Datenschutz

IT- Recht im Gesundheitswesen

Der digitale Wandel ist auch im Gesundheitswese angekommen. Krankenhäuser, Versicherungen und Ärztepraxen stehen vor neuen rechtlichen Hürden, die es schnell zu bewältigen gilt. Im Folgenden gehen wir auf die datenschutzrechtliche Problematik bei der digitalen Speicherung von Daten ein und erklären was es bei der Benutzung von spezieller Software zu beachten gilt und wie der unverzichtbare Internetauftritt eines Krankenhauses oder einer Arztpraxis rechtssicher gestaltet werden kann.

Seit dem 01.01.2016 ist das neue E-Health-Gesetz („Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“) in Kraft, welches in erster Linie dazu dienen soll, das Gesundheitswesen in das „digitale Zeitalter“ einzugliedern. Auf der elektronischen Gesundheitskarte sollen beispielsweise mehr Daten gespeichert werden, die dann automatisch für jeden behandelnden Arzt oder das Krankenhaus verfügbar sind. Die verschiedenen IT-Systeme der Gesundheitsträger sollen vernetzt und die Informationen über Patienten leichter ausgetauscht werden.

Dies ist nicht nur aus technischer Sicht eine Herausforderung, sondern auch vom rechtlichen Standpunkt aus: Die auf der Gesundheitskarte gespeicherten Daten müssen als sensible personenbezogenen Daten besonders gegen den Zugriff unbefugter Dritter geschützt werden. Ein Problem besteht insbesondere dann, wenn Drittunternehmer als Dienstleister über die Patientendaten verfügen, denn in so einem Fall kann die ärztliche Schweigepflicht nicht mehr garantiert werden.

Ein weiteres aktuelles Problem ist die Haftungsfrage bei Datenlecks und Hackerangriffen, die zu einem Datenverlust und/oder einer ungewollten Datenveröffentlichungen führen.

Schwerpunkte des E- Health- Gesetzes

Zum Schutz der Beitragszahler vor Leistungsmissbrauch soll ein modernes Stammdatenmanagement (Online-Prüfung und Aktualisierung von Versichertenstammdaten) unter Zuhilfenahme der elektronischen Gesundheitskarte geschaffen und nach erfolgreichem Testlauf bis Mitte 2018 flächendeckend eingeführt werden. Um diesen Zeitplan zu forcieren und alle Beteiligten, insbesondere die Ärzte, dazu zu bringen, bis dahin die notwendigen Voraussetzungen (Hardware, Software etc.) zu schaffen, können diesen gem. des neugefassten § 291 Abs. 2b SGB V ab 1. Juli 2018 die Vergütung vertragsärztlicher Leistungen pauschal um 1 % kürzen. Dies gilt solange, bis die gesetzlichen Vorgaben bzgl. der Infrastruktur umgesetzt werden.

Speicherung von medizinischen Notfalldaten

Ab 2018 sollen auch medizinische Notfalldaten auf der elektronischen Gesundheitskarte gespeichert werden, jedoch nur auf Wunsch des Versicherten. Die Erhebung solcher Daten kann Leben retten, da im Ernstfall wichtige Daten über Allergien oder Vorerkrankungen, Medikationen etc. schnell verfügbar sind und so möglichen Komplikationen mit z.B. anderen Arzneimitteln vorgebeugt wird.

Für die rechtmäßige Speicherung dieser Daten ist die ausdrückliche Einwilligung des Patienten notwendig. Zwar ist jeder elektronischen Gesundheitskarte ein Pin zugeteilt, sodass unter Umständen auf elektronischem Wege durch Eingabe des Pins eine konkludente Einwilligung möglich wäre, allerdings empfehlen wir, für diese Art von Daten auch eine schriftliche Einwilligung einzuholen, da bei datenschutzrechtlichen Einwilligungserklärungen grundsätzlich das Schriftformerfordernis gilt.

Patientenfach soll Überblick schaffen

Des Weiteren soll der Patient ab Ende 2018 einen Anspruch darauf haben, dass ein Patientenfach angelegt wird, in welchem sowohl die mittels Gesundheitskarte gespeicherten Daten aufgenommen werden, als auch eigene Daten abgelegt werden können wie z.B. ein Patiententagebuch über Blutzuckermessungen oder Daten von Wearables und Fitnessarmbändern. Mit Hilfe der Gesundheitskarte soll der Patient sodann die Möglichkeit haben, auch außerhalb einer Arztpraxis auf das „Patientenfach“ zuzugreifen. Der Patient entscheidet mithin nicht nur darüber, welche Daten gespeichert werden sollen, sondern auch, wer darauf zugreifen darf.

Einführung der „digitalen“ Sprechstunde

Außerdem soll die Telemedizin gefördert werden, sodass ab April 2017 die telekonsiliarische Befundbeurteilung von Röntgenaufnahmen und ab Juli 2017 die Online-Videosprechstunde in die vertragsärztliche Versorgung eingeführt wird.

E-Akte

In die elektronische Patientenakte sollen Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten gespeichert und verwaltet werden.

Neben dem Erfordernis einer ordnungsgemäßen Einwilligung in die Erhebung und Nutzung dieser Daten stellen sich auch im weiteren Verlauf der Patientenbetreuung  datenschutzrechtliche Probleme.

Insbesondere müssen die Hardware und Software bestmöglichen Schutz für die erhobenen Daten gewährleisten. Hierfür ist grundsätzlich der Arzt bzw. das Krankenhaus selbst verantwortlich, § 9 BDSG. Die Lagerung der Daten bei sog. Cloud-Anbietern ist nicht ohne weiteres möglich. Vielmehr muss hier eine datenschutzrechtliche Rechtfertigung für die Übertragung der Daten vorliegen. Werden die Daten nicht rechtmäßig erhoben und verwendet, drohen hohe Bußgelder und Schadensersatzansprüche der Patienten.

Vorteile für den Patienten

Die Speicherung von Patientendaten hat in anderen Ländern, wie Japan, bereits immense Vorteile gebracht. Zum einen werden Kosten im Gesundheitssystem eingespart. So können anhand einer Open-Data-Analyse das Krankheitsbild und die Behandlungsmethoden des Patienten mit einer Vielzahl anderer Daten desselben Krankheitsbildes verglichen werden und so die Behandlungsmethode, Medikamenteneinstellung und –wahl optimiert werden. Das hilft am Ende auch dem Patienten, der eine bessere Chance hat schnell die richtige Diagnose zu bekommen.

Abwägung der widerstreitenden Interessen

Die Bündelung und Speicherung dieser Daten widerspricht allerdings einigen Grundprinzipien des Datenschutzrechts, insbesondere dem Prinzip der Datensparsamkeit und der Zweckbindung. Die Herausforderung besteht somit darin, die Interessen der Ärzte, Krankenhäuser und Pharmaunternehmen mit dem Recht auf informationelle Selbstbestimmung der Patienten in Einklang zu bringen.

Dazu gehört insbesondere, die Zwecke der Datenanalysen so ausführlich, transparent und verständlich wie möglich abzubilden. Zudem ist es ratsam, schon frühzeitig, bei der Entwicklung und Implementierung von Big Data-Lösungen, die datenschutzrechtlichen Implikationen in die Gesamtkonzeption einzubeziehen und etwa Anonymisierungsverfahren vorzusehen.

Softwarelizenzverträge

Softwarelizenzen sind für Krankenhäuser und Arztpraxen von überragender Bedeutung. Sie gewährleisten einen reibungslosen, zeit- und kostensparenden Betrieb.

Datenschutzrechtlich problematisch ist jedoch die Inanspruchnahme von Dienstleistern für Wartungsarbeiten und Softwarepflege, z.B. Updates, Fehlerbehebung. Häufig haben dadurch Dritte direkt oder durch einen Remotezugang Zugriff auf die hochsensiblen Patientendaten.

Überprüfung der Dienstleister bei Softwarepflege

Aus diesem Grund ist die Softwarepflege von Software in der medizinischen Versorgung deutlich strenger reglementiert als in sonstigen Unternehmen. So muss z. B. ein Arzt bei Wartungsarbeiten grundsätzlich anwesend sein, um den Schutz der Daten weitestgehend gewähren zu können. Nur so kann der Arzt/ das Krankenhaus seiner Sorgfaltspflicht nachkommen und dafür sorgen, dass keine Patientendaten abhandenkommen.

Prüfung der erworbenen Lizenz

Neben den datenschutzrechtlichen Problemen gibt es häufig Probleme mit der erworbenen Softwarelizenz. Oftmals wird eine Softwarelizenz gekauft, welche dann auf eine bestimmte Anzahl (vertraglich festgehalten) an Endgeräten installiert werden darf. Wenn die Grenze erreicht ist und die Software dennoch auf weiteren Endgeräten installiert wird, ist diese Installation nicht mehr vom Lizenzvertrag erfasst.

Bring your own device

Unter „Bring your own device“ (BYOD) ist der Einsatz privater Geräte der Arbeitnehmer (Handy, Smartphone, Notebook usw.) zu betrieblichen Zwecken zu verstehen. Dieses Modell erfährt mit der Zeit eine immer größere Beliebtheit, da es für Unternehmen u.a. erhebliche Kostenersparnisse bedeutet. Zudem können die Mitarbeiter auf diese Weise flexibel arbeiten.  Dies bringt insbesondere im Zuge vermehrter Teilzeit- und Homeoffice Modelle organisatorische Vorteile für Ärzte und Krankenhäuser.

Datenschutz auch bei BYOD

Da die Geräte der Mitarbeiter nicht nur beruflich, sondern auch privat genutzt werden, müssen besondere Sicherheitsregelungen im Umgang mit den Geräten aufgestellt werden. Im Gesundheitswesen kommen hierbei wieder die sehr hohen datenschutzrechtlichen Hürden ins Spiel. So müssen Krankenhäuser und Arztpraxen Benutzungsregeln aufstellen, um dem hohen Grad des Schutzes von Patientendaten gerecht zu werden. Auch muss die Haftung für einen eventuellen Missbrauch des Mitarbeiters oder eventueller Sicherheitsverstöße geregelt werden, um gegen Schadenersatzansprüche der Patienten abgesichert zu sein.

Arbeitsrechtliche Regelungen für eigene IT Geräte

Zudem muss der Arbeitsschutz beachtet werden. Insbesondere muss geklärt werden, inwieweit Zugang in die private IT der Mitarbeiter genommen werden kann, um eventuellem Missbrauch vorzubeugen und Sicherheitsstandards zu überprüfen.

Website/Social Media

Social Media Kanäle werden auch im Gesundheitswesen verstärkt genutzt. Eine gute Website gehört schon lange zum Standard von Arztpraxen und Krankenhäusern. Im Netz lauern allerdings einige Fallstricke, die es zu beachten gilt. Insbesondere bei der Einbindung fremder Inhalte (Bilder, Texte, Links, Zeitungsartikel, Musik, Grafiken, Kartenausschnitte) ist Vorsicht geboten. Ohne Einwilligung des Urhebers dürfen solche Werke grundsätzlich nicht genutzt werden. Wer es dennoch tut, riskiert eine teure Abmahnung.

Internet of things

Internet of things (IoT) ist die technische Vision, Objekte jeder Art in ein universales digitales Netz zu integrieren. Diese auch als „Industrie 4.0“ bezeichnete Technik wird zukünftig von höchster Bedeutung sein, auch für das Gesundheitswesen. Teilweise gehen die Vorhaben bzw. Visionen soweit, dass jedwede Daten direkt mit der Patientenakte verknüpft werden können. So sollen künftig beispielsweise eigene Messungen von Blutzuckerwerten mit in der Patientenakte gespeicherten Daten verglichen werden. Oder selbst entnommene Urinproben mit älteren Urinproben abgeglichen werden.

Smart Products zur Selbstüberwachung

Auch wenn bis zur Realisierung dieser technischen Visionen noch etwas Zeit vergehen wird, gibt es auch heutzutage schon sog. Smart Products. Diese sind mobil einsetzbar und werden häufig unmittelbar am Körper, etwa in Kleidungsstücken, Armbanduhren oder als Smart Glasses getragen, teilweise sogar in den Körper implantiert. Diese Gegenstände zeichnen zahlreiche Daten wie Puls, Herzschlag oder Geo-Daten auf, anhand derer der Hersteller ein umfassendes Nutzerprofil erstellen kann. So sollen bereits heute verschiedene Health-Apps Ärzten ermöglichen, Patienten aus der Ferne zu überwachen.

Haftung für Diagnosen per Smart Products

Künftig werden sich Ärzte und Krankenhäuser daher vermehrt Haftungsrisiken ausgesetzt sehen. Es wird sich die Frage stellen, wer aufgrund einer Fehldiagnose eines Smart Products haftet und inwiefern sich Ärzte präventiv durch Haftungsausschlüsse absichern können.

Haftung für Fehler in vernetzten Geräten

Nicht nur die Patienten sind immer vernetzter, auch die Geräte innerhalb der Praxis  oder des Krankenhauses sind zunehmend vernetzt und agieren autark. So übernimmt bereits häufig ein Operations-Roboter feine und sehr präzise Eingriffe, teils von menschlicher Hand gesteuert, teils völlig selbständig handelnd. Auch hier stellen sich vermehrt Fragen nach der Haftung. Wer haftet bei OP-Fehlern und Fehldiagnosen? Wie kann sich ein Arzt/ ein Krankenhaus vor einer Haftung schützen?

Haben Sie Fragen zum Datenschutz oder wollen wissen, wie Sie eine rechtssichere Website aufbauen können? RA Bonny Lengersdorf steht Ihnen für eine kostenlose Erstberatung (bundesweit) zur Verfügung.

Rafaela Wilde ist Partnerin der Kanzlei WILDE BEUGER SOLMECKE und beratende Justiziarin des Film- und Medienverbands NRW e. V. Sie vertritt bereits seit Jahren erfolgreich die Interessen von Film- und Fernsehproduzenten gegenüber der Landesregierung NRW, den Fernsehsendern und anderen Wirtschaftspartnern.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×