Datenschutzkonforme Onlinekommunikation zwischen Ärzten und Patienten

Transkript

1 1 von :53 MANZ'sche Verlags- und Universitätsbuchhandlung GmbH TEL FAX hotline@manz.at Johannesgasse 23, 1010 Wien Dokumentinformation Datenschutzkonforme Onlinekommunikation zwischen Ärzten und Patienten Typ Zeitschrift Datum/Gültigkeitszeitraum Publiziert von Autor Manz Felix Stonek Christoph Berdenich Rainer Knyrim Christian Kern Fundstelle Dako 2016/49 Heft 4 / 2016 Seite 76 Abstract Erste datenschutzkonforme Kommunikationsplattform entwickelt. Welche rechtskonformen Möglichkeiten gibt es zur digitalen Kommunikation zwischen Ärzten und Patienten, damit diese nicht WhatsApp oder Ähnliches nutzen müssen? Text Ausgangssituation bei der Arzt-Patientenkommunikation Die Arzt-Patientenkommunikation ist ein zentrales Element in der ärztlichen Behandlung. In einer gut funktionierenden Kommunikation vertraut der Patient seine Beschwerden, aber auch seine Sorgen und Ängste seinem behandelnden Arzt an, der danach die Diagnostik und Therapie der Behandlung richtet und die weiteren Schritte mit dem Patienten bespricht. Neben diesem persönlichen ärztlichen Gespräch als unersetzbarem Kommunikationsweg haben die Patienten zunehmend den Wunsch, auch über "neue Medien" mit ihrem Arzt zu kommunizieren. Das Flugticket wird im Internet gebucht, das Essen über Webplattformen bestellt und Geld online überwiesen. Warum also nicht auch den eigenen Arzt über , Facebook oder WhatsApp erreichen? Diese Kommunikation findet also bereits statt. Viele Ärzte sind sich allerdings der Problematik, die die Beantwortung dieser Anfragen mit sich führt, nicht bewusst. Neben der verbotenen ausschließlichen Fernbehandlung muss die elektronische, gesundheitsdatenbezogene Kommunikation auch dem Datenschutzgesetz (DSG) sowie dem Gesundheitstelematikgesetz (GTelG) genügen.

2 2 von :53 Das Flugticket wird im Internet gebucht, warum also nicht den Arzt über WhatsApp erreichen? Plattform zur Kommunikation zwischen Ärzten und Patienten Mit MeinArztOnline hat ein junges Unternehmen (Stonebird IT Solutions GmbH), gegründet von Medizinern und Informatikern, sich diesem Problem angenommen und die erste Plattform zur Kommunikation zwischen Ärzten und ihren Patienten in Österreich geschaffen. Als rein webbasiertes System ist es zeitlich und örtlich unbegrenzt verfügbar. Ärzte werden persönlich, nach Nachweis der Berufsausübungsberechtigung, kostenpflichtig registriert. Patienten können sich eigenständig oder nach Einladung durch den behandelnden Arzt kostenlos anmelden. Beide müssen bestätigen, dass ein aufrechtes Behandlungsverhältnis vorliegt. Mittels temporär oder quantitativ beschränkten "Betreuungspaketen" wird die Kommunikation reguliert; auch eine Verrechnung dieser ärztlichen Beratungs- bzw Dienstleistung ist möglich und bedient den in Österreich aufstrebenden Wahlarztsektor. Ende Seite 76 Anfang Seite 77» Der Mindestverschlüsselungsstandard sowie die gesicherte Verbindung (SSL) für sensible Daten werden vom GTelG vorgegeben. In der Praxis werden aktuellste Verschlüsselungsalgorithmen verwendet. Die qualifizierte elektronische Signatur via Bürgerkarte oder Handysignatur dient der vorgeschriebenen eindeutigen Identifikation der Kommunikationsteilnehmer. Alle Daten werden auf Servern in zertifizierten Rechenzentren in Österreich verarbeitet und gespeichert. Obwohl die anonyme Weiterverwendung medizinischer Daten zu Forschungszwecken per DSG erlaubt wäre, wird im Moment davon Abstand genommen. MeinArztOnline befindet sich derzeit in einer Testphase im Echtbetrieb mit zehn angeschlossenen Wahlarztordinationen sowie über 300 registrierten Patienten in Wien und Niederösterreich. Ende des Jahres soll die Plattform in ganz Österreich ausgerollt werden. Datenschutzrechtliche Aspekte Neben medizinischen und technischen Aspekten werden izm Arzt-Patienten- Kommunikationsplattformen auch datenschutzrechtliche Problembereiche evident. Dazu zählen neben der schon grundsätzlichen Einordnung der verschiedenen Akteure in die vorhandenen Rollen des Datenschutzgesetzes 2000 (DSG) auch die damit einhergehende Frage der Rechtsgrundlage der Verwendung der Daten durch diese Akteure, die wiederum damit verbundene Problemstellung einer möglichen Meldeverpflichtung beim Datenverarbeitungsregister (DVR), die Problematik der besonderen Stellung von sensiblen (Gesundheits-)Daten und die besonderen datenschutzrechtlichen Bestimmungen des Gesundheitstelematikgesetzes (GTelG). Datenschutzrechtliche Rollenverteilung Bei einer Plattform für die Kommunikation zwischen Patienten und Ärzten, bei der der Plattformbetreiber nur die Möglichkeit der Kommunikation zur Verfügung stellt, ergibt sich die folgende datenschutzrechtliche Rollenverteilung: Da es sich um personenbezogene Gesundheitsdaten der Patienten handelt, sind diese Patienten Betroffene isd 4 Z 3 DSG. Der Patient will dem Arzt seine Gesundheitsdaten zu dem jeweils von ihm beabsichtigten Zweck zur Verfügung stellen, dies kann zb die medizinische Konsultation oder auch nur die Terminvereinbarung oder eine allgemeine Frage sein. Umgekehrt gilt dies für die personenbezogenen (Kontakt-)Daten des Arztes, diese werden dem Patienten zb zur Kontaktaufnahme oder Terminvereinbarung zugänglich gemacht. Bezüglich der Daten der Patienten ist der Arzt Auftraggeber isd 4 Z 4 DSG Der Arzt verwendet die ihm zur Verfügung gestellten Patientendaten für eigene Zwecke, nämlich zur Erfüllung des jeweiligen Behandlungsvertrags. Dabei ist diese Konstruktion nicht anders zu

3 3 von :53 beurteilen als die Sachlage ohne eine Plattform: So spricht der Patient normalerweise persönlich beim Arzt vor und dieser nimmt die entsprechenden Daten in sein System auf und verwendet bzw verarbeitet diese Daten dadurch isd 4 Z 8 und 9 DSG. Im vorliegenden Spezialfall gibt es jedoch zwischen Arzt und Patient auch noch den Plattformbetreiber. Dieser stellt die Plattform, ohne die Patienten- oder Arztdaten für eigene Zwecke zu verwenden, zur Verfügung. Insb im Falle einer direkten Verschlüsselung kann der Plattformbetreiber die Daten selbst auch niemals einsehen. Der Plattformbetreiber ist daher Dienstleister isd 4 Z 5 DSG 2000; er verwendet die Daten nur zur Herstellung eines ihm aufgetragenen Werkes, nämlich für die Zurverfügungstellung einer entsprechend sicheren Kommunikationsplattform zwischen Patient und Arzt. Meldepflicht? Aus dem vorher Gesagten resultiert, dass (mangels einer Meldeverpflichtung von Betroffenen oder Dienstleistern) der Auftraggeber Arzt (bezogen auf Patientendaten) bzw der Auftraggeber Patient (bezogen auf Arztdaten) einer Verpflichtung gem 17 DSG 2000 unterliegen könnten. Eine Meldepflicht des Betroffenen scheidet grundsätzlich aus. Eine Meldepflicht des Patienten, der im Regelfall die personenbezogenen Daten des Arztes nur als Privatperson für persönliche Zwecke verwenden wird, scheidet gem 17 Abs 2 Z 4 ebenfalls aus. Gem 17 Abs 2 Z 6 DSG 2000 ist eine Meldepflicht weiters nicht gegeben, wenn die Datenanwendung einer Standardanwendung der Standard- und Musterverordnung entspricht. Für den Auftraggeber Arzt kommt dafür insb die Standardanwendung SA024A (Patientenverwaltung und Honorarabrechnung der Ärzte, Zahnärzte und Dentisten) in Frage. Diese sieht als Zweck die Führung von Patientenkarteien zur Dokumentation gem 51 ÄrzteG 1998, die Erstellung von medizinischen Gutachten und Honorarverrechnung durch Ärzte, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zb Korrespondenz), in diesen Angelegenheit vor. Neben allgemeinen Daten wie Name, Anschrift etc erlaubt diese Standardanwendung auch die Verarbeitung logisch notwendiger Daten wie der Sozialversicherungsnummer sowie medizinisch notwendiger Daten (wie den medizinische Zustand der Person bei Übernahme der Beratung oder Behandlung), Daten zu Impfungen, Diagnosen (auch Ferndiagnosen) zu Behandlungsbeginn und bei Beendigung, die gesundheitliche Beurteilung und den Krankheitsverlauf. Die Meldepflicht einer Patientenverwaltung scheidet daher in aller Regel bei der Verwendung eines geläufigen Ordinationsverwaltungssystems aus. Die Kommunikationsplattform bedarf keiner Meldung. Selbes muss daher gelten, wenn die Daten der Patienten über die Plattform erhoben und verarbeitet werden. Der Arzt bedient sich hier nur eines Dienstleisters, nämlich des Plattformbetreibers; eine klassische "Software-as-a-Service"-Lösung. Die gegenständliche Kommunikationsplattform würde nach diesem Ergebnis von keiner Seite einer Meldung bedürfen. Allenfalls ist noch zu prüfen, ob der Plattformbetreiber nicht Daten der beteiligten Akteure auch für eigene Zwecke verarbeitet. Dies ist bspw der Fall, wenn der Plattformbetreiber Kundendaten, hier insb Arztdaten, neben der Kundenverwaltung auch zu Marketing- oder zu Verrechnungszwecken verarbeitet. Sollte diese Verwendung über die einschlägigen Standardanwendungen (SA001, SA022) hinausgehen, müsste dies selbstverständlich gemeldet werden. Grundsätzliche Verwendung der Daten Bei der Patienten-Arzt-Kommunikation wird es sich regelmäßig um sensible Daten isd 4 Z 2 DSG handeln. Sensible Daten unterliegen einem allgemeinen Verwendungsverbot und dürfen nur unter den in 9 DSG aufgezählten Gründen verwendet werden. Der Betroffene kann klarerweise «Ende Seite 77

