Supplement: Praxis Computer

Datenschutz: Fernwartung medizinischer EDV-Systeme

Dtsch Arztebl 2002; 99(23): [2]

Quade, Gustav

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
Bei Betrieb, Reparatur und Wartung von EDV-Systemen, die in der Arztpraxis oder im Krankenhaus eingesetzt werden und die Patientendaten enthalten, sind bestimmte gesetzliche Regelungen zu beachten.
Die Nutzung der EDV für Dokumentations-, Abrechnungs- und Organisationszwecke ist in der ärztlichen Praxis und in Krankenhäusern weit verbreitet. Hierzu werden zwangsläufig auch personenbezogene Patientendaten erfasst, gespeichert, verarbeitet und mittels Datenträgeraustausch oder Datenfernübertragung (DFÜ) an berechtigte Empfänger weitergeleitet. Dabei müssen verschiedene Gesetze beachtet werden.
Bundes- und Landesdatenschutzgesetze regeln die automatisierte Verarbeitung personenbezogener Daten. Beim Betrieb von Systemen, auf denen nicht anonymisierte Patientendaten gespeichert oder verarbeitet werden, müssen eventuell zusätzlich beachtet werden:
- ein landesspezifisches Gesundheitsdatenschutzgesetz (GDSG),
- § 203 Strafgesetzbuch (StGB; Verletzung von Privatgeheimnissen),
- § 97 Strafprozessordnung (StPO; Beschlagnahmefreie Gegenstände), - § 53 StPO (Zeugnisverweigerungsrecht für bestimmte Berufsgruppen),
- die Musterberufsordnung für Ärzte (§ 9 Schweigepflicht, § 10 Dokumentationspflicht).
Dies gilt nicht nur für den Regelbetrieb. Müssen bei einer Störung Hardware, Programme, Datenbanken oder DFÜ durch Fremdpersonal gewartet werden, hat der betreibende Arzt sicherzustellen, dass dies gesetzesgemäß durchgeführt wird. Welche gesetzlichen Vorschriften hat der Arzt hierbei zu beachten, und unter welchen Rahmenbedingungen sind Betrieb und Wartung möglich?
Gesetze
Die Bedingungen, unter denen personenbezogene Daten verarbeitet werden dürfen, regelt das Bundesdatenschutzgesetz (BDSG). Nach § 3 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Diese Definition trifft auf Patientendaten zu. Die automatisierte Verarbeitung (Erfassen, Speichern, Ändern, Übermitteln, Sperren und Löschen) von Patientendaten unterliegt damit dem BDSG. In § 3 Abs. 9 BDSG werden Angaben zur Gesundheit zusätzlich als eine „besondere Art personenbezogener Daten“ definiert. Zulässig ist die Datenverarbeitung personenbezogener Daten nach § 4 Abs. 1 nur dann, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder wenn die betroffene Person eingewilligt hat. Der Arzt kann aber auch die für eine Behandlung notwendigen Daten ohne Einwilligung des Patienten im Computer verarbeiten. Dies ergibt sich aus § 28 Abs. 7 Satz 1 BDSG:

Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.
Einer entsprechenden Geheimhaltungspflicht unterliegen nach § 203 Abs. 1 StGB auch Ärzte. Andere Rechtsvorschriften, die die Verarbeitung personenbezogener Patientendaten erlauben, finden sich zum Beispiel im Sozialgesetzbuch.
Bei der Verarbeitung personenbezogener Daten haben der Arzt und das Krankenhaus auch eine Reihe von Pflichten. So sind nach § 9 BDSG in Verbindung mit der Anlage zu § 9 von der verarbeitenden Stelle Maßnahmen zu treffen, die Unbefugten Zutritt zu Datenverarbeitungsanlagen, auf denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren (Zutrittskontrolle), die Nutzung der Datenverarbeitungssysteme durch Unbefugte verhindern (Zugangskontrolle) und den Zugriff auf die Daten nur den dazu berechtigten Personen ermöglichen (Zugriffskontrolle).
Verstöße gegen das BDSG werden als Ordnungswidrigkeit eingestuft, wobei nach § 43 Abs. 3 die Höhe der Geldbuße bis zu 250 000 Euro betragen kann. Das BDSG betrifft nahezu alle in der ambulanten Versorgung tätigen Kollegen. Für öffentliche Stellen der Länder (Universitätskliniken, einzelne Krankenhäuser) gelten an Stelle der Vorschriften des BDSG die entsprechenden Landesdatenschutzgesetze, die sich eng an das BDSG anlehnen. Bereits vorhanden (NRW) oder in Planung sind in einigen Bundesländern spezielle Gesundheitsdatenschutzgesetze zum Schutz personenbezogener Daten im Gesundheitswesen.
Weder das BDSG noch die Landesdatenschutzgesetze beinhalten für sich einen umfassenden Schutz medizinischer Daten. Der besondere Schutz von Patientendaten ergibt sich aus der Kombination der Datenschutzgesetze mit dem § 203 StGB, dem § 97 StPO (beschlagnahmefreie Gegenstände) und dem § 53 StPO (Zeugnisverweigerungsrecht von bestimmten Berufsgruppen). Eine zentrale Rolle spielt dabei der § 203 StGB (Verrat von Geheimnissen). Die wichtigsten Absätze und Sätze aus § 203 StGB lauten:

