Rechtsanwalt Dr. Arnd-Christian Kulow ist zertifizierter Datenschutzbeauftragter, Auditor für Datenschutz und Mitglied des Ausschusses für elektronischen Rechtsverkehr bei der Bundesrechtsanwaltskammer. Einer seiner Schwerpunkte ist das Zusammenspiel des ärztliches Berufsrechts und des Datenschutzrechts nach Geltung der Datenschutz-Grundverordnung (DSGVO).

Herr Kulow, Sie haben von den Sicherheitslücken gelesen, die unsere Pentester in der Test-Praxis gefunden haben. Wenn es aufgrund einer dieser Mängel zu einem Datendiebstahl gekommen wäre – sagen wir, es wären Daten zur Gonorrhö-Infektion des Bürgermeisters geleakt worden – mit was für einer „Strafe“ müsste der verantwortliche Praxisinhaber rechnen?

Dr. Arnd-Christian Kulow: Wenn ich höre, dass Post-Its mit Passwörtern am Bildschirm gefunden wurden, dann ist das natürlich der Klassiker der Datenschutzverstöße. Adminpasswörter wie „passwort“, „qwertz“, „abcde“ oder wie in diesem Fall „123456“ stellen ebenfalls eine grobe Verletzung der Datensicherheit dar. Wenn diese Mängel tatsächlich zu einer Offenlegung geheimzuhaltender Daten führen, kommt eine datenschutzrechtliche, zivilrechtliche und strafrechtliche Haftung des Praxisinhabers in Betracht.

Ein solches rechtswidriges Offenbaren von Patientendaten stellt also eine schwere Datenpanne dar, die man dann innerhalb von 72 Stunden der zuständigen Datenschutzbehörde und in diesem Fall auch dem Betroffenen melden muss. Die Datenschutzbehörde kann dann ein Bußgeld verhängen, das – theoretisch – bis in Millionenhöhe gehen kann. In Baden-Württemberg wurde wegen der versehentlichen Veröffentlichung von Gesundheitsdaten ein Bußgeld von 80 000 Euro gegen einen Arzt verhängt.

Der Bürgermeister aus dem fiktiven Fall könnte nach der DSGVO Schadensersatzansprüche gegen den Praxisinhaber geltend machen. Die Ansprüche würden dann Vermögens­einbußen des Bürgermeis­ters umfassen und auch den erlittenen Rufverlust als immateriellen Schaden.

Zur Höhe solcher Schadensersatzansprüche gibt es noch keine verlässlichen Einschätzungen. Bei einer öffentlichen Person wie einem Bürgermeister kann das aber ganz ordentlich ausfallen. Darüber hinaus könnte die Staatsanwaltschaft wegen Verletzung der ärztlichen Schweigepflicht durch Unterlassung – nämlich der Beaufsichtigung der Mitarbeiter bzw. des Dienstleis­ters – strafrechtlich ermitteln, da es schließlich der Praxisinhaber war, der die unwirksamen Passwörter und das Fehlverhalten seiner Mitarbeiter geduldet hat.

Wenn es nun aber aufgrund der Sicherheitslücken in einem PVS zu einem Datendiebstahl käme, wäre dann auch der Arzt, in dessen Praxis das passiert, dafür verantwortlich?

Der Praxisinhaber ist grundsätzlich für das verantwortlich, was in seiner Praxis geschieht. Ist allerdings ein Programm der Verursacher, sehe ich kein „Offenbaren“ durch Unterlassen, sodass eine strafrechtliche Haftung wohl nicht in Betracht kommt. Datenschutzrechtlich ist der Praxisinhaber allerdings nach DSGVO schon für leichteste Fahrlässigkeit verantwortlich. Er muss Rechenschaft für eine datenschutzkonforme Verarbeitung geben und im Zweifel beweisen, dass er sämtliche Vorschriften der DSGVO eingehalten hat. Das wird in der Praxis häufig sehr schwierig werden.

Beim Einsatz von PVS würde ich unterscheiden, ob es sich um eine von der KBV zugelassene PVS oder nicht handelt. Eine gravierende Sicherheitslücke in einer zugelassenen Software könnte einen atypischen Schadensverlauf darstellen und von vornherein nicht vom Praxisinhaber zu verantworten sein. Der Hersteller unterliegt zudem unabhängig vom Datenschutz der Produkthaftung und könnte so finanziell mit ins Boot kommen. Bei der gleichzeitig bestehenden Arzthaftung aus dem Behandlungsvertrag bzw. aus unerlaubter Handlung würde man wohl auch nicht von einem Verschulden des Praxisinhabers ausgehen. Mehr als eine zugelassene Software fachgerecht einzusetzen, kann nicht verlangt werden. Gleichwohl ist das Datenschutzrecht wesentlich schärfer als das klassische Arzthaftungsrecht, weil es sehr hohe Anforderungen an die IT-Infrastruktur und den Umgang mit Daten stellt.

Aber kann ich nicht einfach sagen: „Das hat der IT-Dienstleister zu verantworten, ich habe ja keine Ahnung.“ Bin ich dann aus der Verantwortung raus?

Das Beispiel mit den Post-Its und den Passwörtern zeigt, dass das Ausblenden des ganzen Themas für die Praxisinhaber wirklich brandgefährlich werden kann. Datenschutzrechtlich haftet nämlich immer zunächst und zuerst der für die Datenverarbeitung Verantwortliche, also der Praxisinhaber. Er ist für die datenschutzkonforme Verarbeitung beweispflichtig und muss dafür Rechenschaft ablegen. Schon von daher sollte er seine Datenschutzmaßnahmen sehr gut dokumentieren. Bedient er sich der Hilfe Dritter, also etwa eines IT-Dienstleisters, der in seinem Auftrag Daten verarbeitet oder mit personenbezogenen Daten in Kontakt kommt, muss er diesen auf die Geheimhaltung dieser Daten verpflichten und ggf. einen entsprechenden Auftragsverarbeitungsvertrag mit ihm schließen. Darin muss er den Dienstleister präzise anweisen, wie die Daten zu verarbeiten sind. Gegenüber den Betroffenen haftet er gemeinsam mit dem Dienstleister, er kann dann aber möglicherweise wiederum den IT-Dienstleister in Regress nehmen.

Damit gibt es faktisch seit Mai 2018 nun eine strenge datenschutzrechtliche „IT-Infrastrukturhaftung“, die prinzipiell von den Datenschutzbehörden überprüft werden kann. Ähnlich wie bei der gesetzlich vorgeschriebenen Praxishygiene „aktualisiert“ sich diese IT-Infrastrukturhaftung dennoch meistens am konkreten Fall – wie in unserem Beispiel beim Bürgermeister.

Ganz große Frage: Wie sieht es mit der Haftung für die Telematikinfrastruktur aus?

Die Telematikinfrastruktur, also die TI, stellt insofern eine Ausnahme dar, als sie gesetzlich geregelt ist und die Praxen sich anschließen müssen. Die gematik sagt dazu ganz klar: „Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Praxisinhaber aufgestellt und betrieben werden, scheidet eine Haftung des Praxisinhabers nach der DSGVO in jedem Fall aus.“

Allerdings geht die Haftungsbefreiung nur bis zum Konnektor. Das heißt die Verantwortung des Praxisinhabers für die korrekte Einrichtung und den korrekten Betrieb des Konnektors sowie für die eigene IT-Infrastruktur „hinter dem Konnektor“ nach Datenschutzrecht, Zivilrecht und Strafrecht bleibt bestehen. Daher ist auch die Einrichtung des Konnektors absolute „Chefsache“, die Vorgaben sollten penibel befolgt werden – Stichwort: paralleler versus serieller Betrieb!

Welches sind denn die Kriterien, anhand derer sich die neuen Verantwortlichkeiten eines Arztes bemessen?

Spätestens hier wird es schwierig. So ist schon fraglich, welche Rechtsnormen neben der DSGVO heranzuziehen sind. Zum Beispiel stand es tatsächlich zur Diskussion, ob einsam gelegene Landarztpraxen dem Bundessicherheitsgesetz unterfallen und als „kritische Infrastrukturen“ unter dem Kürzel KRITIS besondere gesetzliche Pflichten haben. Das wird allerdings mittlerweile verneint.

Die Vorgaben der DSGVO sind ebenfalls alles andere als konkret. Hinweise und Richtlinien von KBV und Bundesärztekammer, aber auch des BSI und anderer Organisationen wie ISO oder DIN versuchen diese Vorgaben zu konkretisieren und näher auszugestalten. Letztlich entscheiden werden aber die Gerichte.

Grundsätzlich kann man sagen: Das Transparenzprinzip des Datenschutzes verpflichtet die Verantwortlichen über die Datenflüsse und die Verarbeitungen – also etwa Speichern, Löschen, Backups etc. – informiert zu sein. Sie müssen der Datenschutzbehörde dazu Rechenschaft geben können. Der Praxisinhaber muss sich also dafür interessieren, was mit den Daten in seiner Praxis-IT geschieht. Dazu dient übrigens die konkrete Verpflichtung der DSGVO, ein Verarbeitungsverzeichnis zu führen. Und der Praxisinhaber hat auch für die Verfügbarkeit und Integrität der Daten zu sorgen und er muss deren Geheimhaltung sicherstellen. Er darf die Daten nicht zweckentfremden und muss für ihre Richtigkeit sorgen, also z.B. Fehler darin beseitigen.

Diese Pflichten sind dynamisch: Der Praxisinhaber muss also an den technischen Entwicklungen „dranbleiben“ und die Einhaltung der Vorgaben regelmäßig überprüfen. Themen wie der Umgang mit Passwörtern, der Zugang zur Infrastruktur u.Ä. sollten persönlich im Auge behalten werden. Inwieweit die Wahrnehmung spezieller technischer Pflichten vertraglich an den IT-Dienstleister abgewälzt werden kann, hängt vom Einzelfall ab. Der Praxisinhaber sollte auf alle Fälle schriftlich Konformitätserklärungen vom Dienstleister verlangen. Zum Thema Konnektor heißt das, dass die Installation den Vorgaben des BSI entsprechen muss. Darüber hinaus gilt wie immer: Alles dokumentieren lassen! Nur so besteht überhaupt der Hauch einer Chance aus der datenschutzrechtlichen Haftung rauszukommen.

Dynamische Pflichten, das klingt schwierig. Wie bleibt man denn da am Ball?

Ein großes Problem dabei ist – nicht nur für die Arztpraxen –, dass die konkreten Pflichten von den verschiedensten Organisationen empfohlen werden. Für den Praxisinhaber ist es schwer, überhaupt von allen zu wissen! Bestes Beispiel: Im Mai hat das BSI präzise Anweisungen zur Parametrierung von MS-Office-Produkten ausgegeben. Käme es zu einer Datenpanne in einer Praxis, die bei Verwendung dieser Parameter nicht passiert wäre, könnte man einen haftungsrechtlichen Vorwurf gegenüber dem Praxisinhaber formulieren.

Und dürfte dann nicht manche App oder auch elektronische Gesundheitsakte vom Arzt gar nicht akzeptiert werden?

In der Tat. Gerade bei neuen Entwicklungen ist immer eine große Skepsis angebracht. Hier – ohne das Bestehen einer Rechtspflicht – ein „early adopter“ zu sein, ist riskant, schon im Hinblick auf die strenge Haftung nach der DSGVO.

Medical-Tribune-Recherche