Wir zeigen auf, warum der Einsatz einer Praxissoftware und die Datenspeicherung in der Cloud ein Thema sind, mit dem sich Ärzte intensiv befassen sollten.
Der Datenschutz-Check in einer Arztpraxis
Für eine initiale Bewertung der aktuellen Situation bezüglich des Datenschutzes in einer Arztpraxis wurden wir von FB Pro mit der Analyse der datenschutzrechtlichen Situation beauftragt. Da dieser Fall kein Einzelfall ist, sondern die Datenschutz-Thematik aufgrund ihrer Komplexität so auch bei den meisten Praxen bedacht werden sollte, bringen wir ihn hier exemplarisch vor.
Unser Beitrag zeigt, dass der Einsatz einer Praxissoftware und die Datenspeicherung in der Cloud ein Thema sind, mit dem sich Ärzte intensiv befassen sollten: Neben den rechtlichen möglichen Konsequenzen bei Nicht-Beachtung datenschutzrechtlicher, strafrechtlicher und anderer Vorgaben ist die Einrichtung und Überwachung eines professionellen Datenschutz-Niveaus auch ein wichtiger Faktor in der Kommunikation zwischen Patient und Arzt.
Aktuelle konkrete Situation
Ein Arzt erhebt im Rahmen seiner Behandlungen personenbezogene Daten (Alter, Vorname, Nachname, etc.) und besondere Arten personenbezogener Daten (Geschlecht, Anamnese-/Befunddaten, Krankheitsdaten, etc.). Er speichert diese in einem EDV-gestützten System, welches durch eine externe Firma (folgend Anbieter GmbH) betrieben wird und die medizinischen Daten in der Cloud abspeichert (hier beispielhaft „Praxis-Software-Online“ genannt ). Das System erlaubt durch Freitext-Felder die Eingabe beliebiger Informationen – diese werden auch zur sauberen und nachvollziehbaren Behandlung genutzt.
Besonderheit und Hintergrundinformationen
Das EDV-System wird von der Anbieter GmbH als Cloud-Service bereitgestellt. Folgende Aussagen haben wir durch wenige Fragen an die Anbieter GmbH per Mail klären können.
- Vom Arzt werden überwiegend sensible Daten (Krankheitsdaten seiner Patienten) an die Anbieter GmbH als Anbieter des Service „Praxis-Software-Online“ übertragen
- Der Betrieb des Service „Praxis-Software-Online“ obliegt der Anbieter GmbH, die Nutzung / Verarbeitung / Übertragung der Daten durch die Anbieter GmbH ist aber nicht zulässig
- Der Betrieb des Service und damit der Umgang mit den Daten erfolgt weisungsgebunden, d.h. die Anbieter GmbH (als auch deren Vertreter) kann / darf nicht selbst entscheiden, was mit diesen Daten passiert
- Der Arzt ist zu jedem Zeitpunkt (auch mit Nutzung des Service Praxis-Software-Online) für die Daten seiner Patienten/Kunden verantwortlich
Damit ergibt sich folgende Situation:
Aus Sicht des Bundesdatenschutzgesetzes ergibt sich eine sog. Auftragsdatenverarbeitung mit gewissen formalen Bestimmungen.
Datenschutzrechtliche Einschätzung
Um die formalen Bestimmungen besser einschätzen zu können, wird eine Matrix über die Verteilung der Rolle gemäß Bundesdatenschutzgesetz und der Realität ermittelt. Die Rollenverteilung sieht wie folgt aus:
BDSG-Rolle | Rolle in der Realität |
Betroffener | Patient |
Verantwortliche Stelle | Arzt |
Auftragsdatenverarbeiter | Anbieter GmbH |
Rechtliche Grundlagen
Es sind mindestens folgende Gesetze für die gegebene Situation relevant:
- Bundesdatenschutzgesetz
- § 4a Abs. 3 bzgl. der Einwilligung der Patienten
- §11 bzgl. Auftragsdatenverarbeitung
- Strafgesetzbuch
- §203 Verletzung von Privatgeheimnissen (besondere Berufsgruppen und besondere Arten personenbezogener Daten)
Notwendige Maßnahmen zur Ausrichtung des Verfahrens an den geltenden Gesetzen
Folgende Handlungsstränge sind notwendig:
1. Einwilligung zur Datenverarbeitung
Da der Anbieter GmbH besondere Arten personenbezogener Daten (vgl. § 3 Abs. 9 BDSG) offenbart werden, ist eine Einwilligung des Betroffenen erforderlich, die sich ausdrücklich auf die besonderen Daten bezieht (vgl. § 4a Abs. 3 BDSG). Die Einwilligung ist vorab der Offenbarung zu erteilen.
Konkret: Der Arzt hat die Verpflichtung, den Patienten um seine Einwilligung (mit Widerrufsrecht) zu fragen, ob der Patient mit der Übermittlung seiner sensiblen medizinischen Informationen an die Anbieter GmbH einverstanden ist, bevor diese Übermittlung stattfindet.
2. ADV-Vertrag
Aufgrund der vorliegenden technischen Hilfsleitung des Anbieters in Gestalt einer Cloud-basierten Software liegt eine weisungsgebundene Auftragsdatenverarbeitung vor, die einen schriftlichen Vertrag nach den Vorgaben des § 11 BDSG Abs. 2 S. 2 BDSG erfordert.
Ferner ist der Dienstleister vorab der Auftragserteilung sorgfältig auszuwählen und hinsichtlich der vereinbarten technisch-organisatorischen Maßnahmen regelmäßig zu überprüfen.
3. Entbindung von der ärztlichen Schweigepflicht
Dem jeweiligen Arzt werden Patientengeheimnisse offenbart, die durch § 203 StGB geschützt sind. Da ein Zugriff des Cloudanbieters auf diese Daten im Rahmen des Hostings nicht ausgeschlossen werden kann (zumindest liegt derzeit keine schriftliche / belastbare Aussage vor), würde mit der Beauftragung eine Offenbarung einhergehen, die ohne Einwilligung des Patienten nicht legitim wäre. Im Rahmen einer Einwilligungserklärung könnte sowohl die Datenübertragung im Sinne des BDSG als auch die Offenbarung nach § 203 StGB durch den Betroffenen legitimiert werden.
Allerdings stellen sich praktische Probleme bei der Einwilligungslösung, da in Ihrem Fall alle Betroffenendaten beim Cloudanbieter gespeichert werden sollen. Erteilt ein Patient nicht seine Einwilligung oder widerruft diese muss eine Einzellösung für eine lokale Speicherung gefunden werden.
Ergänzender Hinweis I
Ein bloßer Aushang in der Praxis zu Informationszwecken ist im Übrigen mit den Vorgaben des §4a BDSG und der geforderten Schriftlichkeit nicht in Einklang zu bringen.
Des Weiteren bestehen Nachweisprobleme einer erteilten Einwilligung, sollte lediglich ein Aushang bestehen, dessen Kenntnisnahme nicht jederzeit angenommen werden kann.
Ergänzender Hinweis II
Da das Problem der ärztlichen Schweigepflicht beim Einsatz von IT-Dienstleistern bekannt ist, plant die Bundesregierung eine Gesetzesnovellierung. Offenbarungen gegenüber Personen, die an der beruflichen oder dienstlichen Tätigkeit der Berufsgeheimnisträger mitwirken, werden nach § 203 Abs. 3 StGB-E nicht bestraft, wenn diese Offenbarungen für die ordnungsgemäße Ausübung der Tätigkeit der mitwirkenden Personen erforderlich sind. Das Gesetz liegt im Entwurfsstadium vor und ist beim BMJV nachlesbar.