Strafbarer Handel mit Arztdaten?
Von EBERHARD PH. LILIENSIEK
Eine Schar Düsseldorfer Ärzte und Psychotherapeuten hegt gegen die Kassenärztliche Vereinigung Nordrhein (KKNo) den bösen Verdacht einer Datenschutzverletzung. Dies schließen die Mediziner aus einem Werbeschreiben, das sie kürzlich alle von einer Firma aus Solingen bekamen. Das Unternehmen preist seine Software an, mit der Angehörige der Fachrichtung Psychotherapeutische Medizin die Behandlungskosten von Patienten auf elektronischem Weg mit der KVNo abrechnen können.
„Eine Sonderaktion“ nennt das die Solinger Firma, eine vermutlich erfolgreiche dazu, weil sie so einfach ist: „Sie tauschen einfach Ihre Praxis-EDV (Psyprax) aus!“ Und dieses eine Wort löste den Alarm bei den Ärzten aus: „Woher wissen die in Solingen, dass ich die Software Psyprax benutze“, fragt sich Bernd Klose. Und hat auch die Antwort parat: „Die KVNo! Wer sollte sonst die Quelle sein“.
Dieser Meinung ist auch Ingeborg Lackinger Karger, ihr war aus Solingen ebenfalls exakt beschrieben worden, dass sie die elektronische Datenverarbeitung „smarty“ der New Media Company benutzt. Sie sagt, niemand wisse das – außer ihr, der Firma und der KVNo. Mit ihrem Verdacht wandte sie sich per E-Mails an den Kreis der Kollegen und bekam auch eine solch’ drastische Antwort: „Natürlich sitzt die undichte und womöglich korrupte Stelle irgendwo in der KVNo!“
Doch das werde schwer zu beweisen sein. „Die KV Nordrhein hat diese Angaben nicht gemacht“, so dementiert deren Sprecherin Ruth Bahners. Und fügt hinzu: „ Es liegen auch keine Hinweise vor, die vermuten lassen, dass diese Angaben aus dem Hause der KV Nordrhein stammen“. Woher sie die sensiblen Daten hat, mag die Solinger Firma nicht preisgeben.
Sie lässt lieber ihren Kölner Anwalt schreiben. Der raunzt, es sei „nicht nachvollziehbar, inwieweit aus einem Anschreiben der Verdacht auf Verletzung des Datenschutzes hergeleitet werden kann“. Das sieht die Datenschutzbeauftragte des Landes völlig anders: „Für die Nennung dieser Daten gibt es weder eine Rechtsgrundlage noch eine Einwilligung“, sagt Behördensprecher Niels Schröder.
Der Fall sei sogar strafrechtlich interessant, weil solche Verletzungen mit Geldstrafe und bis zu zwei Jahren Haft bedroht sind. Außerdem haben die Ärzte das Auskunftsrecht, auch von der Solinger Firma deren Datenquelle zu erfahren. Die Doktorin Lackinger Karger hat es versucht: „Der Mitarbeiter hat sich um eine Aussage herumgedrückt“.
Inzwischen fragt sie sich, wenn schon jemand die Marke der Abrechnungssoftware ihrer Praxis kennt – welche Geheimnisse sind dann noch welchen Leuten bekannt? Deswegen hat sie jetzt eine Strafanzeige erstattet. Damit wird aus einem Werbeschreiben ein Fall für den Staatsanwalt. Der hat, in der Abteilung gegen Organisierte Kriminalität, jetzt seine Ermittlungen begonnen. (pbd)
Ist ja nichts neues der Datenschutz ist in Deutschland nichts wert, da muss man sich schon dämlich anstellen um erwischt zu werden.
Auch bei der Siemens Bestechung haben aller höchstens einzelne Mitarbeiter was zu befürchten, aber niemals die Firma selbst.
Frage mich auch, "welche Geheimnisse dann noch welchen Leuten bekannt sind" und merke, dass ich stinkwütend werde.
Das klingt wieder einmal nach einer "Siemens-Geschichte" oder nach "Ärzte und Apotheken im Saarland 2.0" oder………
Führt doch dazu, dass viele Patienten dann lieber nicht zum Arzt gehen, weil ihre intimsten Gebrechen wohl durch den Hippokratischen Eid des Arztes aber eben nicht mehr durch den Datenschutz geschützt sind.
@ DieSchulzkis
Sorry, off topic. Aber jedesmal, wenn ich irgendwas vom Hippokratischen Eid (oder, wie er auch oft genannt wird: Der Hypokratische Eid) hören muß, kriege ich die Krise.
KEIN ARZT SCHWÖRT EINEN EID!
http://de.wikipedia.org/wiki/Hippokratischer_Eid
Ja, was glaubt Ihr denn wie das erst wird, wenn die Elektronische Patientenkarte kommt.
Wäre ich die KV würde mir schnell eine Erklärung einfallen, die wie folgt lauten könnte:
>> In den Serientext sollte immer eingefügt werden:
„Sie tauschen einfach Ihre Praxis-EDV (Psyprax, smarty oder andere) aus!“
Leider waren zwei Sachbearbeiter mit der Aussendung betraut, die versehentlich einen anderen, nicht autorisierten Text verwendet haben.
Für dieses Versehen entschuldigen wir uns.
Datenschutz in der Arztpraxis ist ein wahrlich heisses Eisen. Faktisch existiert er gar nicht. Es gibt viele Möglichkeiten, zu erfahren welche Arztpraxis welches Praxissystem benutzt. Das ist nicht sonderlich schwer und fällt auch nicht unter den Datenschutz. Am einfachsten ist es sicherlich über die entsprechende KV. Doch die Kenntnis, was der Arzt in seiner Praxis für ein Praxissoftware benutzt, bedeutet noch lange keinen Zugriff auf sensible Patientendaten. Auch die Angebote von EDV-Dienstleistern, Praxisdaten für Arztpraxen abzurechen, ist so alt wie die moderne Datenverarbeitung in der Arztpraxis. Sogar die Pharmaindustrie versuchte bisweilen unter dem Deckmantel, dem Arzt bei der wirtschaftlichen Praxisführung helfend unter die Arme greifen zu wollen, an die Verordnungsdaten zu gelangen, natürlich unter dem Hinweis, dass alle Daten anonymisiert werden. Nun lassen sich allerdings anonymisierte Daten, auch wieder reanonymisieren.
Abgesehen davon, dass Patientendaten eine besondere Schutzwürdigkeit besitzen, denn die unterliegen ja ausser dem Datenschutz auch noch der ärztlichen Schweigepflicht, dessen Verletzung m. E. schwerer wiegt, als eine Missachtung des Datenschutzes und auch für den Arzt gravierende berufsrechtliche Folgen haben kann. Wobei zu bemerken ist, dass das Bundesdatenschutzgesetz nur für öffentliche Institutionen gilt.
Nun stellen Sie sich vor, der Computer streikt. Der Techniker kommt und muss an der Maschine arbeiten. Um hier nicht in einen Konflikt mit dem Datenschutz und der ärztlichen Schweigepflicht zu kommen, müsste der Arzt oder eine von ihm beauftragte Person, die der ärztlichen Schweigepflicht unterliegt, permanent neben dem Techniker stehen und darauf achten, dass der keine Einsicht in sensible Patientendaten nimmt. Welcher Arzt macht das schon und was ist, wenn der Computer vom Techniker mit in die Werkstatt genommen werden muss? Ganz Dunkel sieht es bei der Online-Wartung der Maschinen aus. Servicetechniker unterliegen nicht der ärztlichen Schweigepflicht.
Vergleichen Sie es damit: An Ihrem Aktenschrank klemmt die Tür, der Schreiner muss ihn mit in die Werkstatt nehmen und Sie räumen vorher nicht die Akten aus.
Das kann man sich noch bildlich vorstellen, doch bezüglich der modernen Datenverarbeitung in der Arztpraxis sind die Ärzte immer noch nicht genügend sensibilisiert, was den Datenschutz und die ärztliche Schweigepflicht betrifft.
