Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Datenschutz in der Arztpraxis - welche Anforderungen sind an IT-Systeme aus datenschutzrechtlicher Sicht zu stellen?

17.02.2010, 14:13 Uhr | Lesezeit: 6 min
von Dr. Sebastian Kraska
Datenschutz in der Arztpraxis - welche Anforderungen sind an IT-Systeme aus datenschutzrechtlicher Sicht zu stellen?

Personenbezogene Daten über den Gesundheitszustand sind nach dem Bundesdatenschutzgesetz so genannte „besondere Arten personenbezogener Daten“. Daher werden an die Verarbeitung dieser Daten besondere datenschutzrechtliche Anforderungen gestellt. Auswirkungen hat dies insbesondere auf die informationstechnische Verarbeitung und Sicherung dieser Daten in Arztpraxen (sowie im übrigen Gesundheitsbereich). Der Beitrag erläutert, warum sich die Einhaltung der datenschutzrechtlichen Vorgaben in der Arztpraxis letztlich auch finanziell auszahlt.

Nach dem Bundesdatenschutzgesetz (BDSG) werden gemäß § 3 Abs. 1 BDSG personenbezogene Daten geschützt, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Das BDSG gilt dabei sowohl für Unternehmer (so genannte „nicht-öffentliche Stellen“) wie für Behörden (so genannte „öffentliche Stellen“), wobei bei diesen datenschutzrechtlich weiter zu differenzieren ist (Bundes- oder Landesbehörde etc.).

Grundsatz nach dem BDSG: Einwilligung des Betroffenen oder gesetzliche Gestattung nötig

Grundsätzlich ist die Datenerhebung, Verarbeitung und Nutzung soweit zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Für die Verarbeitung personenbezogener Daten in der Arztpraxis ist daher neben den Vorschriften zur Einwilligung besonderes Augenmerk auf die Regelungen des Dritten Abschnitts des BDSG zu legen, da dort das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke geregelt ist.

Gesundheitsdaten: besondere Art personenbezogener Daten nach § 3 Abs. 9 BDSG

Das BDSG lautet in § 3 Abs. 9 BDSG wie folgt:

„Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Damit sind Gesundheitsdaten von Patienten als „besondere Arten personenbezogener Daten“ zu verstehen und daher in der Folge einem besonderen datenschutzrechtlichen Schutz zu unterstellen. So bedingt beispielsweise § 4d Abs. 5 Nr. 1 BDSG die Durchführung einer Vorabkontrolle „automatisierte Verarbeitungen“, wenn personenbezogene Daten automatisiert verarbeitet werden sollen. § 4a Abs. 3 BDSG stellt für die Einwilligung hinsichtlich besonderer Arten personenbezogener Daten spezielle Voraussetzungen auf.

Für den Bereich der technischen Umsetzung der Datenverarbeitung hebt § 9 BDSG hervor, dass Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind alle Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Gemäß § 3 Abs. 9 i.V.m. § 4a Abs. 3, § 4d Abs.5 und § 28 Abs. 6 BDSG muss bei Patientendaten immer von einem hohen Schutzbedarf ausgegangen werden.

Gemäß § 1 Abs. 3 S. 2 BDSG bleiben neben dem BDSG die berufsrechtlichen Regelungen unberührt. Die Bewertung der ärztlichen Schweigepflicht per se findet damit auch Einzug in das Datenschutzrecht. Daneben muss bei der Anwendung eines IT-Systems auf die Einhaltung der Grundsätze der Vertraulichkeit, Verfügbarkeit und Integrität der Daten geachtet werden.

Banner Unlimited Paket

An welche Faktoren werden besondere Ansprüche gestellt?

Generell sind vor allem die folgenden datenschutzrechtlichen Belange für eine Arztpraxis relevant:

Zu beachten ist zunächst der datenschutzrechtliche Grundsatz, dass das Speichern, Verändern, Übermitteln und die sonstige Nutzung personenbezogener Daten nur im Rahmen der Zweckbestimmung des Vertragsverhältnisses mit dem Patienten oder zur Wahrung berechtigter Interessen des Arztes bzw. der Behandlungseinrichtung zulässig ist. Auch dies gilt jedoch nur dann, wenn nicht anzunehmen ist, dass das schutzwürdige Interesse des Patienten an dem Ausschluss der Verarbeitung oder der Nutzung überwiegt (siehe insofern § 28 Abs. 6 BDSG).

Einwilligungserklärung: grundsätzlich immer schriftlich

Die datenschutzrechtliche Einwilligungserklärung des Patienten bedarf der Schriftform gemäß § 4a Abs. 1 S. 3 BDSG, wenn nicht wegen besonderer Umstände eine andere Form angemessen ist.

Sicherstellung der technischen und organisatorischen Mittel: was ist nötig?

Der Arzt muss sicherstellen, dass die technischen und organisatorischen Mittel hinsichtlich der zu treffenden Sicherheitsmaßnahmen gemäß § 9 BDSG getroffen werden. Was im Einzelfall als erforderlich zu gelten hat kann erst nach einer Ermittlung der Schutzbedürftigkeit der gespeicherten Daten festgestellt werden. Im Grundsatz sind gemäß der Anlage zu § 9 BDSG insbesondere folgende technischen Vorgaben einzuhalten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Zweckbindung.

Erforderlich: ordnungsgemäße Datensicherung

Für die erforderliche Datensicherung sind täglich Sicherungskopien zu erstellen. Dafür sind geeignete externe Medien zu verwenden. Die nähere Dokumentation richtet sich nach § 10 MBO, der Muster-Berufsordnung für die deutsche Ärzteschaft. Die Berufsordnung gestattet ausdrücklich auch die elektronische Dokumentation. Die so angefertigten Dokumente müssen zehn Jahre archiviert werden, so dass eine gute Datensicherung eine Grundvoraussetzung darstellt. Während der Archivierungszeit müssen die Dokumente auf Verlangen lesbar und verfügbar sein.

EDV-System muss laufend gewartet werden

Die Benutzung eines EDV-Systems erfordert immerzu eine stetige Wartung. Zu beachten ist, dass die einzelnen Maßnahmen der Wartung durch den Arzt autorisiert und überwacht werden müssen. Insofern handelt es sich, wenn ein Dritter mit der Wartung beauftragt wird, im Grundsatz um eine Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch Externe gem. § 11 Abs. 5 BDSG. Damit müssen die für die Datenverarbeitung im Auftrag geltenden Grundsätze gem. § 11 Abs. 1 bis Abs. 4 BDSG beachtet werden (bitte beachten Sie die weiteren Differenzierungen hinsichtlich jener Bundesländer ohne landesspezifische Regelungen bzgl. § 203 StGB und IT-Outsourcing – in diesen Fällen können noch weitergehende Maßnahmen erforderlich sein). Letztlich ist immer der Arzt für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Dies macht damit stets eine sorgfältige Auswahl des Auftragsnehmers erforderlich.

Zur Gewährleitung der Integrität der Daten: Datenmanagement nötig

Alle im Rahmen der Behandlungsvorgänge gespeicherten Daten müssen den datenerhebenden Personen stets zugeordnet werden können. Die Administrationspflicht wird vom BDSG insoweit an die verarbeitende bzw. verantwortliche Stelle geknüpft. Wer der so genannte „Herr der Daten“ ist muss am Einzelfall bestimmt werden, da die Frage insbesondere in Bezug auf Gemeinschaftspraxen nicht immer leicht zu beantworten ist.

Stets Zugangsautorisierung nötig

Zu Grunde zu legen ist eine ernstzunehmende Autorisierungprozedur, damit jegliche Nutzung des IT-Systems kontrolliert werden kann. Dabei dürfen Benutzer des IT-Systems sich nur auf der Applikationsebene und niemals auf der Administrationsebene bewegen können. Wenn eine Autorisierung stattgefunden hat kann die Speicherung von Daten mit Kennung und Datum versehen werden, so dass ein sicheres Datenbankmanagement möglich ist.

Zugriff auf das IT-System muss vertraulich geschehen

Daneben führt der Autorisierungsprozess gleichzeitig zum sicheren Zugriffsmanagement. Nur wenn alle Zugriffsberechtigen registriert sind und über individuelle Zugriffsprofile verfügen, kann ein sicherer Zugang gewährleistet werden.

Datenübertragung: nur im sicheren Netz

Übertragungswege müssen sowohl gegen Datenverluste wie auch gegen Datenverfälschungen und unbefugte Kenntnisnahmen abgesichert werden. Eine Organisation über ein Wireless-Local-Area-Network kann ein Sicherheitsdefizit darstellen. Zudem stellt der unverschlüsselte Versand medizinischer Daten via E-Mail durch Ärzte oder ihre Mitarbeiter ein unverantwortliches Sicherheitsrisiko dar. Daneben ist die Nutzung je nach Verwendung des gewählten Netzmanagements auch gegen Angriffe aus dem Internet als Übertragungsweg zu schützen. Entsprechend ist ein fortgeschrittenes Firewallsystem erforderlich.

Arztpraxis: Datenschutzbeauftragter erforderlich?

Zur Frage der Bestellung eines Datenschutzbeauftragten in der Arztpraxis finden Sie in unserem Artikel „Datenschutz in der Arztpraxis: brauchen Ärzte einen Datenschutzbeauftragten?“ weitere Informationen.

Fazit

Zur Vermeidung straf- und ordnungsrechtlicher Konsequenzen müssen Ärzte beim Einsatz von EDV-System zur Verarbeitung von Patientendaten zahlreiche datenschutzrechtliche Vorgaben beachten. Letztlich lohnt die Investition in die Informations- und Risikovorsorge: mit einem rechtssicheren Datenschutzkonzept können Ärzte Schwierigkeiten mit Aufsichtsbehörden und Patienten vermeiden sowie die finanziellen Risiken im Fall eines Datenschutzvorfalls minimieren.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© shapiso - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

z
zuza 03.12.2018, 11:10 Uhr
Veranderungen?
Hallo! Ist dass alle noch gultig, oder gibt es schon neue Gesetze?
H
Hajo Bucheit 20.02.2010, 10:40 Uhr
Datenschutz in Arztpraxis
Dazu eine Anekdote: vor kurzem habe ich in einer ländlichen Arztpraxis erlebt, dass auf dem Ultraschallgerät nicht nur der Name des vor mir behandelten Patienten sichtbar, sondern auch dessen "virtuelle" Patientenakte auf dem Rechner zugänglich war!! Nur soviel zum Thema Datenschutz!

weitere News

Übermittlung von Patientendaten an Hausarztverbände zu Abrechnungszwecken derzeit rechtswidrig?
(03.08.2010, 11:37 Uhr)
Übermittlung von Patientendaten an Hausarztverbände zu Abrechnungszwecken derzeit rechtswidrig?
Datenschutzrechte der Patienten: bei Auflösung einer Gemeinschaftspraxis
(17.03.2010, 16:37 Uhr)
Datenschutzrechte der Patienten: bei Auflösung einer Gemeinschaftspraxis
Elektronische Gesundheitskarte und Datenschutz
(04.03.2010, 08:23 Uhr)
Elektronische Gesundheitskarte und Datenschutz
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei