(Datenschutzrechtlich handelt es sich bei der vom Arzt geplanten Kontrolle der Urinabgabe um eine Erhebung personenbezogener Daten i. S. d. § 6b Abs. 1 BDSG. Im vorliegenden Fall musste geprüft werden, ob die datenschutzrechtliche Erforderlichkeit gegeben ist).
Ein anderer Fall:
Eine Radiologie-Praxis warnte vor einiger Zeit ihre Patienten vor dem Verlust von Daten. Ein Webserver, auf dem sensible Patienten-Informationen von 230.000 Bürgern gespeichert waren, wurde von Unbekannten gehackt. Unter den auf dem Server gespeicherten Daten befanden sich die Namen, Sozialversicherungsnummern, Kennzahlen der medizinischen Diagnosen und Adressen der betroffenen Patienten nebst einigen weiteren persönlichen Daten.
Ein weiterer, wenn auch nicht neuer Aspekt
Regelungen zur Abwicklung des Hausarztvertrages in Schleswig-Holstein verstoßen nach Ansicht des OVG Schleswig-Holstein gegen den Datenschutz. Sie zwängen Ärzte dazu, sensible Patientendaten an die Hausärztliche Vertragsgemeinschaft und deren Dienstleister weiterzugeben, hieß es in einem Beschluss. Die Ärzte haben keine vollständige Kontrolle über die Daten.
Ein Albtraum für den Patienten
Die Operation am Kniegelenk mit der schonenden Methode der Arthroskopie verläuft zunächst reibungslos - doch dann fällt der Bildschirm aus. Die Bild- und Videodaten der kleinen Kamera im Inneren des Knies werden nicht mehr auf das Display und den zentralen Server übertragen. Der Orthopäde muss die Operation unterbrechen. Die Ursache: Ein Virus hat das System lahmgelegt.
Solche Beispiele zeigen das Risiko auf, das im Umgang mit den besonderen, persönlichen Daten im Gesundheitswesen und den medizinischen IT-Systemen steckt.
Zeitgleich wächst das Bewusstsein um den Schutz der eigenen persönlichen Daten in der Bevölkerung.
Da ist es verständlich, dass Patienten sich mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.
Der einzelne Nutzer von modernen Instrumenten der Kommunikation ist nur noch bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.
Gerade Betriebe für die die Verwendung von besonders schützenswerten personenbezogenen Daten wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft oder zur Religion, unablässig ist, sind zu erhöhter Sorgfaltspflicht verpflichtet.
Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.
Analog dieser Formulierung müssten die meisten niedergelassenen Ärzte sich ad jure keine Gedanken zum Thema Datenschutz machen, zumal die ärztliche Schweigepflicht scheinbar die Schutzbedürfnisse der Patienten abdeckt.
Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen Fertigkeit unlauterer Zeitgenossen stand halten.
Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft somit alle ärztlichen Fachrichtungen.
Die Vorabkontrolle kann nach BDSG entfallen, wenn alle Patienten schriftlich ihr Einverständnis zur Verarbeitung ihrer Daten geben bzw. gegeben haben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es ist jedoch vorbehalten, ob dies elektronisch oder herkömmlich geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb theoretisch in der Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.
Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich gesetzeskonform aufzustellen:
- entweder durch die Bestellung eines Datenschutzbeauftragten oder
- durch die explizite, schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.
Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und nicht zu Letzt die doch erheblichen Strafen im Falle einer Abmahnung, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis gesetzeskonform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen.
Dabei ist weder der Beschluss, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, noch die alleinige Benennung eines/r Praxismitarbeiters/in als Datenschutzbeauftragte/r eine erschöpfende Lösung. Ein Systembetreuer ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, unzureichend. Die sich rasant entwickelnden IT-Technologien und die Fortschreibung des juristischen Basiswissens sind nur in Ausnahmefällen von medizinischem Fachpersonal abdeckbar. Ganz zu schweigen vom zusätzlichen Zeitaufwand, der der Betreuung der Patienten fehlt. Ein hauptberuflicher medizinischer Datenschutzexperte klärt viele der anstehenden Themen in Bruchteilen der Zeit und benötigt keinen Zusatzaufwand an permanenter Fortbildung.
In Erweiterung des eigenen Portfolios mit dem zunehmend wichtigen Thema Datenschutz Rechnung zu tragen, hat die Münchner Inline Sales GmbH, ein führender Spezialist für Business Process Outsourcing in Marketing und Vertrieb, eine Kooperation mit dem Unternehmensberater Dipl. Inf. Bernhard Behr, München, geschlossen. Ziel ist eine umfassende Unterstützung von Unternehmen im Inland und aus dem Ausland, die im deutschen Markt tätig werden möchten, die aktuellen gesetzlichen Anforderungen an den Datenschutz zu erfüllen.
Bernhard Behr ist seit vielen Jahren als interner und externer Datenschutzbeauftragter für Firmen verschiedener Branchen tätig. Nach seiner Informatikausbildung war er als Projekt-, Bereichsleiter und Manager für bekannte Firmen tätig. Einen besonderen Schwerpunkt legt Herr Behr auf die IT-technische Umsetzung der Datenschutz-Richtlinien im Rahmen des IT-Security Managements z. B. unter Zuhilfenahme des BSI IT-Grundschutzes Handbuches und der ISO 27001.
Weitere Informationen unter:
Telefon: +49-89-3090-488-32 oder Email: presse@inline-sales.net
======================================================