23. Tätigkeitsbericht (2001)



4.8

Schutz des Patientengeheimnisses

4.8.1

Überblick

Im letzten Bericht haben wir als die zentralen Probleme mit Datenschutzrelevanz im Gesundheitswesen benannt: Geldknappheit, ungenügende gesetzliche Regelungen und Entwicklungen in der Gentechnik (vgl. 22. TB, Tz. 4.7.1). Mit den gleichen Stichworten lassen sich auch die wichtigsten Themen im vergangenen Jahr umreißen. Ergänzt werden muss die Aufzählung allerdings um den Begriff "Automationsvorhaben" mit den Unterpunkten "elektronische Krankenakte" und "Vernetzung". Die Lösung dieser Probleme wird die Ärzte und Krankenhäuser offenbar noch einige Jahre beschäftigen.

Die Hoffnung auf eine Verbesserung der Gesetzeslage im Medizinbereich auf Landesebene hat sich zerschlagen. Überlegungen zu einem umfassenden Gesundheitsdatenschutzgesetz wurden aufgegeben. Allerdings wurden Datenschutzregelungen in einem Gesetz zum öffentlichen Gesundheitsdienst (Gesundheitsämter) auf die Schiene gesetzt. Auf Bundesebene haben sich mit dem Infektionsschutzgesetz, das das Bundesseuchengesetz ablöst, neue medizinische Meldewege ergeben. Die Hoffnungen auf mehr Transparenz der Datenverarbeitung bei der gesetzlichen Krankenversicherung werden auch durch das neue Transparenzgesetz nicht erfüllt werden.

Das LDSG 2000 enthält auch für die Verarbeitung medizinischer Daten Vorschriften. Sie gelten, soweit spezifische Regelungen fehlen. Medizinische Daten dürfen nur unter klar definierten Voraussetzungen zur Durchführung beratender und begutachtender Tätigkeit im Einzelfall, z. B. an einen Anwalt, herausgegeben und genutzt werden, ebenso für die Durchführung wissenschaftlicher Forschung. Keine Offenbarungsbefugnis besteht gegenüber dem behördlichen Datenschutzbeauftragten. Hierzu bedarf es der Einwilligung der Patientin bzw. des Patienten.

Die beiden Universitätskliniken leisten sich externe professionelle Datenschutzberatung. Deren Aufgabe ist es, die Bediensteten zu schulen, ein elektronisch verfügbares Datenschutzhandbuch zu entwickeln und zu pflegen, das hausinterne Datenschutzmanagement zu organisieren und für allgemeine Fragen zur Verfügung zu stehen. Dies ist alles andere als Luxus. Es ist nur zu begrüßen, dass die beiden Kliniken den Datenschutz ernst nehmen und sich dies auch etwas kosten lassen. Ob dabei auf externen Sachverstand zurückgegriffen wird, ist zunächst zweitrangig. Auch bei der Beratung durch Externe muss aber der Datenschutz gewahrt bleiben. Die Weitergabe von Personendaten an den externen Berater ist eine Datenübermittlung an Private, die regelmäßig nur nach Vorliegen einer Einwilligung zulässig ist. Außerdem ist darauf zu achten, dass für die Betroffenen erkennbar ist, dass die externe Beratungsstelle kein Teil der Klinik und daher anderen rechtlichen Regeln unterworfen ist. Diese Einsicht wird inzwischen von sämtlichen Beteiligten geteilt und in der Praxis berücksichtigt.

4.8.2

Genomanalyse

Nach der weitgehenden Entzifferung des menschlichen Genoms (DNA) arbeiten viele Wissenschaftler daran, aus bestimmten Genabschnitten medizinische Dispositionen, Krankheiten und körperliche Eigenschaften, aber auch persönliche und charakterliche Anlagen abzuleiten. Die Grenzen der Forschung auf diesem Gebiet sind noch lange nicht erreicht, Konflikte mit dem Recht auf informationelle Selbstbestimmung sind vorgezeichnet.

Mithilfe der Pränataldiagnostik kann vor einer Geburt festgestellt werden, welche Eigenschaften ein Mensch künftig haben wird. Soll es zulässig sein, maßgeschneiderte Kinder zu selektieren? Bei Erwachsenen können Ergebnisse von Genomanalysen bei der Einstellung für bestimmte Berufe, beim Abschluss von Kranken- und Lebensversicherungen und bei der medizinischen Behandlung von Bedeutung sein. Zur Feststellung von verwandtschaftlichen Beziehungen und Abstammungen und zur Identifizierung von Straftätern wird die DNA-Analyse schon in Massenverfahren genutzt. Inzwischen sind Genchips zu erschwinglichen Preisen auf dem Markt erhältlich, über die mit einem relativ einfachen Verfahren das Vorliegen genetischer Dispositionen festgestellt werden kann. Kriminalisten fordern die Untersuchung von Straftätern auf besondere kriminalitätsfördernde Anlagen.

