Für den Schutz der Patientendaten verantwortlich waren Ärzte auch bisher, die Anforderungen steigen künftig aber. Und die nötigen Sicherheitskonzepte kosten Geld.
Wien.Wie sicher ist die Elektronische Gesundheitsakte (ELGA)? Bei Diskussionen darüber gehen nach wie vor die Wogen hoch. Erst kürzlich bekräftigte der Hausärzteverband seine Forderung „Raus aus ELGA“, während sich Patientenanwälte, aber auch die Senioren-Chefs von ÖVP und SPÖ für die Gesundheitsakte starkmachen. Befürworter meinen, ELGA bringe sogar mehr Datensicherheit als bisher, Skeptiker befürchten das Gegenteil.
Eher zu Letzteren zählt bekanntlich die Wiener Ärztekammer – wenn sie auch betont, sie gebe keine Empfehlung ab, sich von ELGA abzumelden. Auf ihrem Patienten-Infoblatt finden sich jedoch deutliche Worte zur ärztlichen Schweigepflicht: Sie bleibe aufrecht, heißt es da, aber: „Für die in ELGA gespeicherten Daten übernimmt Ihr Arzt/Ihre Ärztin keine Garantie für die Einhaltung der Schweigepflicht.“ Nachvollziehbar ist das insofern, als es viele potenziell Zugriffsberechtigte für die Daten geben wird – neben Ärzten und Zahnärzten auch Apotheken, Spitäler und Pflegeeinrichtungen. Sie werden die Daten ganz oder teilweise einsehen können, wenn der Patient dort eine Leistung in Anspruch nimmt und keinen Widerspruch eingelegt hat. Zwar sind alle, die möglicherweise Einblick bekommen, an die Schweigepflicht gebunden, aber niemand kann diesbezüglich für alle anderen die Hand ins Feuer legen.
Ärzte sind „ELGA-Betreiber“
Durch die vorgesehene Protokollierung der Zugriffe wird aber immerhin feststellbar sein, bei welcher Gesundheitseinrichtung welche Daten eingesehen wurden. Zumindest, solange es niemand schafft, das System zu knacken. Wer haftet nun aber wirklich, sollte es zu einem Datenmissbrauch kommen? „Aus dem Gesundheitstelematikgesetz (dort ist die elektronische Akte geregelt, Anm.) und dem Datenschutzgesetz folgt, dass die ELGA-Gesundheitsdiensteanbieter zugleich die Betreiber, also die datenschutzrechtlichen Auftraggeber von ELGA sind“, sagt Rechtsanwalt Christian Winternitz. Diese Rolle habe, wer über eine Datenverwendung entscheidet. Und genau das tun zum Beispiel Ärzte, die Patientendaten ermitteln und speichern. Die ELGA-Systempartner wiederum – Bund, Länder und Hauptverband der Sozialversicherungsträger – stellen die Infrastruktur zur Verfügung und sind somit Dienstleister.
Sie alle könnten im Schadensfall zur Kasse gebeten werden: „Sowohl Auftraggeber als auch Dienstleister haften dem Betroffenen für missbräuchliche Datenverwendung“, so der Anwalt. Denkbar wäre das etwa, wenn jemand, dessen Befunde durch ein Datenleck einsehbar geworden sind, als nicht mehr voll arbeitsfähig abgestempelt wird und deshalb seinen Job verliert oder als Bewerber nicht zum Zug kommt. Bei Datenmissbrauch ist es zwar oft schwierig, einen konkreten Schaden nachzuweisen, es gibt aber bereits ausjudizierte Fälle – etwa den eines Rechtsanwalts, der zu Unrecht auf der Warnliste der Banken landete und dadurch eine Rufschädigung erlitt. Für eine „erlittene Kränkung“ können bis zu 50.000 Euro Entschädigung verlangt werden. Aber nicht nur das: „Im Fall eines Datenlecks in Richtung Internet können die Betroffenen auch zur Einbringung von Feststellungsklagen legitimiert sein“, sagt Winternitz. „Solche Klagen wären darauf gerichtet, dass der Auftraggeber oder Dienstleister für sämtliche zukünftig eintretenden Schäden, die durch das Datenleck entstehen, haftet.“ Auch Unterlassungsansprüche gegen nicht gerechtfertigte Datenanwendungen können bestehen.
Eine Haftung vermeiden kann man nur, indem man nachweist, dass einen kein Verschulden trifft. „Man muss beweisen, dass man alles Nötige zur Datensicherung unternommen hat“, sagt Winternitz. Billige EDV, die nicht auf dem letzten Stand der Technik ist, könne da schon grenzwertig sein.
„Als Arzt ist man für die Datensicherheit verantwortlich“, bestätigt auch Susanne Herbek, Geschäftsführerin der ELGA GmbH. „Das galt aber immer schon, auch ohne ELGA.“ Eine Kartei in Papierform mit kopierten Befunden müsse genauso gut gesichert werden wie Patientendaten am PC. Wer sensible Daten verwaltet, müsse sich auch generell – und nicht nur wegen der künftigen Datenvernetzung – am Stand der Technik orientieren. Und sich zum Beispiel spätestens jetzt von Windows XP verabschieden, weil es dafür keine Sicherheits-Updates mehr gibt. Die Sensibilität dafür zu schärfen sei wichtig und ein positiver Aspekt der aktuellen Diskussion, meint Herbek.
„Eingriff in Erwerbsfreiheit“
Durch ELGA werden die Anforderungen allerdings höher, „als wenn man nur Intranet mit einem Zugang zum Hauptverband braucht“, sagt Winternitz. Wenn es bei einer Gesundheitseinrichtung ein Datenleck gibt, können künftig weit mehr Daten eines Patienten betroffen sein. Dazu kommen neue rechtliche Vorgaben. Jeder müsse nun ein IT-Sicherheitskonzept erstellen, sagt Winternitz – allein dafür brauche man einen Profi, möglicherweise auch für die ebenfalls vorgeschriebene Dokumentation der Sicherheitsmaßnahmen. Viele werden ihre EDV auch technisch aufrüsten müssen. Werde der Mehraufwand den Ärzten aufgebürdet, sei das ein „Eingriff in die Erwerbsfreiheit“. Herbek verweist auf eine „Anschubfinanzierung“, die es dafür geben soll. Sie sei mit der Ärzte- und Apothekerkammer „noch auszuverhandeln“.
AUF EINEN BLICK
Befunde,Spitals-Entlassungsbriefe und Medikation werden auch künftig dezentral bei den Gesundheitseinrichtungen gespeichert. Sie können von anderen Ärzten, Krankenanstalten und Pflegeeinrichtungen eingesehen werden, wenn ein Behandlungs- oder Betreuungsverhältnis besteht, und zwar grundsätzlich 28 Tage lang. Ärzte können Daten in ihre ärztliche Dokumentation aufnehmen, Patienten können Befunde ausblenden. Apotheken werden nur für zwei Stunden in die Medikation Einsicht haben.
("Die Presse", Print-Ausgabe, 10.04.2014)