Manfred Weitz

Datenschutz in der Medizin - Update 2013


Bericht zur Tagung am 15.4.2013 in Wiesbaden

 

ZD-Aktuell 2013, 03160     Die seit 2011 stattfindende Tagungsreihe UpDate-BDSG im Rhein-Main-Gebiet widmet sich seit geraumer Zeit neben allgemeinen Datenschutzthemen auch zunehmend datenschutzrechtlichen Sonderthemen, die auf ein besonderes Interesse in der Fachwelt stoßen.

So wurde schon 2012 das Spezialthema „Datenschutz in der Medizin“ in einer ganztägigen Veranstaltung aufgegriffen. Im Hinblick auf den Erfolg der letztjährigen Tagung wurde sie am 15.4.2013 in Wiesbaden weitergeführt, mit wieder besonders aktuellen Einzelthemen.

Nach einem Impulsvortrag mit dem Titel „Defizite des Datenschutzes im Gesundheitsbereich“
von RAin Astrid Luedtke, Kanzlei Heuking Kühn Lüer Wojtek in Düsseldorf, gab RA Dirk Hartmann, Frankfurt/M., einen Überblick über das Zusammenspiel von Berufsrecht, Strafrecht, Datenschutzrecht und die Folgen von Verstößen sowie Maßnahmen zur Prävention mit dem Titel „Datenschutz – lästig, undurchsichtig, manchmal skurril, aber wichtig“. Hartmann beschrieb in seinem Vortrag das  z.T. komplizierte Zusammenspiel der für den Arzt relevanten Datenschutzvorschriften, vor allem das des BDSG und des § 203 StGB. Im Rahmen seines Vortrags bildete er ein Beispiel für die umsetzbare Lösung eines alltäglichen Falls: Ein niedergelassener Arzt übergibt alle Patientenakten seinem Praxisnachfolger. Der BGH verlangt hier die Zustimmung des Patienten. Als mögliche Lösung bietet sich an, den Praxisnachfolger die treuhänderisch in einem verschlossenen Schrank verwahrten Akten öffnen zu lassen, wenn der betroffene Patient zu ihm kommt.

Zu dem Thema „Wege ärztlicher Kommunikation aus der Sicht des Datenschutzes“ referierte

Dr. Rainer Götzel, Datenschutzbeauftragter der Kassenärztlichen Vereinigung Hessen, und beschäftigte sich mit dem Datenaustausch in ärztlichen Netzwerken, Fallbesprechungen, Videokonferenzen sowie mit Befundübermittlungen per Brief, E-Mail und über das Internet.
Da Patientendaten mittlerweile breit gestreut sind, ob nun z.B. an andere Ärzte, die Kassenärztliche  Vereinigung, die Krankenkassen oder den sozialmedizinischen Dienst. Doch unter welchen rechtlichen Bedingungen? Götzel verdeutlichte unter Hinweis auf die einzelnen Kommunikationsarten, vom Gespräch über Fax bis hin zur E-Mail, dass  neben der Frage der Empfangsberechtigung des Kommunikationspartners auch die  immer problematische Datensicherheit während der Datenübermittlung  im Blick zu behalten ist. Die unverschlüsselte E-Mail ist danach grundsätzlich unzulässig.

 

Die nächsten Referenten Dr. André Zilch, Geschäftsführer der ValiPic (Deutschland) GmbH und Vorstand Nutzerinteressen e.G., und Klaus Fink, ehemaliger Datenschutzbeauftragter des Deutschen Instituts für medizinische Dokumentation und Information, beschäftigten sich mit dem Thema „Der fehlende Identitätsnachweis: die Achillessehne der elektronischen Gesundheitskarte?“ Die eGK wird als zentraler Zugangsschlüssel für das Gesundheitswesen gesehen und sie gaben eine vergleichende Einordnung mit anderen Projekten der eCard-Strategie des Bundes, verwiesen auf rechtliche Aspekte und boten Lösungsszenarien an.