Mir ist kein Arzt-Praxis-Programm bekannt, bei dem eine Datenbank mit Testdaten ausschliesslich für Wartungszwecke existiert, auf die der Techniker Zugriff hat und bei dem der Zugriff auf Patientendaten für nicht befugte Personen grundsätzlich ausgeschlossen ist.
Ich kenne z. B. einen Fall, der nunmehr mehrere Jahre zurückliegt, da schickte ein Facharzt für Psychiatrie seinen gesamten Datensatz der Praxis-EDV per Post mit der Bitte um Überprüfung an einen EDV-Dienst. Auslesbar waren alle persönlichen Daten des Patientenstammes, einschliesslich Krankheitsverlauf, Medikation und Arbeitgeber.
Mehr über die Sicherheit der Patientendaten in der Arztpraxis gibt es z. B. hier:
https://www.datenschutzzentrum.de/material/themen/gesund/vortrarzt.htm
@3 Matt
Ja sicher leisten Ärzte heute den Hippokratischen Eid nicht mehr, ist ja auch nicht machbar, weil dieser verbietet Abtreibung und Verhütung…jedoch liest man sich den heutigen Eid durch, so sind deutliche Parallelen zu erkennen, deshalb spricht man im Volksmund immer noch vom "Hippokratischen – Eid"…
mfg
p.s. : siehe Genfer-Ärzte Gelöbnis….steht in der Quelle sogar mit drinne
@7, Da Hegga:
Matt hat aber insofern recht, dass trotzdem kein Eid von Ärzten geschworen wird. Es steht lediglich in der Berufsordnung, dass dieses oder ein ähnliches Gelöbnis gilt. Mehr nicht.
Grüße!
@7 Da Hegga
Nochmal deutlich: Es gibt keine wie auch immer geartete Verpflichtung, einen Eid zu schwören, noch hätte dieser irgendeine rechtliche Bewandnis.
Jeder Arzt kann, wenn er will, irgendwem irgendwas schwören. Ist sein Privatvergnügen. Zum Bestehen der Staatsexamen und Erlangen der Approbation ist dies allerdings nicht erforderlich. Ich persönlich kenne keinen Kollegen, der je etwas in der Art geschworen hätte.
dann danke ich für die Aufklärung…da ich den Hippokratischen Eid erst aus dem Lateinischen übersetzen durfte und in dem Zusammenhang auch das Genfer-Ärzte-Gelöbnis hatte, ist es irrtümlicher Weise so rüber gekommen, dass dies abgelegt werden muss…
ich werde es in die Welt hinaus tragen…schöne neue Info, danke
mfg
p.s.: würde sich jeder Arzt an den Genfer Grundsatz halten wäre das aber durchaus nicht verkehrt
@ 6 Wolf Hagen
als servicetechniker für arztsysteme kann ich dir sagen es ist mir sch… egal. klar haben wir am tag zugriff auf 10000 pat daten aber was interessieren die mich ? mich interessiert das die kiste läuft, weil damit verdienen wir unser geld und nicht mit lesen des krankenblattes von oma müller
@6
Das stimmt einfach nicht. Die Patientendaten werden so verschlüsselt, dass sie sich nicht mehr reanonymisieren lassen. Im allgemeinen werden vom Patienten nur Geburtsjahr und Geschlecht übertragen. Die Gefahr, dass der Datenschutz die Studie kippt, wäre sonst gar zu groß.
Dass jeder Arzt, der kein EDV-Techniker oder Informatiker ist, ein Problem mit dem Datenschutz hat, ist wahr. Das liegt an den veralteten Gesetzen zum Datenschutz – man kann man eine EDV-Anlage in einer Arztpraxis nicht Gesetzeskonform verwenden.
Aber weshalb sollen die Daten unsicherer sein, wenn ein EDV-Techniker Patientendaten sieht, als wenn eine Helferin die Daten sieht? Beide sind durch Betriebsvereinbarung zum Datenschutz verpflichtet.
Ich glaube nicht, dass niemand weiß, welches Arztsystem ein Arzt verwendet.
