Der/Die Arzt/Ärztin muss sich nach der rechtlichen Regelung ständig über aktuelle Entwicklungen zur Datensicherung informieren. Ein großes Problem dabei ist – nicht nur für die Arztpraxen –, dass die konkreten Pflichten von den verschiedensten Organisationen empfohlen werden. Für den Praxisinhabenden ist es schwer, überhaupt von allen zu wissen! Bestes Beispiel: Im Mai 2019 hat das BSI präzise Anweisungen zur Parametrierung von MS-Office-Produkten ausgegeben. Käme es zu einer Datenpanne in einer Praxis, die bei Verwendung dieser Parameter nicht passiert wäre, könnte man einen haftungsrechtlichen Vorwurf gegenüber dem Praxisinhabende formulieren (Artikel aus Medical Tribune).

Die Telematik-infrastruktur, genannt TI, nimmt bei Haftungsfragen eine Sonderrolle ein, als sie gesetzlich geregelt ist und die Praxen sich anschließen müssen.

Die Gematik sagt dazu ganz klar: „Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Praxisinhabenden aufgestellt und betrieben werden, scheidet eine Haftung des Praxisinhabenden nach der DSGVO in jedem Fall aus.“

Allerdings geht die Haftungsbefreiung nur bis zum Konnektor. Das heißt die Verantwortung des Praxisinhabenden für die korrekte Einrichtung und den korrekten Betrieb des Konnektors sowie für die eigene IT-Infrastruktur „hinter dem Konnektor“ nach Datenschutzrecht, Zivilrecht und Strafrecht bleibt bestehen. Daher ist auch die Einrichtung des Konnektors absolute „Chefsache“, die Vorgaben sollten penibel befolgt werden – Stichwort: paralleler versus serieller Betrieb! (Artikel aus Medical Tribune)

Der Praxisinhabende ist grundsätzlich für das verantwortlich, was in seiner Praxis geschieht. Ist allerdings ein Programm der Verursacher, ist eine strafrechtliche Haftung nicht anzunehmen. Datenschutzrechtlich ist der Praxisinhabende allerdings nach DSGVO schon für leichteste Fahrlässigkeit verantwortlich. Er muss Rechenschaft für eine datenschutzkonforme Verarbeitung geben und im Zweifel beweisen, dass er sämtliche Vorschriften der DSGVO eingehalten hat. Das wird in der Praxis häufig sehr schwierig werden, wenn kein professioneller Dienstleistende verpflichtet ist. (Artikel aus Medical Tribune)

Beim Einsatz von Praxis-SW ist zu unterscheiden, ob es sich um eine von der KBV zugelassene PVS handelt. Eine gravierende Sicherheitslücke in einer zugelassenen Software könnte einen atypischen Schadensverlauf darstellen und von vornherein nicht vom Praxisinhabenden zu verantworten sein. Der Hersteller unterliegt zudem unabhängig vom Datenschutz der Produkthaftung und könnte so finanziell mit ins Boot kommen. Bei der gleichzeitig bestehenden Arzthaftung aus dem Behandlungsvertrag bzw. aus unerlaubter Handlung würde man wohl auch nicht von einem Verschulden des Praxisinhabers ausgehen. Mehr als eine zugelassene Software fachgerecht einzusetzen, kann nicht verlangt werden. Gleichwohl ist das Datenschutzrecht wesentlich schärfer als das klassische Arzthaftungsrecht, weil es sehr hohe Anforderungen an die IT-Infrastruktur und den Umgang mit Daten stellt. (Artikel aus Medical Tribune)

Der Gesetzgeber geht davon aus, dass der/die verantwortliche Arzt/Ärztin alle „technischen und organisatorischen Maßnahmen“ (TOM) einsetzt, um die sensiblen Patientendaten zu schützen und zu sichern. Geeignete Instrumente sind Datenmanagement-Systeme wie z.B. ein QM System (gesetzlich im SGB V vorgeschrieben), ein Datenschutz Management System (DSMS) und ein ISMS (Informations-Management-System), definiert im Digitale-Versorgung-Gesetz (DVG).
Die MCSS AG ist der Spezialanbieter für kombinierte, cloudbasierte Management System für Arztpraxen und Kliniken.