E-Business

Der Datenschutz in einer Arztpraxis – Welche datenschutzrechtlichen Vorgaben müssen Sie beachten?

Nach dem Bundesdatenschutzgesetz (BDSG) werden gemäß § 3 Abs. 1 BDSG personenbezogene Daten geschützt, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Das BDSG gilt dabei sowohl für Unternehmer (so genannte „nicht-öffentliche Stellen“) wie für Behörden (so genannte „öffentliche Stellen“), wobei bei diesen datenschutzrechtlich weiter zu differenzieren ist (Bundes- oder Landesbehörde etc.).

Grundsatz nach dem BDSG: Einwilligung des Betroffenen oder gesetzliche Gestattung nötig

Grundsätzlich ist die Datenerhebung, Verarbeitung und Nutzung soweit zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Für die Verarbeitung personenbezogener Daten in der Arztpraxis ist daher neben den Vorschriften zur Einwilligung besonderes Augenmerk auf die Regelungen des Dritten Abschnitts des BDSG zu legen, da dort das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke geregelt ist.

Gesundheitsdaten: besondere Art personenbezogener Daten nach § 3 Abs. 9 BDSG

Das BDSG lautet in § 3 Abs. 9 BDSG wie folgt:

„Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Damit sind Gesundheitsdaten von Patienten in Arztpraxen als „besondere Arten personenbezogener Daten“ zu verstehen und daher in der Folge einem besonderen datenschutzrechtlichen Schutz zu unterstellen. So bedingt beispielsweise § 4d Abs. 5 Nr. 1 BDSG die Durchführung einer Vorabkontrolle „automatisierte Verarbeitungen“, wenn personenbezogene Daten automatisiert verarbeitet werden sollen. § 4a Abs. 3 BDSG stellt für die Einwilligung hinsichtlich besonderer Arten personenbezogener Daten spezielle Voraussetzungen auf.

Für den Bereich der technischen Umsetzung der Datenverarbeitung hebt § 9 BDSG hervor, dass Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind alle Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Gemäß § 3 Abs. 9 i.V.m. § 4a Abs. 3, § 4d Abs.5 und § 28 Abs. 6 BDSG muss bei Patientendaten immer von einem hohen Schutzbedarf ausgegangen werden.

[asa custom_title=Datenschutz in der Arztpraxis Ein Leitfaden für den Umfang mit Patientendaten]3811434616[/asa]

Gemäß § 1 Abs. 3 S. 2 BDSG bleiben neben dem BDSG die berufsrechtlichen Regelungen unberührt. Die Bewertung der ärztlichen Schweigepflicht per se findet damit auch Einzug in das Datenschutzrecht. Daneben muss bei der Anwendung eines IT-Systems auf die Einhaltung der Grundsätze der Vertraulichkeit, Verfügbarkeit und Integrität der Daten geachtet werden.

Datenschutzrechtlichen Belange, die für eine Arztpraxis relevant sind

Generell sind vor allem die folgenden datenschutzrechtlichen Belange für eine Arztpraxis relevant:

Zu beachten ist für eine Arzpraxis zunächst der datenschutzrechtliche Grundsatz, dass das Speichern, Verändern, Übermitteln und die sonstige Nutzung personenbezogener Daten nur im Rahmen der Zweckbestimmung des Vertragsverhältnisses mit dem Patienten oder zur Wahrung berechtigter Interessen des Arztes bzw. der Behandlungseinrichtung zulässig ist. Auch dies gilt jedoch nur dann, wenn nicht anzunehmen ist, dass das schutzwürdige Interesse des Patienten an dem Ausschluss der Verarbeitung oder der Nutzung überwiegt (siehe insofern § 28 Abs. 6 BDSG).

1. Datenschutzrechtliche Einwilligungserklärung sollte schriftlich erfolgen

Die datenschutzrechtliche Einwilligungserklärung des Patienten bedarf der Schriftform gemäß § 4a Abs. 1 S. 3 BDSG, wenn nicht wegen besonderer Umstände eine andere Form angemessen ist.

2. Sicherstellung der technischen und organisatorischen Mittel

Der Arzt muss sicherstellen, dass die technischen und organisatorischen Mittel hinsichtlich der zu treffenden Sicherheitsmaßnahmen gemäß § 9 BDSG getroffen werden. Was im Einzelfall als erforderlich zu gelten hat kann erst nach einer Ermittlung der Schutzbedürftigkeit der gespeicherten Daten festgestellt werden.

