Manfred Weitz

Datenschutz in der Medizin. Bericht zur Tagung am 18.4.2012 in Wiesbaden


Datenschutz in der Medizin. Bericht zur Tagung am 18.4.2012 in Wiesbaden

 

ZD-Aktuell 2012, 02912    Zweck der Tagung am 18.4.2012 in Wiesbaden war es vor allem, der Fachwelt die Gelegenheit zu geben, sich über den aktuellen Entwicklungsstand bei datenschutzrechtlich problematischen IT-Neuerungen im gesamten Gesundheitsbereich (E-Health) und den diesbezüglichen datenschutzrechtlichen  Diskussionsstand zu informieren.

Die mit ca. 125 Teilnehmern gut besuchte Tagung stand unter der Schirmherrschaft von Prof. Michael Ronellenfitsch, dem Hessischen Datenschutzbeauftragten. Die Botschaft in seinem  Grußwort ließ die Zuhörerschaft bereits aufhorchen: Die kommende „DS-GVO“ der EU werde auch in Deutschland die Landschaft  des Datenschutzrechts grundlegend verändern.

Thomas Kranig, Präsident der Datenschutzaufsicht Bayern, eröffnete den Reigen der insgesamt sieben Fachvorträge mit dem Thema „Aktuelle Datenschutzprobleme in Arztpraxen und medizinischen Versorgungszentren“.  Nach Ausführungen zu den datenschutzrechtlichen Grundlagen  für Arztpraxen  ging er – auf der Basis intensiver Kontrollerfahrungen – ein auf  besonders heikle Situationen wie Videoüberwachung, Sicherung von  automatisiert verarbeiteten Patientendaten und Rezeptabholung durch Dritte. Beleuchtet wurde ebenfalls der in der täglichen Praxis nicht immer einfache Umgang mit der Einwilligung des Patienten für  diverse Fälle der  Weitergabe von Behandlungsdaten an Dritte wie Labore, Rechtsanwälte und Abrechnungsfirmen. Auch für die Systemwartung durch externe Dienstleister ist eine Entbindung von der Schweigepflicht nötig.

Der zweite Vortrag  traf den  Nerv  einer zur  Zeit besonders heftigen Diskussionen zu aktuellen IT-Entwicklungen im Klinikbereich: Die dortigen Krankenhausinformationssysteme (KIS) unterliegen einer immer dynamischer werdenden Erneuerung und Ausweitung, führen damit aber naturgemäß  auch zu immer komplexeren datenschutzrechtlichen Problemen. Dr. Rita Wellbrock und Rüdiger Wehrmann, beide beim Hessischen Datenschutzbeauftragten beschäftigt, begleiteten von Beginn an die Erstellung der  Antwort der Datenschützer auf diese Entwicklung, die seit 2011 geltende sog. Orientierungshilfe KIS und konnten in ihrem gemeinsamen Vortrag sehr detailliert auf die Kernpunkte der OH-KIS eingehen, sowohl auf die rechtlichen als auch auf die IT-technischen Aspekte. Insbesondere Datenschutzberatern für Kliniken vermittelt die OH-KIS nun eine spürbare Argumentationshilfe bei der Bewertung neuer IT-Systeme. Die Tagungsteilnehmer konnten aber auch die Botschaft mitnehmen, dass auch die OH-KIS  einer nicht nur wegen des allgemeinen IT-technischen  Fortschritts veranlassten  Weiterentwicklung  unterliegt, die sich orientieren muss an den zwischenzeitlich gesammelten praktischen Erfahrungen der Umsetzungsprozesse.

Der anschließende Vortrag von Andreas Moog, DSB der VITOS orth. Klinik in Kassel, beleuchtete  gezielt  die zahlreichen Fragestellungen und praktischen Erfahrungen bei der konkreten Umsetzung der OH-KIS in einem Krankenhausbetrieb. Dabei stand im Mittelpunkt die sog. elektronische Patientenakte als wesentlicher Teil des KIS. Eine Schlüsselrolle für eine datenschutzkonforme Ausgestaltung spielt dabei das Rollen- und Berechtigungskonzept, zu dem die OH-KIS sehr konkrete Vorgaben enthält. Oberstes Prinzip ist dabei eine sehr restriktive Vergabe der Rechte nach dem alten datenschutzrechtlichen Grundsatz der Erforderlichkeit. Eingebettet werden muss die Umsetzung der OH-KIS allerdings auch in ein umfassendes Datenschutz-Gesamtkonzept der Klinik, das auch Aussagen trifft zu Fragen des Outsourcing und der Fernwartung.

Für die behandelnden Ärzte  in Deutschland wird das Jahr 2012 auch geprägt sein durch die verstärkte Verbreitung der elektronischen Gesundheitskarte. Bis Jahresende sollen 70 % der Versicherten eine Karte erhalten. Dazu stellte Jürgen Müller, beim BfDI für die eGK zuständig, in dem ersten Vortrag des Nachmittags zunächst die rechtlichen und technischen Grundlagen der eGK zusammen. Hervorgehoben wurde, dass der Patient ein Recht zur Einsicht in die Datenspeicherung besitzt und weiterhin frei entscheiden kann, wie er die eGK nach dem Arztbesuch einsetzt, ob nun beim Einlösen des Rezepts oder der Einhaltung der Medikation. Betont wurde aber, dass der Patient keinen Einfluss darauf hat, wie der Arzt mit den Daten umgeht, ob und wie er sie weiterleitet, etwa i.R.e. Arztbriefes. Auch ging Müller sehr detailliert auf Notfallmanagement im Einsatz der eGK ein.

Das Thema Telemedizin beherrscht  seit langem die Welt der medizinischen IT, auch die Datenschützer beschäftigen sich intensiv mit den damit verbundenen Datenschutzfragen. In ihrem gemeinsamen Vortrag stellten Prof. Henning  Schneider, TH Mittelhessen, und Thomas Friedl, Landesärztekammer Hessen, einige wichtige technische Entwicklungen vor. Ausgehend von Hinweisen zu deutlichen Risiken der sicheren Übertragung  beim Fax-Einsatz wurden Möglichkeiten des sicheren Datenaustauschs zwischen Ärzten auf der Grundlage der primären Bedürfnislage beleuchtet: leichte Bedienbarkeit, wenig Administration, Kostenersparnis und Datensicherheit. Vorgestellt wurde dabei eine denkbare datenschutzkonforme Lösung: der elektronische Arztausweis (eHBA) in Ergänzung zur eGK. Beide Ausweise können in einer gesicherten Telematik-Infrastruktur zur sicheren Kommunikation medizinischer Daten eingesetzt werden. Das Land Hessen ist dabei Vorreiter mit dem Projekt „PRIMA“, verbunden mit einem Onlineportal der Landesärztekammer Hessen in gesicherter Umgebung, dem „KVH-online Portal“. Digitale Daten können dort abgelegt, abgerufen und geteilt werden.

Dr. Martin Sedlmayr von der Universität Erlangen widmete sich in dem folgenden Vortrag den Fragen datenschutzrechtlicher Anforderungen beim Einsatz neuer technischer Kommunikations- und Dokumentationsformen im Gesundheitsbereich. Detaillierter ging er zunächst  ein auf bereits vorhandene – passive und aktive – Identifizierungscodes in der Medizintechnik, wie z.B. Barcodes, RFID, DECT und Wifi. I.R.d. Gerätemanagements können sie effektiv die Suchzeiten reduzieren, verbunden mit Diebstahlschutz. Eine wesentliche Botschaft seiner Ausführungen war: Medizintechnische Geräte und Systeme werden mit neuen Techniken immer vernetzter, intelligenter und ubiquitärer. Der systematische gemeinsame Betrieb i.R.v. Vernetzungen kann aber auch genutzt werden zur Gewinnung neuer Hinweise und Aussagen, z.B. i.R.v. Datenbanken und Forschungsprojekten.

Der die Fachtagung abschließende Vortrag von Dr. Detlef Hühnlein, Fa. ecsec GmbH, beleuchtete im Rahmen seines Vortragsthemas – die beweissichere Krankenhausakten-Langzeitarchivierung – die  allgemeine Entwicklung m Gesundheitswesen, dass immer mehr Geschäftsprozesse digitalisiert werden, und zwar in allen Verarbeitungsphasen der Daten, ob nun Erzeugung, Nutzung, Austausch, Signierung oder Archivierung. Dies betrifft besonders Krankenhausakten, deren beweiskräftige Aufbewahrung zusammen mit einer elektronischen Signatur erforderlich und zugleich möglich erscheint. Dabei ist aber zu berücksichtigen, dass die betroffenen Dokumente einen naturgemäß sehr hohen Schutzbedarf besitzen. Um den Beweiswert signierter Unterlagen auch nach dem rechtssicheren, ersetzenden Scannen langfristig zu erhalten, wurde unter Beteiligung des BSI ein technischer Standard entwickelt. Seine verbindliche Festschreibung erfolgte in der einschlägigen  technischen RL „TR-ESOR“ (www.tr-esor.de) und der „TR-RESICSAN“ (Version 1.0 ab 1.10.2012).

Die mit dieser Tagung eröffnete Tagungsreihe zu aktuellen Datenschutzthemen im Gesundheitsbereich wird am 15.4.2013 in Wiesbaden weitergeführt werden. Weitere Informationen sind abrufbar unter: www.update-bdsg.com.

Manfred Weitz ist ehemaliger Mitarbeiter des Hessischen Datenschutzbeauftragten in Wiesbaden.