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als
1. Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
anvertraut worden oder sonst bekannt geworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(3) . . . Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder aus dessen Nachlass erlangt hat.
(4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart.

Der Arzt und eine Krankenhausverwaltung haben Patientendaten vor der Einsichtnahme durch Personen zu schützen, die nicht gemäß § 203 StGB zu den zum Wissen Berufenen gehören. Ermöglicht der Arzt zum Beispiel dem Mitarbeiter einer Fremdfirma, Patientendaten oder auch nur eine Namensliste von Patienten einzusehen, begeht er stets eine Offenbarung fremder Geheimnisse im Sinne des § 203 StGB und einen Bruch der ärztlichen Schweigepflicht nach § 9 der Berufsordnung. Nach Taupitz (MDR 92, 421, 424 re. Sp. m. w. N.) stellt bereits die Offenlegung der Tatsache, dass ein Patient in der Behandlung eines Arztes oder im Krankenhaus war, eine Verletzung der ärztlichen Schweigepflicht dar.
Die vertragliche Ausweitung der ärztlichen Schweigepflicht, zum Beispiel auf Mitarbeiter einer externen Wartungsfirma, ist nicht möglich und daher keine Lösung für dieses Problem. Nach einem Urteil des Düsseldorfer Oberlandesgerichts (Az.: 20 V 139/95) kann nur der in § 203 Abs. 1 Nr. 1 StGB genannte Personenkreis die ärztliche Schweigepflicht verletzen und umgekehrt wahren. Lediglich dessen berufsmäßig tätige Gehilfen sowie die dort zur Berufsvorbereitung Tätigen sind insoweit gleichgestellt (§ 203 Abs. 3 StGB). Erfährt ein Mitarbeiter einer Fremdfirma derartige Informationen und gibt sie weiter, begeht er nur einen Verstoß gegen das Datenschutzgesetz.
Werden Patientendaten im Rahmen der Fernwartung außerhalb der Einrichtung des medizinischen Leistungserbringers, beispielsweise bei einer EDV-Firma, gespeichert, unterliegen sie dort nicht mehr dem besonderen Schutz der ärztlichen Schweigepflicht und des § 203 StGB. Darüber hinaus stehen Patientendaten, die sich nicht in ärztlicher Obhut befinden, nicht mehr unter dem Schutz der §§ 53 und 97 StPO und könnten, beispielsweise im Rahmen staatsanwaltlicher Ermittlungen, beschlagnahmt werden. Diese Beschränkung gilt nur dann nicht, wenn der Verweigerungsberechtigte (zum Beispiel ein Arzt) selbst einer Straftat verdächtigt ist. In gleicher Weise schutzlos wären Patientendaten, wenn über diese Firma das Insolvenzverfahren eröffnet würde, diese Firma in einer anderen Firma aufginge, diese Firma den Firmenstandort ins Ausland verlegte und anderes. Daher darf der Arzt keine Patientendaten – auch nicht per Datenkabel – Fremden überlassen oder von Außen zugänglich machen.
Wie restriktiv die Rechtsprechung in Bezug auf medizinische Daten ist, zeigt ein Urteil des Oberlandesgerichts Düsseldorf. Ein Unternehmen, das die externe Archivierung von Patientenakten angeboten hatte, wurde von einem Konkurrenten des Verstoßes gegen das Gesetz gegen den unlauteren Wettbewerb beschuldigt, da bei der Angebotserstellung verschwiegen wurde, dass das Angebot eine Beteiligung an fremdem Rechtsbruch beinhaltete. Dies wurde vom Gericht ebenso gesehen. In dem Urteil (www.datenschutz-bayern.
de/verwaltung/outsour2.htm) vom 20. August 1996 (Az.: 20 V 139/95) führte das Gericht sinngemäß Folgendes aus: Diejenigen Ärzte und/oder Krankenhausverwaltungen, die Patientendaten (also Krankenblätter, Arztbriefe, Röntgenaufnahmen, technische Aufzeichnungen und anderes) zur Verfilmung, sonstigen Bearbeitung und Archivierung an Dienstleister aushändigen, „offenbaren“ damit im Sinne des § 203 StGB Geheimnisse des betreffenden Patienten. Die rechtlich eigenständigen und selbstverantwortlich handelnden Dienstleistungsunternehmen, bei denen überdies Patientenunterlagen nicht mehr nach § 97 Abs. 2 StPO privilegiert – nämlich nicht beschlagnahmefrei – sind, können nicht den berufsmäßig tätigen Gehilfen von Ärzten im Sinne von § 203 Abs. 3 StGB zugerechnet werden. Von einer – mutmaßlichen oder sogar konkludenten – rechtfertigenden Einwilligung der Geheimnisgeschützten, also der betroffenen Patienten, kann nicht ausgegangen werden. Patienten erwarten nicht, dass ihre oft hochsensiblen Daten „herumkutschiert“ und von – aus der Sicht der Patienten – beliebigen Dritten eingelesen, verfilmt, kopiert und Ähnliches werden.
