THEMEN DER ZEIT

Einrichtungsübergreifende elektronische Fallakten: Empfehlungen zur datenschutzrechtlichen Ausgestaltung

Dtsch Arztebl 2008; 105(40): A-2094 / B-1794 / C-1754

Wellbrock, Rita

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
Foto: Fotolia
Foto: Fotolia
Elektronische Fallakten gibt es inzwischen in unterschiedlichen Ausprägungen – alle müssen sie sich jedoch mit Fragen zur Regelung von Verantwortlichkeiten, Zugriffsberechtigungen oder der Patienteneinwilligung auseinandersetzen.

Wenn ein niedergelassener Arzt oder ein Krankenhaus Krankenakten in elektronischer Form führt, ergeben sich hierdurch gegenüber der herkömmlichen Aktenführung in Papierform keine grundsätzlichen rechtlichen Änderungen. Zugriff auf die elektronisch gespeicherten Patientendaten hat ausschließlich der niedergelassene Arzt beziehungsweise das Krankenhaus selbst. Es bedarf keiner gesonderten Einwilligung in die digitale Speicherung der Patientendaten. (1)

Seit einigen Jahren wird aber – darüber hinausgehend – in zunehmendem Umfang der Aufbau einrichtungsübergreifender elektronischer Fallakten (eFA) geplant oder bereits realisiert. Der Aufbau einer eFA wird von mehreren Behandlungseinrichtungen vereinbart, die einen bestimmten Patienten gemeinsam bezüglich einer bestimmten Diagnose oder eines Behandlungskomplexes behandeln. Zweck der eFA ist es, dass alle berechtigten Behandler in der eFA Daten speichern und auf die in der eFA gespeicherten Daten zugreifen können. Je nach geplantem Inhalt, Zweckbestimmung und Nutzerkreis werden unterschiedliche Konzeptionen verfolgt und damit einhergehend auch unterschiedliche rechtliche und technisch-organisatorische Modelle. Entsprechend lassen sich die Anforderungen an Datenschutz und Datensicherheit nicht in allgemeiner Form abschließend konkretisieren.

Vor der Einrichtung einer eFA sind aus datenschutzrechtlichen (und auch aus arztrechtlichen) Gründen verschiedene Aspekte zu klären und in einem Datenschutz- und Sicherheitskonzept festzulegen.
- Zweck/Umfang/beteiligte Ärzte oder Institutionen

Von zentraler Bedeutung ist zunächst die Festlegung des Inhalts und der konkreten Zweckbestimmung der eFA, da dies auch entscheidend ist für den Inhalt und Umfang der Datenschutz- und Datensicherheitsanforderungen. Aus der Zweckbestimmung ergibt sich auch die Dauer der Speicherung der Daten in der Akte, die ebenfalls festgelegt werden muss.

Es kann sich zum Beispiel um eine Fallakte handeln, die die Kommunikation zwischen entlassendem Krankenhaus und weiterbehandelndem niedergelassenem Arzt ermöglichen soll, oder auch um eine Fallakte, die eine längerfristige Kommunikation zwischen Hausarzt, Fachärzten und Klinik unterstützen soll.

Ein Anwendungsfall für eine einrichtungsübergreifende eFA ist die integrierte Versorgung im Sinne der §§ 140 ff. Sozialgesetzbuch (SGB) V. Danach können die Krankenkassen Verträge über eine verschiedene Leistungssektoren übergreifende Versorgung der Versicherten oder eine interdisziplinär-fachübergreifende Versorgung mit den in § 140 b SGB V genannten Vertragspartnern abschließen. Letztere müssen unter anderem gewährleisten, dass sie eine an dem Versorgungsbedarf der Versicherten orientierte Zusammenarbeit zwischen allen an der Versorgung Beteiligten sicherstellen – einschließlich der Koordination zwischen den Versorgungsbereichen und einer ausreichenden Dokumentation, die allen Beteiligten im jeweils erforderlichen Umfang zugänglich sein muss.

Eine Möglichkeit der Realisierung dieser Vorgaben ist die Einrichtung einer gemeinsamen eFA. Der Gesetzgeber hat in § 140 a Abs. 2 SGB V festgelegt, dass die Teilnahme an der integrierten Versorgung für den Patienten freiwillig ist; nähere Einzelheiten zur rechtlichen, organisatorischen und technischen Ausgestaltung der gemeinsamen Dokumentation sind im SGB allerdings nicht geregelt, sodass auch hier die genannten Aspekte zu beachten sind.
- Ärztliche Dokumentation im Sinne der Berufsordnung – oder zusätzliche zentrale (Teil-)Datenspeicherung?
Der Arzt ist zur Dokumentation seiner Behandlung verpflichtet (vertragliche Nebenpflicht, ärztliche Berufsordnung). Klärungsbedürftig ist beim Aufbau einer eFA, ob diese Dokumentation weiterhin (ausschließlich) bei den jeweiligen Leistungserbringern selbst oder in der eFA erfolgt. Derzeit geht man bei vielen Projekten davon aus, dass die ärztliche Dokumentation im Sinne der Berufsordnung bei jedem der beteiligten Leistungserbringer selbst verbleibt. Das heißt, bei dem Inhalt der eFA handelt es sich um eine inhaltlich und zeitlich begrenzte zusätzliche Datenspeicherung, eine sogenannte Zweitdokumentation, die eine Kommunikation im konkreten Behandlungskontext ermöglichen soll. In diesem Punkt sollte für alle Dokumente in der eFA einheitlich verfahren werden, weil sonst verschiedene Rechtsfolgen zum Beispiel bezüglich des Löschungszeitpunkts für die in der eFA gespeicherten Dokumente die Konsequenz wären. Soweit es sich um eine Zweitdokumentation handelt, ist klärungsbedürftig, ob lediglich Hinweise (Links) gespeichert werden sollen oder Volltextdokumente.
- Wer ist die verantwortliche Stelle für die zentral in der eFA gespeicherten Daten?
Soweit Behandlungsdaten in Arztpraxen oder Krankenhäusern gespeichert und weiterverarbeitet werden, gibt es für die betroffenen Patienten eine klar erkennbare verantwortliche Daten verarbeitende Stelle.* Die datenschutzrechtlichen Regelungen legen die Rechte und Pflichten dieser verantwortlichen Stelle fest, und die betroffenen Patienten können sich zum Beispiel an die jeweilige Stelle wenden, um ihre Rechte auf Auskunft, Einsicht, Berichtigung, Sperrung und Löschung ihrer Daten wahrzunehmen. Bei der Einrichtung einer eFA sind die Verantwortlichkeiten geteilt.

Eine mögliche rechtliche Konstruktion ist beispielsweise, dass zwischen den Beteiligten eine sogenannte Verbunddatei vereinbart wird. Dabei wird eine gemeinsame Datei eingerichtet, in der die beteiligten Stellen ihre für die eFA vorgesehenen Daten – in der Regel Teildatensätze ihrer eigenen Dokumentation im Primärsystem – speichern und aus der sie die für ihre Behandlung erforderlichen Patientendaten der Mitbehandler abrufen. Geklärt werden muss hierbei, welche Daten für die eFA geeignet und erforderlich sind.

Je nach den beteiligten Einrichtungen sind unterschiedliche datenschutzrechtliche Regelungen für die Errichtung einer Verbunddatei beziehungsweise eines Abrufverfahrens zu beachten.** Erforderlich sind in jedem Fall die Klärung und vertragliche Festlegung der Verantwortlichkeiten zwischen den Behandlungseinrichtungen sowie die Transparenz für die Patienten. Bei der eFA ist jede der beteiligten Stellen jeweils für ihre Daten die verantwortliche Stelle, das heißt, sie ist insbesondere für die inhaltliche Richtigkeit ihrer Daten verantwortlich sowie dafür, dass nur die für die Speicherung in der eFA vorgesehenen Daten an die eFA übertragen werden und dass hierfür die Einwilligung des Patienten vorliegt.

