Digitalisierung und Datenschutz in der Arztpraxis

Moderne Technik hält auch Einzug im Gesundheitssektor und fördert und fordert die Digitalisierung in der Arztpraxis. Teils gesetzlich erzwungen (siehe elektronische Gesundheitskarten (§ 291b SGB V), E-Rezept, elektronische Patientenakte, elektronische Krankschreibung, elektronische Abrechnung mit der Krankenkasse), teils sicherlich aber auch aus dem persönlichen Technik- und Digitalisierungsinteresse eines Arztes sowie Rationalisierungsnotwendigkeit. Dabei reicht die Digitalisierung vom Einsatz der Telematikinfrastruktur über Computer, Cloud-Lösungen bis zur Webseite und Videotelefonie in der Arztpraxis usw. Wie verhält sich all die Digitalisierung aber mit dem Datenschutz? Worauf muss ein Praxisinhaber bei „Digitalisierung und Datenschutz in der Arztpraxis“ achten?

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Ganz gleich, welche Form von digitalisierter Technik ein Verantwortlicher – der Praxisinhaber – einsetzt, er muss sicherstellen, dass Art. 25 DSGVO eingehalten wird. – Detaillierter gehen wir auf diese Thematik in diesem Beitrag ein. – Ein Praxisinhaber ist in den meisten Fällen nun nicht auch Software-Entwickler bzw. IT-Administrator. Somit kann er nicht direkt dafür sorgen, dass der Datenschutz durch Technikgestaltung, also bei der Architektur der Praxis-IT o. Ä., beachtet und umgesetzt wird.

Allerdings kann er indirekt mitwirken, indem er auch diese Kriterien bei der Wahl eines Produktes und der IT-Dienstleister einbezieht. Bei der Einrichtung von beispielsweise einem Arzt- bzw. Praxisinformationssystem (AIS) kann ein Praxisinhaber dann darauf achten, sicherzustellen, dass er – und auch der Produktanbieter – bei Einsatz einer Software o. Ä. nur das absolute Minimum an Daten erheben (siehe Art. 5 Abs. 1 lit. c) DSGVO). Des Weiteren kann er so gewährleisten, dass er die Daten nicht länger als erforderlich speichert, jegliche Änderungen protokolliert und das IT-System sicher konfiguriert ist. Dabei ist auch die IT-Sicherheitsrichtlinie der KBV (Kassenärztliche Vereinigung Bayerns) nach § 75b SGB V zu beachten.

Empfänger der personenbezogenen Daten

Bei der Digitalisierung ist es wahrscheinlich, dass Daten die Sphäre der Praxis verlassen. Dies geschieht beispielsweise schon bei einer Übermittlung von personenbezogenen Daten über das Internet. Dabei muss ein Praxisinhaber darauf achten, wie er die Daten übermittelt (verschlüsselt) und wo sich die Empfänger dieser Daten befinden. Befindet sich der Empfänger beispielsweise in oder außerhalb der EU? Falls Empfänger sich außerhalb der EU befinden, ist zu betrachten, ob ein Angemessenheitsbeschluss nach Art. 45 DSGVO oder mindestens eine der Garantien nach Art. 46 DSGVO oder eine andere gesetzliche Rechtfertigung für die Drittlandübermittlung der Daten (siehe Art. 49 DSGVO) vorliegt. – Genauer auf die Übermittlung von Daten in ein unsicheres Drittland gehen wir in diesem Beitrag ein. –

Rechtsgrundlagen

Gerade mit Blick auf die eventuelle Datenübermittlung in ein Drittland außerhalb der EU ist zu betrachten, dass die Verarbeitung rechtmäßig ist (z. B. bei Nutzung von Cloud-Produkten, Internetdienstleistern für die Webseite oder Funktionalitäten auf der Webseite (Google Maps, Facebook-Plugin etc.). Hier kann Art. 49 Abs. 1 DSGVO helfen. Das bedeutet, die Übermittlung der personenbezogenen Daten in ein unsicheres Drittland ist zulässig, wenn

1)  eine Einwilligung der betroffenen Person vorliegt (Art. 49 Abs. 1 lit. a) DSGVO) – Hinweis: Die Aufsichtsbehörden vertreten die Auffassung, dass es sich um eine Ausnahmeregelung handelt, also nur für Ausnahmefälle möglich ist),

2)  die Verarbeitung für (vor-)vertragliche Maßnahmen notwendig ist (Art. 49 Abs. 1 lit. b) DSGVO),

3)  die Übermittlung für (vor-)vertragliche Maßnahmen im überwiegenden Interesse der betroffenen Person liegt (Art. 49 Abs. 1 lit. c) DSGVO),

4)  wichtige Gründe des öffentlichen Interesses vorliegen (Art. 49 Abs. 1 lit. d) DSGVO),

5)  die Übermittlung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Abs. 1 lit. e) DSGVO) – z. B. Honorarklage, Arzthaftungsprozesse etc. -,

6)  lebenswichtige Interessen zu schützen sind (Art. 49 Abs. 1 lit. f) DSGVO) – z. B. medizinisch wichtige Daten müssen bei einem im Drittland verletzten Patienten an die dort behandelnden Ärzte übermittelt werden) oder

7)  die Übermittlung aus einem Register erfolgt, welches „[…] gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht […]“ (Art. 49 Abs. 1 lit. g) DSGVO).

Hier ist also genau zu betrachten, ob ein Arzt eine Verarbeitungstätigkeit überhaupt auf Grundlage einer der oben genannten Rechtsgrundlagen durchführen kann.

Gemeinsame Verantwortlichkeit oder Auftragsverarbeitung

Des Weiteren ist es wichtig, auszuwerten, ob eine Auftragsverarbeitung nach Art. 28 DSGVO oder eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt. – Ausführlicher zum Thema der Auftragsverarbeitung erklären wir hier und zur gemeinsamen Verantwortlichkeit in diesem Beitrag. – Schon in Abhängigkeit einzelner Vertragsklauseln eines Auftragsverarbeitungsvertrages (AVV) können eben diese Formulierungen auf eine – möglicherwiese separat zu behandelnde – gemeinsame Verantwortlichkeit hinweisen.

Verschlüsselung

Nach § 22 Abs. 2 Nr. 7 BDSG gehört die Verschlüsselung von Daten zu den zumindest zu prüfenden spezifischen Schutzmaßnahmen für Gesundheitsdaten an. Bei Übermittlung von personenbezogenen Daten in ein unsicheres Drittland gilt es also auch in einer Arztpraxis, Maßnahmen zu ergreifen, die einen unbefugten Zugriff auf und Zugang zu personenbezogenen Daten, ausschließen – dies sowohl beim Dienstleister als auch während der Übertragung. Die Implementierung einer Verschlüsselungsmaßnahme liegt demnach nahe. Der Schlüssel für die Entschlüsselung sollte dabei ebenfalls an einem Ort liegen, auf den beispielsweise Behörden und etwaige Auftragsverarbeiter in unsicheren Drittländern nicht zugreifen können.

Schutz der sensiblen personenbezogenen Daten

Nicht zu vernachlässigen ist, dass in einer Arztpraxis personenbezogene Daten besonderer Kategorien, insbesondere Gesundheitsdaten, verarbeitet werden. Diese sogenannten sensiblen oder sensitiven Daten umfassen solche nach Art. 9 Abs. 1 DSGVO. Folglich handelt es sich hierbei um besonders schutzbedürftige Daten. Daraus lässt sich schließen, dass bei Verarbeitung solcher Daten auch ein höheres Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Dies schon auch aus dem Grund, da es bei Verarbeitung solcher Daten beispielsweise häufiger zu Diskriminierungen, rechtlichen Nachteilen, Einschränkungen in der Persönlichkeitsentfaltung u. v. m. kommen kann.

In einer Arztpraxis werden auf jeden Fall täglich Gesundheitsdaten verarbeitet. Die Verarbeitung weiterer sensibler Daten kann ebenfalls vorliegen. Demnach muss ein Arzt besonders abwägen, wie er die personenbezogenen Daten möglichst effektiv schützen und deren Sicherheit gewährleisten kann.

Berufsgeheimnisträger

§ 203 StGB (Strafgsetzbuch) regelt insbesondere die Folgen für einen Berufsgeheimnisträger (§ 203 Abs. 1 StGB), der ein in seiner Eigenschaft als Berufsgeheimnisträger anvertrautes fremdes Geheimnis unbefugt offenbart. Berufsgeheimnisträger sind  u. a. Anwälte, Steuerberater, Psychologen, Angehörige eines Heilberufes etc. und eben auch Ärzte. Demnach haben Ärzte jegliche Informationen, die Patienten ihnen anvertrauen, besonders zu schützen. In Folge dessen muss ein Praxisinhaber spezielle technische und organisatorische Maßnahmen ergreifen, um einen möglichen unbefugten Zugang zu und Zugriff auf die personenbezogenen Daten seiner Patienten zu vermeiden und abzuwehren.

Werden bei Einsatz externer Dienstleister berufsgeheimnisrelevante Daten möglicherweise offenbart, muss der offenbarende Arzt den Dienstleister auf das Berufsgeheimnis verpflichten, um sich nicht selbst strafbar zu machen.

Hilfestellungen der Datenschutzaufsichtsbehörden

Informationsmaterial von den Datenschutzaufsichtsbehörden gibt es in umfangreicher Menge. Folgend finden Sie ein paar Beispiele:

1)  Das Bayerische Landesamt für Datenschutzaufsicht hat einen DSGVO-Anforderungskatalog für Arztpraxen erstellt.

2) Das Unabhängige Landeszentrum für Datenschutz von Schleswig-Holstein veröffentliche 2018 eine Liste für Arztpraxen, anhand derer Ärzte erkennen können, inwiefern Handlungsbedarf zum Datenschutz und zur -sicherheit in ihrer Arztpraxis besteht.

3)  In einer Orientierungshilfe vom 16.06.2021 geht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) u. a. auf Maßnahmen ein, die Ärzte bei der Übermittlung von personenbezogenen Daten per E-Mail beachten müssen, ein (ab Seite 2, Punkt 2).

Fazit

Die DSGVO gibt vor, dass jeder Verantwortliche der jeweiligen Verarbeitung entsprechende Schutz- und Sicherheitsmaßnahmen umsetzen muss (Art. 24 Abs. 1 DSGVO). Die hier genannten Maßnahmen sind nicht abschließend. Genauso muss ein Praxisinhaber auch ein Verzeichnis von Verarbeitungstätigkeiten führen, über die Verarbeitung informieren (Datenschutzhinweis), eventuelle Datenschutz-Folgenabschätzungen – abhängig von bestimmten Verarbeitungstätigkeiten (u. a. gemäß der Muss-Liste) – durchführen und weitere datenschutzrelevante Dokumentationen führen. Aufgrund der Daten, die ein Praxisinhaber verarbeitet, muss er demnach entsprechend sorgfältig darauf achten, seine Pflichten als Verantwortlicher einzuhalten.

Damit ein Praxisinhaber sich der Heilung und Unterstützung seiner Patienten widmen kann, sind wir da, um Praxisinhaber und Beschäftigten beim Datenschutz zu unterstützen und zu beraten. Kontaktieren Sie uns am besten noch heute für ein unverbindliches Angebot.