4 4 von :53 Anfang Seite 78 frei über seine eigenen medizinischen Daten verfügen und daher auch diese dem Arzt zur Verfügung stellen. Auf der anderen Seite ist der Arzt gem 9 Z 12 DSG berechtigt, auch sensible Daten zu verwenden. Schutzwürdige Geheimhaltungsinteressen isd 7 Abs 1 DSG sind hier nicht verletzt, da gem Z 12 die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich sind und die Verwendung dieser Daten durch ärztliches Personal erfolgt. Die Anwendbarkeit des GTelG hängt von den technischen Gegebenheiten ab. Bei der Verwendung personenbezogener elektronischer Gesundheitsdaten durch Gesundheitsdiensteanbieter kann sich zudem die Anwendbarkeit des GesundheitstelematikG ergeben. Nicht anwendbar wäre das GTelG zb dann, wenn die Daten durchgehend verschlüsselt sind. Die Anwendbarkeit ist daher im Einzelfall nach den technischen Gegebenheiten zu prüfen. Weiters steht die Frage im Raum, ob eine solche Plattform als Medizinprodukt einzustufen ist. Als stand-alone-software, die nicht integrierter Teil eines medizinischen Produktes ist und ein solches auch nicht überwacht oder in irgendeiner Weise beeinflusst, sondern nur Zwecken der Speicherung, Archivierung und Kommunikation dient, wird eine solche reine Kommunikationsplattform in der Regel nicht als Medizinprodukt zu beurteilen sein. (FN 1) Lösung für die Praxis Die Kommunikation von sensiblen Gesundheitsdaten zwischen Arzt und Patienten über oftmals unverschlüsselte und jedenfalls nicht den österr Kriterien des Datenschutzes entsprechenden Applikationen greift immer mehr um sich. Neben der Verwendung unverschlüsselter s ist insb auch die Verwendung von Social-Media-Anwendungen und Apps von US-Anbietern wie Facebook oder WhatsApp, um als Arzt Informationen und sogar Bilder von Patienten zu erhalten und sogar noch an andere Gesundheitsdiensteanbieter weiterzuschicken, als höchst bedenklich einzustufen. Dass es nun eine einfache, den österr Rechtsvorgaben entsprechende Online-Kommunikationslösung mit Patienten für die Praxis gibt, ist zu begrüßen. Zitiervorschlag Zum Autor Dr. Felix Stonek, MBA, ist Primararzt am Landesklinikum Mistelbach, Privatdozent an der MedUni Graz und Gründer von Stonebird IT Solutions GmbH. Dr. Christoph Berdenich, BSc., ist Gründer und Geschäftsführer von Stonebird IT Solutions GmbH. Kontakt: Tel: +43 (0) , office@stonebird-it.com, Internet: Dr. Rainer Knyrim ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte in Wien. Mag. Christian Kern ist Rechtsanwaltsanwärter bei Preslmayr Rechtsanwälte. Kontakt: Tel: +43 (0) , knyrim@preslmayr.at, Internet: Fußnote(n) 1) Siehe dazu auch MEDDEV 2. 1./ Guidelines on the qualification and classification of stand alone software used in healthcare within the regulatory framework of medical devices der European Commission - DG Health and Consumer. Meta-Daten Rubrik(en) das praxisprojekt

5 5 von : MANZ sche Verlags- und Universitätsbuchhandlung GmbH