Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.03.1993 - 

Sorgloser Umgang mit Patientendaten

Arztpraxen verstossen sehr oft gegen Datenschutzbestimmungen

12.03.1993

Der Buerger reagiert zunehmend empfindlicher auf den Umgang mit personenbezogenen Daten. Die Justiz nimmt das Recht auf Datenschutz sehr ernst, wie zwei Urteile des Bundesgerichtshofes zeigen. So sind Vertraege ueber die Abtretung aerztlicher Honorarforderungen an eine Verrechnungsstelle genauso nichtig wie Vertraege ueber die Veraeusserung von Arztpraxen, die den Verkaeufer verpflichten, die Patientenunterlagen auch ohne Einwilligung der Betroffenen zu uebergeben.

Angesichts der rechtlichen Lage ist der sorglose, wenn nicht gar strafbare Umgang mit Befund- und Patientendaten unverstaendlich. Folgende Beispiele sollen die Missstaende auf diesem Gebiet verdeutlichen: Eine Aerztin hat mit einer DV-Firma einen Leasingvertrag ueber die Ueberlassung und Wartung von Hard- und Software abgeschlossen. Im Rahmen dieses Vertrages wird vom Leasinggeber unter anderem die staendige Anpassung der Software an geaenderte gesetzliche Vorschriften zugesichert. Die Programmanpassungen nimmt die Arztpraxis vor, indem sie die vom Leasinggeber zur Verfuegung gestellten Programm-Updates installiert.

Bei einem solchen Update fand die Aerztin auf dem uebersandten Datentraeger neben den Programmanpassungen schutzwuerdige Patientendaten und Abrechnungsuebersichten zweier Praxen.

Bei einer Rueckfrage beim Leasinggeber wurde ihr die beruhigende Auskunft erteilt, dass es sich um Testdaten handelt, die geloescht werden koennten. Damit gab sich die Aerztin aber nicht zufrieden, sondern nahm Kontakt mit ihrem Kollegen auf. Es stellte sich heraus, dass es sich keineswegs um Testdaten, sondern um reale Abrechnungsdaten fuer die Krankenversicherung handelte.

Wie die fremden Befund- und Patientendaten auf die uebersandte Diskette gekommen sind, liess sich in diesen Gespraechen nicht klaeren. Da jedoch beide von der gleichen DV-Firma betreut wurden, stand fuer die Aerztin der Schuldige fest. Sie nahm an, dass ihr Leasinggeber die Daten versehentlich auf die Update-Diskette gebracht hat. Da sie auch sonst mit den Leistungen ihres Vertragspartners nicht zufrieden war und den Leasingvertrag loesen wollte, erstattete sie Strafanzeige bei ihrer Polizeidienststelle. Auf diesem Wege wurde der Sachverhalt der Ermittlungsbehoerde bekannt, und das Verfahren nahm seinen Lauf.

Der ermittelnde Staatsanwalt kam zu einem anderen Ergebnis. Fuer ihn stellt sich die Sachlage so dar, dass zumindest in einem Fall der Arzt seine Befund- und Patientendaten der DV-Firma zugesandt hat, damit diese die Quartalsabrechnung fuer die Krankenversicherung auf Plausibilitaet ueberpruefen soll. Aus den Daten gehen die vollstaendige Anschrift und die Diagnose hervor.

Selbst wenn der Leasingvertrag die Plausibilitaetspruefung durch den Leasinggeber als Dienstleistung ausdruecklich vorsieht, ist die Weitergabe der schutzwuerdigen Befund- und Patientendaten keinesfalls gerechtfertigt, es sei denn, dass der Patient der Weitergabe seiner Daten ausdruecklich zugestimmt hat. Ist dies nicht der Fall, ist der Passus im Leasingvertrag nichtig (§ 134 BGB).

§ 203 StGB verpflichtet den Arzt, die Individualsphaere seiner Patienten zu schuetzen und bedroht das unbefugte Offenbaren eines unter die aerztliche Schweigepflicht fallenden Geheimnisses mit Strafe. Selbstverstaendlich fallen Abrechnungsdaten, aus denen Krankheitsbilder, Therapiemassnahmen und die dazugehoerigen Personendaten hervorgehen, unter die aerztliche Schweigepflicht.

§ 205 Abs. 1 StGB bestimmt, dass die Tat nur auf Antrag verfolgt wird. Strafantragsberechtigt ist der Patient, dessen persoenlicher Bereich durch die Weitergabe seiner Daten verletzt wurde. Im konkreten Fall bedeutet dies, dass alle 200 Patienten des Arztes in einem Anschreiben ueber den Sachverhalt informiert und auf ihr Strafantragsrecht hingewiesen werden. Sie haben drei Monate Zeit, ihr Interesse an der Strafverfolgung des Arztes zu bekunden. Wenn auch nur ein Patient innerhalb dieser Frist Strafantrag stellt, prueft die Staatsanwaltschaft, ob eine oeffentliche Klage erhoben werden muss.

Wegen der Verletzung der aerztlichen Schweigepflicht muss der Arzt mit einem Strafbefehl rechnen. Weit schwerer wird aber wiegen, dass das Vertrauensverhaeltnis zu vielen Patienten nachhaltig gestoert sein wird. Einige werden sich einen anderen Arzt suchen.

In dem geschilderten Fall hat der Arzt gewollt und bewusst sensitive Daten seiner Patienten an Dritte ausgehaendigt, um die elektronisch unterstuetzte Honorarabrechnung mit der Krankenversicherung durchfuehren zu koennen. Hierzu hat der Bundesgerichtshof in der Entscheidung ueber das Factoring von Arztforderungen festgestellt, dass "die Weitergabe von Behandlungsdaten an einen Dritten zum Zwecke der Rechnungserstellung nicht zwingend erforderlich ist. Vielmehr erleichtert der Einsatz elektronischer Datenverarbeitung die Honorarabrechnung in der aerztlichen Praxis erheblich. (. . .) Wirtschaftliche Erwaegungen, von denen die Durchsetzung des Honoraranspruchs nicht abhaengt, vermoegen aber die Verletzung der aerztlichen Schweigepflicht unter keinen Umstaenden zu rechtfertigen".

Daten duerfen nicht weitergegeben werden

Der Arzt hat daher dafuer zu sorgen, dass Informationen, die unter die aerztliche Schweigepflicht fallen, nicht in unbefugte Haende gelangen. Unzureichende DV-Kenntnisse des Arztes und seiner Angestellten koennen daher die Preisgabe von Behandlungsdaten an Dritte nicht rechtfertigen. Klauseln in Wartungs- oder Leasingvertraegen, die eine Weitergabe solcher Daten, und sei es auch nur zur Plausibilitaetskontrolle, vorsehen, sind deshalb nichtig.

Der Vollstaendigkeit halber sei erwaehnt, dass die versehentliche Weitergabe der Daten durch den Leasinggeber an die anzeigeerstattende Aerztin nicht strafbar erscheint. Im Gegensatz zum Arzt hat die DV-Firma keine gesetzliche Pflicht, Privatgeheimnisse zu schuetzen. Allenfalls ist ueber das Bundesdatenschutzgesetz (BDSG) eine Ordnungswidrigkeit denkbar, weil das Unternehmen seiner Meldepflicht nicht nachgekommen ist.

Waehrend bei der herkoemmlichen Karteikarte die Sensitivitaet der Informationen jederzeit ersichtlich wird, ist dies bei einer Diskette oder einem Streamerband nicht immer der Fall, vor allem dann nicht, wenn der Datentraeger nicht eindeutig gekennzeichnet ist. Waehrend die Verwahrung, Lagerung und Vernichtung von Karteikarten unproblematisch ist, sind weiten Teilen der Aerzteschaft solche Methoden fuer maschinenlesbare Datentraeger noch nicht bekannt, ganz zu schweigen von den speziellen Erfordernissen wie sie fuer die Verarbeitung personenbezogener Daten in automatisierten Verfahren gelten.

Der richtige Umgang mit den Datenträgern

Aber es gibt viele Situationen, in denen es schwer wird, die datenschutzrechtlichen Auflagen zu erfuellen:

- Eine zur Datensicherung verwendete Diskette oder ein Streamerband mit der Festplattensicherung sind defekt. Der Datentraeger wandert zum Restmuell.

- Der Computer laesst sich nicht mehr booten und wird in einer Fachwerkstatt repariert.

- Die Kapazitaet der Festplatte ist erschoepft. Sie muss gegen eine groessere ausgetauscht werden. Die alte Platte nimmt der Haendler in Zahlung. Noch in der Praxis wird der Pfad mit den Befund- und Patientendaten geloescht oder formatiert.

- Der Rechner ist steuerlich abgeschrieben und wird durch ein leistungsfaehigeres Geraet ersetzt. Nachdem es anderweitig nicht mehr sinnvoll eingesetzt werden kann, landet es in der Sperrmuellsammlung. Vorher werden die Daten geloescht.

Die geschilderten Verfahrensweisen erscheinen auf den ersten Blick durchaus naheliegend und sinnvoll. So kann wohl ein fehlerhafter Datentraeger, der vom Computer wegen eines Lesefehlers nicht mehr angesprochen werden kann, weggeworfen werden.

Weit gefehlt. Mit entsprechenden Werkzeugen (Hard- oder Software) koennen fehlerhafte Datentraeger gelesen werden. Dazu kommt, dass selbst nach einem Delete- oder Formatbefehl die Daten physikalisch noch vorhanden und restaurierbar sind. So wie der Techniker nach der Reparatur Zugriff auf die Festplatte und damit auf die personenbezogenen Daten hat, koennen auch die Daten auf der weggeworfenen Diskette oder Festplatte mit allgemein zugaenglichen Werkzeugen gelesen werden. Alle geschilderten Vorgehensweisen sind daher aus Datenschutz-Gesichtspunkten abzulehnen.

Was muessen Arztprogramme leisten, welche organisatorischen Massnahmen muessen in einer Praxis getroffen werden, um den gesetzlichen Bestimmungen beim Umgang mit personenbezogenen Daten zu genuegen?

Um es vorweg zu nehmen, - allgemein gueltige Vorschriften fuer den Umgang mit Datentraegern gibt es nicht. Das Bundesdatenschutzgesetz (BDSG) fordert jedoch fuer die Verarbeitung personenbezogener Daten in der Anlage zu § 9 Satz 1 ein ganzes Buendel von Massnahmen, um

- Unbefugten den Zugang zu DV-Systemen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

- zu verhindern, dass Datentraeger unbefugt gelesen, kopiert, veraendert oder entfernt werden koennen (Datentraegerkontrolle),

- die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veraenderung oder Loeschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),

- zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenuebertragung von Unbefugten genutzt werden koennen (Benutzerkontrolle),

- zu gewaehrleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen koennen (Zugriffskontrolle),

- zu garantieren, dass ueberprueft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenuebertragung uebermittelt werden koennen (Uebermittlungskontrolle),

- zu gewaehrleisten, dass nachtraeglich ueberprueft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in die Systeme eingegeben worden sind (Eingabekontrolle),

- sicherzustellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden koennen (Auftragskontrolle),

- zu verhindern, dass bei der Uebertragung personenbezogener Daten sowie beim Transport von Datentraegern die Daten unbefugt gelesen, kopiert, veraendert oder geloescht werden koennen (Transportkontrolle),

- die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Waehrend ein Teil dieser Forderungen ausschliesslich durch geeignete Hard- und Softwaremassnahmen realisierbar ist, lassen sich beispielsweise Transportkontrollen weitgehend nur durch organisatorische Massnahmen gewaehrleisten. Einige Forderungen wie die Zugangs-, Datentraeger- und Zugriffskontrolle koennen sowohl durch entsprechende Routinen im Praxenprogramm als auch durch organisatorische Massnahmen erfuellt werden. Sind Computer und Datentraeger beispielsweise in einem nur fuer den Arzt zugaenglichen und stets verschlossenen Raum untergebracht, den auch das Putzpersonal nur unter Aufsicht betreten darf, sind diese Forderungen hinreichend erfuellt.

Werden Datentraeger und Computer in einem geeigneten Tresor aufbewahrt, sind Datentraeger-, Benutzer- und Uebermittlungskontrolle gleichfalls sichergestellt.

Zugangs-, Speicher- und Zugriffskontrolle sind heute bei nahezu allen am Markt gaengigen Praxenprogrammen laut Prospekt gewaehrleistet. Bei ordnungsgemaesser Benutzung der Programme erfuellen sie auch ihre Funktion. Mit leistungsfaehigen Utilities koennen Zugriffssperren aber ueberwunden werden. Praxisprogramme speichern die Befunddaten meist verschluesselt ab, so dass sie sich niemandem zuordnen lassen. Patientendaten werden jedoch meist unverschluesselt abgelegt. Allein die Tatsache, dass eine Person bei einem Arzt in Behandlung ist, faellt unter die aerztliche Schweigepflicht und kann ein Geheimnis im Sinne des § 203 StGB sein.

Die Eingabekontrolle, das heisst die Feststellung wer, wann, welche Datensaetze eingegeben, geaendert, geloescht oder aufgerufen hat, ist von den meisten Praxenprogrammen derzeit nicht realisiert. Soweit die Praxenprogramme ueber diese Funktion nicht verfuegen, ist die Verarbeitung personenbezogener Daten in der Arzt- und Psychologenpraxis grundsaetzlich als unzulaessig anzusehen.

Die Verschluesselung der Patientendaten verhindert die Einsichtnahme Nichtberechtigter. Die datenschutzrechtlichen Vorschriften der Eingabekontrolle sind damit jedoch noch nicht geloest. Da gegen datenschutzrechtliche Bestimmungen in der Mehrzahl durch Berechtigte, beispielsweise durch die Arzthelferin, verstossen wird, greifen kryptografische Verfahren in diesen Faellen nicht. Vielmehr muss in solchen Faellen durch die Kontrolle von Protokolldaten erkennbar sein, wer und wann Daten abruft.

Etwa 70 Prozent aller Praxenloesungen werden unter dem Betriebssystem MS-DOS realisiert, das diese Funktion nicht wahrnehmen kann. Mehr als zwei Drittel aller Praxen in der Bundesrepublik verstossen damit gegen die datenschutzrechtlichen Bestimmungen des § 9 BDSG und die hierzu gehoerende Anlage. Soweit durch die mangelnden Sicherheitsvorkehrungen Patientendaten Dritten unbefugterweise bekannt werden, ist darueber hinaus § 203 StGB einschlaegig.

Ein Verstoss gegen die datenschutzrechtlichen Vorschriften hat jedoch weder straf- noch ordnungsrechtliche Folgen. Der Gesetzgeber hat dies nicht sanktioniert. Werden die Patientendaten durch unzureichende Datenschutzmassnahmen offenbar, handelt der Arzt lediglich fahrlaessig. § 203 StGB bestraft jedoch nur vorsaetzliches Handeln, so dass der Arzt strafrechtlich nicht ueber § 203 StGB belangt werden kann.

Nur wenn durch unzureichende Sicherheitsvorkehrungen die Patientendaten offenbart worden sind, ist ein Schadenersatzanspruch ueber § 823 Abs. 2 BGB gegeben. Sind die Daten durch fehlende oder mangelnde Vorkehrungen lediglich gefaehrdet, hat der Patient ueber diese Vorschrift eine Moeglichkeit, die Einhaltung der datenschutzrechtlichen Vorschriften durchzusetzen. In der Praxis geht aber wohl kaum ein Patient ein solches Prozessrisiko ein.

Auch wenn der Arzt fuer ein fahrlaessiges Offenbaren von Patientendaten weder straf-, ordnungs- noch zivilrechtlich belangt werden kann, bleibt ein schaler Beigeschmack bei dem Gedanken, dass in bundesdeutschen Arztpraxen datenschutzrechtliche Bestimmungen ignoriert werden und die Privat- und Intimsphaere der Patienten nicht im gesetzlich geforderten Umfang gewaehrleistet ist.

Von der Integritaet der Daten haengt das Funktionieren der gesamten Praxis ab. Zudem ist der Arzt oberster Datenschuetzer. In dem Masse, in dem der Betriebsablauf DV-gestuetzt abgewickelt wird, muss der Arzt daher bereit sein, in die DV-Organisation zu investieren.

Mit der Sachinvestition alleine ist es nicht getan. Grundlegende Kenntnisse des Datenschutzes und der Datensicherung sind fuer den Arzt unabdingbar und muessen einen anderen Stellenwert erfahren als sie es heute tun.

Das Fehlen von Sanktionen fuer datenschutzrechtliche Verstoesse und fahrlaessiges Offenbaren von Befund- und Patientendaten darf nicht Rechtfertigung fuer Nichthandeln sein. Der Arzt muss sich vielmehr seiner Verantwortung fuer eine sachgerechte Datenhaltung stellen.

*Hans-Juergen Stenger ist DV-Sachverstaendiger im Bereich Computerkriminalitaet des Bayerischen Landeskriminalamts.