Datenschutz aktuell: Gesundheitsbereich 2013

Bericht von der ersten gemeinsamen Tagung der Landesärztekammer und des Hessischen Datenschutzbeauftragten

Fotolia_155813634_S.jpg

Bild Werbung und Datenschutz

22. Juni 2013 Bad Nauheim


Die Hessische Landesärztekammer und der Hessische Datenschutzbeauftragte haben erstmals erfolgreich eine gemeinsame Tagung durchgeführt.

Nachlässigkeit, Gedankenlosigkeit, Bequemlichkeit beim Umgang mit den Patientendaten können erhebliche Konsequenzen haben, sowohl für die betroffenen Patienten wie auch für den Arzt bzw. die Behandlungseinrichtung. Die Risiken potenzieren sich im Zuge der zunehmenden elektronischen Verarbeitung der Daten und der Vernetzung im  Gesundheitsbereich. Ziel der Tagung war es, im Gesundheitsbereich Tätige dabei zu unterstützen, Risiken zu vermeiden, indem auf die aktuellen Veränderungsprozesse  eingegangen, die spezifischen Risiken aufgezeigt und die möglichen und notwendigen Datenschutzmaßnahmen dargelegt wurden.

Aktuelle Veränderungsprozesse im Gesundheitsbereich – d.h. Weiterentwicklung und Neugestaltung der Versorgungsprozesse unter Einbeziehung der neuen Techniken. Als Ziel wird in der Regel formuliert mehr Qualität, mehr Effizienz und mehr Wirtschaftlichkeit zugleich. Der Einsatz der Informationstechnik hat zwar in Klinik, Arztpraxis, Krankenkasse und Kassenärztliche Vereinigung (KV) schon lange Einzug gehalten, es handelt sich jedoch vielfach um Insellösungen. Neue organisatorische Strukturen der Zusammenarbeit und Vernetzung der Behandelnden wie auch der Betreuung von Patienten werden angestrebt.

In einer Entschließung des Deutschen Ärztetags von 2012 heißt es: „Das entscheidende Optimierungspotential für die ärztliche Versorgung der Zukunft liegt ... vor allem in der Förderung von Kooperation und Vernetzung. Durch mehr Kooperation und Vernetzung zwischen Hausärzten, Fachärzten, Krankenhausärzten und weiteren Gesundheitsberufen lässt sich die Versorgung patientenzentriert organisieren, dem Effizienz- und Wirtschaftlichkeitsdruck eher begegnen und nicht zuletzt die eigene Berufszufriedenheit steigern.“

Der hessische Sozialminister hat im Frühjahr dieses Jahres die Einrichtung eines „eHealth-Beirats Hessen initiiert, um so alle Akteure des hessischen Gesundheitswesens in den weiteren Prozess einzubeziehen.

Wie immer man diese skizzierte Entwicklung bewertet - in jedem Fall wird aus den verschiedensten Perspektiven eine zunehmende elektronische Datenverarbeitung, Kommunikation und Vernetzung im Gesundheitsbereich thematisiert. Und dabei geht es natürlich auch und gerade um die Verarbeitung personenbezogener Daten, vor allem personenbezogener medizinischer Patientendaten.

Bei der datenschutzrechtlichen Betrachtung des Veränderungsprozesses ist ein zentraler Ausgangspunkt der Schutz des Vertrauensverhältnisses zwischen Arzt und Patient. Bereits 1972 hat das Bundesverfassungsgericht (BVerfG) den Schutz des Vertrauensverhältnisses zwischen Arzt und Patient als eine Grundvoraussetzung ärztlichen Wirkens bezeichnet, das die Chancen auf Heilung vergrößert und insgesamt der Aufrechterhaltung einer leistungsfähigen Gesundheitsfürsorge dient. Das Vertrauensverhältnis wird geschützt durch die ärztliche Schweigepflicht, die im Strafgesetzbuch und in der Berufsordnung normiert sind. Gleichzeitig wird es geschützt durch das Recht des Patienten auf informationelle Selbstbestimmung, konkret – wie das BVerfG es erstmals im Volkszählungsurteil formuliert hat – das Recht des Einzelnen, selbst zu entscheiden, welche persönlichen Lebenssachverhalte er wem offenbart.

Im Zusammenhang mit der Einführung der elektronischen Gesundheitskarte (eGK) haben die Datenschutzbeauftragten des Bundes und der Länder in verschiedenen Entschließungen den fortwährenden Schutz dieses Vertrauensverhältnisses eingefordert: Die Rechte der Patienten dürfen sich durch die Einführung der eGK und der damit einhergehenden neuen technischen Infrastruktur nicht verschlechtern. Ein Patient darf weder rechtlich noch faktisch gezwungen werden, überall im Gesundheitsbereich  seine Krankheitsdaten pauschal zu offenbaren, und die Verwendung seiner Krankheitsdaten muss für ihn transparent sein. Die ärztliche Schweigepflicht muss gewahrt  bleiben.

Die ärztliche Schweigepflicht muss gewahrt bleiben, Unbefugte dürfen die Patientendaten nicht zur Kenntnis erhalten. Allerdings – was das konkret rechtlich und technisch heißt im Zeitalter der elektronischen Kooperation und Vernetzung der Behandelnder, von Teleradiologie, Telekonsultation, medizinischer Versorgung kranker Menschen in ihrem häuslichen Umfeld, zunehmenden landes- bzw. bundesweiten oder auch EU-weiten klinischen Datenbanken und Krankheitsregistern, das bedarf der Interpretation, der Diskussion und Weiterentwicklung. Die Tagung hat hierzu eine Reihe aktueller Fragestellungen aufgegriffen.