Wir sehen keine Veranlassung, die gesamte Humangenetik zu verteufeln. So mag es möglich sein, mithilfe der Gendiagnostik auf den Patienten maßgeschneiderte Medikamente zu "designen". Gegenüber diesen Chancen fallen jedoch erhebliche Risiken ins Gewicht. Solange es keine Behandlungs- oder Vorsorgemöglichkeiten gibt, ist die Feststellung einer Anlage zu einer Krankheit in aller Regel eine kontraproduktiv psychische Belastung für den Patienten. Die Gefahr, dass Menschen je nach genetischer Disposition abgestempelt oder privilegiert werden, ist mit den Händen zu greifen. Gerade Deutschland hat angesichts des Umstandes, dass in seiner jüngeren Geschichte als "minderwertig" eingestuftes Leben diskriminiert und vernichtet worden ist, eine besondere Verantwortung dafür, dass es in der Zukunft keine genetische Diskriminierung gibt.

Der Deutsche Bundestag hat deshalb die Datenschutzbeauftragten des Bundes und der Länder um eine Stellungnahme dazu gebeten, welchen politischen Handlungsbedarf sie zur Absicherung der genetischen Selbstbestimmung sehen. Es wird klar zu definieren sein, unter welchen Voraussetzungen Identitäts- und Verwandtschaftsfeststellungen zugelassen werden. Will ein Mensch seine Erbanlagen untersuchen lassen, so muss ihm dies freistehen. Doch darf er nicht gezwungen werden können, dieses Wissen anderen zu offenbaren. Zur genetischen Selbstbestimmung gehört auch, dass jeder Mensch ein "Recht auf Nichtwissen" hat, d. h. niemand darf gegen seinen Willen auf genetische Dispositionen hin untersucht werden. Auch eine "freiwillige" Vorlage gegenüber Versicherungen und Arbeitgebern muss ausgeschlossen werden.

In Sachen humangenetischer Forschung befinden sich die Ethikkommissionen der Ärztekammern und der Universitätskliniken an vorderster Front. Wir haben daher mit diesen Gremien den Dialog aufgenommen. In einem Gutachten haben wir für diese Kriterien erarbeitet, die bei solchen wissenschaftlichen Projekten beachtet werden sollten. In der weiteren Diskussion wurden diese Kriterien hinsichtlich der praktischen Umsetzung von der Ärztekammer präzisiert. Dabei geht es insbesondere um die Sicherstellung einer umfassenden Aufklärung der untersuchten Menschen, die Absicherung von deren freier Willensentscheidung und die langfristige Gewährleistung der Anonymität der Untersuchungen.

www.datenschutzzentrum.de/material/themen/gendatei/genanaly.htm

Was ist zu tun?
Im Rahmen der Diskussion über eine gesetzliche Regelung muss eine öffentliche Debatte über die ethische, demokratische und rechtsstaatliche Verantwortbarkeit spezieller gentechnischer Anwendungen stattfinden, bei der die kommerziellen Interessen nicht im Vordergrund stehen dürfen.

4.8.3

Digitale medizinische Dokumentationen und ihre Vernetzung

Pilotprojekte zur medizinischen Informationsverarbeitung sprießen an allen Ecken und Enden. Bei Medizinern, Informatikern und EDV-Firmen hat sich eine regelrechte Goldgräberstimmung breit gemacht. Leider haben die Beteiligten oft nicht die Anforderungen des Patientengeheimnisses im Auge.

Gegen eine digitale medizinische Dokumentation ist datenschutzrechtlich grundsätzlich nichts einzuwenden. Im Gegenteil: Mithilfe einer differenzierten Zugriffsverwaltung sowie digitalen Signaturen, Verschlüsselungstechniken und elektronischer Protokollierung lässt sich sogar ein Mehr an Datenschutz gegenüber der konventionellen Aktenführung erreichen. Problematisch wird es aber dort, wo durch die Nutzung der elektronischen Datenverarbeitung nicht nur die bisherige Dokumentation auf eine effektivere technische Ebene gehoben werden soll, sondern zusätzliche Nutzeffekte angestrebt werden.

Dies ist immer dann der Fall, wenn elektronische Dokumente nicht nur dem behandelnden Arzt bzw. dem Behandlungsteam zur Verfügung gestellt werden sollen, sondern außerdem im Rahmen einer Vernetzung einer größeren, eventuell noch unbestimmten Zahl von Ärztinnen und Ärzten oder gar von fachfremden Personen. Dieses Problem taucht bei so genannten medizinischen Kompetenznetzwerken, deren Schwerpunkt in der Forschungsarbeit liegt, ebenso auf wie bei regionalen Praxisnetzen und bei zentralen Archivierungsprojekten. Dabei gerät nämlich schnell aus dem Blick, dass das Patientengeheimnis eine persönliche ärztliche Pflicht darstellt, die regelmäßig nur durch Erteilung einer wirksamen Einwilligung des Patienten aufgehoben werden kann.

Die an uns herangetragenen Beratungsersuchen lassen sich schon fast nicht mehr überblicken. Da hierbei immer wieder die gleichen Fragestellungen auftauchen, haben wir die grundsätzlichen Aussagen zum Patientengeheimnis in medizinischen Netzen wie folgt zusammengefasst:

  • Das Patientengeheimnis gilt auch zwischen den Ärzten. Ein Austausch medizinischer Daten ist nur im Rahmen der konkreten Behandlung oder nach Erteilung einer Einwilligung des Patienten zulässig.

  • Mitarbeiter von Firmen, die im Rahmen der Systembetreuung, der Wartung oder der Aktenarchivierung tätig sind, können nicht als zugriffsberechtigte "berufsmäßig tätige Gehilfen" des Arztes angesehen werden, da sie nicht direkt am Behandlungsgeschehen beteiligt und an Weisungen des behandelnden Arztes nicht gebunden sind. Diese Personen dürfen Kontakt zu Daten nur erhalten, wenn sie - z. B. durch Verschlüsselung - für sie nicht lesbar sind.

  • Zentrale digitale Patientendatenarchive sind mit dem Patientengeheimnis nur vereinbar, wenn eine Datenverarbeitung im Auftrag der behandelnden Ärzte erfolgt und eine Kenntnisnahme der Daten beim Auftragnehmer ausgeschlossen ist. Eine pauschale Einwilligung der Patienten in die zentrale Datenhaltung wäre wegen der Unbestimmtheit von Datenempfängern, Datenumfang und Zweck unwirksam.

  • Die rechtlichen Kriterien für die Wirksamkeit von Einwilligungen (Bestimmtheit von Empfänger, Datenumfang und Zweck) sind sehr streng. Die grundsätzlich in schriftlicher Form zu erteilenden Einwilligungen müssen sich auf einen Behandlungsfall bzw. eine Erkrankung beschränken und so formuliert sein, dass die einwilligende Person eine konkrete Vorstellung von der Art und dem Umfang der bewilligten Offenbarung ihrer Daten erhält. Nur wenn sich die Einwilligung auf - nichtmedizinische - Stammdaten beschränkt, können der Zweck der Weitergabe und der Empfängerkreis der Daten weniger konkret dargestellt werden. Die Hingabe einer Krankenversicherungschipkarte kann als Einwilligung zur Datenübermittlung zwischen Ärzten nicht genügen.

  • Sollen digital gespeicherte Daten elektronisch abgerufen werden können, so muss vor jeder Abfrage eine Freischaltung durch den "Datenherrn", also den behandelnden Arzt erfolgen. Die Einrichtung eines automatisierten Abrufverfahrens ohne Prüfmechanismus ist unzulässig, da mit der Bereitstellung zum Abruf schon eine unbefugte Offenbarung von Patientengeheimnissen erfolgen würde.

  • Die Authentifizierung des Arztes bzw. der Ärztin lässt sich zwar mithilfe einer digitalen Signatur, z. B. auf einer Ärztechipkarte (Health Professional Card), nachweisen. Eine solche Chipkarte allein genügt aber nicht zum Nachweis für die Berechtigung zum Empfang übermittelter medizinischer Daten im jeweiligen Einzelfall, wenn nicht die verantwortliche Stelle selbst den Zugriff hierauf autorisiert hat.

  • Eine Übertragung der "Datenhoheit" auf den Betroffenen wäre nur wirksam, wenn dieser die Angaben nach eigenen Vorstellungen verändern und über ihre Verwendung bestimmen könnte. Da dies im Interesse der Integrität und Authentizität medizinischer Daten regelmäßig nicht möglich ist, kommt eine solche Konstruktion in der Regel nicht infrage. Problematisch ist zudem, dass Daten in der Hand des Betroffenen derzeit keinen besonderen rechtlichen Schutz genießen.

  • Der Zugriff zu elektronischen medizinischen Datenbeständen durch andere als den behandelnden Arzt ist lückenlos für Kontrollzwecke zu protokollieren.

  • Eine Übermittlung von Patientendaten über das Internet ist nur zulässig, wenn der Zugriff für Unbefugte durch eine ausreichende Verschlüsselung ausgeschlossen wird.

  • Sollen medizinische Dokumentationen für Zwecke der Forschung, der Qualitätssicherung, der Organisationskontrolle oder zur Herstellung der Behandlungs- bzw. der Kostentransparenz ausgewertet werden, so sind sie zuvor hinreichend zu anonymisieren oder zumindest zu pseudonymisieren.

