Eine Arztpraxis im Landkreis Ahrweiler musste ein Bußgeld zahlen. Der Grund war ein schwerer Umgangsfehler mit alten Patientendaten. Der Fall zeigt, wie schnell aus Nachlässigkeit ein Datenschutzverstoß wird.
Hintergrund:
Arztpraxen verarbeiten besonders sensible Daten. Dazu zählen Gesundheitsdaten nach Art. 9 DSGVO. Für diese Daten gelten klare Regeln zur Speicherung und zur Löschung. Werden diese Regeln missachtet, drohen Bußgelder. Zuständig war hier der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Was wurde entschieden?
Eine frühere Patientin erhielt mehr als zehn Jahre nach ihrem letzten Besuch eine Rechnung über 25,87 Euro. Die abgerechnete Behandlung hatte sie nie erhalten. Behandelt worden war eine andere Patientin mit ähnlichem Namen. Die Praxis hatte alte digitale Behandlungsdaten nicht gelöscht. Diese Daten hätten längst entfernt werden müssen. Durch die Namensähnlichkeit kam es zur falschen Zuordnung. Die fehlerhaften Angaben wurden an ein externes Abrechnungsunternehmen übermittelt. Eine Einwilligung dafür lag nicht vor. Erst nach Hinweis der Betroffenen wurde die Rechnung storniert. Die Aufsichtsbehörde bewertete dies als schweren Datenschutzverstoß. Es ging um fehlende Löschung, falsche Zuordnung und unzulässige Weitergabe von Gesundheitsdaten. Die Praxis erhielt ein Bußgeld im vierstelligen Bereich.
Bedeutung für Arztpraxen:
Der Fall betrifft viele Praxen. Alte digitale Patientenakten werden oft vergessen. Papierakten werden entsorgt, digitale Daten bleiben bestehen. Das ist ein Risiko. Gesundheitsdaten dürfen nicht unbegrenzt gespeichert werden. Auch kleine Rechnungsbeträge ändern daran nichts. Problematisch war hier auch die Weitergabe an einen Abrechnungsdienstleister. Ohne korrekte Datenbasis und ohne rechtliche Grundlage ist das unzulässig. Eine Namensähnlichkeit entlastet nicht.
So reagieren Arztpraxen richtig:
Arztpraxen sollten ihre Löschkonzepte prüfen und umsetzen. Das gilt für Papier und für IT Systeme. Alte Datensätze müssen regelmäßig gelöscht oder gesperrt werden. Digitale Patientenakten benötigen klare Fristen. Diese Fristen müssen dokumentiert sein. Verantwortlichkeiten sollten festgelegt sein. Vor der Übergabe von Daten an Abrechnungsunternehmen ist eine Plausibilitätsprüfung nötig. Namen allein reichen nicht. Geburtsdatum und Behandlungszeitraum sollten abgeglichen werden. Auch Auftragsverarbeitungsverträge nach Art. 28 DSGVO müssen aktuell sein. Mitarbeitende sollten geschult werden, vor allem bei der Zuordnung von Patientendaten.
Unsere Empfehlung:
Der Fall zeigt, dass Löschpflichten kein Formalthema sind. Arztpraxen sollten jetzt prüfen, welche alten digitalen Patientendaten noch gespeichert sind und ob diese noch benötigt werden. Eine kurze interne Kontrolle kann teure Fehler vermeiden.
Quellenangabe: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks