Hinweise zur Benutzung dieses Handbuchs:

Transkript

1

2 Hinweise zur Benutzung dieses Handbuchs: Gelb hinterlegter Text: Blaue Schriftfarbe: Dieses Handbuch enthält ein Glossar, in dem IT-Fachbegriffe erläutert werden, die im Text mehrmals vorkommen (S ). Um bei der Arbeit am PC ein schnelles Auffinden der Glossar-Einträge zu ermöglichen, wurden die Fachbegriffe im Text gelb hinterlegt. Wird ein bestimmter Fachbegriff auf einer Seite mehrmals verwendet, so ist nur die erste Nennung gelb hinterlegt. Bewegen Sie den Cursor mit der Maus über den Bildschirm auf einen gelb hinterlegten Begriff und klicken Sie dann die linke Maustaste, so gelangen Sie unmittelbar zur entsprechenden Stelle im Glossar. Über den Button in der Symbolleiste des Adobe Acrobat Readers gelangen Sie wieder zurück in den Text. Im Handbuch finden sich zahlreiche Internetlinks. Diese sind durch blaue Schriftfarbe gekennzeichnet. Bewegen Sie den Cursor mit der Maus über den Bildschirm auf einen Internetlink und klicken Sie dann die linke Maustaste, so öffnet sich die entsprechende Internetseite im Internetbrowser. Die angegebenen Internetadressen wurden Mitte März 2002 überprüft. In der Zwischenzeit können sich Änderungen ergeben haben. 2

3 IMPRESSUM Herausgeber: Kassenärztliche Bundesvereinigung, Referat Versorgungsformen und Kooperation, Dr. Christina Tophoven (v.i.s.d.p.) Redaktion: Gero Müller Gestaltung: Grafikdesign Antje Lenz, Schumannstr. 22, Köln Satz: Type & Litho E. Hans, Gustav-Cords-Str. 3, Köln Redaktionsanschrift: Kassenärztliche Bundesvereinigung, Referat Versorgungsformen und Kooperation, Herbert-Lewin-Straße 3, Köln 3

4 Das Handbuch ist das Gemeinschaftsprodukt einer Arbeitsgruppe aus Mitarbeitern verschiedener Kassenärztlicher Vereinigungen und der Kassenärztlichen Bundesvereinigung. Der Arbeitsgruppe gehören an: Ekkehard Becker Dr. Christoph Goetz Heike Landwehr Markus März Gilbert Mohr Gero Müller Oliver Pellarin Michael Rabe Timo Rickers Petra Schulte Dr. Christina Tophoven Wilhelm Wilharm KV Schleswig-Holstein KV Bayerns KV Nordbaden KV Hessen KV Nordrhein KBV KV Nordrhein KV Sachsen KV Schleswig-Holstein KV Hamburg KBV KV Niedersachsen Die Kassenärztliche Bundesvereinigung dankt allen Mitgliedern der Arbeitsgruppe. Ohne sie wäre die Herausgabe eines derartigen Handbuchs nicht möglich gewesen. Ebenfalls unverzichtbar war die fachliche Unterstützung durch: Michael Fiene Martin Hanek Dominique Krause Reinhold Mainz Dr. Gerhard Nösser ÄZQ KBV KBV KBV medwell AG 4

5 I N H A L T S V E R Z E I C H N I S Seite 1. Vorwort 8 2. Einführung 9 3. Datenschutz und Datensicherheit im Gesundheitswesen Rechtsnormen, Gefahren, Lösungskonzepte Verschiedene Daten und ihre Schutzwürdigkeit Ärztliche Schweigepflicht, Datenschutz und Datensicherheit rechtlicher Rahmen Einbeziehung von Datenschutzbehörden Organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit Technische Lösungskonzepte zur Gewährleistung von Datenschutz und Datensicherheit Datensicherung Rechner ohne Anbindung an öffentliche Netze (z.b. Internet) Firewall Schutz vor Viren, Würmern und Trojanischen Pferden Verschlüsselung Elektronische Signatur Trust Center Health Professional Card/Elektronischer Arztausweis Provider Quittungsbetrieb und Verfallsdatum von Nachrichten Anonymisierung/Pseudonymisierung Inhaltsstandards für den Austausch von Behandlungsdaten sowie deren Interoperabilität Elektronischer Arztbrief, gemeinsame elektronische Patientenakte Begriffsbestimmung Arztbrief Patientenakte Transportmedium Sicherheits- und Zugriffskonzept Technische Voraussetzungen Verbreitung und Entwicklungsperspektiven Tipps für die Umsetzung 41 Fallbeispiel: Ansätze der KVen für eine gesicherte elektronische Kommunikation zwischen Leistungserbringern D2D (Doctor to Doctor), Autor: Gilbert Mohr, KV Nordrhein 42 5

6 Seite 8. Arztinformationssysteme Befunddokumentation, klinisches Controlling und Entscheidungsunterstützung Qualitätsmanagement und Disease-Management-Programme Befunddokumentation Klinisches Controlling und Entscheidungsunterstützung in Form von Remindern im Rahmen von DMPs Entscheidungsunterstützung: Sonstige Möglichkeiten Telemonitoringsysteme Patienteninformationssysteme Tipps und Materialien für IT-Projekte Vorbemerkung Projektmanagement Die Arbeit mit Checklisten 67 Anhang I: Checklisten Festlegung eines Anwendungsszenarios Elektronischer Arztbrief Gemeinsame elektronische Patientenakte Befunddokumentation, klinisches Controlling und Entscheidungsunterstützung Telemonitoringsysteme Patienteninformationssysteme 87 Anhang II: Glossar 90 Anhang III: Weiterführende Literatur und Internetadressen 96 6

7 A B K Ü R Z U N G S V E R Z E I C H N I S ADT ANSI ATG BDSG BDT BMG BSI D2D DFÜ DICOM DMP DRG DSL EDIFACT FTP GDT GSM HL7 HPC HTML ISDN ISO ISP IT IV KBV KIS KV KVDT KVK LDT MBO PDCA PKI PVS SGB StGB TAN TDG TPC / IP UMTS VCS VDAP VPN W3C www XML ZI Abrechnungs-Daten-Transfer oder Abrechnungs-Daten-Träger American National Standards Institute Aktionsforum Telematik im Gesundheitswesen Bundesdatenschutzgesetz Behandlungs-Daten-Transfer oder Behandlungs-Daten-Träger Bundesministerium für Gesundheit Bundesamt für Sicherheit in der Informationstechnik Doctor to Doctor Datenfernübertragung Digital Imaging and Communications in Medicine Disease-Management-Programme Diagnoses Related Group Digital Subscriber Line Electronic Data Interchange for Administration, Commerce and Transport File Transfer Protocol Geräte-Daten-Transfer oder Geräte-Daten-Träger Global System for Mobile Communications Health Level Seven Health Professional Card Hypertext Markup Language Integrated Service Digital Network International Standard Organization Internet Service Provider Informationstechnologie Integrierte Versorgung Kassenärztliche Bundesvereinigung Krankenhausinformationssystem Kassenärztliche Vereinigung KV-Daten-Transfer oder KV-Daten-Träger Krankenversichertenkarte Labor-Daten-Transfer oder Labor-Daten-Träger Muster-Berufsordnung Plan-Do-Check-Act (-Zyklus) Public Key Infrastructure Praxisverwaltungssystem Sozialgesetzbuch Strafgesetzbuch Transaktionsnummer Teledienstegesetz Transmission Control Protocol / Internet Protocol Universal Mobile Telecommunications System VDAP Communication Standard Verband Deutscher Arztpraxissoftwarehersteller Virtuelles Privates Netzwerk (Virtual Private Network) World Wide Web Consortium World Wide Web extensible Markup Language Zentralinstitut für die kassenärztliche Versorgung 7

8 1. Vorwort Das Interesse am Einsatz von Informationstechnologie (IT) im Gesundheitswesen wächst. In zahlreichen Studien werden Anwendungsfelder skizziert sowie die Auswirkungen auf Qualität und Wirtschaftlichkeit der Versorgung analysiert. Es werden Anstrengungen unternommen, die Entwicklung und Verbreitung von IT-Lösungen durch die Festlegung von Standards voranzutreiben. Hervorzuheben ist das Aktionsforum Telematik im Gesundheitswesen ; eine gemeinsame Initiative wichtiger Akteure der Selbstverwaltung im Gesundheitswesen. Parallel zu den Bemühungen um eine bessere Integration der Versorgungsangebote wächst der Bedarf an IT-Anwendungen, die Versorgungsprozesse abbilden und die Abstimmung zwischen verschiedenen Akteuren erleichtern. Impulse werden hier insbesondere durch die Disease-Management-Programme gesetzt. Die Kassenärztlichen Vereinigungen und die KBV haben das vorliegende Handbuch Informationstechnologie in ärztlichen Kooperationen gemeinsam entwickelt. Sie wollen niedergelassenen Ärzten die Orientierung erleichtern. Das Handbuch richtet sich an Leser, die einen kompakten Einstieg in das Thema suchen. Auf eine detaillierte Erläuterung von technischen Einzelaspekten wurde deshalb verzichtet. Schwerpunkt ist die Darstellung von ausgewählten Anwendungen wie dem elektronischen Arztbrief oder der gemeinsamen elektronischen Patientenakte. Für den IT-Einsatz im Gesundheitswesen haben Datenschutz und Datensicherheit einen besonderen Stellenwert. Im Handbuch wird ausführlich dargestellt, auf welchem Weg die Vertraulichkeit von Patientendaten im Rahmen von IT-Anwendungen gesichert werden kann. Als Hilfsmittel für konkrete Projekte sind die Checklisten am Ende des Handbuchs gedacht. Sie enthalten die wesentlichen Punkte, die bei der Planung von IT-Lösungen zu berücksichtigen sind. Sollten im Einzelfall vertiefende Informationen gewünscht werden, stehen die IT-Berater der KVen gerne zur Verfügung. Neben einer Beratung bieten die KVen zum Teil sogar die technische Infrastruktur für IT-Anwendungen an. Dr. Leonhard Hansen Zweiter Vorsitzender der KBV 8

9 2. Einführung Die Informationstechnologie, kurz IT, ist aus dem Gesundheitswesen nicht mehr weg zu denken. Die Einsatzfelder der Informationstechnologie reichen von der Patienten- und Behandlungsdatenerfassung beim niedergelassenen Arzt bis zum komplexen Krankenhausinformationssystem (KIS). Die Kassenärztlichen Vereinigungen erfassen die Abrechnungsdaten aus den Arztpraxen. KVen und Krankenhäuser übermitteln wiederum Daten zu den erbrachten Leistungen an die Krankenkassen. Daneben gibt es eine ganze Reihe weiterer Datenströme von Leistungserbringern zu Krankenkassen. Dabei handelt es sich vorrangig um Abrechnungsdaten. IT in der vertragsärztlichen Versorgung Bis Anfang der 90er Jahre erfolgte die Abrechnung vertragsärztlicher Leistungen gegenüber den KVen ausschließlich auf der Basis von Papierbelegen (ausgefüllte Krankenscheine). Das Zusammenstellen der Abrechnungsunterlagen in den Arztpraxen war zeitaufwendig. So ist es kein Wunder, dass der Siegeszug der Praxis-EDV hier seinen Ausgangspunkt hatte. Denn ein Praxisverwaltungssystem (PVS) erstellt die Abrechnungsdaten auf Knopfdruck, statt sortierter und gebündelter Krankenscheine können den KVen digitale Datenträger (z.b. Disketten oder CD-ROMs) übermittelt werden. Mittlerweile rechnen die meisten Ärzte (ca %) auf diesem Weg mit ihrer KV ab. Die rund 200 PVS haben in der Regel weitere Funktionalitäten, wie Elektronische Patientenkartei, Behandlungsdokumentation, Arzneimitteldatenbank oder Formularbedruckung. Viele Ärzte nutzen nur einen Teil dieser Funktionalitäten neben der elektronischen Abrechnung vor allem die Formularbedruckung. Elektronische Behandlungsdokumentationen sind wesentlich seltener anzutreffen. Neben der KV ist das Labor der zweite wichtige Kommunikationspartner, mit dem ein Teil der Ärzte zusammenarbeitet. Hier geschieht der Datentransfer meist online. Unter den Laboren fand in früheren Jahren ein starker Preis- und Verdrängungswettbewerb statt. Die elektronische Datenkommunikation war eine wesentliche Voraussetzung, um sich am Markt zu behaupten. Auch für veranlassende Ärzte ist die elektronische Kommunikation mit dem Labor von Vorteil: Praxisabläufe können damit wesentlich rationalisiert werden, da die zahlreichen Laborwerte automatisch in das PVS eingelesen werden. Auf anderen Feldern steckt der elektronische Austausch von Behandlungsdaten zwischen Ärzten noch in den Anfängen. IT in der stationären Versorgung Auch im Krankenhaus wurden IT-Werkzeuge zunächst für die Abrechnung und andere administrative Aufgaben eingesetzt. Später kamen Anwendungen für die organisatorische Abwicklung von Teilschritten in der Versorgung hinzu, wie die Erstellung von Entlassungsberichten, der Zugriff auf medizinische Datenbanken, Remindersysteme 1 oder die elektronische Anforderung von Untersuchungen bei anderen Abteilungen wie der Radiologie oder dem Labor. Seit einiger Zeit gibt es auch verstärkt Ansätze zur Entwicklung von krankenhausweiten elektronischen Patientenakten. 1 Reminder: Funktionalität, die den Anwender an eine bestimmte Handlung erinnert, beispielsweise den Arzt an eine durchzuführende Untersuchung (engl. to remind: erinnern). 9

