Embed Size (px)
Citation preview
Manuelle Medizin 2·2000 | 87
Ärzte, die ihre Patientendokumentationund -abrechnung mit einem Computer er-stellen, benötigen von Zeit zu Zeit die Hil-fe eines EDV-Fachmannes, etwa um Re-paratur-, Wartungs- und Pflegearbeitenam System durchführen zu lassen. Dabeiist eine weitreichende Offenbarung vonPatientendaten gegenüber dem Techni-ker unumgänglich, die von der bloßenKenntnisnahmemöglichkeit bis hin zurunausweichlichen positiven Kenntnis-nahme (etwa bei der Datenpflege) reicht.Der behandelte Patient erfährt in allerRegel nicht davon, dass der Arzt einenTechniker in Anspruch nimmt. Die Zuhil-fenahme eines EDV-Fachmannes ist inrechtlicher Hinsicht aus vielerlei Gründenüberaus problematisch, so dass im Fol-genden einige grundsätzliche Überle-gungen angestellt werden sollen.
Gefahr, dass der Arzt sich durch dasbloße Überlassen des Computers mitden auf ihm gespeicherten personenbe-zogenen Daten an den Techniker selbststrafbar macht.
Eine Regelung hierzu findet sich imStrafgesetzbuch: die unbefugte Verlet-zung der ärztlichen Schweigepflichtdurch Ärzte bzw. ärztliche Berufshelferist ebenso wie der Bruch anderer Be-rufs- und Amtsgeheimnisse nach § 203Abs. 1 Nr. 1 StGB strafbar. Tathandlungist das Offenbaren, d. h. jedes Mitteilen,aber auch das schlüssige Verhalten undvor allem das Unterlassen des Ver-schließens. Letzteres bedeutet im Hin-blick auf elektronisch gespeicherte Da-ten, dass das Überlassen eines Compu-ters mitsamt den gespeicherten und un-gesichert zugänglichen personenbezo-genen Daten Tathandlung des § 203StGB sein kann.
Die „berufsmäßig tätigen Gehilfen“
Dem „berufsmäßig tätigen Gehilfen“ ge-genüber kann ein Geheimnis straflosübermittelt werden.Wer zu diesem Per-sonenkreis im Einzelnen gehört, ist imGesetz nicht näher geregelt.
Die Rechtsprechung geht davon aus,dass neben Arzthelferinnen, Kranken-schwestern, Laborhelferinnen und der-gleichen auch diejenigen Mitarbeiter zu
Die ärztliche Schweigepflicht
Strafrechtlicher Geheimnisschutz,§ 203 StGB
Noch heute gilt der im alten Griechen-land vor rund 2500 Jahren formulierteEid des Hippokrates, in dem jeder Arztseine ärztliche Verschwiegenheit versi-chert1, und die eine der ältesten daten-schutzrechtlichen Regelungen ist, diewir kennen. Die Musterberufsordnung(MUBO) konkretisiert den hippokrati-schen Eid: Der Arzt hat über das, wasihm in seiner Eigenschaft als Arzt an-vertraut oder bekannt geworden ist, zuschweigen. Hierzu gehören schriftlicheMitteilungen des Patienten, Aufzeich-nungen über diesen, Röntgenaufnah-men und sonstige Untersuchungsbefun-de. Die Schweigepflicht besteht gegenü-ber Außenstehenden, auch Familienan-gehörigen, nicht jedoch gegenüber denärztlichen Gehilfen und Personen, diezur Vorbereitung auf den Beruf an derärztlichen Tätigkeit teilnehmen.
Wäre demnach ein zur Reparaturoder Wartung des Praxiscomputers zuHilfe gezogener EDV-Fachmann ärztli-cher Gehilfe, so bestünde unter straf-rechtlichen Gesichtspunkten nicht die
Medizinrecht
Albrecht Wienke • Jürgen Sauerborn • Köln
EDV-gestützte Patientendoku-mentation und Datenschutz*
Rechtsanwalt Dr. Albrecht Wienke/Rechtsanwalt Jürgen SauerbornBonner Str. 323, 50968 Köln
*Erstabdruck in HNO Mitteilungen Extra 6/99
Manuelle Medizin2000 ·38: 87– 95 © Springer-Verlag 2000
1„Was immer ich sehe und höre, bei der Be-handlung oder außerhalb der Behandlung,im Leben der Menschen, so werde ich vondem, was niemals nach außen ausgeplaudertwerden soll, schweigen, indem ich alles Der-artige als solches betrachte, das nicht ausge-sprochen werden darf.“
| Manuelle Medizin 2·2000
Medizinrecht
88
den „berufsmäßig tätigen Gehilfen"zählen, die sich um die Einziehung ärzt-licher Honorarforderungen kümmern,und zwar unabhängig davon, ob sie diesals Angestellte des Arztes, als selbständi-ge Unternehmer oder als Angestellte ei-nes solchen tun. Eine andere Beurtei-lung würde den Erfordernissen moder-ner Heilfürsorge nicht gerecht und näh-me dem Arzt die Zeit,die besser dem Pa-tienten zugute kommen sollte. Damitwäre aber eine unter den Straftatbestandfallende Geheimnisoffenbarung bereitstatbestandlich ausgeschlossen,wenn derEDV-Techniker eine zur ordnungs-gemäßen Berufsausübung erforderlicheHilfskraft des schweigepflichtigen Arz-tes wäre.
Allerdings ist die Einbeziehung desEDV-Technikers in diesen Personen-kreis problematisch: § 203 Absatz 3Strafgesetzbuch (StGB) erfordert aner-kanntermaßen eine Tätigkeit, die im un-mittelbaren Zusammenhang mit der Be-rufsausübung des Arztes steht und eineeffektive ärztliche Behandlung erst er-möglicht. Ein solcher Zusammenhangist nur gegeben, wenn der Arzt zurDurchführung der Behandlung dieTätigkeit des Gehilfen ohne die organi-sationsbedingte Arbeitsteilung miterle-digen müßte (OLG Oldenburg, NJW1982, 2615, 2616; Hahne-Reulecke, MedR1988, 235, 237).
Wenn aber schon bei der Einschal-tung praxisfremder Verrechnungsstellenvon der Rechtsprechung die Erforder-lichkeit zu einer effektiven Krankenbe-treuung nicht angenommen wird, son-dern vielmehr darauf verwiesen wird,dass grundsätzlich die Möglichkeit be-steht, praxiseigene Mitarbeiter mit derAbwicklung von Honorarforderungenzu betrauen und damit eine Arbeitstei-lung innerhalb der Praxis herbeizu-führen, fällt es schwer, in der Betrauungeines EDV-Technikers etwas anderes alsdas Interesse des Arztes an einer Mini-mierung des internen Verwaltungsauf-wandes zu sehen. Denn wer von der pa-pierorientierten Dokumentation zurEDV-gestützten Dokumentation über-geht, erspart sich infolge der Rationali-sierung seines Dokumentationsaufwan-des viel Zeit. Dies dient aber lediglichmittelbar der effektiven Betreuung von
Patienten und ist daher nicht ausrei-chend.
Darüber hinaus wird die Annahme,der EDV-Techniker könne berufsmäßigtätiger Gehilfe des Arztes sein, regel-mäßig daran scheitern, dass der Arztdiesen Techniker gar nicht kennt und inder Regel keinen Einfluss darauf hat,werim konkreten Fall die Wartung durch-führt. Eine Person, die der Arzt abernicht kennt, kann nicht sein Gehilfe sein.Doch selbst dann, wenn die Wartungs-firma dem Arzt das Wartungspersonalnamentlich benennen und persönlichvorstellen würde, wäre dennoch keineGehilfeneigenschaft anzunehmen. Eineandere Bewertung ergibt sich allenfallsdann, wenn es sich um Techniker han-delt, welche die Praxiscomputer ständigbetreuen. Dies ist der Fall, wenn eineGroßpraxis einen eigenen Wartungs-techniker beschäftigt oder wenn einWartungstechniker vor Ort regelmäßigsowie bei Auftreten von Störfällen dasSystem betreut und damit funktionalpraktisch zum Praxispersonal gehört.
