Der menschliche Faktor ist bei Datenschutzvorfällen in Arztpraxen häufig entscheidend: Ein falsch versandtes Fax, eine unverschlüsselte E-Mail mit Laborbefunden oder ein offen stehender Bildschirm im Wartezimmer – oft sind es Mitarbeiter, die DSGVO-Verstöße verursachen. Die DSGVO verpflichtet Praxisinhaber deshalb ausdrücklich, dafür zu sorgen, dass alle Personen, die Zugang zu personenbezogenen Daten haben, die notwendige Vertraulichkeit wahren und entsprechend unterwiesen sind. Ein DSGVO-Update ist der richtige Moment, diese Pflicht strukturiert umzusetzen.

Die Checkliste

  1. Alle betroffenen Mitarbeiter identifizieren: Wer in der Praxis hat Zugang zu Patientendaten? Das umfasst medizinisches Personal, Verwaltung, Reinigungskräfte und externe Dienstleister mit Zutritt zur Praxis.
  1. Verpflichtung auf Vertraulichkeit erneuern: Mitarbeiter müssen schriftlich auf die Einhaltung des Datenschutzes verpflichtet werden (§ 53 BDSG). Prüfen Sie, ob alle Verpflichtungserklärungen aktuell und vollständig sind.
  1. Schulungsinhalt auf das Update abstimmen: Informieren Sie das Personal gezielt über die Änderungen, die das aktuelle DSGVO-Update mit sich bringt – neue Prozesse, neue Software, neue Verhaltensregeln.
  1. Schulung dokumentieren: Halten Sie Datum, Teilnehmer, Inhalte und Dauer der Schulung schriftlich fest. Eine Unterschriftenliste der Teilnehmer ist der wichtigste Nachweis.
  1. Neues Personal sofort schulen: Frisch eingestellte Mitarbeiter müssen vor dem ersten Arbeitstag über die Datenschutzregeln der Praxis informiert werden. Eine Einführungsschulung sollte fester Bestandteil des Onboardings sein.
  1. Verhaltensregeln für den Alltag kommunizieren: Passwortregeln, Umgang mit Patientenakten, Sperren von Bildschirmen, Verbot privater USB-Sticks – konkrete Handlungsanweisungen sind wirkungsvoller als abstrakte Datenschutzbelehrungen.
  1. Umgang mit Patientenanfragen schulen: Mitarbeiter müssen wissen, wie sie auf Auskunftsersuchen, Widersprüche oder Beschwerden von Patienten reagieren. Ein klarer interner Eskalationspfad hilft.
  1. Datenpanne melden lernen: Jeder Mitarbeiter muss wissen, was er tun soll, wenn er einen potenziellen Datenschutzvorfall bemerkt. Die Meldekette muss klar und bekannt sein.
  1. Datenschutzbeauftragten vorstellen: Falls ein DSB bestellt ist, sollten alle Mitarbeiter wissen, wer das ist, wie er erreichbar ist und welche Funktion er hat.
  1. Regelmäßige Auffrischungsschulungen planen: DSGVO-Kenntnisse verfallen. Planen Sie mindestens einmal jährlich eine Auffrischungsschulung – vorzugsweise im Rahmen des regulären DSGVO-Updates.
  1. Vertraulichkeitsverpflichtung bei Ausscheiden erneuern: Wenn Mitarbeiter die Praxis verlassen, sollten sie ausdrücklich auf die fortgeltende Schweigepflicht und Vertraulichkeitspflicht hingewiesen werden.

Typische Fehler

Einmalige Schulung beim Eintritt, danach nichts mehr: Viele Praxen schulen Mitarbeiter nur bei der Einstellung und vergessen Auffrischungen. DSGVO-Anforderungen ändern sich, und Mitarbeiter vergessen Inhalte.

Keine schriftlichen Nachweise: Mündliche Unterweisungen sind nicht dokumentierbar. Ohne Unterschriftenliste kann bei einer Prüfung nicht nachgewiesen werden, dass geschult wurde.

Reinigungspersonal und externe Dienstleister vergessen: Auch Personen, die nicht zum medizinischen Kernteam gehören, aber Zugang zur Praxis haben, müssen datenschutzrechtlich unterwiesen werden.

Fazit

Gut informierte Mitarbeiter sind der wirksamste Datenschutzschutz einer Arztpraxis. Ärzteversichert empfiehlt, die Personalschulung als festen Bestandteil jedes DSGVO-Updates einzuplanen und Nachweise lückenlos zu archivieren. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →