VOLLTEXTSUCHE
Fachartikel, 23.02.2010
Bundesdatenschutzgesetz
Datenschutz in der Arztpraxis
Personenbezogene Daten über den Gesundheitszustand sind nach dem Bundesdatenschutzgesetz (BDSG) so genannte „besondere Arten personenbezogener Daten“. Daher werden an die Verarbeitung dieser Daten besondere datenschutzrechtliche Anforderungen gestellt.

Nach dem Bundesdatenschutzgesetz (BDSG) werden gem 3 Abs. 1 BDSG personenbezogene Daten geschtzt, also Einzelangaben ber persnliche oder sachliche Verhltnisse einer bestimmten oder bestimmbaren natrlichen Person. Das BDSG gilt dabei sowohl fr Unternehmer (so genannte „nicht-ffentliche Stellen“) wie fr Behrden (so genannte „ffentliche Stellen“), wobei bei diesen datenschutzrechtlich weiter zu differenzieren ist (Bundes- oder Landesbehrde etc.).

Grundsatz nach dem BDSG: Einwilligung des Betroffenen oder gesetzliche Gestattung ntig

Grundstzlich ist die Datenerhebung, Verarbeitung und Nutzung soweit zulssig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Fr die Verarbeitung personenbezogener Daten in der Arztpraxis ist daher neben den Vorschriften zur Einwilligung besonderes Augenmerk auf die Regelungen des Dritten Abschnitts des BDSG zu legen, da dort das Erheben, Speichern, Verndern oder bermitteln personenbezogener Daten oder ihre Nutzung als Mittel fr die Erfllung eigener Geschftszwecke geregelt ist.

Gesundheitsdaten: besondere Art personenbezogener Daten nach 3 Abs. 9 BDSG

Das BDSG lautet in 3 Abs. 9 BDSG wie folgt:

„Besondere Arten personenbezogener Daten sind Angaben ber die rassische und ethnische Herkunft, politische Meinungen, religise oder philosophische berzeugungen, Gewerkschaftszugehrigkeit, Gesundheit oder Sexualleben.“

Damit sind Gesundheitsdaten von Patienten als „besondere Arten personenbezogener Daten“ zu verstehen und daher in der Folge einem besonderen datenschutzrechtlichen Schutz zu unterstellen. So bedingt beispielsweise 4d Abs. 5 Nr. 1 BDSG die Durchfhrung einer Vorabkontrolle „automatisierte Verarbeitungen“, wenn personenbezogene Daten automatisiert verarbeitet werden sollen. 4a Abs. 3 BDSG stellt fr die Einwilligung hinsichtlich besonderer Arten personenbezogener Daten spezielle Voraussetzungen auf.

Fr den Bereich der technischen Umsetzung der Datenverarbeitung hebt 9 BDSG hervor, dass Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Manahmen zu treffen haben, die erforderlich sind, um die Ausfhrung der Vorschriften dieses Gesetzes zu gewhrleisten. Erforderlich sind alle Manahmen, deren Aufwand in einem angemessenen Verhltnis zu dem angestrebten Schutzzweck steht. Gem 3 Abs. 9 i.V.m. 4a Abs. 3, 4d Abs.5 und 28 Abs. 6 BDSG muss bei Patientendaten immer von einem hohen Schutzbedarf ausgegangen werden.

Gem 1 Abs. 3 S. 2 BDSG bleiben neben dem BDSG die berufsrechtlichen Regelungen unberhrt. Die Bewertung der rztlichen Schweigepflicht per se findet damit auch Einzug in das Datenschutzrecht. Daneben muss bei der Anwendung eines IT-Systems auf die Einhaltung der Grundstze der Vertraulichkeit, Verfgbarkeit und Integritt der Daten geachtet werden.

An welche Faktoren werden besondere Ansprche gestellt?

Generell sind vor allem die folgenden datenschutzrechtlichen Belange fr eine Arztpraxis relevant: Zu beachten ist zunchst der datenschutzrechtliche Grundsatz, dass das Speichern, Verndern, bermitteln und die sonstige Nutzung personenbezogener Daten nur im Rahmen der Zweckbestimmung des Vertragsverhltnisses mit dem Patienten oder zur Wahrung berechtigter Interessen des Arztes bzw. der Behandlungseinrichtung zulssig ist. Auch dies gilt jedoch nur dann, wenn nicht anzunehmen ist, dass das schutzwrdige Interesse des Patienten an dem Ausschluss der Verarbeitung oder der Nutzung berwiegt (siehe insofern 28 Abs. 6 BDSG).

Einwilligungserklrung: grundstzlich immer schriftlich

Die datenschutzrechtliche Einwilligungserklrung des Patienten bedarf der Schriftform gem 4a Abs. 1 S. 3 BDSG, wenn nicht wegen besonderer Umstnde eine andere Form angemessen ist.

Sicherstellung der technischen und organisatorischen Mittel: was ist ntig?


Der Arzt muss sicherstellen, dass die technischen und organisatorischen Mittel hinsichtlich der zu treffenden Sicherheitsmanahmen gem 9 BDSG getroffen werden. Was im Einzelfall als erforderlich zu gelten hat kann erst nach einer Ermittlung der Schutzbedrftigkeit der gespeicherten Daten festgestellt werden. Im Grundsatz sind gem der Anlage zu 9 BDSG insbesondere folgende technischen Vorgaben einzuhalten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfgbarkeitskontrolle und Zweckbindung.

Erforderlich: ordnungsgeme Datensicherung

Fr die erforderliche Datensicherung sind tglich Sicherungskopien zu erstellen. Dafr sind geeignete externe Medien zu verwenden. Die nhere Dokumentation richtet sich nach 10 MBO, der Muster-Berufsordnung fr die deutsche rzteschaft. Die Berufsordnung gestattet ausdrcklich auch die elektronische Dokumentation. Die so angefertigten Dokumente mssen zehn Jahre archiviert werden, so dass eine gute Datensicherung eine Grundvoraussetzung darstellt. Whrend der Archivierungszeit mssen die Dokumente auf Verlangen lesbar und verfgbar sein.

EDV-System muss laufend gewartet werden

Die Benutzung eines EDV-Systems erfordert immerzu eine stetige Wartung. Zu beachten ist, dass die einzelnen Manahmen der Wartung durch den Arzt autorisiert und berwacht werden mssen. Insofern handelt es sich, wenn ein Dritter mit der Wartung beauftragt wird, nach dem BDSG um eine Prfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch Externe gem. 11 Abs. 5 BDSG. Damit mssen die fr die Datenverarbeitung im Auftrag geltenden Grundstze gem. 11 Abs. 1 bis Abs. 4 BDSG beachtet werden. Letztlich ist immer der Arzt fr die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Dies macht neben einer sorgfltigen Auswahl des Auftragsnehmers eine Verschwiegenheitsverpflichtung desjenigen erforderlich. Zudem mssen die durchgefhrten Manahmen und die Kontrolle der Auftragnehmer protokolliert werden.

Zur Gewhrleitung der Integritt der Daten: Datenmanagement ntig

Alle im Rahmen der Behandlungsvorgnge gespeicherten Daten mssen den datenerhebenden Personen stets zugeordnet werden knnen. Die Administrationspflicht wird vom BDSG insoweit an die verarbeitende bzw. verantwortliche Stelle geknpft. Wer der so genannte „Herr der Daten“ ist muss am Einzelfall bestimmt werden, da die Frage insbesondere in Bezug auf Gemeinschaftspraxen nicht immer leicht zu beantworten ist.

Stets Zugangsautorisierung ntig

Zu Grunde zu legen ist eine ernstzunehmende Autorisierungsprozedur, damit jegliche Nutzung des IT-Systems kontrolliert werden kann. Dabei drfen Benutzer des IT-Systems sich nur auf der Applikationsebene und niemals auf der Administrationsebene bewegen knnen. Wenn eine Autorisierung stattgefunden hat kann die Speicherung von Daten mit Kennung und Datum versehen werden, so dass ein sicheres Datenbankmanagement mglich ist.

Zugriff auf das IT-System muss vertraulich geschehen

Daneben fhrt der Autorisierungsprozess gleichzeitig zum sicheren Zugriffsmanagement. Nur wenn alle Zugriffsberechtigen registriert sind und ber individuelle Zugriffsprofile verfgen, kann ein sicherer Zugang gewhrleistet werden.

Datenbertragung: nur im sicheren Netz

bertragungswege mssen sowohl gegen Datenverluste wie auch gegen Datenverflschungen und unbefugte Kenntnisnahmen abgesichert werden. Eine Organisation ber ein Wireless-Local-Area-Network kann ein Sicherheitsdefizit darstellen. Zudem stellt der unverschlsselte Versand medizinischer Daten via E-Mail durch rzte oder ihre Mitarbeiter ein unverantwortliches Sicherheitsrisiko dar. Daneben ist die Nutzung je nach Verwendung des gewhlten Netzmanagements auch gegen Angriffe aus dem Internet als bertragungsweg zu schtzen. Entsprechend ist ein fortgeschrittenes Firewallsystem erforderlich.

Arztpraxis: Datenschutzbeauftragter erforderlich?

Informationen zur Frage der Bestellung eines Datenschutzbeauftragten in der Arztpraxis finden Sie sich in dem Artikel „Datenschutz in der Arztpraxis: brauchen rzte einen Datenschutzbeauftragten?“ (vgl. Link).

Fazit

Zur Vermeidung straf- und ordnungsrechtlicher Konsequenzen mssen rzte beim Einsatz von EDV-System zur Verarbeitung von Patientendaten zahlreiche datenschutzrechtliche Vorgaben beachten. Letztlich lohnt die Investition in die Informations- und Risikovorsorge: mit einem rechtssicheren Datenschutzkonzept knnen rzte Schwierigkeiten mit Aufsichtsbehrden und Patienten vermeiden sowie die finanziellen Risiken im Fall eines Datenschutzvorfalls minimieren.

QUERVERWEIS
Service-Tipp der Redaktion
Datenschutz-Informations-Videos
Kostenfreie Video-Vorträge für Unternehmer, IT-Verantwortliche und Datenschutzbeauftragte rund um rechtliche Fragestellungen und Pflichten in Sachen Datenschutz ...
weitere Informationen
ZUM AUTOR
ber Dr. Sebastian Kraska
Institut für IT-Recht - Kraska GmbH
Herr Dr. Sebastian Kraska gründete im Jahr 2007 die Kraska GmbH, die sich mit IT-Dienstleistungen befasst. Im Jahr 2009 kam das Institut für IT-Recht IITR hinzu, das schwerpunktmäßig im Bereich Datenschutz tätig ist und in ...
Institut für IT-Recht - Kraska GmbH
Eschenrieder Straße 62c
82194 Gröbenzell

+49-89-51303920
WEITERE ARTIKEL DIESES AUTORS
ANDERE ARTIKEL AUS DIESEM RESSORT
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
Anzeige
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
EINTRGE
PR-DIENSTLEISTERVERZEICHNIS
PR-Dienstleisterverzeichnis
Kostenlos als PR-Agentur/-Dienstleister eintragen
Kostenfreies Verzeichnis fr PR-Agenturen und sonstige PR-Dienstleister mit umfangreichen Microsites (inkl. Kunden-Pressefchern). zum PR-Dienstleisterverzeichnis
BUSINESS-SERVICES
© novo per motio KG