Supplement: PRAXiS

Datenschutz: Risikoprophylaxe

Dtsch Arztebl 2012; 109(16): [22]

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: iStockphoto
Foto: iStockphoto

Der Schutz personenbezogener Daten ist für den medizinischen Bereich wesentlich. IT-Einsatz und Internetnutzung bergen Gefahrenquellen, die minimiert werden sollten.

Wer mit personenbezogenen Daten umgeht, muss einige gesetzliche Bestimmungen beachten: So ist grundsätzlich jede Art von Datenverarbeitung verboten, es sei denn, die Einwilligung des Betroffenen liegt vor, oder es ist eine Rechtsgrundlage vorhanden (Verbot mit Erlaubnisvorbehalt). Hinzu kommen die Gebote der Zweckbindung und der Datensparsamkeit: Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden, und es dürfen nur die objektiv benötigten Daten verarbeitet werden. Darauf verwies Jürgen Labusch, Unternehmensberater für IT- und Vertriebsconsulting, bei einer Informationsveranstaltung des BVMed – Bundesverband Medizintechnologie e.V. in Bonn.

Anzeige

Größere Arztpraxen oder Kliniken bedienen sich häufig externer Dienstleister, etwa zur Archivierung oder zur (Fern-)Wartung der IT-Systeme. Dabei handelt es sich um Auftragsdatenverarbeitung: Die verantwortliche Stelle – das heißt die Arztpraxis oder das Krankenhaus – bedient sich eines Dritten, der für sie diese Daten im Auftrag und weisungsgebunden verarbeitet (§ 11 Bundesdatenschutzgesetz, § 80 Sozialgesetzbuch X). Der Auftrag dazu müsse dabei schriftlich erteilt werden, betonte Labusch. Der Auftragnehmer darf die Daten nur entsprechend der schriftlichen Vorgaben des Auftraggebers verarbeiten. Letzterer ist verpflichtet, sich zu Beginn des Auftrags und dann in angemessenen Abständen von der ordnungsgemäßen Verarbeitung durch den Auftragnehmer zu überzeugen. Dabei sei sicherzustellen, dass das Datenschutzniveau aufgrund der Auftragsdatenverarbeitung nicht herabgestuft werde, meinte der Experte.

Sämtliche Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind zudem auf das Datengeheimnis nach Bundesdatenschutzgesetz oder – wenn es sich um die Verarbeitung von Sozialdaten handelt – nach Sozialgesetzbuch zu verpflichten. Diese Verpflichtung gilt ausdrücklich auch für die Mitarbeiter von Unterauftragnehmern, sofern diese mit personenbezogenen Daten zu tun haben. Die Verpflichtung sollte schriftlich eingeholt und gegebenenfalls in der Personalakte hinterlegt werden, empfahl Labusch. Zudem müssten alle Mitarbeiter in Fragen des Datenschutzes in regelmäßigen Abständen unterwiesen werden, um sie für das Thema zu sensiblisieren.

Informationssicherheit

Auf das Verhältnis von Datenschutz und Informationssicherheit ging Dr. Thomas Leonard, Health Business Services Network, ein. Der Datenschutz hat primär die Vertraulichkeit und die Integrität von personenbezogenen Daten beziehungsweise Sozialdaten im Blick. Der Begriff der Informationssicherheit ist umfassender: Er betrifft sämtliche relevanten Daten einer Organisation. Neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten geht es dabei auch um die Sicherheit von nicht elektronisch verarbeiteten Informationen, etwa um organisatorische Aspekte. Über die Schutzziele Vertraulichkeit und Integrität hinaus sollen auch die Verfügbarkeit sowie die Authentizität und Nichtabstreitbarkeit gewährleistet werden.

Systematisches Vorgehen

Informationssicherheit dient dem Schutz vor Gefahren, der Vermeidung von Schäden und der Minimierung von Risiken, indem mögliche Schwachstellen beseitigt werden. Eine Schwachstelle ist laut Leonard beispielsweise eine schlecht programmierte Software. So ist die Informationssicherheit immer dann gefährdet, wenn etwa ein Server eine Schwachstelle hat, über die ein Angreifer von außen in ein System eindringen kann.

Bedrohungen können zufällig oder durch einen gezielten Angriff herbeigeführt sein. Um Angriffe etwa durch Viren oder Würmer zu verhindern, sollte jeder PC durch ein aktuelles Virenschutzprogramm geschützt sein. Zudem sollte ein systematisches Management der Informationssicherheit eingeführt werden. Dies setzt voraus, dass bestimmte organisatorische und technische Anforderungen erfüllt sind. Ein solches Risikomanagement umfasst nach Leonard unter anderem die Erstellung einer Informationsrichtlinie, eine Schutzbedarfs- und eine Risikoanalyse, ein Handbuch zu Datenschutz und Datensicherheit, die Implementierung von Maßnahmen zur Sicherstellung der Nachhaltigkeit sowie interne und externe Audits.

Grundsätzlich sollten nach Meinung der Experten Datenschutz und Informationssicherheit einen zentralen Stellenwert in der Praxis erhalten – und nicht erst dann thematisiert werden, wenn ein Schaden eingetreten ist. Heike E. Krüger-Brand

Zulässigkeit der Verarbeitung personenbezogener Daten

Die Verarbeitung besonderer personenbezogener Daten wie Gesundheitsdaten ist nur unter bestimmten Voraussetzungen zulässig:

  • wenn der Betroffene ausdrücklich eingewilligt hat

ohne Einwilligung:

  • wenn dies für rechtliche Ansprüche erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt
  • wenn dies aus Gesundheitszwecken notwendig ist und das Personal der Geheimhaltungspflicht unterliegt
  • wenn dies aus lebenswichtigem Interesse des Betroffenen oder Dritten erforderlich ist
  • wenn die Daten vom Betroffenen bereits öffentlich gemacht wurden.

Für die Auslagerung von Tätigkeiten aus einer Arztpraxis oder aus einem Krankenhaus, die eine Offenbarung von Patientendaten mit sich bringen, kommen die Möglichkeiten der Anonymisierung beziehungsweise Pseudonymisierung der Daten in Betracht.

Wenn sichergestellt ist, dass der externe Dritte keine personenbezogenen medizinischen Daten zur Kenntnis nehmen kann (etwa bei Verschlüsselung aller Informationen), liegt keine Durchbrechung der ärztlichen Schweigepflicht vor.

Informationen:

www.lfd.m-v.de/dschutz/informat/telemedi/telemedi.html

www.datenschutzzentrum.de/material/themen/gesund/patdvia.htm

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema