Eines können sich die andauernden Datenskandale zu Gute halten: das Bewusstsein um den Schutz der eigenen persönlichen Daten wächst. Dabei stehen vor allem die bei den jüngeren Generationen beliebten sozialen Netzwerke und Online-Communities im Blickpunkt. Aber auch „erfolgreiche“ Angriffe auf renommierte Unternehmen, die eigentlich auf versierte Mitarbeiter zugreifen können, zeigen die Brisanz des Themas und die Dringlichkeit auch für kleinere und mittlere Unternehmen sich professionell abzusichern und zusätzlich zu den beauftragten Administratoren Spezialisten mit der Überprüfung der Datensicherheit zu betrauen. Um die Unternehmenswerte so gut wie möglich zu schützen müssen der Professionalität der Angreifer ebenso professionelle „Verteidiger“ gegenüber stehen.
Im genannten Umfeld wächst dem entsprechend auch die Sensibilität der Verantwortlichen und der Nutzer. Aber sehr häufig gibt es wesentlich näher liegende Gefährdungen mit zudem deutlich weiter reichenden Konsequenzen.
Stellen sie sich vor, sie laufen durch die Stadt und sehen eine interessantes Gebäude. Sie schalten ihre Handy-Kamera ein und richten sie auf das Gebäude. Schon erfahren sie, um welches Gebäude es sich handelt, wer es wann erbaut hat usw.. Gerade als sie zu Filmen beginnen wollen, läuft eine Person durch das Bild. Und schon können sie lesen, wie diese Person heißt, wo sie wohnt, wie alt sie ist und welche Wehwehchen sie plagen. Ein Horrorszenario? Vielleicht heute noch?
Es gibt bekannte Online-Systeme, die bereits heute in der Lage sind, via Gesichtserkennung Personen zu identifizieren. Diese Information zusammengeführt mit weiteren durchaus legal gespeicherten Daten von z. B. Kundenkartensystemen, (womöglich weniger abgesicherten ausländischen) Online-Händlern oder von Kassenterminals des Marktes an der Ecke geben ein Gesamtbild einer Person, für das einige Konzerne bereit sind, eine Menge Aufwand zu investieren.
Der einzelne Nutzer von modernen Instrumenten der Kommunikation und des Konsums ist nur bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.
Gerade Betriebe für deren Geschäftsmodell die Verwendung von besonders schützenswerten personenbezogenen Daten, wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben, unablässig ist, sind zu erhöhter Sorgfaltspflicht im Umgang mit personenbezogenen Daten verpflichtet.
Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.
Entsprechend dieser Formulierung müssten die meisten niedergelassenen Ärzte sich keine Gedanken um den Datenschutz machen. Zumal die ärztliche Schweigepflicht die Schutzbedürfnisse der Patienten abzudecken scheint. Dies ist aber nur die eine Seite der Medaille.
Die Inhalte elektronischer Medien sind nicht unter vollständiger Kontrolle des Arztes oder der Ärztin. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden, menschliche Fehlleistungen verursachen tiefgreifende Gefährdungen und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen Fertigkeit unlauterer Zeitgenossen stand halten.
Da ist es verständlich, dass Patienten sich trotz Schweigepflicht mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein dringendes Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.
Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft alle ärztlichen Fachrichtungen.
Eine Vorabkontrolle kann nach BDSG für Arztpraxen entfallen, wenn alle bisherigen, aktuellen und künftigen Patienten schriftlich ihr Einverständnis in die Verarbeitung ihrer Daten geben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es bleibt jedoch vorbehalten, ob dies elektronisch geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb in der zugegebenermaßen recht theoretischen Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.
Damit bestehen für jede Arztpraxis letztlich nur zwei Möglichkeiten sich Datenschutz-konform zu positionieren:
entweder durch die Bestellung eines Datenschutzbeauftragten oder
durch die schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.
Nicht zu Letzt ist die Absicherung des Umgangs mit Patientendaten durch einen externen Datenschutzbeauftragten ein verwertbares Argument zur Stabilisierung der Arzt-/Patientenbeziehung und zur Gewinnung neuer Patienten.
Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und auch die doch erheblichen Strafen, die im Falle einer Abmahnung drohen, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis Datenschutz-konform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen. Die oftmals gewählten Lösungen die Beauftragung des IT-Systembetreuers sich auch um den Datenschutz kümmert oder eine medizinische Hilfskraft als interne/n Datenschutzbeauftragte/n zu benennen, ist im ersten Fall schon von Gesetzes wegen ausgeschlossen und im anderen Fall eher eine organisatorisch, technisch und wirtschaftlich kurzsichtige Lösung. Vor selbst erledigt sich wohl eine Lösung bei der ein Arzt selbst diese Rolle übernimmt.
In Erweiterung des eigenen Portfolios mit dem zunehmend wichtigen Thema Datenschutz Rechnung zu tragen, hat die Münchner Inline Sales GmbH, ein führender Spezialist für Business Process Outsourcing in Marketing und Vertrieb, eine Kooperation mit dem Unternehmensberater Dipl. Inf. Bernhard Behr, München, geschlossen. Ziel ist eine umfassende Unterstützung von Unternehmen im Inland und aus dem Ausland, die im deutschen Markt tätig werden möchten, die aktuellen gesetzlichen Anforderungen an den Datenschutz zu erfüllen.
Bernhard Behr ist seit vielen Jahren als interner und externer Datenschutzbeauftragter für Firmen verschiedener Branchen tätig. Nach seiner Informatikausbildung war er als Projekt-, Bereichsleiter und Manager für bekannte Firmen tätig. Einen besonderen Schwerpunkt legt Herr Behr auf die IT-technische Umsetzung der Datenschutz-Richtlinien im Rahmen des IT-Security Managements z. B. unter Zuhilfenahme des BSI IT-Grundschutzes Handbuches und der ISO 27001.
Weitere Artikel unserer Arzt-Info-Reihe:
- Info 40 Datenübermittlung an Hausarztverband
- Info 42 Datenschutzrisiken in einer Praxis
- Info 43 Datenschutz und KV
- Info 44 Der Datenschutzbeauftragte in der Arztpraxis
- Info 47 Videoüberwachung in Patiententoiletten
- Info 51 Datenschutz und Schweigepflicht
- Info 53 Praxissicherheit
- Info 54 Auskunftsbereitschaft
- Info 56 Pro + Contra Datenschutz durch internen MitarbeiterIn
Weitere Informationen unter:
Telefon: +49-89-3090-488-32 oder Email: presse@inline-sales.net
======================================================
Im genannten Umfeld wächst dem entsprechend auch die Sensibilität der Verantwortlichen und der Nutzer. Aber sehr häufig gibt es wesentlich näher liegende Gefährdungen mit zudem deutlich weiter reichenden Konsequenzen.
Stellen sie sich vor, sie laufen durch die Stadt und sehen eine interessantes Gebäude. Sie schalten ihre Handy-Kamera ein und richten sie auf das Gebäude. Schon erfahren sie, um welches Gebäude es sich handelt, wer es wann erbaut hat usw.. Gerade als sie zu Filmen beginnen wollen, läuft eine Person durch das Bild. Und schon können sie lesen, wie diese Person heißt, wo sie wohnt, wie alt sie ist und welche Wehwehchen sie plagen. Ein Horrorszenario? Vielleicht heute noch?
Es gibt bekannte Online-Systeme, die bereits heute in der Lage sind, via Gesichtserkennung Personen zu identifizieren. Diese Information zusammengeführt mit weiteren durchaus legal gespeicherten Daten von z. B. Kundenkartensystemen, (womöglich weniger abgesicherten ausländischen) Online-Händlern oder von Kassenterminals des Marktes an der Ecke geben ein Gesamtbild einer Person, für das einige Konzerne bereit sind, eine Menge Aufwand zu investieren.
Der einzelne Nutzer von modernen Instrumenten der Kommunikation und des Konsums ist nur bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.
Gerade Betriebe für deren Geschäftsmodell die Verwendung von besonders schützenswerten personenbezogenen Daten, wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben, unablässig ist, sind zu erhöhter Sorgfaltspflicht im Umgang mit personenbezogenen Daten verpflichtet.
Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.
Entsprechend dieser Formulierung müssten die meisten niedergelassenen Ärzte sich keine Gedanken um den Datenschutz machen. Zumal die ärztliche Schweigepflicht die Schutzbedürfnisse der Patienten abzudecken scheint. Dies ist aber nur die eine Seite der Medaille.
Die Inhalte elektronischer Medien sind nicht unter vollständiger Kontrolle des Arztes oder der Ärztin. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden, menschliche Fehlleistungen verursachen tiefgreifende Gefährdungen und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen Fertigkeit unlauterer Zeitgenossen stand halten.
Da ist es verständlich, dass Patienten sich trotz Schweigepflicht mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein dringendes Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.
Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft alle ärztlichen Fachrichtungen.
Eine Vorabkontrolle kann nach BDSG für Arztpraxen entfallen, wenn alle bisherigen, aktuellen und künftigen Patienten schriftlich ihr Einverständnis in die Verarbeitung ihrer Daten geben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es bleibt jedoch vorbehalten, ob dies elektronisch geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb in der zugegebenermaßen recht theoretischen Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.
Damit bestehen für jede Arztpraxis letztlich nur zwei Möglichkeiten sich Datenschutz-konform zu positionieren:
entweder durch die Bestellung eines Datenschutzbeauftragten oder
durch die schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.
Nicht zu Letzt ist die Absicherung des Umgangs mit Patientendaten durch einen externen Datenschutzbeauftragten ein verwertbares Argument zur Stabilisierung der Arzt-/Patientenbeziehung und zur Gewinnung neuer Patienten.
Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und auch die doch erheblichen Strafen, die im Falle einer Abmahnung drohen, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis Datenschutz-konform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen. Die oftmals gewählten Lösungen die Beauftragung des IT-Systembetreuers sich auch um den Datenschutz kümmert oder eine medizinische Hilfskraft als interne/n Datenschutzbeauftragte/n zu benennen, ist im ersten Fall schon von Gesetzes wegen ausgeschlossen und im anderen Fall eher eine organisatorisch, technisch und wirtschaftlich kurzsichtige Lösung. Vor selbst erledigt sich wohl eine Lösung bei der ein Arzt selbst diese Rolle übernimmt.
In Erweiterung des eigenen Portfolios mit dem zunehmend wichtigen Thema Datenschutz Rechnung zu tragen, hat die Münchner Inline Sales GmbH, ein führender Spezialist für Business Process Outsourcing in Marketing und Vertrieb, eine Kooperation mit dem Unternehmensberater Dipl. Inf. Bernhard Behr, München, geschlossen. Ziel ist eine umfassende Unterstützung von Unternehmen im Inland und aus dem Ausland, die im deutschen Markt tätig werden möchten, die aktuellen gesetzlichen Anforderungen an den Datenschutz zu erfüllen.
Bernhard Behr ist seit vielen Jahren als interner und externer Datenschutzbeauftragter für Firmen verschiedener Branchen tätig. Nach seiner Informatikausbildung war er als Projekt-, Bereichsleiter und Manager für bekannte Firmen tätig. Einen besonderen Schwerpunkt legt Herr Behr auf die IT-technische Umsetzung der Datenschutz-Richtlinien im Rahmen des IT-Security Managements z. B. unter Zuhilfenahme des BSI IT-Grundschutzes Handbuches und der ISO 27001.
Weitere Artikel unserer Arzt-Info-Reihe:
- Info 40 Datenübermittlung an Hausarztverband
- Info 42 Datenschutzrisiken in einer Praxis
- Info 43 Datenschutz und KV
- Info 44 Der Datenschutzbeauftragte in der Arztpraxis
- Info 47 Videoüberwachung in Patiententoiletten
- Info 51 Datenschutz und Schweigepflicht
- Info 53 Praxissicherheit
- Info 54 Auskunftsbereitschaft
- Info 56 Pro + Contra Datenschutz durch internen MitarbeiterIn
Weitere Informationen unter:
Telefon: +49-89-3090-488-32 oder Email: presse@inline-sales.net
======================================================
