DSGVO

Das müssen Ärzte bei der TI beachten

Vertragsärzte sind datenschutzrechtlich mit verantwortlich für die Telematikinfrastruktur. Die gematik ist es auch. Die Konsequenzen für Ärzte sind nicht zu unterschätzen.

Von Hauke Gerlof Veröffentlicht: 30.09.2019, 16:38 Uhr
Das müssen Ärzte bei der TI beachten

Wer könnte beim Stammdatenabgleich auf Daten zugreifen? Die Risiken können in einer Datenschutzfolgeabschätzung aufgeführt werden.

© Eisenhans / Fotolia

Neu-Isenburg. Vertragsarzt und gematik sind beide datenschutzrechtlich „mitverantwortlich“ für den dezentralen Bereich der Telematikinfrastruktur (TI): Der Beschluss der Datenschutzbeauftragten von Bund und Ländern Mitte September zieht Kreise. Nun hat der fachübergreifende Ärzteverband Medi Geno eine Musterdatenschutzfolgeabschätzung (DSFA) für den Stammdatenabgleich über die TI ins Netz gestellt, die Ärzte verwenden können, wenn sie sich an die TI anschließen.

Grundsätzlich begrüßt Medi-Geno-Chef Dr. Werner Baumgärtner die Entscheidung der Datenschützer. Es sei „ein wichtiger Erfolg“, dass nun klargestellt ist, dass die gematik mitverantwortlich sei, auch für den Bereich der TI-Anschlüsse über den Konnektor. „Endlich ist klar, dass die Praxen nicht allein für Angriffe und Datenverluste in Praxen haften, sondern eine Mithaftung der gematik besteht“, so Baumgärtner laut Mitteilung von Medi Geno.

Noch keine DSFA der gematik

Bis heute, so Baumgärtner, liege noch keine Datenschutzfolgeabschätzung der gematik vor, obwohl das gemäß Artikel 35 der EU-Datenschutzgrundverordnung eigentlich verlangt werde. Vor allem für Arztpraxen „mit einer großen Datenverarbeitung“ sei eine solche DSFA durchaus „sinnvoll“, so Baumgärtner weiter. Aus diesem Grund habe Medi Geno jetzt eine Muster-DSFA für den Stammdatenabgleich ins Netz gestellt, der über den Konnektor laufe.

Das Dokument ist zwölf Seiten lang und enthält alle erforderlichen Angaben für eine DSFA, also die Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte natürlicher Personen – hier Patienten – bei der Verarbeitung personenbezogener Daten. Baumgärtner, erklärter Gegner der TI, will damit gerade den Praxen, die noch nicht an die TI angeschlossen sind, zeigen, „dass es unter dem Gesichtspunkt der Sicherheit der Patientendaten immer noch besser ist, nicht zu installieren“.

In den Ausfüllhinweisen für die DSFA, die aufgrund des standardisierten Anschlusses in den meisten Praxen übernommen werden können sollte, wird darauf hingewiesen, dass diese nur den TI-Konnektor und den Versichertenstammdatenabgleich als Teilaspekt der Praxis-IT abdeckt. Ob Praxen „für den gesamten bestehenden IT-Betrieb eine DSFA erstellen müssen, wird derzeit noch uneinheitlich beantwortet“. Die entscheidende Frage sei, ab welcher Anzahl Patienten die Verarbeitung in der Praxis als umfangreich gelte.

Datenschutz- Folgenabschätzung

  • Eine Folgenabschätzung beinhaltet die Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte natürlicher Personen – hier Patienten – bei der Verarbeitung ihrer personenbezogenen Daten.
  • Anwendung: Eine DSFA ist immer dann durchzuführen, wenn die Form der Datenverarbeitung ein hohes Risiko für die informationelle Selbstbestimmung der Betroffenen birgt – so etwa bei der Verwendung neuer Technologien.
  • Risikominiminierung: Die DSFA sollte auch Maßnahmen zur Risikominimierung beziehungsweise zum Schutz personenbezogener Daten aufführen.

Begrenzte Haftung?

Derweil geht die Diskussion darüber weiter, inwieweit Ärzte dafür haften, wenn sie nach der Installation der TI in der Praxis einem Hackerangriff zum Opfer fallen. Mit der geteilten datenschutzrechtlichen Verantwortung geht es für Ärzte vor allem darum, dass der Anschluss des Konnektors gemäß den Vorgaben der gematik umgesetzt wird.

In den vergangenen Monaten ist immer wieder in Zweifel gezogen worden, ob die Dienstleister den Anschluss technisch im Griff haben. Sicherheitsexperten empfehlen, dass Ärzte sich beim TI-Anschluss vom Techniker vor Ort auf jeden Fall schriftlich geben lassen, dass der Anschluss korrekt und unter Einhaltung nötiger Sicherheitsvorkehrungen ausgeführt worden ist. Diese Erklärung sollte auch unterschrieben sein.

Das Kleingedruckte klein halten

Um mit der Cyberversicherung auf der sicheren Seite zu sein, empfehlen Versicherungsexperten, eine Police abzuschließen, die Ärzten möglichst wenige Verpflichtungen auferlegt, die für einen Versicherungsschutz entscheidend sind. Allgemeine Verpflichtungen wie die Existenz einer Firewall bei Abschluss seien kein Problem, heißt es.

Doch sobald es ins Detail geht, könne Ärzten leicht „grobe Fahrlässigkeit“ vorgeworfen werden – und das könne zu Kürzungen bei der Leistungspflicht der Versicherung führen. Hier lohnt auf jeden Fall ein Blick ins Kleingedruckte.

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Von der Weiterbildung direkt zur MVZ-Gesellschafterin

Baden-Württemberg

Von der Weiterbildung direkt zur MVZ-Gesellschafterin

Mit kurzkettigen Fettsäuren das MS-Immunsystem normalisieren

Ernährung bei Multipler Sklerose

Mit kurzkettigen Fettsäuren das MS-Immunsystem normalisieren

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. OK Weitere Informationen