Ob psychiatrische Diagnosen, Prädispositionen, bestehende Krankheiten oder Trink- und Rauchverhalten: Patientendaten können höchst sensible Informationen enthalten und unterliegen daher einem besonderen gesetzlichen Schutz. Mit der Digitalisierung im Gesundheitswesen stehen diese Daten immer häufiger in elektronischer Form zur Verfügung. Das kann die medizinische Versorgung auf individueller und gesellschaftlicher Ebene verbessern, denn vernetzte Daten erlauben effizientere Therapien und sind zudem ein wertvoller „Rohstoff“ für die Forschung. Zugleich steigen jedoch die Anforderungen an Datenschutz und Datensicherheit. Dieser Artikel liefert einen Überblick, was Arztpraxen und Kliniken im Umgang mit Patientendaten beachten sollten. Er konzentriert sich auf die Rechtslage in Deutschland – die praktischen Konsequenzen sind jedoch in der Schweiz und in Österreich trotz im Detail unterschiedlicher gesetzlicher Bestimmungen sehr ähnlich.
Was sind Patientendaten?
Als Patientendaten gelten alle personenbezogenen Daten, die in Arztpraxen erhoben, verarbeitet und gespeichert werden, egal ob in physischer oder elektronischer Form. Grundsätzlich unterscheidet man zwei Arten von Patientendaten:
- Stammdaten
- Vor- und Nachname
- Geschlecht
- Geburtsdatum
- Adresse
- Telefonnummer
- Krankenkassen-Versicherungsstatus und -Versicherungsnummer
- Arztabhängige Patientennummer
- Behandlungsdaten
- Diagnose(n)
- Ergebnisse von Untersuchungen
- Therapiemaßnahmen
Wem gehört die Patientenakte beim Arzt?
ÄrztInnen kommen um die Erhebung von Patientendaten nicht herum, denn gemäß ihrer Berufsordnung sind sie verpflichtet, eine schriftliche Patientenakte zu führen. Das Original dieser Patientenakte gehört grundsätzlich dem Arzt, der Ärztin bzw. der jeweiligen medizinischen Einrichtung. PatientInnen haben aber das Recht, Einsicht in ihre Patientenakte zu nehmen und eine Kopie davon zu erhalten.
Wer hat Zugriff auf Patientendaten?
Zugriff auf Patientendaten hat grundsätzlich nur der jeweilige medizinische Leistungserbringer und der Patient oder die Patientin selbst. Die Weitergabe von Daten an Dritte bedarf normalerweise einer ausdrücklichen Einwilligung von PatientInnen. Das gilt auch für die Übermittlung von Befunden an andere ÄrztInnen. Es gibt aber gewisse gesetzlich definierte Ausnahmefälle, in denen die Weitergabe spezifischer Patientendaten an konkrete Empfänger auch ohne Einwilligung der Betroffenen erlaubt ist. Ein Beispiel ist die Meldung übertragbarer Krankheiten an das Gesundheitsamt gemäß Bundesinfektionsschutzgesetz. Auch die Übermittlung von Patientendaten an Krankenversicherungen ist in eingeschränktem Umfang ohne Einwilligung der PatientInnen erlaubt.
Welche Rechtsgrundlagen sind beim Umgang mit Patientendaten zu beachten?
Der ärztliche Umgang mit Patientendaten wird durch ein Dickicht unterschiedlicher, voneinander unabhängiger Rechtsvorschriften geregelt. Zu den wichtigsten Bestimmungen zählen:
Ärztliche Schweigepflicht
Die ärztliche Schweigepflicht ist in Deutschland als Kernbereich der Medizinethik in den Berufsordnungen der Landes- und Bundesärztekammern geregelt. Sie ergibt sich aber auch aus dem durch § 203 des Strafgesetzbuches (StGB) geschützten Patientengeheimnis – ein Verstoß kann somit strafrechtliche Konsequenzen nach sich ziehen. Die ärztliche Schweigepflicht gilt auch gegenüber anderen ÄrztInnen oder Familienangehörigen, sofern PatientInnen einer Weitergabe von Informationen nicht ausdrücklich zustimmen.
In der Schweiz regelt Artikel 321 des Strafgesetzbuches (StGB) die ärztliche Schweigepflicht. In Österreich ergeben sich entsprechende Verpflichtungen aus § 54 des Ärztegesetzes, Verstöße werden als Verletzung eines Berufsgeheimnisses nach § 121 des Strafgesetzbuches (StGB) geahndet.
Datenschutz-Gesetze
Hier sind vor allem die europäische Datenschutz-Grundverordnung (DSGVO) und das weitgehend damit korrespondierende deutsche Bundesdatenschutz-Gesetz (BDSG) zu nennen. In der Schweiz gilt das Datenschutzgesetz (DSG), das bis 1. September 2023 grundlegend revidiert werden soll. Gemeinsam mit den Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) soll sich das Datenschutz-Niveau in der Schweiz damit jenem der europäischen DSGVO annähern.
Laut Artikel 9 der DSGVO unterliegen Patientendaten als besondere Kategorie personenbezogener Daten einem strengen Schutz. ÄrztInnen müssen geeignete Maßnahmen zur Datensicherheit ergreifen und PatientInnen informieren, auf welche Weise und zu welchem Zweck sie personenbezogene Daten speichern und verarbeiten. Das europäische Datenschutzrecht erlaubt aber unter bestimmten Voraussetzungen die Nutzung personenbezogener Daten zu Forschungszwecken. Auch der Austausch von Patientendaten zwischen verschiedenen EU-Staaten soll künftig unter Einhaltung der DSGVO-Bestimmungen gefördert werden.
Zu diesem Zweck hat die EU-Kommission am 3. Mai 2022 einen ersten Entwurf für einen europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) vorgestellt. Bis 2025 sollen schrittweise in 25 EU-Mitliedstaaten grenzüberschreitende elektronische Gesundheitsdienste eingeführt werden. Im ersten Schritt sind digitale Patientenkurzakten sowie grenzüberschreitende elektronische Verschreibungen vorgesehen, später werden nach den Plänen der EU-Kommission auch medizinische Bilddaten und Laborergebnisse EU-weit verfügbar gemacht. Darüber hinaus soll mit dem EHDS ein kohärenter Rahmen für die Nutzung von Gesundheitsdaten zu Forschungszwecken geschaffen werden.
Patientendaten-Schutz-Gesetz
Das am 20. Oktober 2020 in Deutschland in Kraft getretene Patientendaten-Schutz-Gesetz (PDSG) verfolgt zwei Ziele: Es soll einerseits zu einem verbesserten Schutz sensibler Patientendaten beitragen, andererseits der Digitalisierung im Gesundheitswesen den Weg ebnen. Auf Arztpraxen und andere medizinische Einrichtungen kommen damit neue Vorgaben bezüglich Datensicherheit und Datenschutz zu. Das PDSG bildet auch die rechtliche Grundlage für die Einführung digitaler Angebote wie E-Rezept oder elektronischer Patientenakte (ePA).
In der Schweiz und in Österreich sind die Rahmenbedingungen für die Einführung digitaler Patientenakten durch jeweils eigene Rechtsordnungen geregelt: In der Schweiz ist es das Bundesgesetz über das Elektronische Patientendossier (EPDG), das bis Sommer 2023 umfassend revidiert werden soll. Das österreichische Elektronische-Gesundheitsakte-Gesetz (ELGA-Gesetz) wurde seit seiner Einführung am 1. Januar 2013 durch mehrere Verordnungsnovellen spezifiziert und revidiert.
Die elektronische Patientenakte (ePA), EPD und ELGA: Häufige Fragen und Antworten
Was sind ePA, EPD und ELGA?
Die ePA ist ein zentraler digitaler Speicherort für medizinische Dokumente wie Arztbriefe, Befunde, Röntgenbilder oder Medikationsplan. Sie soll die zuvor an verschiedenen Orten gesammelten Patientendaten vereinen und einen strukturierten Datenaustausch zwischen verschiedenen medizinischen Einrichtungen ermöglichen.
Ähnliche Funktionen erfüllen das schweizerische Elektronische Patientendossier (EPD) sowie die österreichische Elektronische Gesundheitsakte (ELGA).
Welche Vorteile bietet die elektronische Gesundheitsakte?
ePA, EPD und ELGA machen wichtige medizinische Daten rascher und einfacher verfügbar. Das hilft, Zeit zu sparen und unnötige Doppeluntersuchungen zu vermeiden. Auch Therapieentscheidungen werden erleichtert, wenn ÄrztInnen auf wichtige Informationen zur Krankengeschichte sofort zugreifen können. Elektronische Gesundheitsakten sollen zudem einen vereinfachten Informationsaustausch zwischen verschiedenen Leistungserbringern ermöglichen und so auch die Verwaltung entlasten. Mehr Informationen hier: https://www.datenschutz.org/elektronische-gesundheitskarte/
Müssen PatientInnen die ePA, EPD oder ELGA nutzen?
Das ist jeweils unterschiedlich geregelt. Das schweizerische EPD ist als Opt-in-Lösung konzipiert, PatientInnen müssen ihr elektronisches Patientendossier somit aktiv anlegen. Auch die deutsche ePA wurde ursprünglich als Opt-in-Lösung eingeführt. Weil die Umstellung jedoch nur schleppend vorankommt, möchte die deutsche Bundesregierung 2023 auf ein Opt-out-Prinzip umschwenken. PatientInnen erhalten somit automatisch ihre ePA und können der Nutzung aktiv widersprechen.
Die österreichische ELGA wurde bereits von Beginn an als Opt-out-Lösung eingeführt. Bis Ende 2022 haben sich rund 283.000 von 7,2 Millionen Versicherten abgemeldet. Zum Vergleich: In Deutschland haben bisher rund 570.000 der 74 Millionen gesetzlich Versicherten eine ePA eingerichtet, in der Schweiz wurden bis November 2022 ca. 13.000 Patientendossiers eröffnet.
Wer befüllt die ePA, EPD oder ELGA?
In Deutschland haben PatientInnen laut PDSG das Recht darauf, dass ihr Arzt oder ihre Ärztin die Eintragung von Daten in die ePA übernimmt. Die Befüllung und Verwaltung der ePA können Vertrags-ÄrztInnen gemäß GOP (Gebührenordnungsposition) abrechnen. PatientInnen können jedoch auch selbst Ergänzungen vornehmen. In der Schweiz und in Österreich ist dies ähnlich geregelt.
Wer bestimmt, was in den elektronischen Patientenakten gespeichert wird?
Welche Daten in den elektronischen Patientenakten gespeichert werden und welche nicht, entscheiden PatientInnen in Deutschland, Österreich und der Schweiz selbst. Sie können auch bestimmen, dass Daten wieder gelöscht werden.
Haben ÄrztInnen automatisch Zugriff auf elektronische Patientenakten?
Nein, ÄrztInnen und andere Leistungserbringer erhalten keinen automatischen Zugriff auf ePA, EPD oder ELGA. Wer auf die elektronische Patientenakte zugreifen darf, bestimmen die Versicherten selbst. Sie können die Zugriffsrechte auch für jedes Dokument separat festlegen: So könnte eine Patientin beispielsweise ihrem Orthopäden Zugriff auf Röntgenbilder gewähren, ihrer Zahnärztin aber nicht. Technisch gelöst wird die Freigabe der Daten durch eine doppelte Authentifizierung: PatientInnen melden sich mit der elektronischen Gesundheitskarte (eGK) bzw. einem Bürgerausweis und einem persönlichen PIN-Code an. ÄrztInnen benötigen ihren Heilberufsausweis und einen weiteren PIN-Code als Schlüssel, um auf die freigegebenen Dokumente zugreifen zu können.
Welche Folgen hat die Digitalisierung im Gesundheitswesen für den Umgang mit Patientendaten?
Die Einführung elektronischer Patientenakten hat einen Digitalisierungsschub im Gesundheitswesen angestoßen – mit vielen Vorteilen und Erleichterungen für ÄrztInnen und Verwaltung. Zudem werden Patientenrechte durch Gesetze wie das PDSG oder DSG grundlegend gestärkt. PatientInnen können souverän entscheiden, was mit ihren Daten geschieht und wer darauf Zugriff hat.
Andererseits bringt dieser Digitalisierungsschritt aber auch neue Herausforderungen für Gesundheitseinrichtungen mit sich. So müssen Arztpraxen und vor allem Kliniken nach den geltenden Datenschutzbestimmungen strengere Vorkehrungen treffen, um die IT-Sicherheit im Umgang mit Patientendaten zu gewährleisten.
Dass derartige Vorkehrungen dringend nötig sind, zeigt die zunehmende Anzahl an Cyber-Attacken auch im Gesundheitswesen. Ein besonders tragischer Vorfall hat sich im September 2020 im Universitätsklinikum Düsseldorf ereignet, als eine Notfallpatientin infolge eines Cyber-Angriffs verstorben ist. Laut einer Studie aus dem Jahr 2020 weisen 36 Prozent der deutschen Krankenhäuser Schwachstellen im Bereich der IT-Sicherheit auf.
Wie werden Patientendaten geschützt?
Laut aktueller Datenschutzgesetze sind alle Krankenhäuser und Arztpraxen verpflichtet, ihre IT-Systeme und damit ihre digitalen Patientendaten auf technisch angemessene Weise zu schützen. Als allgemein anerkannter Standard gilt in Deutschland der von der Deutschen Krankenhausgesellschaft erarbeitete Branchenspezifische Sicherheitsstandard (B3S).
Neben technischen Sicherheitseinrichtungen braucht es Vorkehrungen auf organisatorischer Ebene, um Patientendaten vor einem unbefugten Zugriff zu schützen. Worauf Arztpraxen und andere Gesundheitseinrichtungen achten sollten, zeigt die folgende Checkliste.
5 Schritte, um die Daten von Patienten zu schützen
Schritt 1: Diskretion im Empfangsbereich sicherstellen
- Sind Anmelde- und Wartebereich räumlich ausreichend getrennt? PatientInnen sollten die Möglichkeit haben, sich diskret anzumelden und die Gründe ihres Besuchs zu nennen, ohne dass wartende PatientInnen zuhören können.
- Gibt es im Anmeldungsbereich Markierungen oder Schilder zur Abstandskontrolle?
- Ist der Empfangsbereich während der Öffnungszeiten durchgehend besetzt? PatientInnen und andere BesucherInnen könnten sonst unbeobachteten Zugriff auf EDV-Geräte oder Patientenakten haben.
Schritt 2: Behandlungsräume und Arbeitsbereiche absichern
- Werden physische Patientenakten sicher in versperrbaren Schränken verwahrt?
- Sind Bildschirme, Telefon etc. vor dem Einblick oder Zugriff Unbefugter geschützt? EDV-Geräte sollten auch dann gesperrt werden, wenn eine Person ihren Arbeitsplatz nur kurz verlässt.
- Finden Patientengespräche diskret hinter verschlossenen Türen statt?
- Ist sichergestellt, dass PatientInnen in den Behandlungsräumen keinen Einblick oder Zugriff auf fremde Patientenakten haben?
Schritt 3: Datenschutz-Bestimmungen beachten
- Gibt es ein zentrales Verzeichnis aller Datenverarbeitungs-Tätigkeiten, die in der Praxis anfallen?
- Gibt es ein Verzeichnis aller technischen und organisatorischen Maßnahmen, die die Praxis zum Schutz von Patientendaten ergreift?
- In Praxen ab 20 Personen: Wurde ein Datenschutzbeauftragter ernannt? (Anmerkung: In der Schweiz ist die Ernennung eines sog. Datenschutzberaters freiwillig.)
- Haben alle Beschäftigten spätestens an ihrem ersten Arbeitstag eine datenschutzrechtliche Unterweisung erhalten? Aus Nachweisgründen sollte die Verpflichtung zur Einhaltung der Datenschutzbestimmungen schriftlich dokumentiert werden. Zu empfehlen sind außerdem regelmäßige praxisnahe Schulungen.
- Werden Datenverarbeitungsverträge mit externen Dienstleistern abgeschlossen, die mit Patientendaten in Berührung kommen könnten? Solche Verträge sind beispielsweise bei Installations- oder Wartungsarbeiten an EDV-Systemen erforderlich.
Schritt 4: Persönliche Rechte von PatientInnen sicherstellen
- Wird eine allgemein einsehbare Patienteninformation zum Datenschutz bereitgestellt, beispielsweise durch einen Aushang in der Praxis?
- Wird PatientInnen eine schriftliche Einwilligungserklärung zur Verarbeitung personenbezogener Daten in der Praxis ausgehändigt?
- Werden PatientInnen darauf hingewiesen, dass das Ausfüllen eines Anamnesebogens freiwillig ist?
- Ist gewährleistet, dass PatientInnen auf Wunsch Einsicht in ihre Patientenakte nehmen können?
Schritt 5: Datensicherheit gewährleisten
- Sind PCs durch Bildschirmsperre und Passwörter geschützt, auch wenn Beschäftigte nur kurz ihren Arbeitsplatz verlassen?
- Werden Virenschutzprogramme und Firewalls stets auf dem neuesten Stand gehalten?
- Sind sämtliche IT-Programme und Dienste auf dem jeweils aktuellen Stand?
- Sind E-Mail-Verkehr, Kontaktformulare oder Online-Terminvereinbarung sicher verschlüsselt?
Patientendaten im Spannungsfeld zwischen Datenschutz und Datennutzung
In der Digitalisierung von Patientendaten liegt großes Potenzial, um die Gesundheitsversorgung auf individueller und gesellschaftlicher Ebene zu verbessern. Zugleich braucht es angemessene Vorkehrungen, um diese sensiblen Daten zu schützen und die Rechte von PatientInnen zu wahren. Die grundlegenden Anforderungen an Datenschutz und Datensicherheit sollten alle Gesundheitsdienstleister – schon im eigenen Interesse – kennen und umsetzen.