Zahnärzte, Radiologen oder spezialisierte Arztpraxen für Pränataldiagnostik gehen “mit großen Schritten” dazu über, ihren Patienten Röntgenbilder oder ähnliche Untersuchungsergebnisse auf Speichermedien, wie USB-Sticks, CDs oder DVDs mitzugeben. Dieser Service ist gut gemeint, birgt aber u.U. große Gefahren, die in erheblichen Bußgeldern und Schadenersatzklagen münden können. Dabei müssen die Arztpraxen nur die simple Regel beachten, hierfür nur eigene, fabrikneue oder gut kontrollierte Speichermedien zu verwenden. ilex erklärt die Hintergründe und weist auch auf andere Gefahrenquellen in diesem Zusammenhang hin.
1. Der Vorfall, der zum Anlass dieses Beitrags wurde
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit erzählt in seinem Jahresbericht 2011 auf Seite 104 die folgende Geschichte:
Ein Petent übergab uns einen USB-Stick, auf dem eine Zahnarztpraxis sein Röntgenbild gespeichert hatte. Nach der Speicherung erwies sich, dass das Gerät mit einem Virus infiziert war.
Hierin sah die Berliner Aufsichtsbehörde – mit Recht – eine nicht unerhebliche Gefahrenquelle für die Patientendaten. Der Virus hätte sehr leicht die ungewollte Veröffentlichung der Patientendaten oder zumindest Weitergabe an eine bestimmte Person verursachen können. In den falschen Händen können Patientendaten erhebliche Nachteile verursachen. Nicht zuletzt erinnert hieran der Film Phidadelphia, den der US-amerikanische Filmregisseur Robert Jonathan Demme 1993 meisterhaft auf die Leinwand brachte.
2. Kleiner Leitfaden für die Arztpraxis
Auch basierend auf den Forderungen der Berliner Aufsichtsbehörde empfiehlt sich der nachfolgende Leitfaden, der keinen Anspruch auf Vollständigkeit erhebt und schon gar nicht die Prüfung im Einzelfall ersetzt:
1. “Zur Speicherung von Röntgenbildern und anderen Patientendaten außerhalb des Praxissystems dürfen nur eigene, fabrikneue oder gut kontrollierte Speichermedien verwendet werden” (Zitat aus dem Jahresbericht).
2. “Der Anschluss fremder USB-Geräte ist auszuschließen.” (Zitat aus dem Jahresbericht).
3. Derartige Speichermedien dürfen nur an die Patienten selber oder ausdrücklich für diesen Fall bevollmächtigte Personen herausgegeben werden.
4. Gegenüber Behörden dürfen diese Medien nur bei ausdrücklicher gesetzlicher Grundlage oder freiwilliger und informierter Einwilligung herausgegeben werden
3. Fazit
Was als guter Service gemeint ist, kann dem Patienten durchaus schaden. Daher sollten Patientendaten dem Patienten nur dann auf USB-Sticks oder anderen Speichermedien herausgegeben werden, wenn diese absolut sicher sind. Der Verfasser ersparrt sich hierbei die – in diesem Fall doppeldeutige – Rede von der Gefahren von Viren!
Dr. iur. Stephan Gärtner
Compliance Manager und Rechtsanwalt
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!