Festlegung der federführenden beteiligten Stelle
Sämtliche beteiligten Stellen müssen gemeinsam vereinbaren, welche unter ihnen als federführend mit der technischen Durchführung des Verfahrens nach den vereinbarten Vorgaben beauftragt wird. Soll für die Datenverarbeitung in der zentralen eFA durch die federführende Stelle ein externes Rechenzentrum (Datenverarbeitung im Auftrag) eingeschaltet werden, sind Fragen der Verschlüsselung der Patientendaten/des Beschlagnahmeschutzes zu klären. Die federführende Stelle ist in der Regel dafür verantwortlich, dass eine Stelle nur die Daten von Patienten beziehungsweise Behandlungsfällen aufrufen kann, an deren Behandlung sie auch beteiligt ist. Der federführenden Stelle obliegt die Verantwortung für die korrekte Definition und Zuordnung von Rollen, Berechtigungen und Behandlungsteams als organisatorische Maßnahme.

Es muss darüber hinaus klar vereinbart werden, welche Stelle unter welchen Voraussetzungen welche Daten zu welchem Zweck in der eFA speichern und aus der eFA abrufen darf. Auch das Verfahren einer eventuellen späteren Einräumung einer Speicherungs- und Zugriffsberechtigung an weitere (mit-)behandelne Ärzte/Institutionen bedarf der Klärung.
- Gestaltung der Abrufberechtigungen
Benutzern oder Benutzergruppen sind Rollen zuzuweisen, die mit bestimmten Berechtigungen zum Zugriff auf Datenarten und/ oder auf bestimmte Programmfunktionen verbunden sind (zum Beispiel niedergelassener Arzt, berechtigter Arzt im Krankenhaus, Administrator der federführenden Stelle). Der Zugriff auf Auswertungen sollte auf bestimmte Benutzer mit definierten Aufgaben begrenzt werden können. Bei Bedarf (etwa wenn die Patientendaten auch zur Qualitätssicherung/Forschung verwendet werden sollen) sollten Funktionen zur Anonymisierung beziehungsweise Pseudonymisierung von Patientendaten zur Verfügung stehen.

Da der Zweck einer eFA die Behandlung des Patienten ist, kann das Zugriffskonzept grundsätzlich so ausgestaltet werden, dass alle beteiligten Behandler bei Bedarf auf alle darin gespeicherten Patientendaten zugreifen können, also inhaltlich differenzierte Zugriffsberechtigungen bezüglich der medizinischen Details technisch nicht eingerichtet werden. Je umfangreicher der Kreis der beteiligten Stellen beziehungsweise Rollen und die in der eFA gespeicherten Datensätze sind, desto eher wird jedoch ein differenziertes Zugriffskonzept gefordert werden müssen (etwa wenn detaillierte psychiatrische Behandlungsdaten gespeichert werden). Bei der Einrichtung einer lebenslangen elektronischen Patientenakte (ePA) für künftige, noch nicht absehbare Kommunikationsvorgänge, die unabhängig vom Behandlungskontext aufgebaut wird, bedarf es eines differenzierten Zugriffskonzepts.
- Patienteninformation und Patienteneinwilligung
Da die bei jeder beteiligten Stelle im Primärsystem gespeicherten Patientendaten der ärztlichen Schweigepflicht im Sinne von § 203 Strafgesetzbuch und der Ärztlichen Berufsordnung unterliegen, bedarf die Einrichtung einer eFA mit Abrufmöglichkeit für alle beteiligten Behandler der Einwilligung des Patienten, die zugleich auch die Funktion einer Entbindung von der ärztlichen Schweigepflicht erfüllt. Die Einwilligung muss schriftlich erteilt werden.