Im Grundsatz sind gemäß der Anlage zu § 9 BDSG insbesondere folgende technischen Vorgaben einzuhalten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Zweckbindung.

3. Ordnungsgemäße Datensicherung durch Sicherungskopien

Für die erforderliche Datensicherung sind täglich Sicherungskopien zu erstellen. Dafür sind geeignete externe Medien zu verwenden. Die nähere Dokumentation richtet sich nach § 10 MBO, der Muster-Berufsordnung für die deutsche Ärzteschaft. Die Berufsordnung gestattet ausdrücklich auch die elektronische Dokumentation. Die so angefertigten Dokumente müssen zehn Jahre archiviert werden, so dass eine gute Datensicherung eine Grundvoraussetzung darstellt. Während der Archivierungszeit müssen die Dokumente auf Verlangen lesbar und verfügbar sein.

4. Datenmanagement zur  Gewährleitung der Integrität der Daten erforderlich

Alle im Rahmen der Behandlungsvorgänge gespeicherten Daten müssen den datenerhebenden Personen stets zugeordnet werden können. Die Administrationspflicht wird vom BDSG insoweit an die verarbeitende bzw. verantwortliche Stelle geknüpft. Wer der so genannte „Herr der Daten“ ist muss am Einzelfall bestimmt werden, da die Frage insbesondere in Bezug auf Gemeinschaftspraxen nicht immer leicht zu beantworten ist.

5. Stets Zugangsautorisierung nötig

Zu Grunde zu legen ist eine ernstzunehmende Autorisierungprozedur, damit jegliche Nutzung des IT-Systems kontrolliert werden kann. Dabei dürfen Benutzer des IT-Systems sich nur auf der Applikationsebene und niemals auf der Administrationsebene bewegen können. Wenn eine Autorisierung stattgefunden hat kann die Speicherung von Daten mit Kennung und Datum versehen werden, so dass ein sicheres Datenbankmanagement möglich ist.

6. Zugriff auf das IT-System muss vertraulich geschehen

Daneben führt der Autorisierungsprozess gleichzeitig zum sicheren Zugriffsmanagement. Nur wenn alle Zugriffsberechtigen registriert sind und über individuelle Zugriffsprofile verfügen, kann ein sicherer Zugang gewährleistet werden.

7. Datenübertragung darf nur im sicheren Netz erfolgen

Übertragungswege müssen sowohl gegen Datenverluste wie auch gegen Datenverfälschungen und unbefugte Kenntnisnahmen abgesichert werden. Eine Organisation über ein Wireless-Local-Area-Network kann ein Sicherheitsdefizit darstellen. Zudem stellt der unverschlüsselte Versand medizinischer Daten via E-Mail durch Ärzte oder ihre Mitarbeiter ein unverantwortliches Sicherheitsrisiko dar. Daneben ist die Nutzung je nach Verwendung des gewählten Netzmanagements auch gegen Angriffe aus dem Internet als Übertragungsweg zu schützen. Entsprechend ist ein fortgeschrittenes Firewallsystem erforderlich.

Fazit

Zur Vermeidung straf- und ordnungsrechtlicher Konsequenzen müssen Ärzte beim Einsatz von EDV-System zur Verarbeitung von Patientendaten zahlreiche datenschutzrechtliche Vorgaben in ihrer Arzpraxis beachten. Letztlich lohnt die Investition in die Informations- und Risikovorsorge: mit einem rechtssicheren Datenschutzkonzept können Ärzte Schwierigkeiten mit Aufsichtsbehörden und Patienten vermeiden sowie die finanziellen Risiken im Fall eines Datenschutzvorfalls minimieren.


Dr. Sebastian Kraska

Über den Autor Dr. Sebastian Kraska

Herr RA Dr. Sebastian Kraska ist Gründer des privatrechtlichen Instituts für IT-Recht IITR, das mit verschiedenen Kooperationspartnern im Bereich Datenschutz tätig ist und Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt (Externe Datenschutzbeauftragte, Schulung interner Datenschutzbeauftragter, Datenschutz-Status-Analyse, Beratung im Datenschutzrecht).

0Kommentare

Es wurde bisher noch kein Kommentar verfasst. Starten Sie die Diskussion!