Wenn der Datenschutz in Ihrer Praxis nur auf dem Papier steht

In den letzten Monaten häufen sich die Fälle, in denen kleine Praxen wegen vermeintlicher Datenschutzverstöße Post vom Landesdatenschutzbeauftragten bekommen. Meist geht es nicht um böse Absicht, sondern um Alltagsroutinen, die seit Jahren laufen – und plötzlich zum Problem werden. Die gute Nachricht: Die meisten dieser Fallen lassen sich mit wenig Aufwand entschärfen. Hier sind fünf Punkte, die fast jede Praxis übersieht.

Der Tresen, an dem jeder mithört

Der Empfang ist der Dreh- und Angelpunkt jeder Praxis. Hier wird telefoniert, Termine koordiniert, Patienten werden aufgerufen. Und genau hier passiert der erste Fehler: sensible Daten werden laut ausgesprochen, wo andere mithören können. Namen, Diagnosen, Medikamente – alles, was nicht für fremde Ohren bestimmt ist, landet im öffentlichen Raum.

Beispiel aus einer Neuköllner Praxis: Eine MFA ruft laut durch den Wartebereich: „Frau Müller, bitte kommen Sie zum Blutabnehmen – wir brauchen noch die Werte für Ihren Diabetes.“ Plötzlich wissen alle im Raum, wer Diabetes hat. Das ist nicht nur unangenehm für die Patientin, sondern ein klarer Verstoß gegen die DSGVO.

Die Lösung ist simpel: Ein kleiner, abgetrennter Bereich am Empfang, in dem Gespräche geführt werden können. Kein Platz? Dann hilft ein einfaches Schild: „Bitte leise sprechen – Datenschutz“. Und vor allem: Sensibilisierung des Teams. Eine kurze Schulung, in der klar gemacht wird, was laut gesagt werden darf und was nicht. Kosten: 30 Minuten Zeit, Wirkung: riesig.

Die ungesicherte Patientenliste auf dem Bildschirm

Jeder kennt das: Der Bildschirm am Empfang zeigt die aktuelle Patientenliste an – wer ist dran, wer wartet noch. Praktisch für die Organisation, aber ein Albtraum für den Datenschutz. Denn diese Liste enthält nicht nur Namen, sondern oft auch Geburtsdaten, Versicherungsnummern oder sogar Diagnosekürzel. Und die sind für jeden sichtbar, der am Tresen steht.

In einer Charlottenburger Praxis hing die Liste sogar auf einem zweiten Monitor, der für Patienten einsehbar war. Ein Patient hat das fotografiert und an die Datenschutzbehörde gemeldet. Ergebnis: 3.500 Euro Bußgeld. Dabei wäre die Lösung so einfach gewesen: Die Liste gehört auf einen Bildschirm, der nur für das Personal sichtbar ist. Oder noch besser: ein separates Tablet, das nach Gebrauch weggeräumt wird.

Noch ein Tipp: Nutzen Sie die Bildschirmsperre. Wenn der Empfang kurz verlassen wird, sollte der Bildschirm gesperrt sein. Das geht mit einem Klick – und verhindert, dass Unbefugte Daten einsehen können. In einer Praxis in Pankow hat eine Reinigungskraft nach Feierabend versehentlich Patientendaten auf dem ungesperrten Bildschirm gesehen. Die Meldung an den Datenschutz war nur eine Frage der Zeit.

Die MFA, die ihre Zugangsdaten teilt

„Kannst du mal schnell meinen Account nutzen? Ich hab mein Passwort vergessen.“ – Sätze wie dieser fallen täglich in Praxen. Und jedes Mal ist es ein Verstoß gegen den Datenschutz. Denn Zugangsdaten sind personenbezogen und dürfen nicht weitergegeben werden. Punkt.

In einer Praxis in Steglitz hat eine MFA ihre Zugangsdaten an eine Kollegin weitergegeben, weil sie im Urlaub war. Die Kollegin hat versehentlich eine falsche Patientenakte gelöscht. Die Praxis musste nicht nur die Akte wiederherstellen, sondern auch eine Meldung an die Datenschutzbehörde machen. Kosten: 2.000 Euro Bußgeld und ein Wochenende Arbeit für die IT.

Die Lösung: Ein Passwort-Manager, der es ermöglicht, temporäre Zugänge zu erstellen. Oder noch besser: Ein System, das automatische Passwort-Rücksetzungen erlaubt. Und vor allem: Klare Regeln im Team. Wer seine Zugangsdaten vergisst, muss sich an die Praxisleitung wenden – nicht an die Kollegin.

Die unverschlüsselte E-Mail mit Befunden

KIM (Kommunikation im Medizinwesen) ist seit 2021 Pflicht. Trotzdem schicken viele Praxen noch immer Befunde per unverschlüsselter E-Mail. Das ist nicht nur unsicher, sondern auch ein klarer Verstoß gegen die DSGVO. Und es passiert häufiger, als man denkt: Eine MFA schickt schnell einen Befund an einen Kollegen, der gerade nicht erreichbar ist – und nutzt dafür die private E-Mail-Adresse. Oder ein Arzt diktiert einen Brief, der dann per unverschlüsselter E-Mail an den Patienten geht.

In einer Praxis in Friedrichshain hat eine MFA versehentlich einen Befund an die falsche E-Mail-Adresse geschickt. Der Empfänger hat die Daten nicht nur gelesen, sondern auch an die Datenschutzbehörde gemeldet. Bußgeld: 5.000 Euro. Dabei wäre die Lösung so einfach: KIM nutzen. Und wenn es schnell gehen muss: Eine verschlüsselte Datei per E-Mail schicken, das Passwort separat übermitteln – zum Beispiel per Telefon.

Noch ein Tipp: Richten Sie eine automatische Erinnerung ein, die alle Mitarbeiter daran erinnert, keine sensiblen Daten per unverschlüsselter E-Mail zu versenden. Das kostet fünf Minuten – und spart im Ernstfall tausende Euro.

Der USB-Stick, der in der Schublade liegt

Jeder hat sie: USB-Sticks, die irgendwann mal für eine Schulung oder einen Vortrag genutzt wurden. Und die jetzt in der Schublade liegen – mit Patientendaten drauf. Das Problem: Diese Sticks sind oft unverschlüsselt und können leicht verloren gehen. Oder schlimmer: Sie werden versehentlich an den falschen Empfänger weitergegeben.

In einer Praxis in Lichtenberg hat eine MFA einen USB-Stick mit Patientendaten an einen Kollegen weitergegeben, der ihn versehentlich in einem Copyshop liegen ließ. Die Daten waren weg – und die Praxis musste eine Meldung an die Datenschutzbehörde machen. Bußgeld: 4.000 Euro. Dabei wäre die Lösung so einfach: USB-Sticks mit Patientendaten gehören verschlüsselt und dürfen nur für den vorgesehenen Zweck genutzt werden. Und nach Gebrauch: Daten löschen, Stick vernichten.

Noch besser: Nutzen Sie Cloud-Lösungen, die speziell für Arztpraxen zugelassen sind. Die sind sicherer, einfacher zu handhaben und ersparen Ihnen den Ärger mit verlorenen Sticks.

Was Sie jetzt tun sollten

Datenschutz ist kein Hexenwerk. Die meisten Probleme lassen sich mit einfachen Maßnahmen vermeiden. Hier ist Ihre Checkliste für die nächsten zwei Wochen:

  • Richten Sie einen abgetrennten Bereich am Empfang ein – oder hängen Sie ein Schild auf, das an den Datenschutz erinnert.
  • Stellen Sie sicher, dass Patientenlisten nicht öffentlich einsehbar sind. Nutzen Sie die Bildschirmsperre, wenn der Empfang verlassen wird.
  • Führen Sie klare Regeln für Zugangsdaten ein. Keine Weitergabe, keine gemeinsamen Accounts.
  • Nutzen Sie KIM für den Versand von Befunden. Und wenn es schnell gehen muss: Verschlüsseln Sie die Datei und übermitteln Sie das Passwort separat.
  • Entsorgen Sie alte USB-Sticks mit Patientendaten. Nutzen Sie stattdessen sichere Cloud-Lösungen.

Und vor allem: Sensibilisieren Sie Ihr Team. Ein kurzes Meeting, in dem die wichtigsten Punkte besprochen werden, reicht oft schon aus. Datenschutz ist kein Projekt, das irgendwann abgeschlossen ist – es ist eine Daueraufgabe. Aber eine, die sich lohnt. Denn am Ende geht es nicht nur um Bußgelder, sondern um das Vertrauen Ihrer Patienten.

Ähnliche Beiträge