Von einem seit vielen Jahren erfahrenen professionellen Datenschützer erhielt die Redaktion dieser Homepage die nachfolgend wiedergegebene Stellungnahme. Mit Genehmigung des Verfassers wird sie hier veröffentlicht:
1. Rechtlich / Organisatorische Gegenwehr
Es besteht (die durchaus berechtigte) Sorge, dass Patientendaten bei einer Kasse bzw. nicht näher eingrenzbaren Dritten gelangen. In diesem Fall würde sich ein Arzt/ Psychotherapeut strafbar machen. Das ist Angst und Sorge genug (ausserdem ist es gebotene Sorgfalt), eine Anfrage bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu starten. Bei einer Arzt- bzw. Psychotherapeutenpraxis ist dies immer die/der für den Geschäftssitz zuständige Landesdatenschutzbeauftragte. Die Liste der Kontaktdaten ist hier zu finden.
Diese antwortet in der Regel nicht schnell. Kein Problem: Der noch nicht ‘konnektierte’ Arzt argumentiert gegenüber der Kasse bzw. KV, dass diese Frage erst geklärt sein muss, ehe man einer Verbindung zu den ärztlichen Systemen zustimmen kann. Auch der bereits ‘konnektierte’ Arzt könnte die Verbindung kappen mit der gleichen Vorgehensweise. Selbst wenn dermal einst eine Antwort erhält, kann es gut sein, dass man sie nicht versteht bzw. sie noch nicht alle Aspekte berücksichtigt. Dann nach den eigenen Kräften die Korrespondenz am Laufen halten.
Eine Beschwerde und letztlich eine Klage auf Zahlung etwaig abgezogener Honorare kann man dann sehr gut begründen. Ggf. liefern auch die Antworten der Datenschutzaufsichtsbehörden weitere gute Argumente.
Ausserdem könnte man überlegen – als Arzt oder Therapeut – eine Haftungszusage von der Kasse bzw. der KV zu erhalten, dass die Daten sicher sind. Immerhin haftet ja auch der Arzt für seine Systemlücken. Diese Diskussion kann sich Jahre hinziehen.
2. Technische Gegenwehr
Es darf auf keinen Fall so sein, dass ein Techniker von außen einen Adminzugriff auf das ärztliche System erhält. Vielmehr sollte der Techniker, der das ärztliche System auch sonst wartet zugegen sein, wenn eine Verbindung aufgebaut werden soll. Der eigene und nicht der fremde Techniker macht die Installation bestenfalls nach Anleitung des fremden Technikers. Solange der eigene Techniker nicht versteht, was der Konnektor eigentlich im produktiven Betrieb tut, wird nichts scharf geschaltet. Bei dieser Gelegenheit stellt sich sehr schnell heraus, wie weit die zertifizierten
Techniker von außen wissen was sie tun (oder auch zu lassen) haben. Scheitert diese Kommunikation wird nichts installiert. Der eigene Techniker wird solange auf den neusten technischen Konnektoren-Stand gebracht, bis er weiß, was er zu tun hat, und dies seinem Arzt plausibel erklären kann, wie Patientendaten dennoch erfolgreich geschützt werden.
Merke: Auch Kassen und KVs dürfen keinen Zugriff auf die Daten haben – dies ist in diesem Gespräch erfolgreich zu klären.
Tipp: Ein externer Techniker, der an den Praxis-Systemen direkt arbeitet ist Auftragsverarbeiter nach Art 28 DSGVO. Sollte er darauf bestehen, die Installation selbst vorzunehmen, muss er ein Vertragsmuster zur Auftragsverarbeitung vorweisen können – ohne das geht gar nichts.
3. Finanzpolitische Gegenwehr
Sollte es so sein, dass die finanzielle Unterstützung abrechenbarer Aufwände für die Erst-Installation Null-auf-Null aufgeht, alle Folge-Probleme aber vom Arzt alleine zu lösen und zu finanzieren sind, dann wäre dies ein enteignungsgleicher Eingriff. So etwas darf nicht einmal der Staat. Das Problem durchrechnen und der Kasse bzw. der KV vorrechnen und erst nach einer Zusage des Ausgleichs für die Zukunft (z.B. die nächsten 5 Jahre), den Einbau dulden.
Diese Varianten der Gegenwehr sind Aufwand – aber guter Aufwand zum Schutze der Patienten und ihrer Gesundheits- und Behandlungsdaten. Außerdem signalisieren sie gegenüber Dritten (KV, Gerichte) die (grundsätzliche) Bereitschaft zur Installation, gleich ob das stimmt oder nicht.
Rechtlich-organisatorische Gegenwehr ginge sogar noch einfacher: Der Arzt macht die nach DSGVO vorgeschriebene Datenschutzfolgenabschätzung und kommt zu dem Schluss, dass der Anschluss der Praxis zu riskant ist, siehe: https://freie-aerzteschaft.de/pressemitteilung-vom-21-05-2019/
Der Bundesdatenschutzbeauftragte konstatiert dazu in seinem Tätigkeitsbericht 2017/18, dass die Frage, wer der datenschutzrechtliche Verantwortliche im Sinne der DSGVO für die TI ist, nicht geklärt werden konnte (siehe hier, S. 59):
https://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/27TB_17_18.pdf?__blob=publicationFile&v=4
Und bei Frag-den-Staat hatte ein Herr Kevin Müller bereits versucht, sich die Datenschutzfolgenabschätzung für die TI (oder war es die elektronische Patientenakte?) geben zu lassen und bekam zur Antwort, es gäbe keine.
Offensichtlich gibt es für die Datenverarbeitung in der TI also keine Datenschutzfolgenabschätzung. Da kann man als Arzt nur zu dem Schluss kommen, dass es ein unkalkulierbares Risiko bedeutet, seine Praxis daran anzuschließen.