War nie ein Pharmavertreter in der Praxis? Da genügt ein kurzer Blick auf den Bildschirm.
Als das System gekauft wurde, wurden da weitere Angebot eingeholt? Und die Systemhersteller, die nicht zum Zug kamen, haben dann vielleicht nachgefragt, was denn nun gekauft wurde?
Oder über eine Umfrage – telefonisch oder schriftlich – kommt man zu solchen Daten.
@11 Eine typische Aussage von Wartungstechnikern, doch wer garantiert dafür? Wer garantiert dafür dass von den 10.000 Patientendaten nicht einige z. B. bei der Pharmaindustrie landen, gegen Kohle natürlich und die die sie weitergegeben haben, noch nicht mal dafür belangt werden können? Wer garantiert dafür, dass mit den Patientendaten nicht Patienten unter Druck gesetzt werden? Alles schon dagegwesen.
@12 Nur Geburtsjahr und Geschlecht? Schön wäre es ja. Ich kenne andere Abläufe.
Natürlich sind es zweierlei Dinge, ob ein Servicetechniker oder mehrere, Patientendaten sehen oder eine Arzthelferin, weil nur die Arzthelferin durch Betriebsvereinbarung der Schweigepflicht unterliegt. Servicetechniker von EDV-Anlagen unterliegen nicht der ärztlichen Schweigepflicht.
Eine für den Bereich des Gesundheitswesens befriedigende Lösung wäre nur durch eine Neuregelung von § 203 StGB unter Einbeziehung der Interessen aller Beteiligten möglich. Denkbar wäre ein Lösungsvorschlag, in dem die Weitergabe von Patientengeheimnissen an „EDV-Gehilfen“ in bestimmten Organisationseinheiten aus dem Tatbestand des § 203 StGB herausfällt.
Soweit ist es aber noch nicht.
Dier KBV führt dazu aus:"In aller Regel darf eine Wartung und Fehlerbeseitigung durch Praxis-
Fremde nur mit Testdaten erfolgen. Nur wenn der Fehler direkt mit Patientendaten in Verbindung steht und ohne Einblick in diese nicht behoben werden kann, ist ausnahmsweise eine Datenoffenbarung zulaessig. Dabei ist der externe Techniker jedoch vom Praxis-Personal zu beaufsichtigen und der Zugriff auf Patientendaten zu protokollieren. Eine Fernwartung – etwa ueber ein Modem und das oeffentliche Telefonnetz – ist prinzi-
piell "unzulaessig, wenn nicht auszuschliessen ist, dass dabei auf patientenbezogene Daten zugegriffen werden kann.
Wie bereits hier ausgeführt: ich kenne kein Arzt-Praxis-Programm, bei dem der Techniker nur auf Testdaten zugreifen kann und ausgeschlossen ist, dass er Einsicht in Patientendaten bekommt.
Wie soll das Praxispersonal den Zugriff des Technikers beaufsichtigen und protokollieren, wenn der die Maschine mit in die Werkstatt nimmt? Soll die Arzthelferin mit in die Werkstatt fahren?
Worin das Geheimnis bestehen soll, wird mir auch nicht klar. Softwarefirmen haben ihre Kundenreferenzen und sind mit den Nutzern der Konkurrenzprodukte vertraut. Solche Listen koennen auch aerztliche Kunden verzeichnen. Wenn der Softwarevertrag gut geschrieben ist, wird die Aufnahme auf eine Referenzliste vielleicht verboten, und dann koennte man vielleicht von einem Geheimnis sprechen. Ist aber keine Frage des Datenschutzes.
Zudem kann neben Pharmavertretern und Technikern auch jeder Patient das Programm identifizieren. Selbst wenn der Techniker zur Geheimhaltung verpflichtet sein sollte, unterschreibt der Patient, der Vertreter einen entsprechenden Vertrag?
Solange aus den Umstaenden der solinger Korrespondenz keine Gefaehrdung von Patientendaten erkenntlich ist, gibt es wohl wichtigere Dinge, ueber die man sich Gedanken machen sollte.