Die papiergeführte Dokumentation wird vielerorts abgelöst durch die digitale Speicherung der Patientendaten. Die Einrichtung einer sektorübergreifenden elektronischen Fallakte stellt dabei besondere Anforderungen an den Datenschutz. Foto: Visum
Die papiergeführte Dokumentation wird vielerorts abgelöst durch die digitale Speicherung der Patientendaten. Die Einrichtung einer sektorübergreifenden elektronischen Fallakte stellt dabei besondere Anforderungen an den Datenschutz. Foto: Visum
Vor der Einwilligung muss der Patient darüber informiert werden, welcher Behandler die federführende Stelle ist, welche Daten durch wen in die Fallakte eingestellt werden sollen und wer unter welchen Voraussetzungen Zugriff auf die Fallakte haben soll.

Auf die Freiwilligkeit der Einwilligung (das heißt, es müssen alternative Kommunikationsformen möglich sein) und die Möglichkeit des Widerrufs der Einwilligung muss hingewiesen werden. Ein Widerruf entfaltet seine Wirkung für die Zukunft. Festgelegt und in die Patienteninformation aufgenommen werden sollte, wie nach einem Widerruf verfahren wird, insbesondere, ob die Daten anonymisiert oder komplett gelöscht/vernichtet werden. Eine pauschale Einwilligung in die künftige Übermittlung von bisher nicht bekannten Behandlungsdaten an eine unbestimmte Vielzahl von Behandlungseinrichtungen könnte nicht als informierte Einwilligung qualifiziert werden und wäre daher nicht rechtswirksam.

Für die integrierte Versorgung nach §§ 140 ff. SGB V ist ausdrücklich festgelegt, dass die Teilnahme der Versicherten freiwillig ist. Ferner darf ein behandelnder Leistungserbringer aus der gemeinsamen Dokumentation Daten nur abrufen, wenn der Versicherte ihm gegenüber seine Einwilligung erteilt hat und die Information für den konkret anstehenden Behandlungsfall genutzt werden soll.
- Gewährleistung der Betroffenenrechte
Die Patienten können sich hinsichtlich ihrer Rechte auf Auskunft, Einsicht, Berichtigung, Sperrung oder Löschung von Daten in der eFA an jede beteiligte Behandlungseinrichtung wenden. Soweit erforderlich leitet diese das Anliegen an die zuständige Stelle weiter. Zur Unterstützung der für die eFA verantwortlichen federführenden Stelle sollte das technische Verfahren geeignete Funktionen bieten, um die Rechte des Patienten auf Auskunft beziehungsweise Einsicht zeitnah zu gewährleisten.
- Technisch-organisatorische Datensicherheitsmaßnahmen
Schließlich müssen die technisch-organisatorischen Datensicherheitsmaßnahmen zur Sicherstellung von Integrität, Authentizität, Verfügbarkeit, Vertraulichkeit und Revisionsfähigkeit zwischen den beteiligten Behandlungseinrichtungen in einem Datensicherheitskonzept vereinbart werden – einschließlich der Festlegung, für welche Aspekte jeweils die federführende Stelle und die anderen beteiligten Einrichtungen verantwortlich sind. (2)

Die Verarbeitungsprozesse müssen lückenlos nachvollzogen werden können. Aus den Protokolldaten muss erkennbar sein, wer von wann bis wann welche Zugriffsrechte hatte, wer wann mit welchen Mitteln auf welche Daten zugegriffen hat und wer wann welche Änderungen am Zustand des IT-Systems herbeigeführt hat. Geeignete Auswertungstools können das gezielte Durchsuchen der Protokolldaten nach bestimmten Ereignissen, Benutzern, Zeiträumen oder anderen sicherheitsrelevanten Fragestellungen mit vertretbarem Aufwand ermöglichen. Die Protokolldaten sind gegen unbefugte Änderungen/Löschungen durch den Administrator zu schützen, zum Beispiel durch ein Vieraugenprinzip. Entsprechendes gilt für die Abschaltung der Protokollierung oder andere sicherheitskritische Funktionen.

