Telematik-Infrastruktur

Wenn Patientendaten die Praxis verlassen …

Interview zum Thema Datenschutz in der dentalen Praxis mit Stephan Hansen-Oest

Früher konnten Patientendaten nur per Post, auf Papier gedruckt oder auf CD gebrannt versendet werden. Heute nutzen Ärzte oft E-Mail oder Cloud-Services, um Patientendaten mit Kollegen und Partnern auszutauschen und zu bearbeiten. Der IT-Fachanwalt und Datenschutzexperte Stephan Hansen-Oest erläutert im Interview mit Computer konkret die datenschutzrechtlichen Vorgaben, die das Datenmanagement in einer Praxis bestimmen, und klärt über die Risiken und rechtlichen Konsequenzen auf, die sich für Ärzte aus der Fahrlässigkeit im Umgang mit Patientendaten ergeben.

 

Computer konkret: Herr Hansen-Oest, Sie sind Experte für Datenschutz und IT-Recht. Was sind aus Ihrer Sicht zentrale Punkte, die Ärzte und ihre Mitarbeiter beachten müssen, wenn Patientendaten die Praxis verlassen?

S. Hansen-Oest: Nach Paragraf 203 des Strafgesetzbuches (§203StGB) haben Ärzte dafür Sorge zu tragen, dass Daten, die der ärztlichen Schweigepflicht unterliegen, nicht von Unbefugten zur Kenntnis genommen werden können. Häufig übersehen Ärzte dabei, dass es nicht nur darum geht, die Daten nicht aktiv in die falschen Hände zu geben. Die Schweigepflicht kann auch durch ein „Unterlassen“ begangen werden. Das bedeutet: Wenn ein Arzt nicht die nach dem Stand der Technik erforderlichen Sicherheitsmethoden wie zum Beispiel Verschlüsselung eingesetzt hat und dadurch Dritte Zugang zu den Daten bekommen, kann dies ebenfalls als Straftat gewertet werden. Dies kann leicht bei Daten auf mobilen Datenträgern wie beispielsweise CDs/DVDs, USB-Sticks, externen Festplatten oder Ähnlichem der Fall sein, wenn diese Daten nicht verschlüsselt sind.

Computer konkret: Muss eine Praxis dem Patienten gegenüber angeben können, welche Daten an wen und auf welchem Weg weitergegeben wurden?

S. Hansen-Oest: Ja. Das ist nach Paragraf 9 des Bundesdatenschutzgesetzes (§ 9 BDSG) in Verbindung mit der sogenannten Weitergabekontrolle (der Anlage zu § 9 Satz 1 BDSG) sogar eine gesetzliche Pflicht.

Verschlüsselung von Patientendaten: „Ende-zu-Ende“

Computer konkret: Welche „kleinen Details“ darf man nicht übersehen, um regelmäßige Datenschutzverletzungen zu verhindern?

S. Hansen-Oest: Es gibt an allen Ecken und Enden kleine Details, die sich häufig erst bei einer Bestandsaufnahme vor Ort zeigen. Ein Beispiel: Bei der bereits angesprochenen Verschlüsselung von Daten reicht nicht irgendeine Verschlüsselung aus. Es müssen schon Verschlüsselungsalgorithmen und Schlüssellängen verwendet werden, die nach dem jeweiligen Stand der Technik noch ausreichend sicher sind. Hinweise hierzu gibt es zum Beispiel beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Computer konkret: Kann sich ein Arzt das Einverständnis des Patienten dafür einholen, dass er dessen Daten an eine dritte Person auch unverschlüsselt beispielsweise per E-Mail oder Dropbox weitergeben darf?

Ja, das ist grundsätzlich möglich, wobei ich bei Dropbox oder anderen Diensten aus den USA, in denen Daten unverschlüsselt gespeichert werden, vorsichtig wäre. Nach Auffassung einiger Aufsichtsbehörden kann hier nicht wirksam eingewilligt werden.

Computer konkret: Kann man Patientendaten auch unverschlüsselt per E-Mail senden, wenn Absender und Empfänger dem De-Mail-Kreis angehören?

S. Hansen-Oest: Sicher ist ein Versand per De-Mail besser als der normale, unverschlüsselte Versand per E-Mail. Aber auch bei De-Mail kann ein Provider, der einen Server in der „Kette“ der De-Mail-Provider betreibt, im Einzelfall Kenntnis von den Inhalten von E-Mails erhalten. Auch in dem Fall wäre die ärztliche Schweigepflicht betroffen, so dass auch ein Versand per De-Mail unter Umständen erst nach wirksamer Einwilligung des Patienten erfolgen darf. Besser ist hier eine vollständige E-Mail-Verschlüsselung, in der die Daten vom Anfangspunkt der Kommunikation bis zum Endpunkt der Kommunikation komplett verschlüsselt sind. Man spricht dann von einer „Ende-zu-Ende-Verschlüsselung“. Diese kann beispielsweise durch den PGP/GPG-Standard oder durch S/Mime erreicht werden. Leider hat sich dies in der Praxis nicht durchgesetzt, so dass viele Ärzte und Patienten diese Methoden nicht anwenden.

