FotoS: istockphoto/ anyaberkut, Marlene Rahmann
Der Schutz von personenbezogenen Daten ist seit In- krafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 stärker denn je in das Bewusstsein von Daten- anwendern gerückt. Unter den Rechtsanwendern hat dies zu einiger Unsicherheit geführt. Auch im Gesundheitswe- sen ist vielen Gesundheitsdienstleistern noch immer nicht eindeutig klar, in welchem Umfang sie das betrifft.
Klar dürfte sein, dass es sich bei Gesundheitsdaten um eine besondere Art handelt, mit der Sie besonders sorgsam umgehen müssen. Aber wie sieht das in der täglichen Praxis konkret aus? Beispielsweise bei der elektronischen Übermittlung von Gesundheitsdaten? Ein Beispiel verdeutlicht die Fragen für die tägliche Praxis: Eine Patientin übermittelt dem Arzt von ihrem privaten E-Mail-Account einen ärztlichen Befund über eine Voruntersu- chung. Der Arzt sieht sich die Befunde an und antwortet der Patientin vom E-Mail-Account seiner Ordination ohne besondere Sicherheitsmaßnahmen, wie zum Beispiel der Ver- schlüsselung der Daten mit einer Diagnose oder Therapieempfehlung. Die Annahme des
Arztes ist: Wenn die Patientin den Befund unverschlüsselt sendet, kann auch die Diagnose auf demselben Weg übermitteln werden. Doch die rechtliche Betrachtung dieses Falles ergibt, dass der Arzt womöglich falsch liegt, denn: Hier werden Gesundheitsdaten übermittelt, die Rück- schlüsse auf den Gesundheitszustand einer bestimmten Person zulassen.
Welche Daten sind betroffen?
Die schlechte Nachricht zuerst: In der üblichen elektronischen Kommunikation mit Patienten sind so gut wie alle einschlägigen Daten von beson- deren Schutzvorschriften betroffen. Die gute Nachricht: Es gibt mittlerweile entsprechende technische Lösungen, um eine zulässige Übermitt- lung der Daten zu gewährleisten.
Neben eindeutigen Fällen, wie etwa Befundungen, sind auch weniger offensichtliche Fälle betroffen, wie zum Beispiel Terminbestätigungen, wenn sie Informationen enthalten, mit denen die Patienten für gesundheitliche Zwecke eindeutig identifiziert werden können – etwa die Sozialver- sicherungsnummer. „Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Diese gesetzliche Definition ist sehr weitgehend und umfasst beispielsweise
•Informationen, die bei der Anmeldung und der Erbringung von Gesundheitsdienstleistungen erhoben werden (Beispiel: Anamnesefragebogen)
•Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zur Identifizierung zugeteilt wurden (Beispiel: Sozialversicherungsnummer)
•Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden (Beispiel: Laborbefunde)
•Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person (Beispiel: Entlassungsbrief)
Die gesetzlichen Grundsätze der Datensicherheit, wie sie für Gesundheitsdaten gelten, gelten auch für genetische Daten. Dies sind personen- bezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
Wen betrifft die Regelung?
Die Grundsätze der Datensicherheit, die auf die elektronische Übermittlung von Gesundheitsdaten und genetischen Daten anzuwenden sind, gilt für alle Formen der elektronischen Übermittlung durch sogenannte Gesundheitsdiensteanbieter (GDA). GDA sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die regelmäßig in einer einschlägigen Rolle, zum Beispiel als Arzt oder Spital, Gesund- heitsdaten oder genetische Daten in elektronischer Form verarbeiten. Das kann zum Beispiel zur medizinischen Behandlung oder Versorgung oder zur pflegerischen Betreuung, aber auch zur Verrechnung von Gesundheitsdienstleistungen oder Versicherung von Gesundheitsrisiken sein.
Welche Grundsätze sind zu beachten?
GDA haben bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten die einschlägigen gesetzlichen Grundsätze der Datensicherheit zu beachten. Zu diesen gehört, dass die Übermittlung gemäß DSGVO überhaupt zulässig ist, etwa weil der Betroffene der Da- tenverarbeitung zugestimmt hat. Weiters ist sicherzustellen, dass die Identität der betroffenen Person und des GDA sowie dessen Rolle nachge- wiesen ist. Am Beispiel des eingangs erwähnten Falles der Übermittlung einer Diagnose per E-Mail sind vor allem die Grundsätze der Vertrau- lichkeit und der Integrität kritisch zu hinterfragen.
•„Vertraulichkeit“ bedeutet in dem Zusammenhang, dass bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten si- cherzustellen ist, dass entweder (a) die elektronische Übermittlung über geeignete Netzwerke durchgeführt wird, die gegenüber unbefugten Zu- griffen abgesichert sind, oder (b) eine vollständige Verschlüsselung der betreffenden Daten anhand anerkannter Verschlüsselungsverfahren erfolgt.
•„Integrität“ der weitergegebenen Gesundheitsdaten und genetischer Daten ist durch die Verwendung geeigneter elektronischer Signaturen oder Siegel sicherzustellen. Ausnahmen dazu bestehen, wenn ein entsprechend abgesichertes Netzwerk verwendet wird und der Zugang zu diesem Netzwerk ausschließlich für im Vorhinein bekannte GDA möglich ist.
Auf den eingangs erwähnten Fall umgelegt bedeutet dies wiederum, dass der betreffende Arzt seine E-Mail zum Schutz der Vertraulichkeit ent- weder über ein entsprechendes Netzwerk versendet oder ein anerkanntes Verfahren zur Verschlüsselung der elektronisch übermittelten Daten angewendet haben müsste und zum Schutz der Integrität seine E-Mail zusätzlich mit einer elektronischen Signatur versehen haben müsste. Wel- che Netzwerke, Verschlüsselungsverfahren, elektronische Signaturen oder Siegel im Einzelfall in Betracht kommen, sollte jeder GDA mit seinem IT-Anbieter klären und für eine passende Lösung sorgen.
Resümierend lässt sich sagen, dass der betreffende Arzt bei der Versendung einer unverschlüsselten und unsignierten E-Mail mit Gesundheits- daten der Patientin womöglich einzelne Grundsätze der Gesundheitstelematik, nämlich der Vertraulichkeit und der Integrität, nicht ausreichend beachtet hat, weswegen diese elektronische Übermittlung der Gesundheitsdaten womöglich nicht rechtskonform erfolgte. Gesundheitsdienste- anbietern sei daher angeraten, den eigenen Status in ihrem Bereich zu erheben und – gerade vor dem Hintergrund verschärfter Sanktionen – in ihrer Praxis entsprechende Maßnahmen zu ergreifen.
/pagestrip-media.s3.amazonaws.com/article/ec/a7/49b619f911ea94ce0a7de430287c.jpg)
/pagestrip-media.s3.amazonaws.com/article/e4/d2/998a19fb11ea94ce0a7de430287c.jpg)