Software, Apps und Online-Dienste – Schweigepflicht

Bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte, Psychologen oder Steuerberater sind gem. § 203 StGB verpflichtet, die ihnen anvertrauten Informationen vertraulich zu halten. Wer die Schweigepflicht verletzt, muß mit strafrechtlicher Verfolgung und berufsrechtlichen Maßnahmen rechnen.
Der  Einsatz  von  Computern  ist in dieser Hinsicht vor allem im medizinischen Umfeld problematisch: Ärztinnen  und  Ärzte  müssen hinreichende  Vorkehrungen  treffen, damit durch die Nutzung von Software oder Datenmanagementlösungen nicht gegen die ärztliche Schweigepflicht oder Datenschutzbestimmungen verstossen wird.

appsComputer und Software sind aus dem ärztlichen Alltag kaum mehr wegzudenken. Die Bundesärztekammer hat hierzu umfassende Empfehlungen  herausgegeben, welche Ärzte unbedingt beachten sollten („Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis„, Deutsches Ärzteblatt, Jg. 111, Heft 21 (23. Mai 2014),S. A-963 – A-972).

Auch und gerade zur Behandlung von chronisch kranken Menschen, insbesondere mit Diabetes und Bluthochdruck, können Ärzte auf unterschiedliche Software, Internetdienste, Apps oder Datennetzwerke zurückkgreifen.

Nicht selten ist dabei aber zu beobachten, dass die damit verbundenen (berufs-)rechtlichen Anforderungen unterschätzt oder von den entsprechenden Anbietern bzw. deren Außendienst bewusst verharmlost werden. Oft ist den Ärzten gar nicht bewusst, welche Risiken mit der Nutzung einer Datenmanagementlösung verbunden sind. So muss der Patient beispielsweise grundsätzlich eingewilligt haben, bevor Daten, die der Schweigepflicht unterliegen, die Praxis verlassen.

Von Anbietern solcher Dienste zur Werbung gerne hervorgehobene Prüfsiegel, Zertifikate oder Datenschutzerklärungen bergen eine trügerische Sicherheit: diese können im Zweifel nur belegen, dass der Anbieter seinerseits Datenschutzbestimmungen einhält bzw. die bereits bei ihm befindlichen Daten rechtskonform behandelt. Die für den Arzt relevante Frage, ob durch die Datenübermittlung im jeweiligen Einzelfall ein Bruch seiner ärztlichen Schweigepflicht vorliegt, wird hierdurch regelmäßig aber nicht beantwortet. Viele Anbieter verschweigen auch, dass die Einhaltung (lediglich) verwaltungsrechtlicher Datenschutzbestimmungen nicht deckungsgleich ist mit der Wahrung des straf- und berufsrechtlich geschützten Patientengeheimnisses.

Die Abgrenzung, wann eine Einwilligung vorliegen muss, ist dabei nicht immer einfach: Selbst der Versand bloßer Messdaten, beispielsweise die Werte aus einem Blutzuckermessgerät oder die Insulinausschüttung einer Insulinpumpe, kann die ärztliche Schweigepflicht verletzen- nämlich immer dann, wenn die Daten beim Empfänger wieder einem bestimmbaren Patienten zugeordnet werden können, zum Beispiel anhand der Geräteseriennummer. Sogar das bloße Einloggen eines Arztes in eine Online-Akte kann schon riskant sein, denn er offenbart sich dadurch ja möglicherweise als Behandler des Patienten. Dieser Umstand unterliegt aber ebenfalls der Schweigepflicht.

Ein weiteres Problem ist die Verfügbarkeit der Daten: Ärzte sind gesetzlich verpflichtet, die Behandlungsunterlagen für einen Zeitraum von mindestens 10 Jahren zugänglich und lesbar zu archivieren. Befinden sich die Daten aber nicht selbst beim Arzt oder in der Klinik, sondern auf einem Server eines Dritten – womöglich noch im außereuropäischen Ausland – so sollte immer das Risiko einer technischen oder vertraglichen Unzugänglichkeit, einer Insolvenz oder auch einer politischen Erschwernis des Datenzugangs einkalkuliert werden. Auch wenn ein Betreiber plötzlich den Geschäftsbetrieb einstellt, könnten die Daten verloren sein.

checkliste_schweigepflichtIch habe daher für die AG Diabetes und Technologie der Deutschen Diabetes-Gesellschaft (DDG), den Verband der Diabetes-Beratungs- und Schulungsberufe in Deutschland e.V.(VDBD) sowie für die Dachorganisation diabetesDE  eine leicht verständliche Checkliste entwickelt.

Diese soll Ärztinnen und Ärzten helfen, ein vorhandenes bzw. zur Anschaffung vorgesehenes Datenmanagementlösung auf Risiken zu prüfen bzw. im Gespräch mit den Außendienstmitarbeitern entsprechender Anbieter die richtigen Fragen zu stellen.

Die Checkliste kann hier heruntergeladen werden.