Wenn diese Voraussetzungen durch die technische Gestaltung des betreffenden Systems tatsächlich erfüllt werden, kann dies, sofern eine Nutzung durch öffentliche Stellen des Landes in Betracht kommt, nach externer Begutachtung über ein im LDSG 2000 erstmals geregeltes Produktaudit zertifiziert werden.

Was ist zu tun?
Bevor eine Vernetzung, bei der Patientendaten ausgetauscht werden sollen, realisiert wird, ist die Beachtung der obigen Kriterien zu gewährleisten.

4.8.4

Wenn die Arztrechnung von einer privaten Firma kommt

Die Übermittlung von medizinischen Daten über Privatpatienten an eine privatärztliche Verrechnungsstelle darf nur erfolgen, wenn der Patient zuvor unterrichtet wurde und seine Einwilligung schriftlich erteilt hat.

Viele Ärzte bedienen sich bei der Erstellung ihrer Rechnungen der professionellen Hilfe von privatärztlichen Verrechnungsstellen (PVS). Aber nicht alle Patienten sind damit einverstanden, dass ihre medizinischen Daten an diese Einrichtungen übermittelt werden. So hatte eine Petentin die vorgefertigte Einwilligungserklärung ihres Zahnarztes bewusst nicht unterschrieben und den Arzt gebeten, ihr die Rechnung direkt zuzusenden. Das Erstaunen war groß, als der Arzt daraufhin die Behandlung verweigerte.

Wir haben das Verhalten des Zahnarztes nicht aus standesrechtlicher Sicht zu beurteilen. Hierfür ist die Zahnärztekammer Schleswig-Holstein in Kiel zuständig. Aus datenschutzrechtlicher Sicht konnten wir der Patientin aber nur Recht geben: Zur Rechnungsstellung benötigt die PVS von den Ärzten nicht nur den Namen und die Anschrift der Patienten, sondern auch detaillierte medizinische Angaben zur Behandlung. Das gilt für den allgemeinen Arzt ebenso wie für den Zahnarzt, Psychologen oder Urologen. Eine Befugnis für eine solche Offenbarung findet sich in keinem Gesetz, sodass der Arzt hierfür das schriftliche Einverständnis des Patienten benötigt. Selbstverständlich haben Privatpatienten das Recht, ihre Unterschrift zu verweigern. Dies bedeutet, dass der Arzt in diesen Fällen seine Rechnung selbst erstellen muss.

Die Auffassung, dass eine ausreichende Information der Patienten und die vorherige Einholung einer schriftlichen Einwilligungserklärung zwingende gesetzliche Voraussetzung für die rechtliche Zulässigkeit der Übermittlung von Patientendaten an eine PVS ist, wird auch von der Privatärztlichen Verrechnungsstelle Schleswig-Holstein/Hamburg geteilt. Sie sicherte uns zu, ihre Mitglieder durch gesonderte Rundschreiben hierüber zu unterrichten. Zudem will man umfangreiche Informationsmaterialien und Mustereinwilligungserklärungen zur Verfügung stellen. Dadurch sollen die Ärzte davor bewahrt werden, gegen die ärztliche Schweigepflicht zu verstoßen und sich strafbar zu machen. In Schleswig-Holstein wurden aus diesem Grund schon einige Strafverfahren eingeleitet.

Was ist zu tun?
Wenn ein Arzt oder Zahnarzt die Rechnung für die Behandlung eines Privatpatienten von einer privatärztlichen Verrechnungsstelle erstellen lassen möchte, muss er den betroffenen Patienten hierüber zuvor unterrichten. Nur wenn der Patient schriftlich sein Einverständnis erteilt, darf der Arzt Patientendaten übermitteln.

4.8.5

Transparenzgesetz

Im Jahr 2000 startete das Bundesgesundheitsministerium einen neuen Anlauf mit einem Transparenzgesetz, durch das im Gesundheitswesen Kosten eingespart werden sollen. Seine datenschutzgerechte Ausgestaltung ist noch nicht sichergestellt.

Während der Entwurf aus dem Jahr 1999 mit der ausschließlich pseudonymen Abrechnung der Krankheitskosten eine elegante Lösung vorsah, wurde das neue Gesetzeskonzept nach Intervention der Kassenverbände "verwässert". Statt der von uns vorgeschlagenen massiven Vereinfachung des Abrechnungsverfahrens wird es nunmehr noch komplizierter. Das bestehende Verfahren mit seiner Trennung von fallbezogener (anonymer) ambulanter Abrechnung einerseits und personenbezogener Abrechnung von Arzneimittel- und Krankenhauskosten andererseits soll zwar beibehalten werden. Zur Schaffung von mehr Kosten- und weniger Personentransparenz sollen die Angaben bei den Kassenärztlichen Vereinigungen und bei den Kassen zusätzlich pseudonymisiert werden, um sie unter dem Pseudonym an einer dritten Stelle zusammenführen und auswerten zu können.

