Datenschutz

„Der größte Fallstrick ist der Arzt selber“

Viele Ärzte sind verunsichert, wenn es um die DSGVO geht. Welchen Anspruch haben Patienten, welche Pflichten die Ärzte, wo lauern Fallstricke? Der änd hat im Interview mit dem Fachanwalt für Medizinrecht und Vorstandssprecher des Bundesverbandes Internetmedizin Sebastian Vorberg darüber gesprochen.

Herr Vorberg, welche Daten muss ich als Arzt an meine Patienten rausgeben?

Grundsätzlich alle. Es herrscht ein Irrtum: Es sind ja nicht die Daten des Arztes, sondern der Arzt verwaltet die Daten nur für den Patienten. Wenn der Patient kommt und nach ihnen fragt, braucht man auch keine Schweigepflichtentbindung. Auch wenn eine Online-Akte wie Doctolib nach den Daten eines Patienten fragt und es gut nachweist, dass die Anfrage vom Patienten kommt, muss man alle Daten rausgeben.

Es gibt aber auch eine Ausnahme, nämlich wenn es einen medizinischen Grund gibt. Beispielsweise bei psychologisch relevanten Daten, wenn ein Patient schwer depressiv und selbstmordgefährdet ist. Wenn ein Arzt denkt, dass sich der Krankheitszustand eines Patienten verschlimmern kann, wenn der Patient erfährt, was der Arzt sich im Hintergrund für Gedanken gemacht habe. Dann besteht ein Zurückhaltungsrecht. Aber generell erfordert es das Persönlichkeitsrecht, dass ein Patient seine Daten erhält.

Werde ich dafür bezahlt?

Meine persönliche Meinung ist: Wenn ich als Anwalt Daten an meinen Mandanten rausgebe, werde ich dafür auch nicht bezahlt. Eigentlich ist auch die Datenherausgabe keine ärztliche Leistung, die bezahlt werden muss.

Man hat aber politisch entschieden, dass der Arzt bezahlt wird, wenn Daten hin- und hergeschoben werden, beispielsweise bei Arztbriefen. Vielleicht wird es auch gewisse finanzielle Ausgleiche geben dafür, dass man Patienten ihre Daten zukommen lässt. Das läge dann daran, dass man Angst hätte, dass sich der Arzt nicht bewegt. Dabei spart man sich mit dem Datenaustausch am Ende Zeit.

Früher wurde die Datenherausgabe die Kopien bezahlt, beispielsweise die Kopierkosten und das Porto, vielleicht auch Röntgenbilder. Im guten digitalen Austausch entstehen aber keine Kosten. Das Vorhalten einer entsprechenden Software ist eh verpflichtend. Ich glaube, man ist aber darum bemüht, einen Technikausgleich zu geben.

 

In welcher Form muss ich meinen Patienten die Daten zukommen lassen?

Im Zweifel in elektronischer Form, also per E-Mail. Nicht jeder Arzt ist soweit, dann muss er alles einscannen. Aber der Bürger hat auch in Behörden das Recht, seine Daten digital zu bekommen. Das kann entweder als PDF oder mit bestimmten Standards aus Arztinformationssystem erfolgen. Man muss allerdings seinen Patienten vorher identifizieren. Älteren Patienten würde man die Akten kopieren.

Und wenn der Patient seinen Stick mitbringt? Wer weiß, was darauf bereits gespeichert ist.

Das ist völlig in Ordnung. Das kann der Arzt entscheiden. Wenn er sagt, „ich habe hier eine Firmenpolitik, wo ich keine Sticks in den Computer stecke, weil ich nicht weiß was drauf ist“, muss er sofort eine Alternative anbieten, beispielsweise das Versenden per E-Mail. Es reicht nicht zu sagen: „Ich will das einfach nicht.“

Wie schnell muss ich der Anfrage nachkommen?