10 In der Vergangenheit wurden isolierte IT-Anwendungen für verschiedene Teilprozesse entwickelt. Zunehmend wird jedoch die Integration der verschiedenen Anwendungen zu einem umfassenden Krankenhausinformationssystem (KIS) angestrebt, das sowohl in der Patientenversorgung als auch in der Verwaltung eingesetzt wird. Durch die Integration der verschiedenen Komponenten sollen Informationen verfügbar werden, die in anderen Bereichen des Krankenhauses erhoben wurden. Dadurch verfügt beispielsweise das Management über eine wesentlich breitere Informationsbasis, was insbesondere für Budgetverhandlungen mit den Kostenträgern, aber auch für Qualitätssicherungsmaßnahmen Voraussetzung ist. Die Notwendigkeit verbesserter IT-Systeme resultiert auch aus der Einführung von Diagnoses Related Groups (DRGs) als zukünftige Form der Krankenhausfinanzierung. Systeme, die aus allen Behandlungsdaten des Patienten die ertragreichste Fallpauschale ermitteln, werden für ein Krankenhaus essentiell. In der Patientenbehandlung ist die Zusammenführung verschiedener Daten von Vorteil, wenn diese z.b. für eine Mit- oder Weiterbehandlung benötigt werden. Elektronische Kommunikation innerhalb und zwischen den Sektoren Bei der gemeinsamen Versorgung eines Patienten durch mehrere Leistungserbringer sind eine umfassende Koordination und Kommunikation notwendig und für den Behandlungserfolg entscheidend. Die Kommunikation auf dem elektronischen Weg hat Vorteile. Sie ist schnell und kostengünstig. Außerdem könnten die benötigten Daten prinzipiell direkt aus den EDV-Systemen der Anwender ausgelesen bzw. in diese eingelesen werden. Zum gegenwärtigen Zeitpunkt ist die elektronische Kommunikation kaum verbreitet. Neben technischen Gründen ist dies darauf zurückzuführen, dass sie bislang in den Organisationsüberlegungen der Akteure einen geringen Stellenwert hatte. Mit der zunehmenden Integration von Versorgungsprozessen wird sich dies ändern. Verstärkte Impulse zur Integration werden in den nächsten Jahren von Krankenhäusern ausgehen: Sie werden sich im Zuge der Einführung von Fallpauschalen auf bestimmte Leistungen spezialisieren. Um dies zu realisieren, sind sie auf entsprechende Einweisungen niedergelassener Ärzte angewiesen. Darüber hinaus werden Krankenhäuser die durchschnittlichen Verweildauern senken. Dies gelingt nur, wenn im ambulanten Bereich abgestimmte Versorgungsangebote für Schwerstkranke und für Patienten mit vorrangig pflegerischen und sozialen Problemen aufgebaut werden. Nicht zuletzt erfordern Disease-Management-Programme (DMP) und integrierte Versorgung (IV) eine verbesserte Kommunikation. Disease Management Ab dem Jahr 2002 werden mit der Entwicklung von Disease-Management-Programmen neue Herausforderungen auf das Gesundheitswesen im allgemeinen und die niedergelassenen Ärzte im besonderen zukommen. Mit Disease-Management-Programmen soll die Versorgung von chronisch Kranken verbessert werden. Ab dem Jahr 2002 werden DMPs für bestimmte Indikationen bei den Ausgleichszahlungen im RSA gesondert berücksichtigt. Disease Management ist ein facettenreiches Konzept. Die folgende Auswahl von Definitionen verdeutlicht dies: Strukturiertes Behandlungsprogramm das ist eine deutsche Entsprechung für die Bezeichnung DMP. Dabei geht es darum, genau festzulegen, wie und von wem Patienten mit einer bestimmten, meist chronischen, Erkrankung zu behandeln sind. Die Qualität der Versorgung soll einheitlich für alle Patienten besser werden und die Bedeutung zufälliger Einflüsse in den Hintergrund treten. KBV Klartext, Ausgabe Januar 2002, Seite 3 Jedes Disease Management muss von einer durch ihr Krankheitsbild klar definierten Patientengruppe ausgehen. Leitbild ist die Vermeidung der Krankheit, ihrer Verschlechterung oder des Entstehens von Folgeschäden, wobei hierfür im einzelnen konsentierte Therapieziele genannt werden müssen. Die Programmentwicklung wird vom erwarteten Ergebnis her konzipiert. Maßgeblich ist der Blick auf den behandlungsbedürftigen Krankheitsverlauf 10

11 in seiner Gesamtheit; sämtliche Behandlungsschritte werden unter systematischer Berücksichtigung der Einflussmöglichkeiten auf diesen Krankheitsverlauf beurteilt. Im Gegensatz zum Blick des Arztes auf den konkreten Patienten mit seinen individuellen Bedürfnissen nimmt Disease Management somit die Perspektive der klinischen Epidemiologie ein. Diese betrachtet Patientenkollektive und leitet Handlungsempfehlungen aus statistischen Vergleichen ab. Dominik von Stillfried, Leonhard Hansen: Kollektivvertragliche Strukturen einbinden Für eine arbeitsfähige Definition von Disease Management, Forum für Gesundheitspolitik, Oktober 2001, S. 380 Disease-Management ist ein systematischer, sektorenübergreifender und populationsbezogener Ansatz zur Förderung einer kontinuierlichen, evidenzbasierten Versorgung von Patienten mit chronischen Erkrankungen über alle Krankheitsstadien und Aspekte der Versorgung hinweg Karl W. Lauterbach: Disease-Management in Deutschland Voraussetzungen, Rahmenbedingungen, Faktoren zur Entwicklung, Implementierung und Evaluation. Gutachten im Auftrag des Verbandes der Angestellten-Krankenkassen e.v. (VdAK) und des Arbeiter-Ersatzkassen-Verbandes e.v. (AEV), Köln, Herbst In einer Rechtsverordnung wird das Bundesgesundheitsministerium auf Empfehlung des Koordinierungsausschusses Anforderungen an die Ausgestaltung von DMPs festlegen. Nach 137 f SGB V sind auf mehreren Feldern Anforderungen zu benennen: 1. Behandlung nach evidenzbasierten Leitlinien, 2. durchzuführende Qualitätssicherungsmaßnahmen, 3. Voraussetzungen und Verfahren für die Einschreibung des Versicherten in ein Programm, einschließlich der Dauer der Teilnahme, 4. Schulungen der Leistungserbringer und der Versicherten, 5. Dokumentation und 6. Bewertung der Wirksamkeit und der Kosten (Evaluation) und die zeitlichen Abstände zwischen den Evaluationen eines Programms sowie die Dauer seiner Zulassung nach 137 g. Ein wesentlicher Bestandteil von DMPs werden die fortlaufenden Dokumentationen der Befunde der eingeschriebenen Versicherten sein. Diese Dokumentationen können für Qualitätssicherungsmaßnahmen und die Evaluation der Programme herangezogen werden. In Anbetracht der großen Versichertenzahlen, die in DMPs zu erwarten sind, ist eine Befunddokumentation mittels Papierbögen kaum zu realisieren. Hier wird der Einsatz von IT zu erheblichen Effizienzgewinnen führen. Auch im Bereich der Schulung und Information von Leistungserbringern und Versicherten können IT-Lösungen sinnvoll genutzt werden: Über Arzt- und Patienteninformationssysteme kann ein großer Personenkreis angesprochen werden. Zudem können die Schulungsinhalte in einer ansprechenden Form z.b. mit interaktiven Programmelementen vermittelt werden. Integrierte Versorgung Im Rahmen der integrierten Versorgung nach 140 a h SGB V werden interdisziplinäre und sektorübergreifende Behandlungsketten einen hohen Stellenwert haben. Sie werden mit zunehmenden Dokumentationspflichten, der Teilnahme an einem praxis- und sektorübergreifenden Qualitätsmanagement sowie einer intensivierten Kommunikation einhergehen. In all diesen Bereichen können IT-Lösungen sinnvoll eingesetzt werden. Laut 140 b SGB V müssen die Vertragspartner der Krankenkassen eine ausreichende Dokumentation, die allen an der integrierten Versorgung Beteiligten im jeweils erforderlichen Umfang zugänglich sein muss, sicherstellen. Ohne eine entsprechende IT-Lösung ist diese Forderung nicht zu erfüllen. 2 Einzusehen unter: 11

12 Über eine Zusammenführung ökonomischer und medizinischer Verantwortung sollen in der IV Anreize für eine effizientere Behandlungsweise gesetzt werden. Ökonomische Verantwortung kann nur übernommen werden, wenn ausreichende Controllinginstrumente zur Verfügung stehen. Auch hier werden IT-Lösungen gefragt sein, um fortlaufend einen Überblick über Einnahmen und Ausgaben zu haben. Aus all diesen Gründen nennt die Rahmenvereinbarung zur IV in 6 die Befähigung zur Teilnahme am elektronischen Informationsaustausch in der integrierten Versorgung als obligatorische Mindestanforderung für die teilnehmenden Ärzte. 12

13 3. Datenschutz und Datensicherheit im Gesundheitswesen Rechtsnormen, Gefahren, Lösungskonzepte 3.1 Verschiedene Daten und ihre Schutzwürdigkeit Der niedergelassene Arzt hat es in seiner Praxis überwiegend mit drei Arten von Daten zu tun: Patientenstammdaten Behandlungsdaten Abrechnungsdaten betriebswirtschaftliche Daten der Praxis. Patientenstammdaten, Behandlungsdaten und Abrechnungsdaten weisen einen Bezug zu den behandelten Patienten auf. Daten mit Patientenbezug unterliegen besonderen Schutzvorschriften (ärztliche Schweigepflicht, Datenschutzgesetze). Bei jeglicher Datenverarbeitung ist daher für diese Daten ein besonders hoher Sicherheitsstandard einzuhalten. Betriebswirtschaftliche Daten, die Dritte betreffen (z.b. Gehaltsdaten der Praxismitarbeiter), unterliegen den allgemeinen datenschutzrechtlichen Bestimmungen, die jedes Unternehmen zu beachten hat und die beispielsweise im Bundesdatenschutzgesetz oder im Steuerrecht niedergelegt sind. Anders sieht es bei den persönlichen Daten des Arztes aus, sofern sie in der Arztpraxis gespeichert und verarbeitet werden. Wie der Umgang mit diesen Daten gestaltet wird, obliegt dem Sicherheitsbedürfnis des Arztes. Auf den Bereich der betriebswirtschaftlichen Daten wird hier nicht weiter eingegangen. 3.2 Ärztliche Schweigepflicht, Datenschutz und Datensicherheit rechtlicher Rahmen Allgemeine rechtliche Vorgaben Alle Vorgaben zum Datenschutz (vgl. beispielsweise 4 Bundesdatenschutzgesetz) gehen von dem Grundsatz aus, dass für Daten, die Dritte betreffen, prinzipiell ein Verarbeitungs- und Übermittlungsverbot mit Erlaubnisvorbehalt besteht. Die Verarbeitung und Übermittlung ist nur dann zulässig, wenn eine Erlaubnis hierfür vorliegt. Eine derartige Erlaubnis kann aus einer Rechtsvorschrift herrühren oder aus der Zustimmung der betroffenen Person. Im Verarbeitungs- und Übermittlungsverbot mit Erlaubnisvorbehalt spiegelt sich das vom Bundesverfassungsgericht festgelegte Recht auf informationelle Selbstbestimmung wider. Für den Umgang mit patientenbezogenen Daten sind für niedergelassene (Vertrags-) Ärzte im wesentlichen folgende Rechtsgrundlagen relevant: ärztliche Berufsordnung Sozialgesetzbuch (SGBV) Bundesdatenschutzgesetz (BDSG) Strafgesetzbuch (StGB). Ordnungsgemäße Dokumentation An vorderster Stelle hat der Patient aus dem Behandlungsvertrag einen Anspruch auf ordnungsgemäße Dokumentation der Behandlung durch den Arzt. Dazu steht im 10 Abs. 1 der (Muster-) Berufsordnung (MBO), dass der Arzt über die in Aus- 13

14 übung seines Berufs gemachten Feststellungen und getroffenen Maßnahmen die erforderlichen Aufzeichnungen zu machen hat. Die Aufzeichnungen sind nicht nur Gedächtnisstütze für den Arzt, sondern dienen auch dem Interesse des Patienten an einer ordnungsgemäßen Dokumentation, die gegebenenfalls bei einer späteren Behandlung oder bei einer Weiterbehandlung durch andere Ärzte benötigt wird. Der Arzt dokumentiert aber auch im eigenen Interesse. Wird ihm ein Behandlungsfehler vorgeworfen, treten für den Kläger Beweiserleichterungen in Kraft, falls der Arzt nicht ordnungsgemäß dokumentiert hat. Im Extremfall kann es zu einer Beweislastumkehrung zu Lasten des Arztes kommen, d.h. dass er die Vermutung eines Behandlungsfehlers widerlegen und nicht der Kläger den Behandlungsfehler nachweisen muss. Aufbewahrungsfristen Die für die ärztliche Dokumentation geltenden Aufbewahrungsfristen sind unterschiedlich geregelt. Der 10 Abs. 3 der MBO schreibt vor, Aufzeichnungen für die Dauer von 10 Jahren nach Abschluss der Behandlung aufzubewahren. Es gibt aber auch gesetzliche Bestimmungen, die eine längere Aufbewahrungsfrist vorsehen. Das Transfusionsgesetz verlangt ein 15- oder in bestimmten Fällen 20-jähriges Aufbewahren der Daten. Nach der Röntgenverordnung müssen die Patientendaten von Strahlenbehandlungen 30 Jahre archiviert werden. Für den niedergelassenen Arzt geht die Pflicht zur Aufbewahrung zeitlich auch über die Tätigkeit in seiner Praxis hinaus. Diese Pflicht ist auch erfüllt, wenn die Aufzeichnungen und Untersuchungsbefunde einem anderen Arzt in Obhut gegeben werden, der sie nur mit Einwilligung des Patienten einsehen oder weitergeben darf. Weitergabe von Patientendaten Patientendaten unterliegen der ärztlichen Schweigepflicht. Der Patient muss darauf vertrauen können, dass alles, was er dem Arzt in Zusammenhang mit einer ärztlichen Behandlung mitteilt, auch vertraulich bleibt. Nur so entsteht das für eine erfolgreiche Behandlung notwendige Vertrauensverhältnis. Die Verpflichtung des Arztes zur Wahrung des Berufsgeheimnisses ergibt sich nicht nur aus 9 der MBO, sondern ist durch 203 Strafgesetzbuch auch unter strafrechtlichen Schutz gestellt. 3 Nach 9 der MBO hat der Arzt über alles, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist auch über den Tod des Patienten hinaus zu schweigen. Dem unterliegen auch schriftliche Mitteilungen des Patienten, Aufzeichnungen über den Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde. Die Pflicht zur Verschwiegenheit gilt allerdings nicht uneingeschränkt. So gibt es gesetzlich normierte Offenbarungspflichten. In diesen Fällen bedarf es keiner Einwilligung des Patienten; dieser hat auch nicht das Recht, die Übermittlung zu untersagen. Beispielsweise gilt dies für Meldungen nach dem Infektionsschutzgesetz oder für die Übermittlung von Abrechnungsdaten an die Kassenärztlichen Vereinigungen 4 und den Datenaustausch zwischen Leistungserbringern und Krankenkassen nach dem SGB V. Der Patient kann den Arzt von seiner Schweigepflicht entbinden. In Fällen der Mit- oder Weiterbehandlung durch andere Ärzte wird das im Regelfall anzunehmen sein, ohne dass der Patient die Einwilligung ausdrücklich oder sogar schriftlich erklären muss. In anderen Fällen, beispielsweise bei einer Auskunft gegenüber einer Versicherung, ist dagegen eine ausdrückliche bzw. schriftliche Einwilligung des Patienten erforderlich. Für die Datenübermittlung zwischen Haus- und Fachärzten in Bezug auf gesetzlich krankenversicherte Patienten sieht der 73 Abs. 1b SGB V ebenfalls eine schriftliche Einwilligung des Patienten vor, die allerdings nicht für jeden einzelnen Übermittlungsvorgang eingeholt werden muss, sondern pauschal erteilt werden kann. Befreit der Patient seinen Arzt von der Schweigepflicht, gilt das in der Regel nur für die Offenbarung gegenüber einem bestimmten Empfänger und im definierten Umfang. Dem Patienten muss klar sein, wer was zu welchem Zweck verarbeiten, 3 Dabei gilt 203 StGB nicht nur für Ärzte, sondern für die Angehörigen sämtlicher Heilberufe, bei denen für die Berufsausübung oder Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erforderlich ist. 4 Hierunter fallen Name, Anschrift, Geburtsdatum, Krankenkasse und Versichertennummer des Patienten sowie die ärztlichen Leistungen einschließlich der Diagnose. Die Übermittlung von einzelnen Befunden ist dagegen weder vorgesehen noch zulässig. 14

15 speichern und/oder übermitteln darf. Bei gemeinsamen elektronischen Patientenakten, auf die mehrere Leistungserbringer Zugriff haben, ist diese Bedingung nicht ohne weiteres zu erfüllen. Hier müssen ausgefeilte Zugriffskonzepte entwickelt und durch eine Zugriffsdokumentation für Kontrollzwecke ergänzt werden (vgl. Kap. 7). Aus den bisherigen Ausführungen ergibt sich, dass der Arzt für das Speichern und Übermitteln von Patientendaten den Datenschutz und die Datensicherheit durch geeignete Maßnahmen gewährleisten muss. Das bedeutet, dass er technische und organisatorische Maßnahmen (vgl. Kap. 4 und 5) zu treffen hat, um Unbefugten die Einsichtnahme in die Daten zu verwehren. Haftungsrechtliche Vorgaben beim elektronischen Austausch von Behandlungsdaten Beim elektronischen Übermitteln von Daten haftet der Absender dafür, dass die Daten ordnungsgemäß signiert und verschlüsselt werden. Es muss sichergestellt sein, dass das signierte Dokument auch mit dem auf dem Bildschirm angezeigten Inhalt übereinstimmt. Auf der anderen Seite muss der Empfänger den Absender identifizieren und die Unverfälschtheit der Daten überprüfen. Nicht signierte Daten oder erkennbar verfälschte Daten darf der Arzt nicht zur Grundlage seiner Entscheidung machen. Beide Seiten, Sender und Empfänger, müssen aus beweisrechtlichen Gründen dokumentieren, dass sie diesen Verpflichtungen nachgekommen sind. 5 Eine Besonderheit digitaler gegenüber herkömmlichen Dokumentations- und Übermittlungsverfahren sind mögliche Fehlinformationen des Arztes. In der Mehrzahl der Fälle resultieren diese aus Bedienungsfehlern, seltener aus fehlerhafter Software. Falsche Zuordnung von begleitenden Patientendaten oder Fehler bei der Darstellung des Datensatzes auf dem Bildschirm können die Folge sein. Eine regelmäßige Softwarepflege und eine umfassende Schulung der Mitarbeiter sollten selbstverständlich sein, um Behandlungsfehler und möglicherweise daran anknüpfende haftungsbegründende Vorwürfe einer Sorgfaltspflichtverletzung zu vermeiden. Im übrigen sei auf die Kap. 4 und 5 verwiesen. 3.3 Einbeziehung von Datenschutzbehörden Schon in der Planungsphase von IT-Projekten, die den Datenschutz berühren, ist es empfehlenswert, mit dem zuständigen Datenschutzbeauftragten bzw. der zuständigen Behörde zusammenzuarbeiten, auch wenn es hierfür keine formale Verpflichtung gibt. Lediglich bei Standardlösungen, die weit verbreitet sind und zu denen es bisher keine Beanstandungen gab, kann unter Umständen auf das Votum eines Datenschutzbeauftragten verzichtet werden. Dabei sind unterschiedliche Zuständigkeiten zu berücksichtigen: Für den öffentlichen Bereich unter Landeshoheit (z.b. Krankenhäuser mit öffentlichen Trägern) sind die Datenschutzbeauftragten der Länder zuständig. Für den nicht-öffentlichen Bereich (z.b. niedergelassene Ärzte) sind nach 38 BDSG die Aufsichtsämter zuständig. Welche Behörde die Funktion des Aufsichtsamtes wahrnimmt, variiert von Bundesland zu Bundesland. Dies können die Innenministerien, die Datenschutzbeauftragten des Landes oder die Regierungspräsidien / Bezirksregierungen sein. Im konkreten Einzelfall empfiehlt sich eine Nachfrage beim Innenministerium des Bundeslandes, um die Aufsichtsbehörde in Erfahrung zu bringen. Bei Projekten im öffentlichen Bereich, die mehrere Bundesländer betreffen, sind somit mehrere Landesdatenschutzbeauftragte zuständig und in die Planungen einzubeziehen. Bei Projekten im nicht-öffentlichen Bereich ist unter Umständen zu mehreren Aufsichtsämtern Kontakt zu suchen bei landesübergreifenden Projekten oder bei Projekten, die mehrere Regierungsbezirke betreffen, sofern die Regierungspräsidien als Aufsichtsämter fungieren. Auf mögliche Kompetenzüberschnei- 5 Vgl. Klaus Ulsenheimer, Nicola Heinemann: Rechtliche Aspekte der Telemedizin Grenzen der Telemedizin? In: Jäckel (Hrsg.) Telemedizinführer Deutschland, Ausgabe 2000, S

16 dungen ist auch bei Projekten zu achten, die sowohl den öffentlichen als auch den nicht-öffentlichen Bereich betreffen. Aufgrund der Aufgabenteilung kann es bei entsprechenden Projekten zu einem hohen Maß an organisatorischem Mehraufwand kommen. Dem oder den Datenschutzbeauftragten sollte am besten eine detaillierte technische und organisatorische Darstellung des IT- Projekts in schriftlicher Form vorgelegt werden. Von den zuständigen Behörden wird dieses Konzept begutachtet; das Ergebnis dieser Begutachtung fließt in eine schriftliche Stellungnahme ein. In dieser Stellungnahme werden entweder Bedenken gegen das Projekt geäußert und Verbesserungsvorschläge unterbreitet (negatives Votum). Oder es wird darauf hingewiesen, dass aufgrund der eingereichten Unterlagen keine Einwände gegen das Projekt vorliegen (positives Votum). 6 Dieses Votum schützt die Projektverantwortlichen allerdings nicht für alle Zeit vor datenschutzrechtlichen Einwänden. Schließlich können Datenschutzbeauftragte im Vorfeld allenfalls Konzepte prüfen. Bei der Realisierung können Probleme auftreten, die im Vorfeld nicht absehbar waren. Gibt es nach der Realisierung Beschwerden 7 oder andere Anhaltspunkte für Datenschutzverletzungen, prüfen die Behörden die Umsetzung und können hier eventuell zu einem ganz anderen Votum gelangen als bei der Begutachtung des Konzepts. Es ist generell von Vorteil, wenn Telematik-Projekte 8 im technischen Bereich Lösungen einbeziehen, die bereits erprobt sind und bei denen es bisher keine datenschutzrechtlichen Einwände gab. Aber auch hier ist die Zuständigkeit der Länder im Bereich des Datenschutzes zu beachten, positive Einschätzungen lassen sich nicht ohne weiteres übertragen. Seitens der Datenschutzbeauftragten wird besonderer Wert auf die Umsetzung der technischen Standards und organisatorischen Vorgaben gelegt, die zur Gewährleistung von Datenschutz und Datensicherheit geeignet sind. Wichtig sind in diesem Zusammenhang die entsprechenden Schulungen und Aufklärungen des an der automatischen Datenverarbeitung beteiligten Personals. 6 In Schleswig-Holstein werden ab 2002 Gütesiegel für Produkte vergeben, die unter Datenschutz-Gesichtspunkten zu empfehlen sind. Das Gütesiegel wird i.a. durch den Hersteller beantragt; im Vorfeld muss ein zugelassener Auditor ein Gutachten erstellen. Gütesiegel können nur für Produkte beantragt werden, die für den Einsatz im öffentlichen Bereich geeignet sind. Bei Kommunikationslösungen für das Gesundheitswesen kann dies der Fall sein (Bsp. öffentliche Krankenhäuser). 7 Beispielsweise kann sich jeder Betroffene, der der Ansicht ist, dass eine nicht-öffentliche Stelle gegen datenschutzrechtliche Bestimmungen verstoßen hat, an das Aufsichtsamt wenden. 8 Telematik: Kunstwort aus Telekommunikation und Informatik; bezeichnet die Übermittlung digitaler Daten auf elektronischem Weg. 16

17 4. Organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit Der Einsatz eines Praxisverwaltungssystems und das damit verbundene elektronische Erfassen und Speichern von Patientendaten verlangen vom Arzt besondere Maßnahmen zur Gewährleistung eines wirksamen Datenschutzes und einer wirksamen Datensicherheit. Als erstes sollte ein EDV-Arbeitsplatz so eingerichtet sein, dass der Bildschirm, auf dem die Patientendaten erscheinen, nicht von unbefugten Personen einzusehen ist. Auch bei kurzfristiger Abwesenheit des Praxispersonals sollten diese ausgeblendet werden. Es ist empfehlenswert, den Zugang zum PVS mindestens über eine Benutzerkennung und ein Passwort zu regeln. Es ist besonders darauf zu achten, dass Benutzerkennungen und Passwörter nach dem Ausscheiden von Mitarbeitern geändert werden. Über die Kombination Benutzerkennung und Passwort hat der Praxisinhaber die Möglichkeit, den Zugang zum System zu regeln. Über das Rechtekonzept der Anwendung können Zugriffsrechte an Teilen der Anwendung differenziert für die einzelnen Accounts freigegeben werden. Besondere Aufmerksamkeit verlangt die Wartung eines PVS einschließlich der Fehlerkorrektur von Software oder des Übernehmens neuer Softwareversionen (Softwarepflege). Es empfiehlt sich, Pflege-, Wartungs- und Reparaturarbeiten ausschließlich in der Praxis unter Aufsicht des Praxisinhabers oder eines Praxismitarbeiters durchführen zu lassen. Wenn möglich, soll sich der Datenzugriff auf Testdaten beschränken oder die patientenbezogenen Daten sollten nur in verschlüsselter Form auf der Festplatte abgespeichert werden. Bei einer Wartung, Reparatur oder Softwarepflege außerhalb der Praxis wird der vorherige Ausbau der Festplatte dringend empfohlen. Von einer Fernwartung eines PVS oder einer Fehlerdiagnose über eine DFÜ 9 -Leitung ist in der Regel abzuraten. Außerdem sollten der Computer und die getrennt gelagerte Datensicherung durch geeignete Maßnahmen (Alarmanlage, Einbruchsicherung) vor Diebstahl geschützt werden. 10 Arztpraxen, in denen mindestens fünf Mitarbeiter personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, müssen nach dem BDSG einen betrieblichen Datenschutzbeauftragten schriftlich bestellen und der Praxisleitung direkt unterstellen. 11 Er hat laut Gesetz die erforderliche Fachkunde und Zuverlässigkeit zu besitzen und ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Der gesetzlichen Verpflichtung kann dadurch Genüge getan werden, dass ein Mitarbeiter der Arztpraxis, der über Kenntnisse der technischen Abläufe und der rechtlichen Rahmenbedingungen verfügt, mit der Wahrnehmung dieser Aufgabe betraut wird. Ein Externer kann diese Aufgabe übernehmen; wenn dabei die Regelungen zur Einhaltung der ärztlichen Schweigepflicht beachtet werden. 12 Der betriebliche Datenschutzbeauftragte hat laut Gesetz insbesondere zwei Aufgaben: Zum einen muss er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwachen. Zum anderen muss er die Mitarbeiter, die personenbezogene Daten verarbeiten, mit Datenschutzvorschriften und den besonderen Erfordernissen des Datenschutzes vertraut machen. 9 DFÜ: Datenfernübertragung. Allgemeine Bezeichnung für die Datenübertragung zwischen Computern, z.b. mit einem Modem oder einer ISDN-Karte, unabhängig von der Art der übertragenen Daten. 10 Eine ausführliche Darstellung von organisatorischen und technischen Maßnahmen findet sich auch in den Empfehlungen zu ärztlicher Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis der Bundesärztekammer aus dem Jahr Vgl. Deutsches Ärzteblatt vom 25. Oktober 1996 die Empfehlungen sind über das Archiv des Deutschen Ärzteblattes im Internet abrufbar ( Vgl. auch Kassenärztliche Vereinigung Bayerns: Ärztliche Schweigepflicht, Datenschutz in der Arztpraxis, Sicherheit der Praxis-EDV, Datenschutzbroschüre im Eigenverlag der Kassenärztlichen Vereinigung Bayerns, 2. Auflage, Bei Erhebung, Verarbeitung oder Nutzung auf andere Weise liegt die Grenze für die Bestellung eines betrieblichen Datenschutzbeauftragten bei 20 Mitarbeitern. 12 Zur Frage der Bestellung von Datenschutzbeauftragten in Arztpraxen hat die Rechtsberatertagung der Kassenärztlichen Vereinigungen und der Ärztekammern am eine Stellungnahme abgegeben. Sie kann auf den Internetseiten der KBV ( eingesehen werden. 17

18 5. Technische Lösungskonzepte zur Gewährleistung von Datenschutz und Datensicherheit Zur Erfüllung der Anforderungen an Datenschutz und Datensicherheit in Arztpraxen, die mit EDV arbeiten, gibt es eine Reihe technischer Lösungskonzepte. Sie setzen an verschiedenen Punkten an. Die im folgenden vorgestellten technischen Maßnahmen sind je nach Anwendungszusammenhang in Verbindung mit organisatorischen Vorkehrungen zu einem sinnvollen Sicherheitskonzept zusammenzuführen. Allerdings: Absolute Sicherheit kann es nicht geben. Jedes Sicherheitskonzept weist Schwachstellen und Lücken auf. Es geht darum, diese zu minimieren und Angriffsmöglichkeiten weitgehend auszuschalten. Ob in einem bestimmten Anwendungszusammenhang ein akzeptables Sicherheitsniveau gewährleistet ist, lässt sich nur im Einzelfall beurteilen. Hier sollte die Einschätzung der Datenschutzbeauftragten bzw. der entsprechenden Aufsichtsbehörden (vgl. Kap. 3.3) eingeholt werden. 5.1 Datensicherung Um die Daten einer Praxis vor Verlust zu schützen, ist es notwendig, den aktuellen Datenbestand regelmäßig zu sichern (Backup). Nur so sind bei etwaigen Störfällen die Daten ohne großen Aufwand wieder verfügbar. Die Aufgabe sollte eine bestimmte für die Datensicherung verantwortliche Person (der Systemverwalter) durchführen. Ein Protokoll, aus dem hervorgeht, was, wann, von wem gesichert wurde und ob dabei Fehler aufgetreten sind, sollte die Sicherungssoftware automatisch ausgeben. Die Datenträger sind immer getrennt vom Rechner aufzubewahren. Es empfiehlt sich, zusätzlich nach jeder Quartalsabrechnung den vollständigen Datenbestand inklusive der Programme auf externen Datenträgern zu sichern und diese über vier Quartale ebenfalls an einem anderen Ort außerhalb der Praxis aufzubewahren. Daneben muss eine Langzeitdatensicherung auf der Grundlage gesetzlicher bzw. vertraglicher Aufbewahrungspflichten organisiert werden. Dabei sollten die jeweils aktuellen Programme zum Anzeigen der Daten mit archiviert werden. Die ausgelagerten Datenträger sollten vor Feuer- und Wasserschäden, Diebstahl sowie ionisierender und elektromagnetischer Strahlung sicher sein. Die Datensicherungen enthalten sensible Patientendaten in kompakter Form, dementsprechend müssen sie vor Einsicht durch unbefugte Dritte geschützt werden. Das Sicherungsprogramm sollte daher eine automatische Verschlüsselung beinhalten. Die Aufbewahrung an einem sicheren Ort, zu dem Unbefugte keinen Zugang haben, ist zwingend erforderlich. Das physikalische Löschen oder Zerstören eines nicht mehr verwendeten Datenträgers hat unter Aufsicht des Arztes zu geschehen, falls die Daten in unverschlüsselter Form abgespeichert sind. Werden außerhalb der Datensicherung Patientendaten auf bewegliche Datenträger kopiert, so ist dies mit zusätzlichen Risiken verbunden. 5.2 Rechner ohne Anbindung an öffentliche Netze (z.b. Internet) Im Gesundheitswesen müssen patientenbezogene Daten in einer sicheren Umgebung gespeichert und verarbeitet werden. Als sichere Umgebung gelten nach heutigem Stand der Technik in der Regel nur solche Rechner, die keine Verbindung zu öffent- 18

19 lichen Netzen (z.b. zum Internet) haben. 13 Jede Verbindung zum Internet (und anderen öffentlichen Netzen) stellt einen potentiellen Angriffskanal auf die vorhandenen Daten dar. So können möglicherweise die lokal gespeicherten Daten eingesehen, verändert und gelöscht werden, außerdem können Viren, Würmer und Trojaner (vgl. hierzu Kap. 5.4) auf den Rechner gelangen. Allerdings ist es in der Praxis nicht immer sinnvoll möglich, Patientendaten ausschließlich auf Rechnern ohne Netzzugang zu speichern und zu verarbeiten. So ist es für die Online-Kommunikation zwischen Ärzten unerlässlich, auch auf Rechnern mit einem Netzanschluss nach außen Patientendaten zu verarbeiten (nämlich zu übermitteln). Zur Sicherung derartiger Außenkontakte sind dann andere Schutzmechanismen zu implementieren, beispielsweise eine Firewall oder Virenscanner. 5.3 Firewall Angriffe über öffentliche Netze auf lokal gespeicherte Daten können prinzipiell über sog. Firewalls abgewehrt werden. Firewalls 14 sind Rechner, die den Datenverkehr zwischen einem privaten Netzwerk z.b. einem firmeninternen Intranet bzw. einem einzelnen Rechner und öffentlichen Netzen wie dem Internet überwachen und ggf. freigeben. Technisch funktioniert das so, dass sämtlicher Datenverkehr zwischen lokalem Netzwerk und Internet über einen Rechner abgewickelt wird, auf dem eine entsprechende Firewall-Software installiert ist. unsicheres Netz Firewall Abbildung 1: Firewall Zu schützendes Netz Firewalls haben im wesentlichen zwei Funktionen: Sie sollen einerseits verhindern, dass von Rechnern des lokalen Netzwerks auf bestimmte Internetseiten zugegriffen werden kann. Ein bekanntes Anwendungsszenario in Unternehmen ist die Sperrung von Seiten mit pornographischem Inhalt für die Beschäftigten. Andererseits sollen sie verhindern, dass umgekehrt von außen auf vertrauliche Daten, die im lokalen Netzwerk gespeichert sind, zugegriffen wird. Je nach Anwendungszusammenhang kann die Durchlässigkeit in beiden Richtungen unterschiedlich ausgestaltet werden. Für ärztliche Kooperationen 13 Vgl. 15. Datenschutzbericht des Landesbeauftragten für den Datenschutz Nordrhein-Westfalen, Kapitel Die Datenschutzberichte des Landes Nordrhein-Westfalen sind unter der Internetadresse einsehbar. Zum Teil werden in der Literatur solche Rechner als Stand-alone-Rechner bezeichnet. Da der Begriff Stand-alone-Rechner jedoch nicht einheitlich gebraucht wird, findet er im vorliegenden Handbuch keine Verwendung. 14 Wörtlich übersetzt: Brandmauer. 19

20 bzw. einzelne Praxen wäre vor allem von Bedeutung, die eigenen Daten vor Angriffen von außen zu schützen. Einschränkend ist jedoch darauf hinzuweisen, dass auch eine gut eingerichtete Firewall keinen hundertprozentigen Schutz bietet. Risiken bestehen durch fehlerhafte Firewall-Software, durch Sicherheitslücken in den Betriebssystemen der Rechner und durch eine fehlerhafte Softwareinstallation. Es stellt sich die Frage, in welchen Fällen Arztpraxen bzw. ärztliche Kooperationen eine Firewall benötigen, zumal diese laufend gepflegt werden muss. Dazu ist folgendes zu sagen: Werden Patientendaten auf Rechnern ohne externe Verbindung gespeichert und verarbeitet, so kann auf eine Firewall verzichtet werden. Werden auf einem Rechner mit externem Zugang (z.b. Internetanschluss) Patientendaten (in verschlüsselter oder in unverschlüsselter Form) gespeichert oder verarbeitet, so sollte grundsätzlich eine Firewall eingerichtet werden. 15 Es gibt spezielle Internetprovider für Ärzte und andere Gesundheitsberufe, die anführen, dass sie für ihre Kunden ein geschütztes Intranet aufbauen. Der einzelne Anwender könne dann auf die Installation von Firewalls verzichten. Ein Intranet ist ein in sich geschlossenes, privates Netzwerk, das sich der gleichen Technologien wie das Internet bedient. Zum Internet ist das Netzwerk häufig durch eine Firewall abgegrenzt. 16 Spezielle Internetprovider für Ärzte zeichnen sich also dadurch aus, dass auf ihrem Server zentral eine Firewall eingerichtet wird. Deshalb, so die Argumentation der Anbieter, sei eine zusätzliche Firewall beim einzelnen Anwender obsolet. Problematisch ist allerdings, dass die Daten der Intranet-Nutzer zwar vor Angriffen aus dem Internet geschützt sind, nicht jedoch vor Angriffen, die aus dem Intranet selbst erfolgen. Die Gefahr ist unter diesen Umständen zwar wesentlich geringer, aber nach wie vor vorhanden. Die Erfahrung zeigt, dass auch innerhalb geschlossener Netze Datenmissbrauch in erheblichem Umfang stattfindet. Von Dritten installierte, gepflegte und administrierte Firewall-Systeme sollten in Form von Stichproben unregelmäßig von einem unabhängigen Sachverständigen auf fehlerfreie Installation sowie auf korrekten Betrieb hin überprüft werden. Leider bietet die Industrie derzeit noch keine Gütesiegel oder Zertifizierungen für derartige Softwareprodukte oder Dienstleister an. 5.4 Schutz vor Viren, Würmern und Trojanischen Pferden Ein Gefahrenpotential bei der Anwendung der Informationstechnologie stellen Computer-Viren dar. Früher wurden Viren in erster Linie durch Disketten von einem Computer zum nächsten übertragen, heute geht die Bedrohung in erster Linie von E- Mails oder dem Download von Dateien aus. Technisch gesehen sind Viren kleine Programme, die sich an andere Programme oder ausführbare Dateien dranhängen, sich selbst vermehren können und in vielen Fällen Schaden anrichten, beispielsweise gespeicherte Daten beschädigen. Es gibt mehrere Virentypen: Computerviren im engeren Sinne verbreiten sich nicht selbst weiter, sondern sind auf einen Träger angewiesen. Im Gegensatz dazu steuern Würmer eigenständig den nächsten Rechner an beispielsweise, indem sie sich über das Mailprogramm automatisch an alle -Adressen aus dem Adressverzeichnis des Anwenders verschicken. Trojanische Pferde sind Programme, die in Programmen mit nützlichen Funktionen versteckt sind, selbst aber schädliche Eigenschaften haben. Diese bestehen oft darin, dass vom Anwender unbemerkt vertrauliche Daten verschickt werden (z.b. Passwörter). Der niedergelassene Arzt muss dieser Bedrohung große Aufmerksamkeit widmen und sich durch geeignete Virenscanner, also Programme, die Viren identifizieren und unschädlich machen, schützen. Dies gilt auch für den Fall, dass die Daten bereits durch 15 Für den Endanwender ist es allerdings so gut wie unmöglich, die Qualität der verschiedenen Firewall-Systeme zu beurteilen. 16 Ein Intranet verfügt über ein eigenes Leitungsnetz. Liegen größere Entfernungen zwischen den Rechnern, wird oft ein virtuelles privates Netzwerk (Virtual Private Network VPN) eingerichtet. Hier erfolgt der Datentransfer über öffentliche Leitungsnetze, ist aber technisch so geschützt, dass Angriffsmöglichkeiten weitgehend ausgeschaltet sind. 20