Datenschutz in der Arztpraxis

Die Datenschutzgesetze und die BO fordern vom niedergelassenen Arzt, dass er technische und organisatorische Sicherungs- und Schutz-maßnahmen trifft gegen eine unbefugte Kenntnisnahme, Verwendung oder Vernichtung der Patientendaten. Im Zeitalter der elektronischen Kooperation und Vernetzung ist das eine sehr fordernde Aufgabe für den Arzt, mit vielen Facetten. Die wesentlichen Anforderungen und – vor allem – praktikable Problemlösungen wurden dargestellt.

Mobile Computing

Mobile Computing wird immer beliebter. Dabei verwischen sich auch die Grenzen von Arbeit und Freizeit sowie die Grenzen von Arbeitsplatz und Privatwohnung. Mobile Visite am Krankenbett - Vorbefundung des Krankenhausarztes im Bereitschaftsdienst von seiner Wohnung aus – Verwendung von Smartphones bei Hausbesuchen - die aktuellen wie auch die potentiellen Einsatzfelder sind vielfältig. Wenn z.B. Smartphones von Ärzten für berufliche Zwecke eingesetzt werden sollen, sind zunächst Fragen zu beantworten:

  • Für welche Zwecke genau sollen die Smartphones vom Arzt eingesetzt werden ?
  • Welche Apps werden für diese Zwecke benötigt?
  • Auf welche Art und Weise darf das Smartphone dann genutzt werden ?
  • Wer entscheidet in welcher Form über diese Fragen und über die Sicherheitseinstellungen auf dem Smartphone ?
  • Wie wird eine ausreichende Datensicherheit gewährleistet, d.h. wie werden die bisher für andere Geräte gewährleisteten Datensicherheitstandards bei den Smartphones entsprechend umgesetzt?
  • Wie können unbefugte Zugriffe über bösartige Apps oder andere Zugriffe aus dem Internet verhindert werden?
  • Schließlich: Wie können Daten auf verlorenen oder gestohlenen Geräten geschützt werden? Nach einer Umfrage des Bundesverbandes Bitcom hat jeder 10. Deutsche ab 14 Jahren schon mal sein Handy verloren (7,7 Millionen). 3,5 Millionen sind Opfer einer Straftat geworden, bei der das Handy gestohlen wurde. Bei weiteren 2,8 Millionen war das Gerät verschwunden, ohne dass der Grund geklärt werden konnte.

Die Risiken, die Behandler beim Mobile Computing eingehen, wurden demonstriert und – natürlich – auch Problemlösungen.

Cloudnutzung durch Ärzte

Cloud-Computing (CC) wird immer beliebter. IT Ressourcen und Anwendungen werden bedarfsgerecht und beliebig erweiterbar über das Internet angeboten. CC eröffnet die Möglichkeit, jederzeit auf die Daten zugreifen zu können, und Anschaffungs- sowie Wartungskosten für Serverstrukturen zu reduzieren. Das Hessische  Wirtschaftsministerium geht davon aus, dass in Zukunft etwa zwei Drittel des globalen Datenverkehrs über Cloud-basierte Rechenzentren verwaltet werden. Der Begriff „Explosion in der Wolke“ wurde bereits kreiert. Zugleich stellt sich die Frage, wie beim Einsatz von CC Datenschutz und Datensicherheit sichergestellt werden können. Die Datenschutzbeauftragten des Bundes und der Länder haben im September 2011 eine Orientierungshilfe zum Thema CC veröffentlicht. Die OH kommt zu dem Schluss, dass es schwierig ist, die Anforderungen an Datenschutz und Datensicherheit, Kontrollierbarkeit, Transparenz und Beeinflussbarkeit unter den Rahmenbedingungen des CC zu erfüllen. „Es muss verhindert werden, dass die Fähigkeit der Organisationen, die Verantwortung für die eigene Datenverarbeitung noch tragen zu können, durch das Cloud Computing untergraben wird.“
Für Ärzte stellt sich zusätzlich die Frage, ob CC mit der ärztlichen Schweigepflicht zu vereinbaren ist. Ein Vertreter des Forschungsprojekts cloud4health, mit dem erstmals eine „Trusted-Cloud“-Infrastruktur für IT-Anwendungen im Gesundheitswesen bereitgestellt werden soll, stellte den aktuellen Stand des Forschungsprojekts und mögliche Perspektiven für den Gesundheitsbereich dar.

Elektronische ärztliche Kommunikation – schnell und sicher

Die elektronische Dokumentation von Befunden und Bildern und der elektronische Informationsaustausch sind bereits Alltag im Gesundheitswesen – oftmals, ohne dass die möglichen Konsequenzen bedacht wurden.
Woher weiß z.B. der Arzt, dass das Dokument, das er erhält, wirklich von dem vermeintlichen Absender bzw. Autor stammt? Wie kann sichergestellt werden, dass die Nachricht nicht unterwegs manipuliert wird ? Welche Sorgfaltspflichten hat der Arzt ? Wie kann er seine Behandlung rechtssicher dokumentieren ? Hier bestehen erhebliche Unsicherheiten, wie auch die Anfragen beim HDSB zeigen.
Die Gematik plant, durch den Aufbau einer sicheren Kommunikationsplattform innerhalb der Telematikinfrastruktur inklusive einer elektronischen Signatur eine sichere Punkt-zu-Punkt-Kommunikation zu etablieren. Allerdings ist der Zeitpunkt, zu dem dieses Projekt realisiert sein wird, derzeit nicht absehbar. Aktuell initiiert demgegenüber die Landesärztekammer Hessen e-health-Projekte für ihre Ärzteschaft, wie z.B. die gesicherte Kommunikation per elektronischem Arztausweis oder den sicheren Arztbrief, und die Referenten stellten neue unmittelbar umsetzbare Wege der Problemlösung vor.

SERVICE