Unverzüglich. Warum soll ich da warten? Entweder sagt der Arzt: „Mach ich nicht.“ Wenn es dem Patienten nicht so wichtig ist, hat der Arzt Glück gehabt, aber in anderen Fällen kann der Patient sofort klagen.

Es wird nichts Menschenunmögliches verlangt. Es gibt keinen Grund, das zu verzögern. Wenn das mit gewissem Aufwand verbunden ist, dann wird ein Patient ihn nicht sofort verklagen. Trotzdem hat der Arzt jetzt nicht drei Tage Zeit dafür. Das ist ein Kulturwechsel für Ärzte, ist aus deren Sicht auch irgendwie doof. Aber der Arzt ist für den Patienten da. Er hat offiziell nichts zu verbergen. Die Herausgabe zu verwehren, könnte nur rein egoistische Gründe haben, und das ist dem Arzt fremd.

 

Mit welchen Strafen muss ich rechnen, wenn es zu lang dauert?

Es ist schade, wenn es soweit kommt. Der Arzt muss die vollen Anwaltskosten tragen. In der Regel gibt es ja keinen Schaden, beispielsweise wenn jemand seine Daten für die elektronische Patientenakte haben will. Wenn die Daten aber zu spät bei einem anderen Arzt ankommen, weil der erste Arzt sich ein bisschen weigert, und dabei ein Schaden entsteht, ist er voll haftbar. Das gilt dann, wenn Daten eine medizinische Relevanz haben.

 

Darf oder muss ich persönlich die Daten herausgeben?

Wenn einer nach seiner Akte fragt, kann es sein, dass das Personal intern abgesprochen hat, dass die Sprechstundenhilfe erstmal sagt: „Muss ich erstmal den Arzt fragen.“ Ergibt für mich zwar auch keinen Sinn, aber von mir aus. Vielleicht sagt die Sprechstundenhilfe auch: „Ja, hier, kein Problem.“ Die Sprechstundenhilfen sind alle datenschutzrechtlich zur Verschwiegenheit verpflichtet, die sehen die Daten eh, dadurch wird kein neuer Datenschutzbruch verursacht.

Digital läuft das genauso. Auch dann muss der Arzt gewährleisten, dass die Kette im datenschutzrechtlichen Sinne weiterläuft. Das ist kein Thema. Auf Seiten des Patienten kann es vorkommen, dass ein Dritter anfragt. Dann muss der Arzt erstmal prüfen, ob die Legitimation besteht.

 

Brauche ich einen Datenschutzbeauftragten?

Nach DSGVO ist jeder Arzt mit sensiblen Daten beschäftigt. Es kann also nicht schaden, einen zu haben. Aber für kleine Praxen, Einzelpraxen, kann man sich das noch sparen. Es gibt eine Geringfügigkeitsgrenze: Hier ist der Schaden, der entstehen kann, so gering, dass man da noch drunter fällt. Das ist gerichtlich für eine Einzelpraxis entschieden worden.

Für eine Praxis mit zehn Angestellten wird das nicht funktionieren, da braucht man einen Datenschutzbeauftragten. Die Größe ist aber nicht genau definiert, sondern ist noch ein Graubereich.

Angenommen, ein Patient kennt seine Akte und fordert, sie zu löschen. Unter welchen Bedingungen muss ich das machen?

Die Dokumentationspflicht gilt für zehn Jahre, vorher kann man Daten nicht löschen. Aber für Patienten geht das Löschen nur bei nicht medizinisch relevanten Daten, beispielsweise bei Facebook. Die Löschanfrage des Patienten ist deshalb völlig irrelevant.

Da kann man dem Arzt zusprechen: Es klingt ja immer so, als wenn er in alle Richtungen geknebelt wird. Aber für diesen Fall gilt: Wenn man sich seine Aufgaben anguckt, erschließt es sich von selber. Der Arzt tut alles, um den Patienten zu schützen und zu helfen, und dokumentiert alles – auch für seine eigene Sicherheit. Natürlich muss er das nicht löschen. Auf keinen Fall. Das ist die Ausnahme in den Löschtatbeständen: Wenn man ein Eigeninteresse habe, die Belange nachzuweisen. Der Arzt ist ja auch zur Dokumentation verpflichtet.

 

Theoretisch könnte der Arzt die nach zehn Jahren löschen. Aber auch da kann ein Arzt sie aufbewahren, falls der Patient nochmal Fragen hat, beispielsweise wegen der Rechnung oder die Krankenkasse wegen der Regresse. Wäre also völlig schwachsinnig, wenn Ärzte die löschen. Man kann sie also länger aufbewahren. Der Arzt muss es aber begründen, warum er Daten aufbewahrt.

 

Wie entstehen in Arztpraxen Datenlecks?

Ich glaube, wir haben ein riesen Missverständnis bei den Ärzten haben. Ein Datenleck entsteht nicht bei dubiosen Systemen wie der Telematikinfrastruktur, die so gefährlich klingt. Kein Hacker hat Interesse an Arztdaten. Eine Firewall schützt außerdem vor Angriffen.

Wir haben unzählige und massige analoge Datenlecks in den Arztpraxen. Das erste Problem ist die physische Aktenführung in den Praxen. Und die Ansprache. Dass wenn ich da ankomme, die Sprechstundenhilfe erstmal sagt: „Ah, Sie sind wegen Ihrer Syphilis hier.“ Das ist ein riesen Datenleck. Da müssen wir richtig, richtig ran. Wir brauchen Audits. 90 Prozent der Arztpraxen würden wegen Datenlecks Veränderungen vornehmen müssen. Da sind Kliniken schon richtig hinterher, aber in Arztpraxen ist es noch ein richtiges Problem.

Probleme gibt es aber auch im digitalen Bereich. Ein Beispiel aus der Schule: Eine E-Mail geht an alle Klarnamen der Elternvertreter raus. Da ist ein riesen Datenleck entstanden, das die Schule selbst verursacht hat. Das wäre völlig vermeidbar gewesen. Auch Ärzte muss man bei sowas an die Hand nehmen. Ein Arzt muss sich immer erst an die eigene Nase fassen. Sich vielleicht sogar schulen lassen, das wäre meine Empfehlung. Wie gehe ich mit dem digitalen Verkehr nach außen um? Was ist eine SSL-Verschlüsselung? Was gibt’s noch für Arten zur Verschlüsselung? Das muss ich doch selber wissen. Ich bin im Zweifel derjenige, der das bei einer E-Mail anklickt. Das System ist sicher, der Arzt ist nicht sicher. Wenn ich ein neues Röntgengerät bekomme, lasse ich mich doch auch drauf schulen. Die pauschale Ablehnung führt nicht zu guten Ergebnissen.

 

Was muss ich tun, wenn ich ein Datenleck habe?

Wenn ich beispielsweise eine E-Mail mit Klarnamen an mehrere Empfänger rausgeschickt habe, muss ich alle Betroffenen darauf hinweisen und die Quelle des Problems ausschalten. In schlimmeren Fällen muss ich das Problem der Datenschutzbehörde melden. Kleinere Praxen können auch unter dem Radar laufen. Größere Praxen müssen das melden. Bei großen Praxen muss sich der Datenschutzbeauftragter darum kümmern.

Was für Strafen kann es nach sich ziehen, wenn ich ein Datenleck nicht melde?

Das ist ein Ordnungswidrigkeits- oder ein Strafthema. Aber man muss unterscheiden: Beispielsweise, wenn eine Firma mit einem Arzt eine Studie gemacht hat und er ihr den Zugang zu meinem System gewähre, dann hat er nicht vorsätzlich ein Datenleck verursacht. Aber er kann es auch beabsichtigt haben: Ein Arzt könnte ja auch Daten an ein Labor verkaufen. Dann muss er dafür vielleicht 10.000 Euro zahlen oder er kommt gegebenenfalls ins Gefängnis.

 

Muss ich im Alltag damit rechnen, dass die Aufsichtsbehörde mich unangemeldet überprüft?

Theoretisch ja. Aber ich die haben so viel zu tun, dass die nicht einfach so in Arztpraxen gehen. Dafür fehlt das Personal.

Aber man muss trotzdem damit rechnen, weil es immer Patienten gibt, die aus irgendwelchen Gründen sauer sind und einen anschwärzen. Deshalb lohnt es sich auf jeden Fall, in dem Thema gut aufgestellt zu sein, damit man da gelassen rangeht, wenn was kommt. Natürlich gibt’s Praxen, die im gehoberen Alter sind und mit den Anforderungen nicht klarkommen. Aber wenn es dazu kommt, dass die Behörde die Praxis prüft, ist es auch möglich, daraus zu lernen und sich anzugucken: Was haben die denn da eigentlich festgestellt? Man muss da die richtige Grundeinstellung haben. Die Falsche ist zu sagen: „Damit habe ich nichts zu tun.“ Man muss dabei ein gutes Gefühl haben, auch wenn man älter ist.

Generell darf ein Patient da aber nichts finden, was er anschwärzt. Das gehört zur professionellen Arbeit dazu.

 

Kostet es mich was, wenn die Behörde Verstöße feststellt?

Es kann passieren, dass es eine Ordnungswidrigkeit gibt. Man muss also darüber nachdenken, ob man sich jetzt einen Anwalt oder eine Firma reinholt, die mir für 5.000 bis 10.000 Euro alles aufräumt, oder ob die Behörde kommt, eine Liste macht und man zahlt 2.000 Euro Strafe. Ich will das auch nicht relativieren - das ist jetzt keine Strategie, die man an den Tag legen sollte. Ich weiß, dass eine Überforderung da ist, aber das ist alles unnötig. Es ist nichts risikofrei. Man darf die Dinge nicht aus Überforderung ablehnen.

 

Was will die Aufsichtsbehörde im Zweifel von mir sehen?

Ich weiß nur im Einzelfall, was passiert. Patienten wenden sich direkt an die Datenschutzbehörde oder an die Ärztekammer. Die gehen den ganz konkreten Beschwerden nach, wenn Patienten Verstöße melden, wenn beispielsweise Empfänger einer E-Mail mit Klarnamen genannt wurden. Da kriegt man entsprechende Schwierigkeiten. Das DSGVO schreibt außerdem verschiedene Maßnahmen vor.

 

Können Sie weitere Fallstricke nennen?

Der größte Fallstrick ist der Arzt selber. Ich kann nur sagen, was ich in meiner Kanzlei sehen, dort haben wir viel Anschluss zu den Ärzten. Und da ist es noch nie passiert, dass etwas aus dem heiteren Himmel auf jemanden eingestürzt ist. Da kann ich totale Entwarnung geben. Da ist nichts, was hinter dem Busch lauert und auf die Ärzte zuspringt.

Die DSGVO ist eine rein theoretische Diskussion. In der Praxis läuft da gar nichts außer ernsthaft vermeidbare Vergehen der Ärzte. Das ist zu vermeiden. Man muss sich als Arzt der Sache stellen, darf nicht in Panik verfallen und nicht Aktionismus betreiben. Man muss überlegen, an wen man E-Mails schickt und ob man sie verschlüsselt hat. Man muss wachen Auges durch die Gegend gehen. Wenn ein Patient nach seinen Daten fragt, darf man nicht auf Abwehr schalten, sondern sagen: „Ja, mach ich. Mal gucken, wie ich das machen kann.“

Das wären so die ersten Empfehlungen. Es ist ein normaler Ablauf im Leben, mit digitalen Daten umzugehen. Das ist nie risikofrei. Aber es bedarf, wie alle Dinge im Leben, beispielsweise der Straßenverkehr, Aufmerksamkeit und einer gewissen Grundkenntnis.

 

25.02.2020 15:39:52, Autor: mh