Filehosting in der Cloud: gesetzliche Bestimmungen für die dentale Praxis

Röntgenbild

Computer konkret: Worauf sollte man achten, wenn man einen Filehosting-Dienst wie beispielsweise Dropbox verwendet?

S. Hansen-Oest: Ohne eine „State-of-the-Art“-Verschlüsselung ist ein Dienst wie Dropbox ein absolutes „No Go“ im medizinischen Bereich. Theoretisch könnten Sie natürlich Ihre Patienten in die Speicherung ihrer Patientendaten bei einem Cloud-Service in den USA einwilligen lassen. Es ist aber umstritten, ob das überhaupt rechtlich zulässig ist. Und möglicherweise trägt das auch nicht gerade zur Vertrauensbildung bei Patienten bei.
Es gibt deutsche Lösungen wie zum Beispiel transfer.net, die einfach wie Dropbox zu handhaben sind, aber gleichzeitig die deutschen Datenschutzanforderungen erfüllen.

Computer konkret: Was muss eine Praxis berücksichtigen, wenn sie Dateien in der Cloud eines deutschen Rechenzentrums sichert?

S. Hansen-Oest: Auch das ist nach dem derzeitigen ärztlichen Berufsrecht nur dann zulässig, wenn es sich um eine vollständige „Ende-zu-Ende-Verschlüsselung“ handelt. Es muss sichergestellt sein, dass auch Mitarbeiter im Rechenzentrum keinerlei Möglichkeit haben, Daten auf den Servern im Rechenzentrum zu entschlüsseln. Ist das nicht der Fall, geht dies nur mit einer informierten Einwilligung des Patienten, in der dieser deutlich auf die Speicherung in einem fremden Rechenzentrum mit detaillierten Informationen hingewiesen werden muss.
Im Hinblick auf die ärztliche Schweigepflicht und dem Erfordernis einer Einwilligung macht es keinen grundlegenden Unterschied, ob Daten in einem Cloud-Service in Deutschland oder beispielsweise außerhalb der europäischen Union gespeichert werden.

Verletzungen des Datenschutzes sind keine Kavaliersdelikte

Computer konkret: Spielt es eine Rolle, ob eine Datenschutzverletzung einmalig oder regelmäßig passiert?

S. Hansen-Oest: Ja. Denn Art und Umfang einer Datenschutzverletzung wirken sich regelmäßig auf die Höhe von Bußgeldern oder Strafen aus.

Computer konkret: Ein fahrlässiger Umgang mit Patientendaten ist in vielen Praxen an der Tagesordnung, beispielsweise mit dem unverschlüsselten E-Mail-Versand. Oft hört man Aussagen wie „Das machen doch alle so“ oder „Wo kein Kläger, da kein Richter“. Mit welchen Konsequenzen müssen Ärzte rechnen, wenn sie gegen den Datenschutz verstoßen?

S. Hansen-Oest: Datenschutz ist in aller Munde. Erst im Dezember letzten Jahres hat die Europäische Union eine Novellierung des gesamten europäischen Datenschutzrechts beschlossen. Im Jahr 2018 wird die Datenschutz-Grundverordnung (DS-GVO) in Kraft treten, nach der Bußgelder von bis zu 20 Millionen Euro verhängt werden können. Derzeit sind es maximal 300.000 Euro in Deutschland. Zudem wird es noch in diesem Jahr ein Verbandsklagerecht im Datenschutz geben, so dass künftig auch Verbraucherschutzverbände Organisationen wegen Datenschutzverstößen abmahnen können. Es ist zu erwarten, dass hier eine Menge Bewegung in die Ahndung von Datenschutzverstößen kommen wird.

Computer konkret: Vielen Dank für das Interview!

Über den Autor

Herr Hansen-OestStephan Hansen-Oest ist Rechtsanwalt und Fachanwalt für IT-Recht. Er berät bundesweit Unternehmen bei der Implementierung und Umsetzung von Datenschutzanforderungen. Er ist zudem als rechtlicher Sachverständiger für das Gütesiegel für IT-Produkte des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, das Gütesiegel Datenschutz Mecklenburg-Vorpommern und das European Privacy Seal akkreditiert.
Informationen und Kontakt: https://www.datenschutz-guru.de/

Kontakt zum Autor