Die Datenschutzgrundverordnung, kurz DSGVO, ist bereits seit dem Jahr 2018 in Kraft und hat seitdem auch für Arztpraxen einiges im Umgang mit Daten von Patientinnen und Patienten sowie des Personals verändert. Denn in jeder Arztpraxis werden tagtäglich sensible Patientendaten verarbeitet, weshalb der Datenschutz ein wichtiges Thema sein sollte – online und offline. Die DSGVO soll dabei personenbezogene Daten, also beispielsweise den Namen, die Krankenversicherung und vorliegende Erkrankungen, schützen und deren Verarbeitung und Speicherung einschränken. Das gilt für ein großes Ärztehaus mit zahlreichen Behandlern an einem Ort bis hin zur kleinen Zahnarztpraxis auf dem Land. Übrigens: Beschäftigt eine Arztpraxis mehr als zehn Mitarbeiterinnen und Mitarbeiter, ist auch hier ein Datenschutzbeauftragter Pflicht.
Die Maßnahmen umfassen aber nicht nur den Alltag in der Praxis, sondern gelten auch für den Online-Auftritt des Arztes. Der Internetauftritt ist für viele Ärzte eine digitale Visitenkarte. So können Patienten auf Leistungen, Behandlungsschwerpunkte und Referenzen aufmerksam gemacht werden. Außerdem finden sich hier Informationen zu Anfahrt und Öffnungszeiten. Doch damit die Webseite nicht nur informativ ist, sondern auch DSGVO-Standards entspricht, gibt es einige Aspekte zu beachten.
Die Datenschutzerklärung
Die Datenschutzerklärung muss für Internetnutzer leicht zugänglich auf einer gesonderten Seite und in verständlicher Sprache formuliert sein. Sie informiert die Webseiten-Benutzer über den Umfang und den Zweck, zu denen personenbezogenen Daten verarbeitet werden. Welche Punkte die Datenschutzerklärung genau beinhalten muss, hängt dabei stark vom Umfang der Webseite ab. Sogenannte „einfache Webseiten“, die nur auf Informationen zu Arzt, Adresse und Öffnungszeiten verweisen, haben geringere Anforderungen als beispielsweise eine Webseite mit Online-Kontaktformular. Zwingend erforderlich sind aber: Name und Kontaktdaten des Verantwortlichen, also meist des Praxisinhabers, der Zweck, zu dem die personenbezogenen Daten verarbeitet werden (zum Beispiel eine Terminvereinbarung), die entsprechende Rechtsgrundlage sowie der Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde und die Dauer der Datenspeicherung. Übrigens: Viele Ärzte präsentieren sich und ihr Praxis-Team auf der Webseite. Laut DSGVO wird dazu die schriftliche Einverständniserklärung der abgebildeten Person benötigt.
Bei Unsicherheiten ist es am besten, sich an einen erfahrenen Anwalt zu wenden. Denn bei Nicht-Beachtung oder Lücken drohen im schlimmsten Fall Bußgelder.
Die Verschlüsselung
Webseiten, auf denen personenbezogene Daten erhoben werden, müssen diese grundsätzlich verschlüsselt übertragen. Ziel einer solchen Verschlüsselung ist, zu verhindern, dass unbefugte Dritte Zugriff auf die Daten der Webseitenbesucher erlangen. Einen Hinweis darauf, ob die eigene Webseite diesen Anforderungen entspricht, gibt die Adresszeile im Internetbrowser. Diese sollte immer mit „https“ beginnen. Sogenannte SSL-Zertifikate bestätigen die Authentizität und Integrität einer Webseite. SSL ist die Abkürzung für Secure Socket Layer.
Das Kontaktformular
Viele Praxen bieten als zusätzlichen Service auch Online-Tools zur Terminvereinbarung an. In diesem Fall müssen Patientinnen und Patienten sensible Daten wie Name und Geburtsdatum preisgeben. Deshalb kann es erforderlich sein, dass Besucher aktiv in die Übermittlung der Daten einwilligen. Dabei müssen auch Pflichtfelder als solche gekennzeichnet werden, sodass der Nutzer auf den ersten Blick erkennt, welche Angaben freiwillig sind und welche nicht. Bei der Übermittlung muss selbstverständlich auch auf eine sichere SSL-Verschlüsselung geachtet werden, schließlich machen Patienten hier auch detaillierte Angaben zu ihrer Gesundheit.
Das Cookie-Banner
Cookies werden auf den meisten Webseiten eingesetzt und sollen diese anwenderfreundlicher machen. Dazu müssen sie vom Nutzer bestätigt werden, durch die sogenannte Erlaubnisnorm nach der DSGVO. Im Web finden sich zahlreiche Variationen zur Zustimmung – vom bloßen „OK“ bis hin zur Auswahl spezifischer Cookies. Dies liegt daran, dass hier noch keine klare Rechtslage besteht. Aktuell richten sie sich noch nach der DSGVO, sollen in Zukunft aber eigenen Richtlinien folgen.
Bei Cookies gibt es jedoch große Unterschiede. Nutzerfreundliche Cookies, oder solche, die technisch erforderlich sind, um den entsprechenden Dienst zu erbringen, und der Dienst ausdrücklich erwünscht ist, benötigen keine Einwilligung. Anders ist das bei Cookies, die beispielsweise zur Webseiten-Analyse genutzt werden. Hier sollte im Zweifel immer eine Einwilligung eingeholt werden.
