„Effektiver Datenschutz in der Radiologie“ lautet der Titel eines Webinars, das das Radiologen WirtschaftsForum am 27.04.2022 von 17:00 bis 18:30 Uhr veranstaltet. Als Referentin wird u. a. mit dabei sein die Hamburger Medizinrechtlerin Taisija Taksijan von der Kanzlei legal point . Ursula Katthöfer ( textwiese.com ) fragte sie zu typischen Fehlern beim Datenschutz in der Radiologie.

Redaktion: Wird der Datenschutz in den radiologischen Praxen und Abteilungen inzwischen gelebt?

Taisija Taksijan: Als die DSG-VO im Jahr 2018 in Kraft trat, rückten die Anforderungen an den Datenschutz auch in den Arztpraxen in den Fokus. Zum ersten Mal waren Bußgelder für Datenschutzverstöße, die erschreckend wirkten, in aller Munde.

Spätestens seit dem Bekanntwerden möglicher Datenschutzlücken bei der Archivierung radiologischer Daten auf den PACS-Servern sind sich Radiologen der Tragweite des Themas bewusst. Inzwischen bemühen sich die meisten Praxen nach bestem Wissen und Gewissen, ein gutes Datenschutzniveau zu erreichen und zu halten. Die Entwicklung ist gut.

Redaktion: Welche Fehler wiederholen sich häufig?

Taisija Taksijan: Die meisten Datenschutzpannen spielen sich an der Schnittstelle zwischen Praxis und Patient ab. Ein Patient erhält z. B. die MRT-CD, den Laborbefund oder ein Rezept eines anderen Patienten – per Post oder am Empfang in der Praxis. Darin liegt ein grober Datenschutzverstoß, weil ein unberechtigter Dritter Zugriff auf sensible Daten erhält. Derartige Fehler führen regelmäßig zur Verunsicherung bei den betroffenen Patienten und sind ein Einfallstor für sich anschließende vermeidbare Fehler im Umgang mit Datenschutzpannen.

Redaktion: Warum ist diese Schnittstelle so fehleranfällig?

Taisija Taksijan: Datenschutz steht und fällt mit guter Organisation täglicher Datenverarbeitungsprozesse und der Sensibilisierung des Teams. Beides muss sich dann noch im hektischen Praxisalltag bewähren. Oft ist es den Mitarbeitern gar nicht bewusst, dass sie gerade hochsensible Patientendaten in häufig bereits vorbeschriftete Umschläge einpacken und welche Auswirkungen ein falscher Empfänger haben kann.

Redaktion: Welche Folgen drohen einer radiologischen Praxis, wenn sie gegen den Datenschutz verstößt?

Taisija Taksijan: Seitens der Datenschutzbehörden erfolgt bei ersten und geringfügigen Verstößen im besten Fall nur eine Verwarnung. Wichtig ist ein proaktiver Umgang der Praxis mit festgestelltem Verstoß – eine schnelle und angemessene Reaktion, um Wiederholungen zu vermeiden. Die getroffenen Maßnahmen – wie Rücksendung der fehlgeleiteten Dokumente, Schulung der Mitarbeiter, Einführung des Vier-Augen-Prinzips – sollten der Behörde bei der Meldung der Datenschutzverletzung mitgeteilt werden. Die Datenschutzbehörden können aber auch Bußgelder verhängen – von bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes (ja nachdem, welcher Betrag höher liegt). Eine Vernachlässigung des Datenschutzes kann sich auch abseits der DSG-VO auswirken. Das Thema wird zunehmend für Patienten, aber auch für potenzielle Praxisnachfolger zum Entscheidungskriterium.

Redaktion: Wie ist die Situation bei Datenlecks in der IT?

Taisija Taksijan: Führt ein Datenleck zu einem Zugriff auf sensible Daten durch einen unberechtigten Dritten, liegt ein meldepflichtiger Verstoß vor. Wie wir gesehen haben, fallen Datenlecks in der Arztpraxis manchmal erst auf, wenn die Öffentlichkeit davon erfährt. Die Praxisinhaber sollten ihre IT-Infrastruktur daher kritisch prüfen und ggf. durch geeignete technische und organisatorische Maßnahmen nachbessern. Ab dem Moment der Kenntniserlangung sind meldepflichtige Verstöße innerhalb von 72 Stunden der Datenschutzbehörde zu melden. Geschieht dies nicht oder nicht rechtzeitig, dürfte sich das negativ auf die Höhe des Bußgelds auswirken.

Redaktion: Kann ein Radiologe auch seine Approbation verlieren?

Taisija Taksijan: Für den Entzug oder das Ruhen der Approbation ist die Ärztekammer zuständig. Bei schwerwiegenden Verfehlungen gegen ärztliche Berufspflichten, zu denen auch die Schweigepflicht gehört, können sich approbationsrechtliche Fragen stellen.

Redaktion: Was empfehlen Sie, um die ärztliche Schweigepflicht einzuhalten, wenn externe IT-Firmen eingeschaltet werden?

Taisija Taksijan: Regelmäßig liegt bei Einschaltung externer IT-Firmen ein Fall der sogenannten Auftragsverarbeitung vor. Dann muss ein Auftragsverarbeitungsvertrag, der den Anforderungen des Artikels 28 DSG-VO entspricht, geschlossen werden. Wichtig ist außerdem eine Geheimhaltungsverpflichtung im Sinne des § 203 Strafgesetzbuch.

Redaktion: Wer trägt letztlich die Verantwortung für die Datensicherheit?

Taisija Taksijan: Verantwortlich im Sinne der DSG-VO ist, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet – also der niedergelassene Arzt. Er bleibt auch dann verantwortlich, wenn er ein Subunternehmen zur Datenverarbeitung in seinem Auftrag einschaltet oder Aufgaben an Mitarbeiter delegiert. Deswegen ist es wichtig, dass der Praxisinhaber die einzelnen Datenverarbeitungsprozesse selbst verstehen und kontrollieren kann. Datenschutz ist und bleibt insofern Chefsache!