FAQ Datenschutz

Fragen und Antworten Datenschutz

Was sind die übergeordneten Pflichten der verantwortlichen Ärzte zur Datensicherheit?

Das Transparenzprinzip des Datenschutzes verpflichtet die Verantwortlichen über die Datenflüsse und die Verarbeitungen – also etwa Speichern, Löschen, Backups etc. – informiert zu sein. Sie müssen der Datenschutzbehörde dazu Rechenschaft geben können. Der Praxisinhaber muss sich also dafür interessieren, was mit den Daten in seiner Praxis-IT geschieht. Dazu dient übrigens die konkrete Verpflichtung der DSGVO, ein Verarbeitungsverzeichnis zu führen. Und der Praxisinhaber hat auch für die Verfügbarkeit und Integrität der Daten zu sorgen und er muss deren Geheimhaltung sicherstellen. Er darf die Daten nicht zweckentfremden und muss für ihre Richtigkeit sorgen, also z.B. Fehler darin beseitigen.

Diese Pflichten sind dynamisch: Der Praxisinhaber muss also an den technischen Entwicklungen „dranbleiben“ und die Einhaltung der Vorgaben regelmäßig überprüfen. Themen wie der Umgang mit Passwörtern, der Zugang zur Infrastruktur u.Ä. sollten persönlich im Auge behalten werden. Inwieweit die Wahrnehmung spezieller technischer Pflichten vertraglich an den IT-Dienstleister abgewälzt werden kann, hängt vom Einzelfall ab. Der Praxisinhaber sollte auf alle Fälle schriftlich Konformitätserklärungen vom Dienstleister verlangen. (Artikel aus Medical Tribune)

Was sind „dynamische Pflichten“ bei der Umsetzung der Datensicherheit in Arztpraxen?

Der Arzt muss sich nach der rechtlichen Regelung ständig über aktuelle Entwicklungen zur Datensicherung informieren. Ein großes Problem dabei ist – nicht nur für die Arztpraxen –, dass die konkreten Pflichten von den verschiedensten Organisationen empfohlen werden. Für den Praxisinhaber ist es schwer, überhaupt von allen zu wissen! Bestes Beispiel: Im Mai 2019 hat das BSI präzise Anweisungen zur Parametrierung von MS-Office-Produkten ausgegeben. Käme es zu einer Datenpanne in einer Praxis, die bei Verwendung dieser Parameter nicht passiert wäre, könnte man einen haftungsrechtlichen Vorwurf gegenüber dem Praxisinhaber formulieren (Artikel aus Medical Tribune).

Welche organisatorischen Rahmenbedingungen sind bei der Telelematik-infrastruktur zu beachten

Die Telematik-infrastruktur, genannt TI, nimmt bei Haftungsfragen eine Sonderrolle ein, als sie gesetzlich geregelt ist und die Praxen sich anschließen müssen.

Die Gematik sagt dazu ganz klar: „Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Praxisinhaber aufgestellt und betrieben werden, scheidet eine Haftung des Praxisinhabers nach der DSGVO in jedem Fall aus.“

Allerdings geht die Haftungsbefreiung nur bis zum Konnektor. Das heißt die Verantwortung des Praxisinhabers für die korrekte Einrichtung und den korrekten Betrieb des Konnektors sowie für die eigene IT-Infrastruktur „hinter dem Konnektor“ nach Datenschutzrecht, Zivilrecht und Strafrecht bleibt bestehen. Daher ist auch die Einrichtung des Konnektors absolute „Chefsache“, die Vorgaben sollten penibel befolgt werden – Stichwort: paralleler versus serieller Betrieb! (Artikel aus Medical Tribune)

In welchen Fällen haftet der Praxisinhaber bei Verstößen gegen die Datensicherheit?

Der Praxisinhaber ist grundsätzlich für das verantwortlich, was in seiner Praxis geschieht. Ist allerdings ein Programm der Verursacher, ist eine strafrechtliche Haftung nicht anzunehmen. Datenschutzrechtlich ist der Praxisinhaber allerdings nach DSGVO schon für leichteste Fahrlässigkeit verantwortlich. Er muss Rechenschaft für eine datenschutzkonforme Verarbeitung geben und im Zweifel beweisen, dass er sämtliche Vorschriften der DSGVO eingehalten hat. Das wird in der Praxis häufig sehr schwierig werden, wenn kein professioneller Dienstleister verpflichtet ist. (Artikel aus Medical Tribune)

Welche Haftungsrisiken sind beim Einsatz der Praxis SW zu beachten?

Beim Einsatz von Praxis-SW ist zu unterscheiden, ob es sich um eine von der KBV zugelassene PVS oder nicht handelt. Eine gravierende Sicherheitslücke in einer zugelassenen Software könnte einen atypischen Schadensverlauf darstellen und von vornherein nicht vom Praxisinhaber zu verantworten sein. Der Hersteller unterliegt zudem unabhängig vom Datenschutz der Produkthaftung und könnte so finanziell mit ins Boot kommen. Bei der gleichzeitig bestehenden Arzthaftung aus dem Behandlungsvertrag bzw. aus unerlaubter Handlung würde man wohl auch nicht von einem Verschulden des Praxisinhabers ausgehen. Mehr als eine zugelassene Software fachgerecht einzusetzen, kann nicht verlangt werden. Gleichwohl ist das Datenschutzrecht wesentlich schärfer als das klassische Arzthaftungsrecht, weil es sehr hohe Anforderungen an die IT-Infrastruktur und den Umgang mit Daten stellt. (Artikel aus Medical Tribune)

Wie kann sich der einzelne Arzt am besten schützen?

Der Gesetzgeber geht davon aus, dass der verantwortliche Arzt alle „technischen und organisatorischen Maßnahmen“ (TOM) einsetzt, um die sensiblen Patientendaten zu schützen und zu sichern. Geeignete Instrumente sind Datenmanagement-Systeme wie z.B. ein QM System (gesetzlich im SGB V vorgeschrieben), ein Datenschutz Management System (DSMS) und ein ISMS (Informations-Management-System), definiert im Digitale Versorgung Gesetz (DVG).
Die MCSS AG ist der Spezialanbieter für kombinierte, cloudbasierte Management System für Arztpraxen und Kliniken.