Praktizierbare Verfahren
Die gesetzlichen Rahmenbedingungen schränken die Möglichkeiten der Fremdwartung zugunsten der Patientenrechte ein. Unproblematisch ist die Fremdwartung, wenn bei der Wartung nicht auf personenbezogene Daten zugegriffen werden kann. Ist dies nicht ausgeschlossen und kann bei einer Fernwartung die Möglichkeit einer Übermittlung von personenbezogenen Daten außerhalb des Herrschaftsbereichs des medizinischen Leistungserbringers in einer Form, die die Nutzung der Daten zulässt, nicht ausgeschlossen werden, ist von einer Fernwartung abzusehen. In diesem Fall sollte ausschließlich eine Wartung vor Ort durchgeführt werden.
Möglich wäre unter diesen Bedingungen eine Fremdwartung nur dann, wenn alle Patienten nach eingehender Aufklärung dem zustimmen würden. Eine solche Aufklärung, die auch die möglichen Nachteile für den Patienten durch den Verlust des Schutzes vor Beschlagnahme beinhalten müsste, ist in der Praxis aber nicht durchführbar.
Unproblematisch ist die Wartung durch externe Fachleute im Beisein des Betreibers, der diese überwachen und jeglichen Missbrauch sofort unterbinden könnte. Eine entsprechende Lösung für die Fernwartung könnte ein zwischengeschalteter Rechner sein, der sämtliche Aktionen des Fernwartenden vor Ort anzeigt und protokolliert. Die Verbindung darf nur vom medizinischen Betreiber aufgebaut werden können, der die Aktionen des Fernwartenden und die Reaktionen des gewarteten Datenverarbeitungssystems beobachtet. Bei Missbrauch muss die Verbindung sofort getrennt werden. Ein derartiges Verfahren wird in Teil II der im Internet verfügbaren Fernwartungsrichtlinie beschrieben (die Richtlinie und ein Mustervertrag sind abrufbar unter www.aerzteblatt.de, Rubrik: DÄ plus; sowie unter www.meb.uni-bonn.de/datenschutz).
Müssen im Rahmen der Fernwartung Patientendaten nach außen übertragen werden, so sind diese durch starke Kryptographieverfahren zu anonymisieren. Obwohl kryptographische Verfahren in der Wirtschaft und im Internet weit verbreitet sind, hat die Software-Industrie bisher keine Lösungen für DV-Systeme in Klinik und Praxis erarbeitet. Dies ist nicht verwunderlich, denn schließlich macht sich nicht der externe DV-Dienstleister strafbar, sondern der Arzt oder das Krankenhaus, der/das die Systeme betreibt und dabei Patientendaten nicht ordnungsgemäß schützt.
Lediglich bei einem Notfall ist es möglich, von dieser Regelung abzuweichen und so zu verfahren, wie dies in Absatz 4.1 der Empfehlungen zur Fernwartung medizinischer EDV-Systeme beschrieben ist. Grundsätzlich ist es daher empfehlenswert, sich an der im Internet verfügbaren Fernwartungsrichtlinie zu orientieren. Diese wurde in Abstimmung mit der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen erarbeitet. Auch wenn sie sich inhaltlich auf die gesetzlichen Rahmenbedingungen in NRW bezieht, kann man nach Einschätzung der Autoren davon ausgehen, dass ihre Befolgung auch in anderen Bundesländern zu einer gesetzeskonformen Durchführung der Wartung von DV-Systemen in der Medizin führt.
Gustav Quade , Rolf Fimmers,
Jürgen Müller, Ernst Molitor

Anschrift für die Verfasser: Dr. med.Gustav Quade, Rheinische Friedrich-Wilhelms-Universität Bonn, Medizinische Fakultät, Institut für Medizinische Biometrie, Informatik und Epidemiologie, Sigmund-Freud-Straße 25, 53105 Bonn, Telefon: 02 28/2 87 66 85,
E-Mail: quade@uni-bonn.de
Anzeige

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige