Soft­ware, Apps und Online-Diens­te — Schwei­ge­pflicht

Bestimm­te Berufs­grup­pen wie Ärz­te, Rechts­an­wäl­te, Psy­cho­lo­gen oder Steu­er­be­ra­ter sind gem. § 203 StGB ver­pflich­tet, die ihnen anver­trau­ten Infor­ma­tio­nen ver­trau­lich zu hal­ten. Wer die Schwei­ge­pflicht ver­letzt, muß mit straf­recht­li­cher Ver­fol­gung und berufs­recht­li­chen Maß­nah­men rech­nen.
Der  Ein­satz  von  Com­pu­tern  ist in die­ser Hin­sicht vor allem im medi­zi­ni­schen Umfeld pro­ble­ma­tisch: Ärz­tin­nen  und  Ärz­te  müs­sen hin­rei­chen­de  Vor­keh­run­gen  tref­fen, damit durch die Nut­zung von Soft­ware oder Daten­ma­nage­ment­lö­sun­gen nicht gegen die ärzt­li­che Schwei­ge­pflicht oder Daten­schutz­be­stim­mun­gen ver­stos­sen wird.

Com­pu­ter und Soft­ware sind aus dem ärzt­li­chen All­tag kaum mehr weg­zu­den­ken. Die Bun­des­ärz­te­kam­mer hat hier­zu umfas­sen­de Emp­feh­lun­gen  her­aus­ge­ge­ben, wel­che Ärz­te unbe­dingt beach­ten soll­ten (“Emp­feh­lun­gen zur ärzt­li­chen Schwei­ge­pflicht, Daten­schutz und Daten­ver­ar­bei­tung in der Arzt­pra­xis”, Deut­sches Ärz­te­blatt, Jg. 111, Heft 21 (23. Mai 2014),S. A‑963 — A‑972).

Auch und gera­de zur Behand­lung von chro­nisch kran­ken Men­schen, ins­be­son­de­re mit Dia­be­tes und Blut­hoch­druck, kön­nen Ärz­te auf unter­schied­li­che Soft­ware, Inter­net­diens­te, Apps oder Daten­netz­wer­ke zurückkgrei­fen.

Nicht sel­ten ist dabei aber zu beob­ach­ten, dass die damit ver­bun­de­nen (berufs-)rechtlichen Anfor­de­run­gen unter­schätzt oder von den ent­spre­chen­den Anbie­tern bzw. deren Außen­dienst bewusst ver­harm­lost wer­den. Oft ist den Ärz­ten gar nicht bewusst, wel­che Risi­ken mit der Nut­zung einer Daten­ma­nage­ment­lö­sung ver­bun­den sind. So muss der Pati­ent bei­spiels­wei­se grund­sätz­lich ein­ge­wil­ligt haben, bevor Daten, die der Schwei­ge­pflicht unter­lie­gen, die Pra­xis ver­las­sen.

Von Anbie­tern sol­cher Diens­te zur Wer­bung ger­ne her­vor­ge­ho­be­ne Prüf­sie­gel, Zer­ti­fi­ka­te oder Daten­schutz­er­klä­run­gen ber­gen eine trü­ge­ri­sche Sicher­heit: die­se kön­nen im Zwei­fel nur bele­gen, dass der Anbie­ter sei­ner­seits Daten­schutz­be­stim­mun­gen ein­hält bzw. die bereits bei ihm befind­li­chen Daten rechts­kon­form behan­delt. Die für den Arzt rele­van­te Fra­ge, ob durch die Daten­über­mitt­lung im jewei­li­gen Ein­zel­fall ein Bruch sei­ner ärzt­li­chen Schwei­ge­pflicht vor­liegt, wird hier­durch regel­mä­ßig aber nicht beant­wor­tet. Vie­le Anbie­ter ver­schwei­gen auch, dass die Ein­hal­tung (ledig­lich) ver­wal­tungs­recht­li­cher Daten­schutz­be­stim­mun­gen nicht deckungs­gleich ist mit der Wah­rung des straf- und berufs­recht­lich geschütz­ten Pati­en­ten­ge­heim­nis­ses.

Die Abgren­zung, wann eine Ein­wil­li­gung vor­lie­gen muss, ist dabei nicht immer ein­fach: Selbst der Ver­sand blo­ßer Mess­da­ten, bei­spiels­wei­se die Wer­te aus einem Blut­zu­cker­mess­ge­rät oder die Insu­lin­aus­schüt­tung einer Insu­lin­pum­pe, kann die ärzt­li­che Schwei­ge­pflicht ver­let­zen- näm­lich immer dann, wenn die Daten beim Emp­fän­ger wie­der einem bestimm­ba­ren Pati­en­ten zuge­ord­net wer­den kön­nen, zum Bei­spiel anhand der Gerä­te­se­r­i­en­num­mer. Sogar das blo­ße Ein­log­gen eines Arz­tes in eine Online-Akte kann schon ris­kant sein, denn er offen­bart sich dadurch ja mög­li­cher­wei­se als Behand­ler des Pati­en­ten. Die­ser Umstand unter­liegt aber eben­falls der Schwei­ge­pflicht.

Ein wei­te­res Pro­blem ist die Ver­füg­bar­keit der Daten: Ärz­te sind gesetz­lich ver­pflich­tet, die Behand­lungs­un­ter­la­gen für einen Zeit­raum von min­des­tens 10 Jah­ren zugäng­lich und les­bar zu archi­vie­ren. Befin­den sich die Daten aber nicht selbst beim Arzt oder in der Kli­nik, son­dern auf einem Ser­ver eines Drit­ten – womög­lich noch im außer­eu­ro­päi­schen Aus­land – so soll­te immer das Risi­ko einer tech­ni­schen oder ver­trag­li­chen Unzu­gäng­lich­keit, einer Insol­venz oder auch einer poli­ti­schen Erschwer­nis des Daten­zu­gangs ein­kal­ku­liert wer­den. Auch wenn ein Betrei­ber plötz­lich den Geschäfts­be­trieb ein­stellt, könn­ten die Daten ver­lo­ren sein.

Ich habe daher für die AG Dia­be­tes und Tech­no­lo­gie der Deut­schen Dia­be­tes-Gesell­schaft (DDG), den Ver­band der Dia­be­tes-Bera­tungs- und Schu­lungs­be­ru­fe in Deutsch­land e.V.(VDBD) sowie für die Dach­or­ga­ni­sa­ti­on dia­be­tes­DE  eine leicht ver­ständ­li­che Check­lis­te ent­wi­ckelt.

Die­se soll Ärz­tin­nen und Ärz­ten hel­fen, ein vor­han­de­nes bzw. zur Anschaf­fung vor­ge­se­he­nes Daten­ma­nage­ment­lö­sung auf Risi­ken zu prü­fen bzw. im Gespräch mit den Außen­dienst­mit­ar­bei­tern ent­spre­chen­der Anbie­ter die rich­ti­gen Fra­gen zu stel­len.

Die Check­lis­te kann hier her­un­ter­ge­la­den wer­den.