Pressemitteilung von Antje Schweitzer

Ärztliche Schweigepflicht im digitalen Zeitalter

---

---

TÜV Rheinland: Praxisnetzwerke auf Sicherheit testen / Zugriffsrechte im Behandlungsteam / Patienten müssen einer Datenübermittlung zustimmen

Köln, 10. März 2016. Apps und medizinische Geräte übermitteln schon heute bestimmte Patientendaten wie Blutdruckwerte oder die Herzfrequenz in Echtzeit an den behandelnden Arzt. Harald Riebold, Datenschutzexperte bei TÜV Rheinland: "Zur Sicherheit dieser Daten müssen Arzt und Patient gemeinsam beitragen. Wenn ein Patient eine solche App auf seinem Smartphone nutzt, ist er für die Sicherheit seiner Daten auf dem Gerät verantwortlich. Der Arzt sollte versuchen, für die Datenübermittlung eine geschützte verschlüsselte Verbindung bereitzustellen." In der Arztpraxis unterliegen die Informationen dann wie alle anderen patientenbezogenen Daten der ärztlichen Schweigepflicht. Das bedeutet, der Arzt muss einen unberechtigten Zugriff Dritter verhindern.

Wichtigste Voraussetzung dafür ist, dass das Netzwerk von Kliniken und Arztpraxen vor Angriffen von außen - gleich ob durch Hacker, Viren oder Trojaner - geschützt ist. Dazu genügt es jedoch nicht, einmalig eine Firewall zu installieren. "Die Angriffe auf die Sicherheitssysteme werden immer raffinierter. Daher müssen die Schutzmaßnahmen aktuell gehalten und die Netzsicherheit regelmäßig durch sogenannte Penetrationstests überprüft werden. Optimal ist es, wenn dies durch einen externen Dienstleister erfolgt, der die Tests unvoreingenommen und mit neuesten Methoden durchführt", so Riebold. Hier setzt auch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) an: Es verpflichtet wichtige öffentliche Einrichtungen wie Krankenhäuser dazu, ihre Datenschutzprotokolle zu prüfen. Vorkommnisse wie ein Angriff durch Hacker oder eine Schadsoftware müssen dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden.

Datenweitergabe nur mit Zustimmung des Patienten
Prinzipiell gilt die Schweigepflicht auch gegenüber anderen Ärzten und medizinischem Fachpersonal, sofern diese Personen nicht direkt in die Behandlung einbezogen sind. Sollen Daten trotzdem weitergegeben werden, muss der Patient zustimmen. Die dazu notwendige Schweigepflichtentbindung erteilt der Betroffene am besten schriftlich. Vor der Übermittlung der Informationen muss sich der Mediziner zudem davon überzeugen, dass der Empfänger die Datenschutzrichtlinien einhält. Als Nachweis kann beispielsweise eine entsprechende Bestätigung einer Prüfstelle wie TÜV Rheinland dienen. Erst dann darf die Übermittlung der verschlüsselten Daten erfolgen. "Eine Verschlüsselung ist unbedingt notwendig, da die Leitungen immer öffentlich und damit prinzipiell unsicher sind", erläutert Riebold.

Aufgabenbezogener Zugriff auf persönliche Daten
Mitarbeiter in einer Arztpraxis oder Klinik dürfen nur auf die Informationen Zugriff haben, die sie für die Erfüllung ihrer Aufgaben benötigen. Daher werden Lese- und Schreibrechte individuell vergeben. Die Veröffentlichung "Datenschutz in der Arztpraxis" der Bundesärztekammer weist darauf hin, dass Arztpraxen mit mehr als neun Beschäftigten laut Bundesdatenschutzgesetz verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Dabei steht es dem Praxisinhaber frei, ob ein Mitarbeiter weitergebildet wird oder ein fachkundiger externer Dienstleister diese Aufgabe übernimmt. Experten von TÜV Rheinland beraten zum Thema Datenschutz in Arztpraxen oder übernehmen auch die Aufgaben des externen Datenschutzbeauftragten. "Datenschutz und Datensicherheit sind komplexe Aufgabengebiete, die sich ständig weiterentwickeln. Hier ist es zum Wohl aller wichtig, fachlich und technisch stets auf dem neuesten Stand zu sein", so Riebold.

Weitere Informationen unter http://www.tuv.com/informationssicherheit im Internet. Firmen- & Pressekontakt