PraxisPraxismanagement Praxis
Praxismanagement

MANAGEMENT

Praxisverwaltung: Fernwartung durch externe IT-Dienstleister

Dtsch Arztebl 2019; 116(37): A-1614 / B-1332 / C-1308

Halbe, Bernd

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Bei der Wartung der Praxissoftware sollten nicht nur Richtlinien für den Wartungsprozess gelten. Zu klären ist unter anderem auch, wie viel Zugriff auf die Daten das IT-Personal bekommen soll.

Foto: Rawpixel.com/stock.adobe.com
Foto: Rawpixel.com/stock.adobe.com

Sei es die immer umfangreicher werdende Praxisverwaltungssoftware oder aber die Anbindung der vertragsärztlichen Praxis an die Tele­ma­tik­infra­struk­tur: Umfangreichere Hard- und Software in der Praxis machen es erforderlich, dass IT-Dienstleistern und Systemadministratoren der Zugang von außerhalb der Praxisräumlichkeiten gestattet werden muss, um eine Wartung oder Störungsbeseitigung zu ermöglichen (Remote-Zugang). Denn die „normale“ Arztpraxis kann und will es sich in aller Regel nicht leisten, einen eigenen Systemadministrator zu beschäftigen, der ausschließlich mit der Administration der Praxis-EDV befasst ist. Der Markt und das Angebot an Service- und Wartungsverträgen durch externe IT-Dienstleister sind daher groß und werden in den kommenden Jahren mit fortschreitender Digitalisierung noch anwachsen.

Anzeige

Dabei gibt es im Bereich der Fernwartung durch einen externen IT-Dienstleister in rechtlicher Hinsicht einiges zu beachten.

Fernwartung ist und bleibt Auftragsverarbeitung

Der Gegenstand der Service- und Wartungsverträge zwischen Praxis und IT-Dienstleister richtet sich stark am Grad der Digitalisierung der Praxis und dem technischen Know-how der Praxisinhaberin oder des Praxisinhabers beziehungsweise des geschulten Personals aus. Denn hiervon ist abhängig, wie umfangreich der Bedarf an einer Unterstützung durch externe IT-Dienstleister ist. Auch die Neujustierung des Datenschutzrechts im Zusammenhang mit der Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz haben indes nichts an der Tatsache geändert, dass eine Fernwartung im Bereich der IT-Dienstleistungen rechtlich immer als Datenverarbeitung im Auftrag einzuordnen ist.

Besonderheiten bei der vertraglichen Gestaltung dieser Auftragsverarbeitungsverträge zwischen Arztpraxis (Auftraggeber) und IT-Dienstleister (Auftragnehmer) ergeben sich hierbei insbesondere aufgrund der ärztlichen Schweigepflicht. Denn im Rahmen der Leistungserbringung der externen IT-Dienstleister besteht regelmäßig die Möglichkeit, Zugriff auf personenbezogene Daten zu erlangen, die im Praxisnetzwerk gespeichert sind. Da hierunter auch die Patientenstamm- und Behandlungsdaten fallen, liegt regelmäßig eine Kenntnisnahmemöglichkeit besonders schützenswerter Gesundheitsdaten vor, die zudem der Berufsgeheimnispflicht unterliegen.

Keine Auftragsverarbeitung und damit ausgenommen von der grundsätzlichen Verpflichtung zum Abschluss eines Auftragsverarbeitungsvertrags sind lediglich solche Tätigkeiten, die durch die rein technische Wartung der Infrastruktur bedingt sind. Hierbei kann es sich nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder beispielsweise um die Arbeiten an der Stromzufuhr, der Kühlung oder aber der Heizung handeln. Lässt man indes diese wenigen Ausnahmen außen vor, so ist die Dienstleistung im Bereich der IT-Fernwartung immer als Auftragsverarbeitung zu qualifizieren.

Verschwiegenheitsverpflichtung beim Einblick in Patientendaten

Im Zusammenhang mit der Wartung und/oder Reparatur einzelner IT-Komponenten der Praxis-EDV lässt sich nicht vermeiden, dass eine Servicetechnikerin oder ein Servicetechniker des IT-Dienstleisters die prinzipielle Möglichkeit hat, Patientendaten einzusehen. Aus diesem Grund empfiehlt es sich in jedem Fall, darauf zu achten, dass ein sogenannter SLA-Zusatz („Service-Level-Agreement“) in dem Vertrag mit dem IT-Dienstleister enthalten ist. Dieser Zusatz macht es erforderlich, dass alle Mitarbeitenden des IT-Dienstleisters, die in die Fernwartung einbezogen sind, auch auf den Datenschutz verpflichtet werden und insoweit ein vertraulicher Umgang mit den Patientendaten sicherzustellen ist.

Eine Fernwartung mittels Remote-Zugang zum Praxisnetzwerk sollte immer nur im erforderlichen Einzelfall mit Einwilligung des Praxisinhabers ermöglicht werden; selbstverständlich kann der Praxisinhaber diese Entscheidungsmöglichkeit auch auf einen zuverlässigen Mitarbeiter übertragen. Die vertraglichen Vereinbarungen mit einem IT-Dienstleister sollten daher immer vorsehen, welche Personen in der Praxis berechtigt sein sollen, einen Zugriff auf das Praxisnetzwerk per Remote-Zugang zuzulassen. Es darf nicht vergessen werden, dass es sich bei der Fernwartung um eine Auftragsverarbeitung handelt, für die kennzeichnend ist, dass diese ausschließlich auf Weisung durch die Praxis als Auftraggeber erfolgen darf.

Im Idealfall sollte der Mitarbeiter des IT-Dienstleisters, der per Remote-Zugang auf das Praxisnetzwerk zugreifen will, sich in geeigneter Art und Weise gegenüber dem zuständigen Mitarbeiter der Praxis authentifizieren. Der IT-Dienstleister sollte dabei der Praxis bei Vertragsabschluss eines Wartungs- und/oder Servicevertrags bereits die konkreten Mitarbeiter bekannt geben, die mit der Fernwartung zukünftig befasst sein werden.

Die externen Kommunikationsverbindungen, über welche die Fernwartung erfolgen soll, müssen hinreichend abgesichert werden. Es versteht sich daher von selbst, dass jegliche Datenübertragung sicher verschlüsselt erfolgen muss; so kann die Verbindung beispielsweise per VPN („Virtual Private Network“) erfolgen.

Es empfiehlt sich, ein geeignetes Verfahren zur Einleitung der Fernwartung zu verschriftlichen. Des Weiteren sollte dokumentiert sein, welche Arbeiten überhaupt im Zusammenhang mit der Fernwartung durchgeführt werden, um eine geeignete Kontrolle durch die Praxis zu ermöglichen. Nach Beendigung der Fernwartung hat der IT-Dienstleister regelmäßig die erfolgte Tätigkeit zu dokumentieren und der Praxis in geeigneter Weise nachzuweisen.

Vorteile eines schriftlichen Sicherheitskonzeptes

Schließlich ist zu empfehlen, dass die Praxis ein eigenes schriftliches Datenschutz- und Sicherheitskonzept erstellt; dies hat im Wesentlichen zwei Vorteile: Den Mitarbeitenden der Praxis steht eine Informationsquelle zur Verfügung, der entnommen werden kann, wie mit Fernwartungsszenarien im Praxisalltag umzugehen ist. Das Konzept stellt ferner einen Teil der technischen und organisatorischen Maßnahmen dar, welche im Rahmen der Umsetzung der datenschutzrechtlichen Vorgaben ohnehin gefordert sind. Prof. Dr. jur. Bernd Halbe

www.medizin-recht.com

Anforderungen an IT-Dienstleister

Sicherheitsmaßnahmen sind nicht nur in Bezug auf die Praxis und das Praxisnetzwerk relevant, sondern auch im Hinblick auf den IT-Dienstleister, der die Fernwartung erbringen soll. Es ist zu bedenken, dass dem fernwartenden IT-Dienstleister umfangreiche Zugriffsberechtigungen eingeräumt werden müssen – oftmals in Form sogenannter „Administratorenrechte“, die es erlauben, jede Veränderung an und im System vorzunehmen. Eine solch umfassende Berechtigung hat indes auch zur Folge, dass der Mitarbeiter des IT-Dienstleisters, der mit der Fernwartung betraut ist, jeden Datensatz zur Kenntnis nehmen kann, der im Praxisnetzwerk existiert.

IT-Dienstleister lassen sich gerne umfangreiche Berechtigungen einräumen. Als Grundregel sollte allerdings für die Praxisinhaber gelten, den Fernwartungsdienstleistern nie mehr Rechte im System zu erteilen, als für die vertraglich geschuldete Leistungserbringung tatsächlich erforderlich ist. Dieser Grundsatz sollte unbedingt Beachtung finden, da der Praxisinhaber – trotz etwaiger vertraglicher Regelungen – keinen tatsächlichen Einfluss auf die Fernwartung durch den IT-Dienstleister hat. Entsprechend der Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik sollte dabei unter anderem Wert darauf gelegt werden, dass der IT-Dienstleister (auch) mit Blick auf die IT-Struktur seines eigenen Unternehmens und der Auswahl, Einweisung und Überwachung seiner Beschäftigten – also derjenigen, die letztlich auf das Praxisnetzwerk zugreifen – ein Zertifikat nach ISO 27001 auf Basis von IT-Grundschutz besitzt. Dieses hat der IT-Dienstleister der Praxis auf Verlangen nachzuweisen; verweigert er dies, so sollte von einem Vertragsabschluss abgesehen werden.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

NEWSLETTER