Allerdings geht der datenschutzrechtliche Gewinn durch die Pseudonymisierung teilweise wieder dadurch verloren, dass ein Großteil der Abrechnungen bei den Kassen zumindest mittelfristig personenbezogen erfolgen soll. Es ist für uns nicht nachvollziehbar, dass bei der pseudonymen Abrechnung eine Kostenkontrolle nicht möglich wäre. Wohl stünden die pseudonymisierten Daten nicht so einfach für andere Zwecke, z. B. für Beratung, zur Verfügung. Hierzu müsste in einem geordneten Verfahren eine Reidentifizierung erfolgen. Dieser Gewinn an Datenschutz war aber gerade beabsichtigt: "Es wäre so schön gewesen!" (vgl. 22. TB, Tz. 4.7.2)

Einige andere Teile des Gesetzentwurfes werden dagegen von uns nachhaltig unterstützt. So werden Rechtsregeln für Werbeaktivitäten der Kassen geschaffen und der bisherige ungeregelte Zustand beendet. Die Zulässigkeit eines undifferenzierten geschäftsstellenübergreifenden Datenzugriffs - seit Jahren ein Dauerstreitpunkt zwischen Kassen und Datenschützern - soll restriktiv im Sinne des Datenschutzes der Versicherten geregelt werden. Die Vertraulichkeit der Beratung durch Krankenkassen wird normativ sichergestellt. Ein kurz vor Redaktionsschluss vorgelegter Referentenentwurf lässt erkennen, dass sich trotz dieser positiven Ansätze eine Vielzahl von Ungereimtheiten und Verschlechterungen "eingeschlichen" hat. Dies veranlasste die Konferenz der Datenschutzbeauftragten zu einer kritischen Entschließung.

www.datenschutz-berlin.de/doc/de/konf/61/bmg.htm

Was ist zu tun?
Der Bundesgesetzgeber bleibt aufgerufen, die völlig undurchsichtig gewordenen Regelungen des fünften Sozialgesetzes (SGB V) einer Generalbereinigung zu unterwerfen. Kostentransparenz darf auch in Zukunft nicht zulasten des Patientengeheimnisses gehen.

4.8.6

Kassenweiter Zugriff auf Mitgliederdaten

Ein besonders gewährleisteter Sozialdatenschutz könnte sich als Wettbewerbsvorteil erweisen. Die großen Krankenkassen setzen andere Schwerpunkte und realisieren einen ortsübergreifenden, landesweiten Zugriff auf sensible Patientendaten.

So sachbezogen und ergebnisorientiert im Allgemeinen die Zusammenarbeit mit den regional tätigen Krankenkassen in Schleswig-Holstein ist, so schwierig erweisen sich die Auseinandersetzungen oft mit den bundesweiten Kassen und den Kassenverbänden auf Bundesebene. Leider bestehen unterschiedliche Rechtsanwendungen der in Konkurrenz zueinander stehenden Kassen. Symptomatisch ist ein jahrelanger Konflikt wegen des von vielen Kassen zugelassenen kassenweiten Zugriffs auf Mitgliederdaten. Der AOK-Bundesverband reihte sich nun definitiv bei den Kassen ein, die allen Geschäftsstellen teilweise sogar bundesweit das Abrufen von Mitgliederdaten ermöglichen. Mit der kassenweiten Zugriffsmöglichkeit wird ein großes Tor zum Missbrauch von sensiblen Patientendaten geöffnet, denn es ist nicht auszuschließen, dass auf diese für fremde oder gar private Zwecke zugegriffen wird. Selbst unserer Forderung, wenigstens auf solche Kassenmitglieder Rücksicht zu nehmen, die den umfassenden Datenzugriff explizit nicht wollen, wollte man nicht entsprechen. Wer seinen allumfassenden Datenzugriff mit Serviceorientierung begründet, hat nicht verstanden, dass Grundbedingung eines medizinischen Dienstleistungsunternehmens Vertrauen ist. Die Eröffnung des kassenweiten Datenzugriffs gibt keine Grundlage für dieses Vertrauen. Die Kassenmitglieder können nicht überschauen, geschweige denn bestimmen, wer welche sensiblen Krankheits- und Versicherungsdaten über sie zur Kenntnis erhält.

Was ist zu tun?
Der Bundesgesetzgeber sollte den kassenweiten Zugriff auf Krankenkassenmitgliederdaten endlich einschränken.

4.8.7

Outsourcing bei Krankenkassen

Beratungsersuchen in Sachen "Outsourcing" haben Konjunktur. Krankenkassen beabsichtigten zunehmend die Wahrnehmung der laufenden Verwaltungsaufgaben auf Dritte zu übertragen.

Ein Vertragsentwurf zwischen der Landwirtschaftlichen Krankenkasse und dem Bauernverband sah u. a. die Pflege des Mitgliederverzeichnisses sowie eine personenbezogene Leistungsabrechnung zwischen Kasse und dem Verband als Auftragnehmer vor. Da der Auftragnehmer bei der Aufgabenübertragung nicht strengen Weisungen unterworfen werden konnte, waren die Regeln der Datenverarbeitung im Auftrag nicht anwendbar. Für eine regelrechte Übertragung von hoheitlichen Befugnissen - in Form einer Beleihung - fehlte eine hinreichend präzise gesetzliche Grundlage. Da auch die Übermittlungsregelungen des Sozialgesetzbuches die Übertragung eines Gesamtdatenbestandes nicht rechtfertigen konnten, mussten wir der Kasse mitteilen, dass die geplante Aufgabenübertragung nur zulässig sein kann, wenn die betroffenen Mitglieder zuvor ihre Einwilligung erteilt haben.

Von der AOK Schleswig-Holstein wurde uns die Frage gestellt, ob und wie es möglich sei, Mitarbeiterinnen und Mitarbeiter anderer Krankenkassen für die eigene Sachbearbeitung einzuspannen. Das SGB eröffnet insofern zwei Wege: Bei einer Auftragsdatenverarbeitung können Daten zwischen Auftraggeber und Auftragnehmer ausgetauscht werden. Die Einrichtung von Online-Verfahren ist möglich. Doch darf sich der Auftrag nur auf Hilfsdienste bei der Datenverarbeitung beziehen, wobei die Ausführung streng nach Weisung erfolgen muss. Eine Sachbearbeitung mit eigenen Entscheidungsbefugnissen lässt sich über diesen Weg nicht rechtfertigen.

Hier bietet sich eine andere Regelung im Sozialgesetzbuch an, die die Wahrnehmung der Aufgaben eines Leistungsträgers durch einen anderen Leistungsträger erlaubt. Dies bedeutet, dass nicht nur die Datenverarbeitung, sondern in abgegrenzten Bereichen die Verantwortung der Aufgabenerfüllung auf den Auftragnehmer übergeht, der damit zur Daten verarbeitenden Stelle wird. Dies muss im Interesse datenschutzrechtlicher Transparenz den Betroffenen gegenüber offen gelegt werden. Der Datenaustausch zwischen Auftraggeber und Auftragnehmer ist - im Rahmen der Erforderlichkeit - eine zulässige Datenübermittlung. Bei Einrichtung eines automatisierten Abrufverfahrens sind aber Restriktionen zu beachten: Materiell wird die Eilbedürftigkeit der Bearbeitung oder eine große Anzahl von Übermittlungen verlangt, schutzwürdige Betroffenenbelange müssen gewahrt werden. Ein Kontrollverfahren muss eingerichtet werden. Schließlich sind die zuständigen Datenschutzkontrollbehörden zu unterrichten.

Das äußerst problematische Outsourcing-Projekt der AOK, die Mitgliederbetreuung auf private Versicherungsmakler zu übertragen, wurde gestoppt, weil es sich als nicht effizient erwies (vgl. 22. TB, Tz. 4.7.4).

Datenschutzrechtlich keine Probleme scheint eine dritte Lösung zu verursachen: die förmliche Einstellung der Bediensteten der anderen Kasse. Bei einer solchen Lösung würden aber vor allem praktische Probleme auftauchen: Die Abschottung der neuen Bediensteten zur ursprünglich Arbeit gebenden Krankenkasse muss wirksam vollzogen werden. Die Verantwortung hierfür trägt ganz allein die "Auftrag" gebende Kasse.

Was ist zu tun?
Bevor Krankenkassen Teile ihrer Aufgabenerfüllung outsourcen, haben sie eine eingehende Datenschutzprüfung durchzuführen. Es geht nicht an, dass über primär finanziell motivierte, manchmal gewagte Beauftragungen das Sozialgeheimnis ausgehöhlt wird.

4.8.8

Zulassungsverfahren für Psychotherapeuten

Nach der Änderung des Psychotherapeutengesetzes sehen sich viele praktizierende Psychotherapeuten gezwungen, bei dem Zulassungsausschuss für Ärzte einen Antrag auf Zulassung zur vertragsärztlichen Versorgung zu stellen, um die Behandlungskosten über die gesetzlichen Krankenkassen abrechnen zu können. Der dafür nötige Nachweis ihrer Fachkunde ist durch die Vorlage von Falldokumentationen zu erbringen. Nur durch Pseudonymisierung ist es möglich, einen Verstoß gegen die berufliche Schweigepflicht zu vermeiden.

Wie uns ein Psychotherapeut berichtete, sollte er zum Nachweis seiner Fachkunde dem Zulassungsausschuss schriftliche Dokumentationen von einigen Fällen, die er in der Vergangenheit behandelt hatte, vorlegen. Der Vordruck hierfür sah eine leicht identifizierbare Chiffre vor. Dies war dem besorgten Therapeuten zum Schutz seiner Patienten zu wenig, er wandte sich an uns.

Ein Psychotherapeut unterliegt der beruflichen Schweigepflicht. Die Übermittlung der Patientennamen an den Zulassungsausschuss ohne deren Einwilligung wäre ein Verstoß gegen das Patientengeheimnis. Der Vordruck zur Erstellung der Dokumentation erfragte zwar weder Name noch Anschrift des Patienten, wohl aber eine Patientenchiffre. Diese Patientenchiffre setzte sich aus den ersten Buchstaben des Nachnamens des Patienten sowie seinem Geburtsdatum als sechsstellige Zahl zusammen. Mit guten Gründen bezweifelte der Therapeut, dass diese Patientenchiffre eine ausreichende Pseudonymisierung wäre. Mit nur wenig Zusatzwissen wäre es für den Zulassungsausschuss oft möglich gewesen zu erkennen, welcher Patient sich hinter der Chiffre verbirgt.

Der Zulassungsausschuss für Ärzte in Schleswig-Holstein erklärte zunächst, die Patientenchiffre sei entweder aus den Anfangsbuchstaben des Vor- und Nachnamens oder dem Geburtsdatum oder einer laufenden Nummer zu bilden. In diesem Fall hätte man, vorausgesetzt dass weitere identifizierende Merkmale wie Anschrift usw. fehlen, von einer ausreichenden Pseudonymisierung ausgehen können. Es bestand jedoch das begründete Risiko, dass Antragsteller eine Patientenchiffre aus einer Kombination der drei Möglichkeiten bildeten. Erst nach längerem Schriftwechsel sagte der Zulassungsausschuss zu, in einem gesonderten Rundschreiben alle psychologischen Psychotherapeuten und Kinder- und Jugendpsychotherapeuten darüber zu unterrichten, dass die Patientenchiffre nur durch eine vom Antragsteller zu vergebende fortlaufende Nummer erstellt werden soll.

Was ist zu tun?
Die ärztliche Schweigepflicht ist von Psychotherapeuten auch im Verfahren der Zulassung bzw. Ermächtigung zur vertragsärztlichen Versorgung zu beachten. Eine Falldokumentation darf hierfür nur in ausreichend pseudonymisierter Form vorgelegt werden.

4.8.9

Datensicherheit im Bereich der Gesundheitsämter

Mit den Sicherheitsanforderungen für ihre Aktenbestände sind die Amtsärzte in der Regel gut vertraut. Mit der Durchsetzung entsprechender Sicherheitsmaßnahmen für ihre automatisierten Dateien tun sie sich schwerer. Bei einer vollständigen Vernetzung der Arbeitsplätze in den Kreisen und kreisfreien Städten stellt sich den Gesundheitsämtern die Frage, ob die Administration der Server durch Mitarbeiter der zentralen IT-Stellen zulässig ist.

Der überwiegende Teil der Datenbestände in Gesundheitsämtern unterliegt der ärztlichen Schweigepflicht. Die Ärzte sind danach zur Offenbarung von Informationen, die ihnen in dieser Eigenschaft anvertraut oder bekannt geworden sind, nur befugt, soweit

  • sie von der Schweigepflicht entbunden worden sind,

  • die Offenbarung zum Schutz eines höherwertigen Rechtsgutes erforderlich ist oder

  • gesetzliche Aussage- und Anzeigepflichten oder Befugnisse bestehen.

Dies hat dazu geführt, dass die papierenen Datenbestände der Gesundheitsämter durchweg in speziellen Behältnissen oder Räumen unter Verschluss verwahrt werden. Die Inhalte der Akten gelangen nur den jeweils zuständigen Amtsärzten und den von ihnen beaufsichtigten "berufsmäßig tätigen Gehilfen" zur Kenntnis. An das Gesundheitsamt gerichtete Post wird erst dort geöffnet, ausgehende Post verlässt das Gesundheitsamt verschlossen. Müssen im Einzelfall der Schweigepflicht unterliegende Daten mit anderen Stellen der gleichen Behörde ausgetauscht werden, erfolgt auch dies in verschlossener Form. Dies haben jedenfalls unsere bisherigen Stichproben bei Prüfungen vor Ort ergeben.

Ein entsprechendes Sicherheitsniveau ist auch bei der automatisierten Verarbeitung der betreffenden Daten zu gewährleisten. Die Bundesärztekammer hat den Ärzten hierzu folgende Empfehlungen gegeben:

  • Der Einsatz von EDV-Technik erfordert nicht nur die Beachtung der rechtlichen Rahmenbedingungen, sondern macht es auch erforderlich, dass der organisatorische Ablauf den Besonderheiten des Einsatzes dieses Mediums Rechnung trägt.

  • Der Arzt muss während der vorgeschriebenen Aufbewahrungsfristen in der Lage sein, auch nach einem Wechsel des EDV-Systems oder der Programme innerhalb angemessener Zeit die elektronisch dokumentierten Informationen lesbar und verfügbar zu machen.