Auf der Grundlage des Datenschutz- und Datensicherheitskonzepts müssen die verantwortlichen Daten verarbeitenden Stellen eine Vorabkontrolle durchführen, das heißt, sie müssen bewerten, ob mit dem Einsatz der eFA Gefahren für die Patientenrechte verbunden sind und, gegebenenfalls, ob diese durch die vorgesehenen technischen und organisatorischen Maßnahmen verhindert werden können.

Zitierweise dieses Beitrags:
Dtsch Arztebl 2008; 105(40): A 2094–6

Anschrift der Verfasserin
Dr. jur. Rita Wellbrock
Referatsleiterin Gesundheitswesen, Wissenschaft und Forschung, Betreuungsrecht
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1
65189 Wiesbaden

*Zum Begriff siehe etwa § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG); § 2 Abs. 3 Hessisches Datenschutzgesetz (HDSG)
**So sind etwa im BDSG in § 10 die Zulässigkeitsvoraussetzungen eines Abrufverfahrens geregelt, in § 6 Abs. 2 BDSG wird die Zulässigkeit einer Verbunddatei vorausgesetzt; in § 12 Hessisches Krankenhausgesetz in Verbindung mit § 15 HDSG sind die Zulässigkeitsvoraussetzungen einer Verbunddatei geregelt. Der Gesetzgeber hatte allerdings bei der Abfassung dieser Regelungen so komplexe und flexible Verfahren mit einem sich gegebenenfalls wandelnden und über die Grenzen eines Bundeslandes hinausgehenden Kreis von Beteiligten nicht im Blick. Die Regelungen bedürfen deshalb der Weiterentwicklung.
Anzeige
1.
Im Krankenhaus ist die Erstellung eines benutzer- und aufgabenbezogenen Zugriffsberechtigungskonzepts erforderlich, siehe Rechtsfragen der Kommunikation innerhalb des Krankenhauses, www.datenschutz.hessen.de/dg002.htm; Orientierungshilfe: Technisch-organisatorische Forderungen an ein benutzer- und datenschutzfreundliches Patientenverwaltungs- beziehungsweise Krankenhausinformationssystem, www.datenschutz-bayern.de/technik/orient/patdakkh.html.
2.
Bultmann, Wellbrock, Biermann, Engels, Ernestus, Höhn, Wehrmann, Schurig: Datenschutz und Telemedizin – Anforderungen an Medizinnetze, www.datenschutz.hessen.de/fachthemen.htm; Bundesamt für Sicherheit in der Informationstechnik: Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 100-3), Version 2.5, 2008, www.bsi.de/literat/bsi_standard/standard_1003.pdf.
1. Im Krankenhaus ist die Erstellung eines benutzer- und aufgabenbezogenen Zugriffsberechtigungskonzepts erforderlich, siehe Rechtsfragen der Kommunikation innerhalb des Krankenhauses, www.datenschutz.hessen.de/dg002.htm; Orientierungshilfe: Technisch-organisatorische Forderungen an ein benutzer- und datenschutzfreundliches Patientenverwaltungs- beziehungsweise Krankenhausinformationssystem, www.datenschutz-bayern.de/technik/orient/patdakkh.html.
2. Bultmann, Wellbrock, Biermann, Engels, Ernestus, Höhn, Wehrmann, Schurig: Datenschutz und Telemedizin – Anforderungen an Medizinnetze, www.datenschutz.hessen.de/fachthemen.htm; Bundesamt für Sicherheit in der Informationstechnik: Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 100-3), Version 2.5, 2008, www.bsi.de/literat/bsi_standard/standard_1003.pdf.

    Leserkommentare

    E-Mail
    Passwort

    Registrieren

    Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

    Fachgebiet

    Zum Artikel

    Alle Leserbriefe zum Thema

    Login

    Loggen Sie sich auf Mein DÄ ein

    E-Mail

    Passwort

    Anzeige