Die ärztliche Schweigepflicht, Grundvoraussetzung des Vertrauensverhältnisses zwischen Ärzten und Patienten, wird aktuell durch zwei Gesetzesentwürfe der Regierung herausgefordert. In der Presse viel diskutiert ist die Novelle des Bundeskriminalamtgesetzes [1], die das Parlament bereits Ende April beschlossen hat. Zur Abwehr schwerer Straftaten sieht das BKA-Gesetz vor, dass Telefone und Computer bei Verdächtigen und ihren Kontaktpersonen überwacht werden dürfen, und dass Berufsgeheimnisträger ein Zeugnisverweigerungsrecht erhalten. Ärzte und Psychotherapeuten fallen allerdings nicht darunter, müssen daher bestimmte Informationen, wie etwa die Ankündigung einer schweren Straftat oder eines Terroranschlags durch einen Patienten, melden und sind auch nicht automatisch vor einer Überwachung geschützt [2].

Auch unverdächtige Patienten könnten betroffen sein

Vertreter der Bundespsychotherapeutenkammer fürchten nun beispielsweise, dass sich Patienten insbesondere mit psychotischen und paranoiden Störungen wegen der abstrakt bestehenden Möglichkeit des Mithörens ihres Arzt-Patienten-Gesprächs gegen eine Therapie entscheiden könnten [3], und Datenschützer befürchten, dass bei Überwachungen auch Daten anderer unverdächtiger Patienten offengelegt werden könnten [4].

Zwar hatten die Karlsruher Richter gefordert, dass es einen überwachungsfreien "Kernbereich privater Lebensgestaltung" geben müsse, in dem Eingriffe nicht einmal durch "überragende Interessen der Allgemeinheit" gerechtfertigt seien [5]. Ob Arztpraxen als Betriebs- oder Geschäftsräume einzustufen und damit nicht mehr als Kernbereich zu werten sind, ist umstritten, im Zweifelsfall müsste dies einzeln abgewogen werden [6].

Berufsgeheimnis wird gelockert

Während das BKA-Gesetz gerade einige Aufmerksamkeit in den Medien genießt, hat die Regierung unter dem sperrigen Titel "Entwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" [7] einen weiteren Gesetzesentwurf vorgelegt, der geeignet ist, das ärztliche Berufsgeheimnis ebenfalls zu lockern [8].

Nach § 203 Absatz 1 und 2 Satz 1 des Strafgesetzbuches (StGB) machen sich Ärzte strafbar, wenn sie unbefugten Dritten fremde Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt geworden sind. Im medizinischen Bereich gelten dabei sämtliche personenbezogenen Daten und Tatsachen als Geheimnisse – bereits die Tatsache, dass ein Behandlungsverhältnis besteht – sowie alle übrigen Informationen, die während des Behandlungsverhältnisses bekannt werden (z. B. Wohn- und Lebenssituation, Sucht, sexuelle Orientierung, Vermögenslage, körperliche Hygienesituation).

IT-Dienstleister haben Zugang zu Daten

Berufsgeheimnisträger wie Ärzte, Rechtsanwälte, Notare sind aber in ihrer beruflichen Tätigkeit vielfach auf die Hilfe Dritter angewiesen, insbesondere im Bereich der Informationstechnologie. Soweit diese Unterstützung durch eigenes Praxispersonal als Berufsgehilfen wahrgenommen wird, liegt nach allgemein herrschender Meinung keine Offenbarung von Geheimnissen vor. Externe Personen, die selbstständig tätig oder die in den Betrieb eines Dritten eingebunden sind, werden dagegen nach herrschender Meinung nicht zu den Berufsgehilfen gezählt. Ärzte verletzen daher die Rechtsnorm des § 203 StGB, wenn IT-Dienstleister oder Mitarbeiter von Softwarehäusern beispielsweise im Rahmen von Wartungsarbeiten die Möglichkeit haben, die in den IT-Anlagen gespeicherten Patientendaten einzusehen.

Der Gesetzgeber möchte diese Rechtslücke dadurch beheben, dass zukünftig Bestandteile des Arztgeheimnisses mitwirkenden Dritten weitergegeben oder zugänglich gemacht werden können, ohne dass Ärzte sich strafbar machen. Diese Gesetzesänderung schafft zunächst Rechtssicherheit beim Zugriff auf Praxisrechner per Fernwartung durch Mitarbeiter eines Softwarehauses und ermöglicht es, Tätigkeiten, bei denen Patientendaten verwendet werden, wie Schreibarbeiten, Bearbeitung des Rechnungswesens oder Aktenvernichtung, an externe Dienstleister zu übergeben oder ein Callcenter mit der Annahme von Telefonanrufen zu beauftragen. Auch die Speicherung von Patientendaten im Klartext auf Servern, die von einem externen Unternehmen betrieben werden (Cloud-Dienste), würde durch die Gesetzesänderung grundsätzlich ermöglicht.

Telematik-Dienstleister sorgfältig auswählen

Damit schafft dieses Gesetz zugleich ein Problem aus der Welt, das bisher der Einführung der geplanten Telematik-Infrastruktur im Weg steht. Da der begrenzte lokale Speicherplatz der Versichertenkarten nur für einige Rezepte und den Notfalldatensatz ausreicht, müssen patientenbezogene Daten auf zentralen Servern der Telematik-Infrastruktur gespeichert werden. Die Administratoren dieser Server haben aber naturgemäß vollen Zugriff auf die gespeicherten Daten der Patienten im Klartext. Eine Ausweitung des Berufsgeheimnisses auf diese ermöglicht den von der Politik forcierten Datenaustausch zwischen den Teilnehmern im Gesundheitswesen.

Es gibt allerdings einen Haken: Der zukünftige Absatz 3 des §203 StGB droht Berufsgeheimnisträgern mit Freiheits- oder Geldstrafe, wenn sie mitwirkende Personen nicht sorgfältig auswählen, nicht zur Geheimhaltung verpflichten oder bei ihrer Tätigkeit nicht überwachen [9]. Wie genau diese Pflichten aussehen und in welchem Umfang vertrauliche Informationen tatsächlich offenbart werden dürfen, ist im Gesetzesentwurf nicht eindeutig bestimmt und obliegt letztlich damit der Rechtsprechung [10]. Damit müssen Ärzte, die externen Dienstleistern den Zugriff auf Patientendaten im Rahmen einer Beauftragung ermöglichen, bei Verstößen der Externen gerichtsfest nachweisen, dass sie die ihnen gebotenen Sorgfaltspflichten nicht verletzt haben.

Werden praxisfremde Einzelpersonen vor Ort mit unterstützenden Tätigkeiten betraut, wie etwa Abrechnungs- oder Schreibtätigkeiten, der IT-Wartung oder der Vergabe von Terminen, ist dies vermutlich einfach nachzuweisen. Schwieriger wird es, wenn Firmen wie Callcenter-Betreiber oder Cloud-Dienstleister beauftragt werden, die sich möglicherweise zur Erfüllung ihrer Tätigkeiten selbst anderer, dem Auftraggeber nicht bekannter Subunternehmer bedienen. Sofern es nur um die Speicherung von Daten auf externen Servern geht, ist daher der sogenannte technische Datenschutz durch Ende-zu-Ende-Verschlüsselung der Daten vorzuziehen, denn durch die Verschlüsselung der Daten werden die Patientengeheimnisse wirksam gegen den Zugriff Dritter geschützt.