Zu warnen ist allerdings davor, sichdarauf zu verlassen, man könne War-tungspersonal allein anhand vonschriftlichen Verschwiegenheitsver-pflichtungen zum berufsmäßigen Gehil-fen machen. Die Gehilfeneigenschaft istnicht vertraglich begründbar, sondernorientiert sich allein an tatsächlichenKriterien.
„Unbefugte“ Offenbarung
Unter Strafe gestellt ist aber lediglich dieunbefugte Geheimnisoffenbarung ge-genüber außenstehenden Dritten. DasStrafgesetzbuch selbst regelt nicht, un-ter welchen Voraussetzungen die Offen-barung unbefugt ist. Nur dann, wenn dieärztliche Vertrauensperson von derSchweigepflicht entbunden worden istoder soweit die Offenbarung zum Schutzeines höherwertigen Rechtsgutes erfor-derlich oder gesetzlich zulässig ist, er-folgt die Offenbarung befugterweise.
Ersteres wird auch bei der mut-maßlichen Einwilligung angenommen,wenn die Einwilligung des Patienten –etwa wegen Bewusstlosigkeit – nichteingeholt werden kann, die Gesamtum-stände des Einzelfalls aber erkennen las-
sen, dass nach dem mutmaßlichen Wil-len und der Interessenlage des betroffe-nen Patienten die Zustimmung wahr-scheinlich erteilt worden wäre.
Letzteres gilt bei Aussagen vor Ge-richt, sofern nicht gleichzeitig ein Zeug-nisverweigerungsrecht besteht oderwenn spezielle Gesetze hierzu ermäch-tigen.
Das Geheimnis der Patientendatenwird demnach nur dann „unbefugt“ of-fenbart,wenn keine Einwilligung des Pa-tienten vorliegt.Eine ausdrückliche,hin-reichend bestimmte Einwilligung desPatienten, welche die bewusste und frei-willige Gestattung der Rechtsgutverlet-zung voraussetzt, wird regelmäßig nichtgegeben sein.
Aber auch das Vorliegen einer mut-maßlichen Einwilligung kommt nicht inBetracht. Das dazu erforderliche Han-deln im Interesse der Betroffenen, d. h.des Patienten, kann nicht angenommenwerden, da die Offenbarung der Patien-tendaten nur im Eigeninteresse des Arz-tes erfolgt, der wiederum zur Vereinfa-chung seines Verwaltungsaufwandes dieFunktionsfähigkeit seiner EDV-Anlagesicherstellen will.
Auch das sog. „Prinzip des man-gelnden Interesses“ ist infolge des offen-kundigen Geheimhaltungsinteresses desPatienten an seinen Daten nicht ein-schlägig. Denkbar wäre noch der Rück-griff auf eine konkludente, d. h. still-schweigende Einwilligung, etwa durchein widerspruchsloses Hinnehmen einesAushangs im Wartezimmer. Wegen deshohen Stellenwertes des Grundrechtsauf informationelle Selbstbestimmung(Art. 1 I, 2 I GG) ist aber auch dies im Er-gebnis zu verneinen.
Es ist daher eine schriftliche Einwilligungdes Patienten vor einer möglichen Of-fenbarung von Daten notwendig.
Damit ist im Grunde genommen keineübermäßige praktische Belastung derArbeit des Arztes verbunden, insbeson-dere dann,wenn die datenbezogene Ein-willigung, z. B. im Rahmen der ohnehinerforderlichen Eingriffseinwilligung,gleich mit eingeholt wird, z. B. auf dem-selben Formular oder bei der Anmel-dung des Patienten.
Manuelle Medizin 2·2000 | 89
Dies dürften bislang aber nicht alleÄrzte tatsächlich so praktizieren,so dasszur näheren Ermittlung des Begriffsin-haltes „unbefugt“ daher ein Rückgriffauf das – parallel neben dem Straf- undBerufsrecht anwendbare – gesetzlich nor-mierte Datenschutzrecht notwendig ist.
Anforderungen nach dem Bundesdatenschutzgesetz
Über die arzt- und strafrechtlichen Vor-schriften hinaus muss der Arzt beimFühren einer Patientenkartei auch dasBundesdatenschutzgesetz (BDSG) be-achten.
Die in einer ärztlichen Dokumenta-tion enthaltenen Daten, gleich, ob siemanuell oder digital erstellt wurden,stellen Daten im Sinne der §§ 1 II Nr. 2, 2I BDSG dar, deren Erfassung und bloßeSpeicherung zulässig ist, § 23 S. 1 BDSG.Über die erstmalig erfolgte Datenspei-cherung sind die Betroffenen (= Patien-ten) zu benachrichtigen, was zweck-mäßigerweise und in hinreichenderForm auch durch einen Hinweis im Auf-nahmeformular etc. geschehen kann.Eine Datenübermittlung an Dritte mussaber die in § 241 I BDSG genannten Vor-aussetzungen durch die - ohnehin schondurch den strafrechtlich gesicherten Ge-heimnisschutz notwendige - ausdrückli-che Einwilligung erfüllen.
Das Erstellen einer EDV-Kran-kenakte ist datenschutzrechtlich das Er-heben und Speichern personenbezoge-ner Daten. Die grundsätzliche Verpflich-tung zur Dokumentation ergibt sich ausdem Behandlungsvertrag und aus diver-sen gesetzlichen (insbesondere berufs-rechtlichen) Vorschriften. Im Umgangmit den Patientendaten in der Arztpra-xis selbst ist das informationelle Selbst-bestimmungsrecht des Patienten zu be-achten. Es muss daher gewährleistetsein, dass etwa im Empfangsbereichoder den Behandlungsräumen kein un-befugter Dritter Zugriff, d. h. Einblick, indie Krankenakten erhält. Patientenaktensollen daher in keinem Fall so bereitge-legt werden, dass ein Dritter Daten vonPatienten zur Kenntnis nehmen kann(vgl. nur die Bekanntmachung der BAK„Empfehlungen zu ärztlicher Schweige-pflicht, Datenschutz und Datenverarbei-
1. Wenn internes oder externes techni-sches Fachpersonal eingeschaltet wird,das etwa bei Einsatz von Bildarchivie-rungs- und Kommunikationssystemendie Vernetzung der unterschiedlichenbildgebenden Verfahren, der Befund-konsolen oder der Bildmassespeicherüberwacht, dann ist hierin nach Stim-men in der juristischen Literatur nochkeine unbefugte Weitergabe von Datenim Sinne des Bundesdatenschutzgeset-zes zu sehen. Denn der Patient habe hierein vitales Interesse daran, dass die mitder Anwendung von Medizintechnikverbundene Gefahr von Komplikationenmöglichst klein gehalten wird. Die Hin-zuziehung von technischem Fachperso-nal erscheine deshalb aus Patientensichtüblich und geradezu selbstverständlich.
Diese Auffassung ist bedenklich:der zu technischer Hilfe Herbeigerufeneist gerade nicht über § 203 III 1 StGB alsberufsmäßig tätiger Gehilfe in den Kreisder Schweigepflichtigen mit einbezogen,so dass das Patientengeheimnis hinrei-chend geschützt wäre. Letzteres könntenur dann angenommen werden, wenndie Patientendokumentation ohnehin ineinem von vornherein und sicher für diePatienten überschaubaren Bereich er-folgt, nicht aber bei der Hinzuziehungvon für Patienten regelmäßig anonymprivatwirtschaftlich organisierten Un-ternehmen, bei denen eine weitreichen-de Offenbarung von Patientendatenmöglich ist, die keinesfalls als üblich be-zeichnet werden kann.
2. Die Herausgabe eines Praxisrechnersan eine Fachfirma in deren Räumlich-keiten zum Zwecke der Reparatur kanndie Möglichkeit der weitreichenden Of-fenbarung der Daten zur Folge haben,die zugleich eine Verletzung besondererSicherungs- und Schutzmaßnahmendarstellt. Das ist nicht nur dann ein hei-kles Thema, wenn mit Wechselfestplat-ten gearbeitet wird; hier sollte beispiels-weise der Wegnahme, dass heißt demVerbringen der Wechselfestplatte durchden Techniker nur dann zugestimmtwerden, wenn der Datenbestand zuvorzuverlässig gelöscht worden ist. Zuver-lässiges Löschen bedeutet dabei das Si-cherstellen, dass eine Datenrekonstruk-
tung in der Arztpraxis“ (DÄBI 93, Heft43, 25.10.1996, S.A-2809).Auch nach § 10Abs. 5 MBO ist die Dokumentation aufelektronischen Datenträgern oder ande-ren Speichermedien nur dann zulässig,wenn besondere Sicherungs- undSchutzmaßnahmen getroffen werden,um deren Veränderung, Vernichtungoder unrechtmäßige Verwendung zuverhindern.
Nach § 4 BDSG darf eine Verarbei-tung und Nutzung personenbezogenerDaten nur dann erfolgen, wenn ein Ge-setz dies erlaubt oder der Betroffene ein-gewilligt hat. Verarbeitung ist u. a. auchdas Übermitteln von Daten, d. h. das Be-kanntgeben personenbezogener Datenan einen Dritten in der Weise, dass sieweitergegeben werden oder vom Dritteneingesehen bzw. abgerufen werden, vgl.§ 3 Abs. 5 BDSG. Die Übermittlung vonPatientendaten ist nur zulässig, wenn sieentweder durch eine gesetzliche Vor-schrift, durch die Einwilligung des Pati-enten oder aber durch einen besonderenRechtfertigungsgrund legitimiert ist(vgl. BÄK-Empfehlungen Ziff. 4, a.a.O.).Die Einwilligung ist grundsätzlich nurwirksam, wenn sie zuvor schriftlich er-teilt, d. h. eigenhändig vom Patientenunterzeichnet wurde, § 3 S. 1 Nr. 2 BDSG.Nur aufgrund besonderer Umständekann eine andere Form angemessensein. Diese besonderen Umstände wirdman nur in eng begrenzten Ausnahme-fällen annehmen können.Vorstellbar ist,dass alle Patienten bis auf einen eineEinwilligung erteilt haben und sich derArzt telefonisch bei dem einen Patien-ten von dessen Einwilligung überzeugt.Im Ergebnis ist daher sowohl straf- alsauch datenschutzrechtlich grundsätzlicheine vorherige schriftliche Einwilligungdes Patienten erforderlich.
Verhaltensratschläge für den Arzt
Damit steht aber der Arzt vor demschwerwiegenden Problem, sofern erbislang eine schriftliche Einwilligung al-ler in seiner EDV-Dokumentation er-faßten Patienten (noch) nicht angefor-dert hat.
| Manuelle Medizin 2·2000
Medizinrecht
90
tion ausgeschlossen ist, nicht aber daspure Betätigen der „delete-Taste“.
3. Gleiches gilt aber auch für das Ver-bringen des gesamten Rechners aus denPraxisräumen. Auch hier sollte der Da-tenbestand zuvor gesichert und auf demRechner sicher gelöscht werden.
4. Bei der softwaremäßigen Wartungund Pflege dürfte es unseres Erachtensjedoch ausreichend sein, wenn der Arztwährend des gesamten Vorgangs anwe-send ist und notfalls eingreifen kann.Diese beschriebenen Fälle betreffen die„lokale“ Wartung durch einen Techniker„in personam“.
5. In dem besonderen Fall, dass eineFernwartung, d. h. ein zum Zwecke derDiagnose oder Pflege auf den Praxis-computer durchgeführter Zugriff mit-tels Datenfernübertragung durchge-führt wird, muss differenziert werdenzwischen der Fernwartung der Hard-und der Software. Wird die Hardwaregewartet, so geschieht dies regelmäßignur durch statistische Auswertung vonauf dem Praxiscomputer ausgeführtenRechenoperationen, ohne dass auf per-sonenbezogene Daten Zugriff genom-men wird. Sind keine softwaremäßigenSicherheitssperren vorhanden, kann derArzt aber auch hierauf nicht verläßlichvertrauen. Bei der Fernwartung vonSoftware wird hingegen stets auf Soft-ware, die das Wartungsunternehmenoder ein ihm verbundenes Unterneh-men dem Arzt zur Verfügung gestellthat, zugegriffen. Hier werden personen-bezogene Daten aus dem Betriebsablaufdes Softwareanwenders (= Arzt) wäh-rend der Durchführung der Fernwar-tung zumindest in Ausnahmefällenzwingend benötigt.Wenn nicht der Arztdafür sorgt, dass die Zugriffsmöglich-keit des Wartungspersonals einge-schränkt bzw.ausgeschlossen wird – washäufig infolge mangelnder Kenntnisseder Fall sein wird – steht der Zugriff aufpersonenbezogene Anwenderdaten wäh-rend des Wartungsprozesses grundsätz-lich offen.
6. Im Gegensatz hierzu hat der Arzt zu-mindest bei der lokalen Wartung in der
Praxis allein durch seine physische An-wesenheit die Möglichkeit der Überwa-chung des Technikers und ist ggf. zumEinschreiten in der Lage, wenn ein Zu-griff auf die personenbezogenen Datendurch den Techniker droht.
Dies ist nach der geschildertenRechtslage auch zwingend erforderlich,will sich der Arzt nicht im Falle einesneugierigen Technikers dem Vorwurfdes Bruches der Schweigepflicht ausge-setzt sehen, dürfte aber auch ausrei-chend sein, um den straf- und daten-schutzrechtlichen Belangen Rechnungzu tragen.
Fazit für die Praxis
Nach dem Gesagten ist eine Fernwartungvon Software in der Arztpraxis gänzlichausgeschlossen, die Fernwartung vonHardware bedenklich. Die lokale Wartungist nur dann zulässig, wenn jeder Patientzuvor schriftlich seine Einwilligung erteilthat. Ausreichend dürfte es aber auch sein,dass mittels ständiger Überwachungdurch einen Geheimhaltungsverpflichte-ten mit der jederzeitigen Möglichkeit desEingreifens der Geheimnisschutz bezüg-lich der personenbezogenen Daten sicher-gestellt wird.
Dirk Schulenburg* • Düsseldorf
Haftungsverhältnisse in einer GemeinschaftspraxisDie Mitglieder einer Gemeinschaftspraxis haften gesamtschuldnerisch für Behandlungsfehler des behandelnden Arztes
Dr. jur. Dirk SchulenburgJustitiar der Ärztekammer Nordrhein
*Erstabdruck in: Rheinisches Ärzteblatt12/99
Die in einer Gemeinschaftspraxis zusam-mengeschlossenen Ärzte treten dem Pa-tienten gegenüber als eine Einheit auf,bilden auch nur eine Praxis, und der Pa-tient schließt damit in der Regel mit al-len Mitgliedern der Gemeinschaftspra-xis einen Vertrag ab. Alle Mitglieder derGemeinschaftspraxis haften dem Pati-enten aus dem Arztvertrag gesamt-schuldnerisch für dessen Erfüllung undbei Verstößen gegen Vertragspflichten.
Praxisgemeinschaft und Gemeinschaftspraxis
Meist schließen sich zur gemeinsamenBerufsausübung im Rahmen einer Ge-meinschaftspraxis Ärzte des gleichenoder ähnlichen Fachgebietes zusam-men. Zulässig ist grundsätzlich – beiEinhaltung der berufs- und vertrags-arztrechtlichen Bestimmungen – aberauch die sogenannte fachübergreifendeGemeinschaftspraxis.Von der Praxisge-
