Einsatz von Dienstleistern

Die in den Praxen eingesetzte Hard- und Software bedarf, um sie technisch und funktional auf einem aktuellen Stand zu halten, der Betreuung und Systempflege. Häufig wird dabei auf entsprechende Dienstleister zurückgegriffen, die vor Ort oder im Rahmen einer Fernwartung notwendige Arbeiten ausführen. Bei diesen handelt es sich nicht um berufsmäßig tätige Gehilfen. Werden Patientendaten im Rahmen der Fernwartung außerhalb der Einrichtung des medizinischen Leistungserbringers, beispielsweise bei einer EDV-Firma, gespeichert, unterliegen sie dort zudem nicht mehr dem besonderen Schutz der ärztlichen Schweigepflicht und des § 203 StGB.

Ein reibungsloses Funktionieren der eingesetzten IT-Systeme erfordert jedoch eine fachkundige Betreuung und Wartung, um deren Funktionsfähigkeit zu erhalten und eine sichere und vertrauenswürdige Informationstechnik zu gewährleisten. Dies liegt mit Blick auf die Behandlungssicherheit und -qualität auch im Interesse der Patienten.

Die zunehmende Komplexität von IT-Lösungen führt dazu, dass dies im Regelfall nicht durch die Praxisinhaber selbst geleistet werden kann. Für eine datenschutzkonforme Beauftragung externer Stellen mit der Systembetreuung und Wartung ist diese über eine vertragliche Vereinbarung, die den Anforderungen nach Art. 28 Abs. 3 DS-GVO Rechnung trägt, abzubilden. Die datenschutzrechtliche Verantwortung verbleibt hierbei beim Auftraggeber, d.h. dem Arzt oder Psychotherapeuten. Art und Umfang der übertragenen Tätigkeiten sowie die übrigen in Art. 28 Abs. 3 DS-GVO angesprochenen Punkte sind in einer schriftlichen Vereinbarung festzulegen. Besonderes Augenmerk gilt dabei der Sicherung von Praxisdaten beim Auftragnehmer und beim Zugriff auf die IT-Systeme der Praxis (vgl. die Maßnahmen nach Art. 32 DS-GVO).

Externe Zugriffe auf die Praxissysteme, wie sie im Rahmen einer Fernwartung erfolgen, dürfen nur mit Wissen und Billigung des Arztes/Psychotherapeuten vorgenommen werden. Ein Zugriff ohne Kenntnis des Praxisinhabers ist auszuschließen, z.B. dadurch, dass ein Zugang erst nach Freischaltung durch die Praxis eröffnet wird. Technisch ist sicherzustellen, dass externe Zugriff erst nach einer verlässlichen Authentifizierung der zugreifenden Stelle (z.B. Benutzerkennung/Passwort) und über eine geschützte (verschlüsselte Verbindung) erfolgen.

Zeitpunkt und Umfang der im Rahmen einer Fernwartung durchgeführten Arbeiten müssen hinreichend nachvollzogen werden können. Dabei muss insbesondere erkennbar sein, von wem zu welchem Zeitpunkt auf welche Daten zugegriffen wurde bzw. welche Arbeiten vorgenommen wurden.

Für die im Rahmen einer KV-SafeNet-Anbindung eingesetzten Anschlusskomponenten (Router)besteht regelmäßig die Möglichkeit, einen Zugriff von Außen – z.B. durch den jeweiligen IT-Dienstleister für Wartungszwecke – zuzulassen oder zu verbieten. Je nach eingesetztem Produkt werden entsprechende Zugriffe aufgezeichnet. Den Umfang der bei der von Ihnen eingesetzten Lösung dazu vorhandenen Funktionen und deren Einstellungsmöglichkeiten können Sie über Ihren KV-SafeNet-Anbieter erfahren.

Mit Blick auf die dem Arztgeheimnis nach § 203 StGB unterliegenden Daten sollte bei der Einbindung von Dienstleistern nach der Art der Wartungsarbeiten unterschieden werden:

  • Arbeiten, die keinen Zugriff auf personenbezogene Daten erfordern (z.B. Installations- und Konfigurationsarbeiten, die Überwachung von Systemzuständen, das Auslesen von Fehlerprotokollen oder die Aktualisierung von System- oder Anwendungsprogrammen). Hier ist eine Wartungsvereinbarung im Allgemeinen unproblematisch.
  • Arbeiten, die mit einem Zugriff auf personenbezogene Daten verbunden sind, bei denen es sich jedoch nicht um Patientendaten, bzw. durch § 203 StGB geschützte Daten handelt (z.B. die Einrichtung und Verwaltung der Benutzer des Praxissystems, die Vergabe von Zugriffsrechten oder das Auslesen von Zugriffsprotokollen). Hier sollten in der Wartungsvereinbarung Regelungen zum Umgang des Dienstleisters mit den Daten getroffen werden (Verschwiegenheitspflicht, Löschung).
  • Arbeiten, die einen Zugriff auf durch § 203 StGB geschützte Daten erfordern. Nach § 203 Abs. 3 Satz 2 StGB dürfen Ärzte und Psychotherapeuten fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist. Damit hat der Gesetzgeber die seit langem geforderte strafrechtliche Klärung einer Einbindung von IT-Dienstleistern in die Tätigkeit von Berufsgeheimnisträgern vorgenommen. Allerdings sind die Praxisinhaber verpflichtet, derartige Zugangsmöglichkeiten nur restriktiv zu gewähren und durch begleitende Maßnahmen wie z.B. eine Protokollierung von Zugriffen und eine Überwachung der Tätigkeiten des Dienstleisters vor Ort zu kompensieren (siehe auch Technische Anlage zu den Hinweisen und Empfehlungen von KBV und BÄK zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, Tz. 10).

    Eine sichere und vertrauenswürdige Informationstechnik und der Erhalt der Funktionsfähigkeit der in der Praxis eingesetzten IT-Systeme liegt auch im Interesse der Patienten. Unter der Voraussetzung einer ausreichenden Information kann davon ausgegangen werden, dass die Patienten mit dem Abschluss des Behandlungsvertrags konkludent in eine fachkundige Betreuung und Wartung durch eine externe Stelle eingewilligt haben.

Check

  1. Wurde ein schriftlicher Vertrag zur Datenverarbeitung im Auftrag abgeschlossen ?
  2. Erfüllt dieser die Vorgaben des Art. 28 DS-GVO?
  3. Bedürfen Fernwartungszugriffe einer vorherigen Freigabe/Freischaltung?
  4. Ist der im Rahmen der Wartung genutzte Online-Zugang hinreichend abgesichert (z.B. Benutzerkennung/Passwort, Token-Lösung etc.)?
  5. Wird die Kommunikationsverbindung verschlüsselt?
  6. Sind die durchgeführten Wartungsarbeiten bzw. die erfolgten Zugriffe nachvollziehbar?
  7. Werden erfolgte Online-Zugriffe nachträglich auf Plausibilität geprüft?