Arzt bei der PC-Arbeit

Einsatz von Dienstleistern

Die in den Praxen eingesetzte Hard- und Software bedarf, um sie technisch und funktional auf einem aktuellen Stand zu halten, der Betreuung und Systempflege. Häufig wird dabei auf entsprechende Dienstleister zurückgegriffen, die vor Ort oder im Rahmen einer Fernwartung notwendige Arbeiten ausführen. Bei diesen handelt es sich nicht um berufsmäßig tätige Gehilfen. Werden Patientendaten im Rahmen der Fernwartung außerhalb der Einrichtung des medizinischen Leistungserbringers, beispielsweise bei einer EDV-Firma, gespeichert, unterliegen sie dort zudem nicht mehr dem besonderen Schutz der ärztlichen Schweigepflicht und des § 203 StGB.

Ein reibungsloses Funktionieren der eingesetzten IT-Systeme erfordert jedoch eine fachkundige Betreuung und Wartung, um deren Funktionsfähigkeit zu erhalten und eine sichere und vertrauenswürdige Informationstechnik zu gewährleisten. Dies liegt mit Blick auf die Behandlungssicherheit und -qualität auch im Interesse der Patienten.

Die zunehmende Komplexität von IT-Lösungen führt dazu, dass dies im Regelfall nicht durch die Praxisinhaber selbst geleistet werden kann. Für eine datenschutzkonforme Beauftragung externer Stellen mit der Systembetreuung und Wartung ist diese über eine vertragliche Vereinbarung, die den Anforderungen nach § 11 Abs. 5 BDSG Rechnung trägt, abzubilden. Die datenschutzrechtliche Verantwortung verbleibt hierbei beim Auftraggeber, d.h. dem Arzt oder Psychotherapeuten. Art und Umfang der übertragenen Tätigkeiten sowie die übrigen in § 11 Abs. 2 BDSG angesprochenen Punkte sind in einer schriftlichen Vereinbarung festzulegen. Besonderes Augenmerk gilt dabei der Sicherung von Praxisdaten beim Auftragnehmer und beim Zugriff auf die IT-Systeme der Praxis (vgl. die Maßnahmen nach § 9 BDSG).

Externe Zugriffe auf die Praxissysteme, wie sie im Rahmen einer Fernwartung erfolgen, dürfen nur mit Wissen und Billigung des Arztes/Psychotherapeuten vorgenommen werden. Ein Zugriff ohne Kenntnis des Praxisinhabers ist auszuschließen, z.B. dadurch, dass ein Zugang erst nach Freischaltung durch die Praxis eröffnet wird. Technisch ist sicherzustellen, dass externe Zugriff erst nach einer verlässlichen Authentifizierung der zugreifenden Stelle (z.B. Benutzerkennung/Passwort) und über eine geschützte (verschlüsselte Verbindung) erfolgen.

Zeitpunkt und Umfang der im Rahmen einer Fernwartung durchgeführten Arbeiten müssen hinreichend nachvollzogen werden können. Dabei muss insbesondere erkennbar sein, von wem zu welchem Zeitpunkt auf welche Daten zugegriffen wurde bzw. welche Arbeiten vorgenommen wurden.

Für die im Rahmen einer KV-SafeNet-Anbindung eingesetzten Anschlusskomponenten (Router)besteht regelmäßig die Möglichkeit, einen Zugriff von Außen – z.B. durch den jeweiligen IT-Dienstleister für Wartungszwecke – zuzulassen oder zu verbieten. Je nach eingesetztem Produkt werden entsprechende Zugriffe aufgezeichnet. Den Umfang der bei der von Ihnen eingesetzten Lösung dazu vorhandenen Funktionen und deren Einstellungsmöglichkeiten können Sie über Ihren KV-SafeNet-Anbieter erfahren.

Mit Blick auf die dem Arztgeheimnis nach § 203 StGB unterliegenden Daten sollte bei der Einbindung von Dienstleistern nach der Art der Wartungsarbeiten unterschieden werden:

  • Arbeiten, die keinen Zugriff auf personenbezogene Daten erfordern (z.B. Installations- und Konfigurationsarbeiten, die Überwachung von Systemzuständen, das Auslesen von Fehlerprotokollen oder die Aktualisierung von System- oder Anwendungsprogrammen). Hier ist eine Wartungsvereinbarung im Allgemeinen unproblematisch.
  • Arbeiten, die mit einem Zugriff auf personenbezogene Daten verbunden sind, bei denen es sich jedoch nicht um Patientendaten, bzw. durch § 203 StGB geschützte Daten handelt (z.B. die Einrichtung und Verwaltung der Benutzer des Praxissystems, die Vergabe von Zugriffsrechten oder das Auslesen von Zugriffsprotokollen). Hier sollten in der Wartungsvereinbarung Regelungen zum Umgang des Dienstleisters mit den Daten getroffen werden (Verschwiegenheitspflicht, Löschung).
  • Arbeiten, die einen Zugriff auf durch § 203 StGB geschützte Daten erfordern. Diese sind datenschutzrechtlich nur zulässig, wenn der Arzt über eine Offenbarungsbefugnis verfügt. Ohne eine solche stellen Zugriffe von Dienstleistern auf Patientendaten einen Verstoß gegen § 203 StGB dar.

    Eine sichere und vertrauenswürdige Informationstechnik und der Erhalt der Funktionsfähigkeit der in der Praxis eingesetzten IT-Systeme liegt auch im Interesse der Patienten. Unter der Voraussetzung einer ausreichenden Information kann davon ausgegangen werden, dass die Patienten mit dem Abschluss des Behandlungsvertrags konkludent in eine fachkundige Betreuung und Wartung durch eine externe Stelle eingewilligt haben.

Angesichts der schwierigen Situation und der bestehenden Rechtsunsicherheit vieler Praxisinhaber hat die Konferenz der Datenschutzbeauftragten des Bundes und der Ländern in einer Entschließung vom Oktober 2013 gefordert, dass für die zunehmende Einschaltung technischer Dienstleister durch Leistungserbringer, insbesondere niedergelassene Ärztinnen und Ärzte, angemessene datenschutzgerechte gesetzliche Regelungen verabschiedet werden müssen. Die Dringlichkeit dieser Forderung wird mittlerweile durch eine Entscheidung des Landgerichts Flensburg vom 05.07.2013 (Az. 4 O 54/11) belegt. In dem Urteil wird die Beauftragung eines externen Dienstleisters mit der Betreuung und Wartung eines Praxisverwaltungssystems durch einen niedergelassenen Arzt als Verstoß gegen die ärztliche Schweigepflicht und zugleich als nicht behebbarer Sachmangel der Arztpraxis gewertet, sofern die Möglichkeit des Zugriffs auf Patientendaten für den Dienstleister nicht ausgeschlossen ist. Damit wird erstmals gerichtlich bestätigt, dass eine nicht mit der Schweigepflicht vereinbare Hinzuziehung externer Dienstleister konkrete Auswirkungen für den Praxisbetreiber haben kann. Es ist zu erwarten, dass diese zunächst nur zivilgerichtlich getroffene Bewertung auch von den Strafgerichten übernommen wird, sofern betroffene Patienten in einem derartigen Fall eine Strafanzeige nach § 203 StGB stellen. Aufgrund dessen besteht ein akuter gesetzgeberischer Handlungsbedarf.“

Check

  1. Wurde ein schriftlicher Vertrag zur Datenverarbeitung im Auftrag abgeschlossen ?
  2. Erfüllt dieser die Vorgaben des § 11 BDSG?
  3. Bedürfen Fernwartungszugriffe einer vorherigen Freigabe/Freischaltung?
  4. Ist der im Rahmen der Wartung genutzte Online-Zugang hinreichend abgesichert (z.B. Benutzerkennung/Passwort, Token-Lösung etc.)?
  5. Wird die Kommunikationsverbindung verschlüsselt?
  6. Sind die durchgeführten Wartungsarbeiten bzw. die erfolgten Zugriffe nachvollziehbar?
  7. Werden erfolgte Online-Zugriffe nachträglich auf Plausibilität geprüft?

Aktueller Klärungsbedarf nach Überarbeitung der gemeinsamen Empfehlungen von BÄK und KBV zur ärztlichen Schweigepflicht

Welchen aus der ärztlichen Schweigepflicht resultierenden Anforderungen der Einsatz externer Dienstleister bei dem Betrieb einer Arztpraxis unterliegt, wenn die Möglichkeit zur Kenntnisnahme von Patientendaten nicht ausgeschlossen werden kann, ist vor dem Hintergrund der überarbeiteten Empfehlungen der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung zur ärztlichen Schweigepflicht zumindest unklar. In Nr. 6 dieses Papiers werden im Zusammenhang mit der Beauftragung von Dienstleistern zur (Fern-) Wartung von EDV-Systemen die Praxisbetreiber aufgefordert, hierbei die Vorgaben des § 11 Abs. 1 bis Abs. 4 BDSG zu beachten. Darüber hinausgehende Anforderungen sind nicht ersichtlich, obwohl nach § 1 Abs. 3 Satz 2 BDSG die Verpflichtung zur Wahrung von Berufsgeheimnissen nicht von den Bestimmungen des BDSG berührt wird und damit rechtlich regelmäßig keine Befugnis des Behandlers zur Offenbarung der Patientendaten gegenüber dem Dienstleister vorliegen dürfte. Aus diesem Grund hält der LfDI Rheinland-Pfalz bislang die Beauftragung externer Dienstleister zur (Fern-) Wartung von Praxis-IT nur dann für zulässig, wenn dies gegenüber den Patienten ausreichend transparent gemacht wurde (siehe auch Informationsblatt zur Beauftragung Externer für Systembetreuung und Wartung).

Die Kooperationspartner sind bemüht, die bestehenden Unklarheiten im Dialog mit der Bundesärztekammer zu beseitigen.

Linksammlung