Arztpraxis und Datenschutz

Ein niedergelassener Arzt wandte sich an den Datenschutzbeauftragten. Der Arzt, der auch substitutionsgestützte Behandlungen Opiatabhängiger durchführt, berichtete, dass nach den einschlägigen Richtlinien der Bundesärztekammer so genannte Sicht-Urinkontrollen bei der Behandlung von Subtitutionspatienten vorgeschrieben seien. Er beabsichtigte, diese Kontrollen künftig mittels einer Videoüberwachungskamera durchzuführen, die in der für die Urinabgabe vorgesehenen Patiententoilette installiert werden solle. Konkret sollte die Urinabgabe der betroffenen Substitutionspatienten in der Weise überwacht werden, dass der Vorgang auf einem in einem Nebenraum installierten Monitor vom Arzt oder anderem Praxispersonal beobachtet wird. Eine Aufzeichnung der Kamerabilder war nach den Plänen des Arztes nicht vorgesehen.

(Datenschutzrechtlich handelt es sich bei der vom Arzt geplanten Kontrolle der Urinabgabe um eine Erhebung personenbezogener Daten i. S. d. § 6b Abs. 1 BDSG. Im vorliegenden Fall musste geprüft werden, ob die datenschutzrechtliche Erforderlichkeit gegeben ist).

Ein anderer Fall:

Eine Radiologie-Praxis warnte vor einiger Zeit ihre Patienten vor dem Verlust von Daten. Ein Webserver, auf dem sensible Patienten-Informationen von 230.000 Bürgern gespeichert waren, wurde von Unbekannten gehackt. Unter den auf dem Server gespeicherten Daten befanden sich die Namen, Sozialversicherungsnummern, Kennzahlen der medizinischen Diagnosen und Adressen der betroffenen Patienten nebst einigen weiteren persönlichen Daten.

Ein weiterer, wenn auch nicht neuer Aspekt

Regelungen zur Abwicklung des Hausarztvertrages in Schleswig-Holstein verstoßen nach Ansicht des OVG Schleswig-Holstein gegen den Datenschutz. Sie zwängen Ärzte dazu, sensible Patientendaten an die Hausärztliche Vertragsgemeinschaft und deren Dienstleister weiterzugeben, hieß es in einem Beschluss. Die Ärzte haben keine vollständige Kontrolle über die Daten.

Ein Albtraum für den Patienten

Die Operation am Kniegelenk mit der schonenden Methode der Arthroskopie verläuft zunächst reibungslos – doch dann fällt der Bildschirm aus. Die Bild- und Videodaten der kleinen Kamera im Inneren des Knies werden nicht mehr auf das Display und den zentralen Server übertragen. Der Orthopäde muss die Operation unterbrechen. Die Ursache: Ein Virus hat das System lahmgelegt.

Solche Beispiele zeigen das Risiko auf, das im Umgang mit den besonderen, persönlichen Daten im Gesundheitswesen und den medizinischen IT-Systemen steckt.

Zeitgleich wächst das Bewusstsein um den Schutz der eigenen persönlichen Daten in der Bevölkerung.

Da ist es verständlich, dass Patienten sich mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.

Der einzelne Nutzer von modernen Instrumenten der Kommunikation ist nur noch  bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.

Gerade Betriebe für die die Verwendung von besonders schützenswerten personenbezogenen Daten wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft oder zur Religion, unablässig ist, sind zu erhöhter Sorgfaltspflicht verpflichtet.

Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.

Analog dieser Formulierung müssten die meisten niedergelassenen Ärzte sich ad jure keine Gedanken zum Thema Datenschutz machen, zumal die ärztliche Schweigepflicht scheinbar die Schutzbedürfnisse der Patienten abdeckt.

Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen  Fertigkeit unlauterer Zeitgenossen stand halten.

Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft somit alle ärztlichen Fachrichtungen.

Die Vorabkontrolle kann nach BDSG entfallen, wenn alle Patienten schriftlich ihr Einverständnis zur Verarbeitung ihrer Daten geben bzw. gegeben haben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es ist jedoch vorbehalten, ob dies elektronisch oder herkömmlich geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb theoretisch in der Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.

Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich gesetzeskonform aufzustellen:

–          entweder durch die Bestellung eines Datenschutzbeauftragten oder

–          durch die explizite, schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.

Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und nicht zu Letzt die doch erheblichen Strafen im Falle einer Abmahnung, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis gesetzeskonform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen.

Dabei ist weder der Beschluss, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, noch die alleinige Benennung eines/r Praxismitarbeiters/in als Datenschutzbeauftragte/r eine erschöpfende Lösung. Ein Systembetreuer ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, unzureichend. Die sich rasant entwickelnden IT-Technologien und die Fortschreibung des juristischen Basiswissens sind nur in Ausnahmefällen von medizinischem Fachpersonal abdeckbar. Ganz zu schweigen vom zusätzlichen Zeitaufwand, der der Betreuung der Patienten fehlt. Ein hauptberuflicher medizinischer Datenschutzexperte klärt viele der anstehenden Themen in Bruchteilen der Zeit und benötigt keinen Zusatzaufwand an permanenter Fortbildung.

Gerne unterstützen wir Sie weiterführend mit unserer Expertise bei Ihrem Thema „Datenschutz in Arzt-Praxen“.

Advertisements

Über behr consult

Datenschutz, Informationssicherheit und IT-Security

Veröffentlicht am 20. Juli 2011 in Arzt, BSI, Datenschutz, IT-Security, Praxis, SPAM, Videoüberwachung, Viren und mit , , getaggt. Setze ein Lesezeichen auf den Permalink. Hinterlasse einen Kommentar.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s