientInnen zuordnen können.

Die Frage die sich dabei stellt ist, wer hat ZUGRIFF auf diese „Quittungen“ und wo und wie werden diese aufbewahrt?

Alle Personen (auch Sie als DBA) sollten auf das Datengeheimnis nach § 5 BDSG verpflichtet werden, diese „Quittungen“ dürfen nur dem Personal der Arztpraxis zugänglich sein und müssen ansonsten verschlossen aufbewahrt werden.

Es empfiehlt sich, dazu eine Verfahrensbeschreibung anzulegen, dann ist auch der Dokumentationspflicht genüge getan.

Mehr kann ich aus der Ferne leider nicht anraten, dazu benötige ich mehr Informationen.

Gruß
FG