Die Referenten stellten anhand zahlreicher Argumente und Hinweise auf  die Anforderungskataloge für die eGK ihre Bedenken dar, dass die inzwischen an fast alle Versicherten ausgeteilte elektronische eGK in der jetzigen Auslieferungsvariante den Identitätsnachweis  tatsächlich liefern kann, da die verantwortlichen Kassen danach  bei der Kartenerstellung nicht prüfen, ob das vorgesehene Foto auf der Karte auch denjenigen zeigt, der als Karteninhaber gilt. Damit sei „Tür und Tor“ geöffnet für Kartenmissbrauch, auch beim  elektronischen Zugang zu den Sozialdaten des Kartenberechtigten.

Im Vortrag „Die ärztliche Dokumentationspflicht versus Datenschutz“ beschrieb Dipl.-Kfm. Raik Siebenhüner, Präsident des Fördervereins Medizinrecht der Dresden International University e.V., die verschiedenen Phasen des Umgangs mit Patientenakten, von der Aktenanlage über die Aktennutzung einschließlich Einsicht durch den Patienten bis hin zur Archivierung und Vernichtung. Siebenhüner stellte für diese Prozesse die jeweils geltenden Rechtsvorschriften dar, auch unter dem Aspekt der notwendigen langen Aufbewahrungsfrist zu Beweiszwecken in drohenden Schadensersatzprozessen. Er gab einen Überblick über Rechtsgrundlage und Zweck der Dokumentationspflicht, beschrieb beweisrechtliche Konsequenzen für Ärzte sowie die Einsichtnahmerechte von Patienten. Der Referent wies auf mögliche Änderungen durch das neue Patientenrechtegesetz sowie auf Aufbewahrungspflichten und -fristen von ärztlichen Dokumentationen und datenschutzrechtliche Vorgaben hin. Zudem beschäftigte er sich mit der datenschutzrechtlichen Zulässigkeit des Outsourcing von ärztlichen Dokumentationen.

Im Vortrag „Orientierungshilfe Krankenhausinformationssysteme“ stellte Nikolaus Schrenk, Datenschutzbeauftragter bei den kbo Kliniken des Bezirks Oberbayern, Inhalte und Sachstand sowie Hinweise zur Umsetzung aus der Sicht eines Krankenhausverbands vor. Seit 2011 bestehen Krankenhausinformationssysteme als umfangreiches Regelwerk, wie die Krankenhäuser ihr internes Informationssystem datenschutzkonform auszugestalten haben. Schrenk ging hinsichtlich der Umsetzung des Regelwerks  auf die Erfahrungen bayerischer Kliniken ein und gab Praxishinweise zum Umgang mit den Systemen.

Dr. Peter Münch von der Gesellschaft für Datenschutz und Datensicherheit ging in seinem Vortrag
 „Cloud Computing – Patientendaten in der Wolke? Was geht und was geht nicht?“ auf das datenschutzrechtliche Risiko im Gesundheitswesen, das Datensicherheitsrisiko und zulässige und verbotene Wege in die Cloud ein. Rechtliche und technische Risiken entstehen daher, dass zahlreiche medizinische Betriebe externe Dienstleister mit der  Verwahrung und technischen Betreuung digitaler Patientenakten in externen Datenbanken, sog. Clouds, beauftragen. Er gab einen Überblick über mögliche Gefährdungspotenziale gerade im Hinblick auf die ärztliche Schweigepflicht. Münch beleuchtete dazu den rechtlich-technischen  Datenschutzrahmen, der z.T. als Auftragsdatenverarbeitung auf § 11 BDSG beruht.

Markus Kaiser, Dozent an der Technischen Hochschule Mittelhessen, referierte zum Thema „Mobile Security-Sicherheitsanfoderungen an  medizinische Apps.“ Der dienstliche Einsatz mobiler Endgeräte wie Tablett-PCs und Smartphones erreicht inzwischen auch medizinische Betriebe. Doch wie ist es bestellt um die Sicherheit der Patientendaten, etwa beim Verlust der Geräte? Kaiser verwies daher auf zahlreiche technische Gefahrenlagen, die daraus resultieren, und stellte die Verbindung zu geeigneten Sicherheitsmaßnahmen, wie z.B. der Verschlüsslung der Daten, her.  

Zusammenfassend lässt sich sagen, dass die Tagung aus verschiedenen Perspektiven einen umfassenden Überblick über den aktuellen Sachstand im Bereich Datenschutz in der Medizin bot.

 

Manfred Weitz ist Veranstaltungsleiter der Tagungsreihe UpDate BDSG.