  • Die Wartung einer EDV-Anlage oder jegliche Fehlerbeseitigung vor Ort darf grundsätzlich nur mit Testdaten erfolgen. Auch im Notfall, z. B. bei Systemstillstand, muss der Einblick Dritter in Originaldaten auf besondere Ausnahmefälle beschränkt bleiben. Das Wartungspersonal ist in diesen Fällen zu beaufsichtigen und schriftlich zur Verschwiegenheit zu verpflichten. Die durchgeführten Maßnahmen sowie der Name der Wartungsperson sind zu protokollieren.

  • Die Fernwartung von EDV-Systemen ist unzulässig, wenn nicht auszuschließen ist, dass dabei auf patientenbezogene Daten zugegriffen werden kann.

  • Beim Datenträgeraustausch mit befugten Dritten ist ein sicherer Transport zu gewährleisten.

  • Die Datenfernübertragung personenbezogener Daten per Leitung muss chiffriert erfolgen.

  • Auszumusternde Datenträger müssen unter Aufsicht des Arztes (z. B. durch mehrfaches Überschreiben mittels geeigneter Software) unbrauchbar gemacht werden.

  • Der Arzt sollte in jedem einzelnen Wartungs- oder Reparaturfall darauf achten, dass die genannten Vorschriften eingehalten werden.

Diese Anforderungen sind recht einfach zu erfüllen, solange die EDV-Systeme (in der Regel PC) sich in der unmittelbaren Verfügungsgewalt des ärztlichen Personals eines Gesundheitsamtes befinden. Ihre Administration und Nutzung können durch die bzw. unter der Aufsicht derjenigen erfolgen, die der Schweigepflicht unterliegen. Durch eine entsprechende Organisation der Datenbestände kann zudem erreicht werden, dass die Zugriffsmöglichkeiten den jeweiligen Zuständigkeiten entsprechen. Dies ist besonders wichtig, weil eine Offenbarung der der Schweigepflicht unterliegenden Daten nicht allein damit gerechtfertigt werden kann, dass der Empfänger der Informationen selbst auch der Schweigepflicht unterliegt.

Werden die Arbeitsplatzsysteme eines Gesundheitsamtes jedoch mit einem Server vernetzt und die Datenbestände zentral abgelegt, stellt sich die Frage, wer dessen Administration und die Zuweisung von Zugriffsbefugnissen abwickeln darf. Soll dies durch Mitarbeiter einer zentralen EDV-Arbeitsgruppe geschehen, dürften die von der Bundesärztekammer definierten Kriterien nicht erfüllt sein. Im Hinblick auf die ärztliche Schweigepflicht macht es nämlich keinen Unterschied, ob die Administration/Wartung durch Mitarbeiter externer Dienstleister (Fernwartung) oder anderer Verwaltungsbereiche erfolgt. Es kommt entscheidend darauf an, ob eine unbeaufsichtigte, tatsächliche Kenntnisnahme der Daten durch Unbefugte möglich ist oder nicht. Das Arztrecht und die dazu ergangene Rechtsprechung des Bundesgerichtshofes kennen, anders als das Sozialdatenschutzrecht, keine Auftragsdatenverarbeitung.

Deshalb bleiben faktisch nur zwei Möglichkeiten für eine "Fremdadministration": Entweder werden die Datenbestände so verschlüsselt, dass sie durch die Administratoren inhaltlich nicht zur Kenntnis genommen werden können, oder ihre Tätigkeit wird durch die Schweigepflichtigen überwacht. Die erste Alternative führt regelmäßig zu technischen Schwierigkeiten beim Einsatz von Datenbanken (z. B. Wegfall der Selektionsmöglichkeiten). Die zweite Lösungsmöglichkeit ist praktikabler. Im Ergebnis ist entscheidend, dass das zur Administratorenkennung gehörende Passwort nur im Gesundheitsamt bekannt ist, sodass jeder Administrationsvorgang durch Verantwortliche aus diesem Bereich freigeschaltet werden muss. Wo der Server installiert wird, ist mithin von sekundärer Bedeutung. Die Schweigepflichtigen entscheiden selbst, ob und wie intensiv sie die Administrationstätigkeiten überwachen und unbefugte Kenntnisnahmen von Dateninhalten unterbinden. Im Zweifel brechen sie den Administrationsvorgang ab.

Was ist zu tun?
Wegen der besonderen rechtlichen Gegebenheiten sollten sich die Amtsärzte zumindest insoweit als "Herren" ihrer automatisierten Verfahren fühlen, wie es um die Vertraulichkeit der Gesundheitsdaten geht. Die Pflicht zur Garantie der ärztlichen Verschwiegenheit kann ihnen durch keine EDV-Abteilung abgenommen werden.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel