Jeder hatte Einblick in Patientendaten verschiedener Ärzte

Verschiedenes
KV-Blatt 05.2015
Jeder hatte Einblick in Patientendaten verschiedener Ärzte
Datenschutz: In einer Praxisgemeinschaft muss der
gemeinsame Datenzugriff streng geregelt werden
Der gemeinsame Zugriff auf Patientendaten in Praxisverwaltungssystemen
durch Ärzte und Personal in Praxisgemeinschaften ist nur mit Zustimmung
der betroffenen Patienten gestattet.
Darauf hat der Berliner Datenschutzbeauftragte in seinem neuesten Jahresbericht für das Jahr 2014 hingewiesen.
Angezählt wurde eine Berliner Praxisgemeinschaft, deren Ärzte und Personal
ein Praxisverwaltungssystem gemeinsam nutzen, ohne dass die Zugriffsrechte auf die Patientendaten im Detail
definiert bzw. festgelegt wurden.
angegliederten Studienzentrum keine
Trennung der Daten und des Datensystems vorhanden war. Auch hier gilt,
dass Übermittlungen zwischen Praxisgemeinschaft und Studienzentrum nachvollziehbar sein müssen, insbesondere
für die am Zentrum unbeteiligten Ärzte
und deren Patienten. Die Prüfer entdeckten bei dieser Gelegenheit auch Patientenunterlagen, die im Studienzentrum
nichts zu suchen hatten und unmittelbar in die Praxisgemeinschaft zurückgebracht werden mussten.
Internetbasierte Nachsorge
Der Hintergrund: Auch in einer Praxisgemeinschaft übernimmt ein einzelner
Arzt die Behandlung des Patienten. Zwischen dem Personal der einzelnen Praxen ist die Schweigepflicht zu wahren.
Nur im Vertretungsfall dürfen die Daten
von Patienten offenbart werden. Gemeinsames Personal, so der Datenschutzbericht, das für mehrere Praxen tätig wird,
kann dann auch solche Daten einsehen.
Allerdings untersteht es dabei dem
Direktionsrecht der jeweils im Einzelfall
behandelnden Ärzte. „Das“, so heißt es,
„muss sich auch technisch im Praxisverwaltungssystem widerspiegeln, soweit
dies gemeinsam genutzt wird.“ Dann
müssen spezielle Zugriffsrechte eingerichtet werden, „welche die Schranken
der Schweigepflicht abbilden“. Schließlich muss es dann möglich sein, erfolgte
Zugriffe nachzuvollziehen, um Offenbarungen auf ihre Zulässigkeit hin überprüfen zu können.
Das alles hat die vom Datenschutzbeauftragten geprüfte Praxisgemeinschaft
nicht getan. Dort wurde die Zugriffstrennung auf die Patientendaten nicht
vollzogen und Passwörter wurden
gemeinsam genutzt. Damit war stets
ein Zugriff auf die Daten aller Patienten
möglich. Für alle Beschäftigten müssen
nun individuelle Benutzerkonten mit
eigenem Passwort und abgestimmten
Nutzerrechten eingerichtet werden.
Damit nicht genug, monierte der Datenschutzbeauftragte bei der Prüfung auch,
dass in einem der Praxisgemeinschaft
Wer als Arzt das Internet rsp. den E-MailWeg nutzt, um Patienten beispielsweise
an bestimmte Behandlungen zu erinnern
oder sich nach dem Erfolg einer Behandlung zu erkundigen, muss ganz besonders auf den Schutz vertraulicher Daten
achten. So gilt beispielsweise der E-MailVerkehr als nicht sicher, weil nicht auszuschließen ist, dass „Dritte“ mitlesen.
Auch darauf weist der Datenschutzbeauftragte in seinem Bericht hin. Weil Ärzte
dazu verpflichtet sind, über Erkenntnisse aus einer Patientenbehandlung zu
schweigen, dürfen sie auch kein Medium
zur Kommunikation verwenden, das
nicht gegen die „Kenntnisnahme Dritter“
schützt. Dazu gehört dem Bericht
zufolge auch die E-Mail. Bereits in der
Absenderangabe können sensitive Informationen über einen Patienten stecken,
z. B. bei einem auf bestimmte Erkrankungen, etwa auf Krebs, spezialisierten
KV-Service-Center und betriebswirtschaftliche Beratung
Tel. (030) 310 03-999
Mo, Di, Do
8.30–17 Uhr
Mi, Fr
8.30–15 Uhr
[email protected]
Arzt. „Womöglich“, so heißt es, „soll die
Patientin gar noch an eine bestimmte
Therapie erinnert werden und es wird in
der E-Mail explizit darauf hingewiesen.“
Aus der Therapieform ließe sich dann
auch die Erkrankung ableiten – eine
Information, die die Betroffene gewiss
nicht in die Welt hinausposaunen wolle.
Die Schlussfolgerung: Unverschlüsselte
E-Mails sind grundsätzlich nicht geeignet, die Vertraulichkeit einer Information
zu garantieren. Eine alternative Möglichkeit wäre es, einen unabhängigen Dienstleister zu beauftragen, mit unverfänglichen Hinweisen auf ein bestimmtes
Anliegen aufmerksam zu machen, etwa
ein Merkblatt wieder einmal zur Hand
zu nehmen oder eine vereinbarte Webadresse zu „besuchen“. Fazit: Gegen die
Nutzung elektronischer Kommunikationswege ist dann nichts einzuwenden,
wenn die Inhalte sorgfältig geschützt
und Daten auf das nötige Minimum eingeschränkt werden.
Charité und Vivantes: Zur Technik für
das neue Gemeinschaftslabor gab es die
Patientendaten obendrauf
Gegenstand der Datenschutzprüfung
war auch die vor einigen Jahren neu eingerichtete Labor GmbH, ein Unternehmen, das Laboruntersuchungen der Patienten der Charité und des landeseigenen
Klinikkonzerns Vivantes durchführt. Die
Labor GmbH entstand auf Beschluss
des Berliner Abgeordnetenhauses im
Jahr 2010 durch die Fusion der bis dahin
selbstständigen Laborbereiche von Charité und Vivantes. Zur großen Überraschung der Prüfer erhielt das neue Riesenlabor nicht nur die Technik seiner
Vorgängereinrichtungen, sondern auch
gleich die Patientendaten. „Diese Datenübermittlung hinter dem Rücken der
Patienten stellt einen Verstoß gegen die
ärztliche Schweigepflicht und den Datenschutz dar“, heißt es unmissverständlich
im Datenschutzbericht. Das Laborunternehmen wurde aufgefordert, die Patientendaten an Charité und Vivantes zurückzugeben. Letztere wurden zur „zügigen
Rücknahme der Altdaten“ verpflichtet.
­litt
27