Datensicherheit und Datenweitergabe: Extreme Sorgfalt notwendig

10.06.2013 | Politik

Sobald man als Arzt gesundheitsrelevante Informationen auf einem Datenträger speichert, ist das Datenschutzgesetz anzuwenden. Wenn andere Personengruppen als Ärzte medizinische Daten verwenden, wird es nach Ansicht des Datenschutzexperten Daniel Ennöckl von der Universität Wien „problematisch“.Von Barbara Wakolbinger

Nicht nur, wer die Daten seiner Patienten elektronisch speichert oder Laborbefunde per E-Mail verschickt, unterliegt dem Datenschutzgesetz, betont der Datenschutzexperte Daniel Ennöckl vom Institut für Staats- und Verwaltungsrecht der Universität Wien. „Das Datenschutzgesetz wird in der Sekunde wirksam, in der ich als Arzt gesundheitsrelevante Informationen des Patienten auf einem Datenträger speichere. Das kann auch ein handschriftliches Register sein“, führt Ennöckl weiter aus. Unter sensible Daten fallen aber nicht nur Angaben zur Gesundheit, sondern laut Gesetz auch Daten zur rassischen oder ethnischen Herkunft, zur politischen Meinung, Gewerkschaftszugehörigkeit, zur religiösen oder philosophischen Überzeugung und zum Sexualleben eines Menschen.

„Bei der Tätigkeit von Ärzten in Bezug auf den Umgang mit personenbezogenen Daten haben wir vier Rechtsgrundlagen, die sich teils auch überlagern“, erklärt der Datenschutzexperte. Grundsätzlich gilt für die ärztliche Ordination – genauso wie für jedes andere Unternehmen und jede geschäftliche Tätigkeit – das Datenschutzgesetz aus dem Jahr 2000. Daraus leitet sich das Recht des Patienten auf die Geheimhaltung seiner Daten ab. Außerdem legt das Datenschutzgesetz fest, dass nur jemand mit medizinischer Berufsqualifikation tatsächlich Gesundheitsdaten erheben darf. „Aus Sicht des Datenschutzes ist es schon problematisch, wenn andere Personengruppen als Ärzte medizinische Daten verwenden“, meint Ennöckl und nennt als Beispiele Wellness-Einrichtungen oder selbst ernannte Gesundheitsexperten. Aber auch Ärzten sind im Umgang mit den Daten ihrer Patienten gewisse Einschränkungen auferlegt. Natürlich könne – so Ennöckl – jeder Arzt alle Daten erheben, die er zum Zweck der Behandlung braucht – er darf sie aber ausschließlich dazu nutzen. Eine Zweckentfremdung oder unrechtmäßige Weitergabe ist strafbar. Zusätzlich müssen Ärzte und Krankenanstalten die ärztliche Verschwiegenheit beachten. Diese hält auf berufsspezifischer Ebene – ebenso wie bei anderen freien Berufen – klar fest, dass Informationen, die im Zuge der Berufsausübung zur Sprache kommen, geheim zu halten sind. „Verstöße unterliegen auch relativ strengen Sanktionen durch die Kammer“, weiß der Experte.

Auf technischer Ebene befassen sich das Gesundheitstelematikgesetz und die Gesundheitstelematikverordnung mit der Sicherheit von Daten. Sie regeln die spezifischen technischen Voraussetzungen und die Ansprüche, denen vor allem die elektronische Übermittlung von Daten wie etwa die Verschlüsselung, genügen muss. Im Zuge des Gesundheitstelematikgesetzes wird an der Einführung der Elektronischen Gesundheitsakte (ELGA) gearbeitet; dabei fehlt laut Ennöckl aber die Erfahrung. „Die technischen Vorgaben sind relativ eindeutig. Bei ELGA wird es jetzt darauf ankommen, wie hoch die Opt out-Rate der Patienten ist.“ Denn aufgrund des Datenschutzgesetzes kann kein Patient dazu gezwungen werden, seine Daten elektronisch speichern zu lassen. Ein Ausstieg aus dem System ist jederzeit möglich.

Verarbeitungs- und Übermittlungsverbot

Für sensible Daten gilt ein grundsätzliches Verarbeitungs- und Übermittlungsverbot. Jede Zweckentfremdung ist illegal und strafbar – die Weitergabe an Dritte nur für legitime Zwecke erlaubt. Als legitime Zwecke gelten im Fall von Gesundheitsdaten die ausdrückliche Zustimmung des Patienten beziehungsweise die unmittelbare Lebensgefahr, bei der eine medizinische Notwendigkeit für einen Datenaustausch gegeben ist. Grundsätzlich entstehe die Zustimmung des Patienten zur Speicherung medizinischer Daten meist implizit während der Behandlung. „Mache ich ein Röntgen, bin ich mir meist der damit einhergehenden Datenspeicherung bewusst“, schildert der Datenschutzexperte. Anders ist die Situation allerdings bei der Übermittlung der Daten etwa an eine Apotheke: Hier muss die Zustimmung des Patienten eingeholt werden oder zumindest über die bevorstehende Übermittlung informiert werden, damit der Patient die Möglichkeit hat, zu widersprechen. Eine schriftliche Zustimmung ist nicht notwendig; der Jurist empfiehlt, eine Aktennotiz zu machen. „Ich würde im Zweifelsfall auf Nummer Sicher gehen und dem Patienten seine Daten aushändigen, so kann er selbst entscheiden, ob er sie weitergeben will.“

Außerdem trifft jeden Arzt aufgrund des Datenschutzgesetzes die „Verpflichtung sicherzustellen, dass keine Daten nach außen gelangen“, so Ennöckl. Das betrifft nicht nur eine ausreichende technische Absicherung gegenüber der Außenwelt und die umsichtige Verwahrung der Daten, sondern auch den Schutz nach innen. „Jeder Arzt muss gegenüber seinen Mitarbeitern klarstellen, dass jede Information, die diese im Zuge ihrer beruflichen Tätigkeit erhalten, streng geheim ist“, stellt er unmissverständlich klar. Wenn etwa die Sprechstundenhilfe in einem kleinen Ort über sämtliche Krankengeschichten Bescheid weiß und gegen die Verschwiegenheit verstößt, sei das ein „klarer Verstoß gegen das Datenschutzgesetz“. Ennöckl dazu: „Auf organisatorischer Ebene muss klargestellt werden, dass entsprechende Datensicherheitsmaßnahmen gesetzt werden. Das heißt auch, dass alle Angestellten sich so verhalten, dass keine schutzwürdigen Geheimhaltungsinteressen des Patienten verletzt werden.“

Arzt haftet als Auftraggeber

Denn der Arzt haftet als „Auftraggeber der Datenverwendung“ auch für Fehlverhalten der Mitarbeiter. Im besten Falle sollte eine Geheimhaltungsklausel in den Dienstvertrag von Mitarbeitern aufgenommen werden. Der Arzt ist jedenfalls verpflichtet, Angestellte über die Folgen einer allfälligen Verletzung des Datengeheimnisses zu belehren. „Bekanntes Fehlverhalten muss sanktioniert werden – mit Ermahnung und im Wiederholungsfalle mit einer Auflösung des Dienstverhältnisses“, sagt der Jurist.

Auch die technischen Sicherheitsmaßnahmen müssen adäquat sein – auch wenn der Gesetzgeber aufgrund der sich laufend ändernden technischen Möglichkeiten keine konkreten Vorgaben macht, so Ennöckl. Je größer aber die Einheit und je sensibler die Daten, desto mehr Vorkehrungen müssen getroffen werden. Spitäler unterliegen etwa auch Protokollierungspflichten, damit nachvollziehbar wird, wer wann auf welche Daten zugegriffen hat. Wird die Datenschutzpflicht „gröblich außer Acht gelassen“, kann das zu einer Verwaltungsstrafe von bis zu 10.000 Euro führen. „Allerdings ist mir kein solcher Fall bekannt“, berichtet Ennöckl. Zusätzlich könne auch eine zivilrechtliche Haftung gegenüber dem Patienten schlagend werden. Werden etwa Daten an Versicherungen oder andere Dritte weiterverkauft, kann auch Schadenersatz für einen immateriellen Schaden gegenüber dem Patienten entstehen.

Gesundheitstelematikgesetz

Das Gesundheitstelematikgesetz (GTelG) wurde im Zuge des Gesundheitsreformgesetzes 2005 verabschiedet und ist seit 1. Jänner 2005 in Kraft. Darin sind „ergänzende Datensicherheitsbestimmungen für den elektronischen Verkehr mit Gesundheitsdaten“ festgelegt. Im ersten, allgemeinen Abschnitt werden vor allem Begriffe definiert, etwa was unter Gesundheitsdaten zu verstehen ist. In den Abschnitten zwei und drei hingegen werden die Datensicherheit beim elektronischen Austausch sowie das dahinterstehende Informationsmanagement – etwa der eHealth-Verzeichnisdienst (eHVD), der die Rollen und Identität der einzelnen Akteure im Austausch überprüfen und bestätigen soll – geregelt.

Seit 1. Jänner 2009 gilt zusätzlich die Gesundheitstelematikverordnung. Hier wird das GTelG inhaltlich präzisiert, wobei vor allem auf die technischen Verfahren der Übermittlung und Verschlüsselung eingegangen wird. Gesundheitsdaten müssen demnach einer „vollständigen Verschlüsselung“ unterliegen. Eine gesetzliche Ausnahme wurde für die Datenübermittlung per Fax geschaffen; diese trägt der noch nicht gänzlich vollzogenen Umstellung auf EDV-Systeme in allen Bereichen Rechnung.

Im Dezember 2012 wurde das Gesundheitstelematikgesetz 2012 erlassen. Es regelt nun nicht nur die Übermittlung von Daten und den eHealth-Verzeichnisdienst, sondern auch die Grundlagen für die Einführung der elektronischen Gesundheitsakte (ELGA).

© Österreichische Ärztezeitung Nr. 11 / 10.06.2013