Mit der Verschärfung des Abtreibungsrechtes poppte ein Problem ins gesellschaftliche Bewusstsein, das bis dato für viele im Theoretischen lag: Welche Gefahren es für Einzelne birgt, wenn Gesundheitsdaten nicht geschützt sind. Denn mit der drohenden Strafverfolgung sogar von Frauen, die Eingriffe in Nachbarstaaten oder -ländern vornehmen, wächst mancherorts die Notwendigkeit, jeden Hinweis, der verdächtig erscheinen mag, zu vermeiden. Dazu könnten Informationen aus Zyklus-Apps gehören, sicherlich aber Termine in entsprechenden Kliniken und vielleicht auch Terminabfolgen beim Gynäkologen.

Dass Arzttermine Hinweise auf Dinge geben, die man nicht öffentlich lesen möchte, ist auch in Deutschland ein Thema – der Verdacht auf eine Schwangerschaft ist bei uns natürlich kein strafrechtliches Thema, wird aber teils als potenzieller Karrierekiller gehandelt. Genauso diskreditierend kann das Bekanntwerden des regelmäßigen Besuches des Therapeuten oder des Hausarztes mit Suchtschwerpunkt sein.

Umso konsequenter, dass sich der Berliner Datenschutzbeauftragte mit Termin-Onlinetools im Gesundheitswesen beschäftigt hat. Neben der  Terminerinnerung per SMS ohne Einwilligung – über die sich Patienten häufig bei Datenschutzbehörden beschwert haben – geht es darum, wann der Einsatz einer Terminverwaltungssoftware in einer Praxis datenschutzkonform möglich ist. Dazu formuliert die Aufsichtsbehörde Hinweise für Praxen, die ein externes Unternehmen in ihr Terminmanagement einbeziehen möchten, wie z.B.:

• Dienstleister sollen danach beurteilt werden, ob sie ausreichende technische und organisatorische Maßnahmen zum Datenschutz treffen. Das sei gar nicht einfach, so die Aufsichtsbehörde. Empfohlen wird eine unabhängige Beratung. Haben die Dienstleister ein anerkanntes Datenschutz- oder zumindest Informationssicherheitszertifikat für alle in Anspruch genommenen Dienstleistungen, sei das ein positives Indiz. Bekannt gewordene Sicherheitsvorfälle dagegen ein negatives.
   
• Zu garantieren ist die Sicherheit der Webanwendung bzw. der mobilen App, die den Patienten für die Terminbuchung bereitgestellt wird, inklusive aller Schnittstellen, über die aus dem Internet zugegriffen werden kann. Ebenso wichtig ist der sichere Anschluss der externen Systeme an das Praxissystem. Für die im Praxisverwaltungssystem gespeicherten Daten dürfen darüber keine signifikanten Risiken entstehen. Daher muss die Verbindung zwischen Praxissystem und Dienstleister immer von der Praxis aus aufgebaut werden. Dabei ist eine sichere Authentifikation und Verschlüsselung einzusetzen.
   
• Alle Personen, die mit den Daten umgehen, müssen der Schweigepflicht unterliegen. Das ist bei Dienstleistern mit in Deutschland tätigem Personal gegeben. Bei Personal, das außerhalb der Bundesrepublik tätig wird, muss nachgewiesen werden, dass die Schweigepflicht und das Beschlagnahmeverbot für die gesamte Verarbeitungskette gilt. Besondere Probleme ergeben sich, wenn Dienstleis­ter Server im Ausland betreiben oder von Orten außerhalb Deutschlands Zugriffsmöglichkeiten auf die Daten bestehen, z.B. für Support, Adminis­tration oder Wartung.
   
• Die Praxis hat den Dienstleister unter Verweis auf die strafrechtlichen Bestimmungen zur Geheimhaltung zu verpflichten. Dieser muss das seinerseits mit dem Personal und allen Unterauftragnehmern tun.
   
• Achtung: Auch Dienstleister mit Sitz in Deutschland könnten Unternehmen aus dem Ausland einschalten, zum Beispiel Cloud-Anbieter. Auch die Einbindung von Drittinhalten in einer App oder auf einer Website (z.B. Schriftarten, Stadtpläne, Skripte) lässt Dritte Kenntnis von personenbezogenen Daten erhalten. Hierfür gibt es keine Rechtsgrundlage.
   
• Erfolgt ein Schritt der Datenverarbeitung (Support, Administration, Wartung, evtl. durch andere Dienstleister) außerhalb Deutschlands, sollte man sich datenschutzrechtlichen Rat einholen. Auch wenn europäische Tochtergesellschaften von Nicht-EU/EWR-Unternehmen (insbesondere aus den USA) einbezogen werden, muss sichergestellt sein, dass diese nicht Daten an ausländische Behörden herausgeben müssen. Technische und vertragliche Maßnahmen verhindern das nicht. Wenn nicht sicher nachgewiesen werden kann, dass diese Anforderungen lückenlos erfüllt werden, dürfen diese Dienstleister nicht eingesetzt werden.
   
• Mit dem Dienstleister muss ein Vertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden (Auftragsdatenverarbeitung).
   
• Die Patienten müssen über den Einsatz der Dienstleister in Kenntnis gesetzt werden.
   
• Die Verwendung der Daten durch die Dienstleister für deren eigene Zwecke ist ausgeschlossen. Diese Festlegung muss in den Vertrag mit dem Dienstleister aufgenommen werden. Bei Kenntnis einer Verwendung für eigene Zwecke ist die Praxis verpflichtet, dem entgegenzutreten.
   
• Die Weisungsbefugnis des Arztes gegenüber dem Dienstleister darf nicht eingeschränkt werden.
   
• Sollten die Dienstleister – beispielsweise über das Angebot einer „Suche nach Ärzt:innen“ – in eigener Verantwortung mit den Patienten in Kontakt kommen, so ist eine Trennung der Verantwortlichkeiten erforderlich, die für Patienten klar erkennbar ist. Eine verklausulierte Erläuterung in der Datenschutzerklärung ist nicht ausreichend.
   
• Es dürfen nur Daten für das Terminmanagement verwendet werden, die dafür notwendig sind. An die Dienstleister dürfen nur Daten übergeben werden, die diese zur Erbringung der Dienstleistung benötigen.
   
• Es dürfen keine Daten für das Terminmanagement länger als für diesen Zweck erforderlich gespeichert werden. Anders als die meis­ten Daten in einer Praxis, werden die Daten in einem Terminmanagementsystem für Dokumentationszwecke nicht benötigt und sind daher im Anschluss an den Termin nach einer kurzen Frist zu löschen. Die Verpflichtung der Dienstleister, diese Löschung vorzunehmen, sollte vertraglich festgehalten werden.

Medical-Tribune-Bericht