Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

EDV-Firmen (z.B. IMS Health, medimed oder ifap - künftig "Dienstleister" genannt) treten - oft in Kooperation mit Herstellern von Software für Arztpraxen - an Ärztinnen und Ärzte mit dem Angebot heran, deren Verordnungsverhalten zu analysieren, damit sie einen aktuellen Überblick über ihren Budgetstatus erhalten. In regelmäßigen, z.B. monatlichen Rückmeldungen wird der Ärzteschaft eine präzise Aufschlüsselung der Patientenstruktur, des Verordnungsverhaltens sowie der Behandlungsschwerpunkte sowie Warnhinweise bei drohender Überschreitung der Richtgrößen versprochen. Um diesen Service bieten zu können, benötigen die Dienstleister Daten aus dem Patienteninformationssystem der ambulanten Arztpraxis. Die Daten werden über mitgelieferte Datenschnittstellen ermittelt und bereitgestellt und dann per Diskette oder per direkter Datenübertragung zur Auswertung an den Dienstleister übertragen. Die Attraktivität des Angebots wird teilweise dadurch für die Ärzteschaft noch erhöht, dass für die Datenlieferung ein Honorar zugesagt wird oder Software- und Überlassungsgebühren erlassen werden.

Angesichts solcher Angebote drängte sich bei vielen Menschen der Verdacht auf, dass der Dienstleister Zugriff auf die Ärzterechner nimmt, um dort die benötigten Patientendaten abzurufen und dass durch eine Übermittlung bzw. einen Abruf dieser Daten gegen das Patientengeheimnis bzw. die ärztliche Schweigepflicht (gemäß den Regelungen der Ärztlichen Berufsordnungen sowie des § 203 Strafgesetzbuch - StGB) sowie gegen allgemeines Datenschutzrecht verstoßen wird. Die Patientendaten unterliegen zudem gemäß § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) einem besonderen Schutz (vgl. § 28 Abs. 6-9 BDSG).

Eine Überprüfung des Unabhängigen Landeszentrums für Datenschutz (ULD) bei einem Anbieter ergab keine Verstöße gegen das Patientengeheimnis (§ 203 StGB). Wohl aber zeigten sich eine Vielzahl datenschutzrechtlicher Mängel, insbesondere im Hinblick auf die Information der Patientinnen und Patienten, der Ärzteschaft und generell bzgl. der Transparenz des Verfahrens. Die Prüfung wurde zum Anlass genommen, auch die Angebote der Konkurrenten auf dem Markt zu begutachten. Die vorliegende Darstellung beschreibt die aus der Untersuchung erlangten allgemeinen Ergebnisse sowie deren rechtliche Bewertung, ohne jedoch eine direkte Zuordnung zu einem konkreten Anbieter bzw. Dienstleister vorzunehmen.

Es konnte vom ULD nicht festgestellt werden, dass von den Dienstleistern die Daten direkt abgerufen werden. Ein solches automatisiertes Abrufverfahren (vgl. § 10 BDSG) wäre datenschutzrechtlich unzweifelhaft unzulässig. Die damit verbundenen möglichen Zugriffe der Dienstleister würden eine Offenbarung von Patientengeheimnissen begründen, die - mangels rechtlicher Legitimation, z.B. durch Einwilligungen der Patienten - die Erfüllung des objektiven Straftatbestandes nach § 203 StGB darstellen würde.

Soweit dies vom ULD festgestellt werden konnte, werden die Daten über eine vom Dienstleister bereit gestellte Schnittstelle im Verantwortungsbereich des Arztes i.d.R. pseudonymisiert und auf einen separaten Datenträger (z.B. Diskette) exportiert und dann (evtl. in verschlüsselter Form) entweder per Email oder per Diskettenversand dem Dienstleister zugesandt.

Aus den Unterlagen eines Dienstleisters (medimed) ergibt sich, dass bei dessen Schnittstelle nicht nur eine Pseudonymisierung vorgenommen wird, sondern eine Aggregierung. Entsprechende Aussagen wurden von dem Unternehmen ausdrücklich bestätigt. Dies hat zur Folge, dass im Hinblick auf die Patienten nur anonymisierte Daten den ärztlichen Bereich verlassen (§ 3 Abs. 6 Bundesdatenschutzgesetz - BDSG). Soweit dies zutrifft, sind die unten stehenden Ausführungen zum BDSG nicht relevant.

Generell werden über die Schnittstelle nicht die klassischen Identifizierungsdaten (Namen, Adresse, Geburtsdatum) exportiert. Übernommen werden aber bei einem Dienstleister neben den Verordnungs- und Diagnosedaten (incl. Zeit, ICD, und Diagnosenerläuterung im Freitext) folgende personenbezogenen Angaben: Patientennummer beim Arzt, Geburtsjahr, Geschlecht, Krankenkasse bzw. Kostenträger. Bei derart exportierten Daten handelt es sich weiterhin - entgegen manchen Darstellungen - um personenbeziehbare Daten, da diese allein über die Patientennummer oder den Behandlungszeitpunkt beim Arzt problemlos eindeutig einem Patienten zugeordnet werden können. Dies sind nicht, wie immer wieder fälschlich behauptet wird, anonymisierte Daten (siehe obiger Absatz), sondern pseudonymisierte Datensätze (§ 3 Abs. 6a BDSG).

Die Weitergabe pseudonymisierter Daten von der Arztpraxis an den Dienstleister dürfte i.d.R. keine Offenbarung von Patientengeheimnissen darstellen. Voraussetzung hierfür wäre, dass der Dienstleister mit dem bei ihm vorhandenen oder beschaffbaren Zusatzwissen eine Zuordnung der einzelnen Datensätze zu bestimmten Personen vornehmen könnte. Dies konnte jedoch vom ULD nicht festgestellt werden. Vielmehr werden zwar Patienteninformationen offenbart, doch unterliegen die Daten, die eine Identifizierung der Daten ermöglichen würden (z.B. die die Verknüpfung der Patientennummer Patientennamen möglich macht), in der Arztpraxis weiterhin dem Patientengeheimnis. Voraussetzung für die Zuordnung wäre also eine unzulässige Offenbarung weiterer Daten, die dem Patientengeheimnis unterliegen. Etwas anderes gälte, wenn auch mit Hilfe außerhalb der Arztpraxis vorhandener Daten mit einem vertretbaren Aufwand eine Zuordnung möglich wäre. Dies kann allenfalls bzgl. der bei den gesetzlichen Krankenkassen vorhandenen Daten angenommen werden. Da auch eine Offenbarung dieser Krankenkassendaten an den Dienstleister eine unzulässige Übermittlung von Sozialgeheimnissen darstellen würde (§§ 85, 86 Sozialgesetzbuch X - SGB X), hat das ULD im Hinblick auf den Dienstleister angenommen, dass dort kein Personenbezug hergestellt werden kann.

Die Datenweitergabe an den Dienstleister dient durch Rückinformation an die Ärzte auch der Kontrolle des Verordnungsverhaltens, der Feststellung der Abweichung der Praxis vom Praxisdurchschnitt der Fachgruppe und/oder der Feststellung der Patientenstruktur, des Verordnungsverhaltens und der Behandlungsschwerpunkte. Soweit insofern der Dienstleister ausschließlich im Auftrag und nach Weisung der jeweiligen Ärzte tätig würde, könnte eine Datenverarbeitung im Auftrag nach § 11 BDSG angenommen werden. Dies ist aber nicht möglich, wenn ein Auftragnehmer mit den Daten auch einen eigenen Zweck verfolgt. Dieser Zweck besteht hier in allen Fällen darin, die Daten arztübergreifend im Interesse von Pharmaunternehmen auszuwerten. Die Bestimmungsbefugnis über die Verarbeitung der Daten liegt ausschließlich beim Dienstleister und nicht bei den jeweiligen Ärzten, so dass eine Auftragsdatenverarbeitung nicht angenommen werden kann.

Bei pseudonymisierten Daten handelt es sich um personenbezogene Daten, die voll dem Anwendungsbereich des Datenschutzes unterliegen. Deren Verarbeitung ist bzgl. öffentlicher Stellen in Schleswig-Holstein privilegiert (vgl. § 11 Abs. 6 Landesdatenschutzgesetz Schleswig-Holstein - LDSG SH). Eine derartige Privilegierung kennt das BDSG nicht. Da es sich bei der Datenweitergabe zwischen der privaten Arztpraxis und dem Dienstleister jeweils i.d.R. um nicht-öffentliche Stellen (§ 2 Abs. 4 BDSG) handelt, ist das BDSG und dort insbesondere der erste und der dritte Abschnitt (§§ 27 ff. BDSG) anwendbar.

Die Übermittlung der pseudonymisierten Patientendaten von der Arztpraxis an den Dienstleister richtet sich nach § 28 Abs. 1 Nr. 2, Abs. 6 bis 8 BDSG. Die Voraussetzungen des § 28 Abs. 1 Nr. 1 BDSG sind nicht gegeben, da zwischen Patienten und Dienstleister kein Vertragsverhältnis besteht und zur Durchführung des Behandlungsvertrages zwischen Arzt und Patienten die Weitergabe an den Dienstleister nicht erforderlich ist. Wohl aber kann ein berechtigtes Interesse des Arztes angenommen werden, frühzeitig statistische Praxisdaten zu erhalten oder auch Softwarepflegekosten einzusparen. Da bei den Dienstleistern keine Zuordnung zu einer bestimmten Person möglich ist, stehen einer Datenübermittlung nach § 28 Abs. 1 Nr. 2 BDSG keine schutzwürdigen Betroffeneninteressen entgegen.

Zusätzlich müssen die Voraussetzungen des § 28 Abs. 6 bis 9 BDSG erfüllt sein. Von Abs. 6 kommt lediglich Nr. 4 in Betracht. Bei der statistischen Auswertung durch den Dienstleister im Rahmen der Marktforschung handelt es sich aber nicht um wissenschaftliche Forschung (s.u.). Im Hinblick auf Abs. 7 kommen die Zweckalternativen "Gesundheitsversorgung" sowie "Verwaltung von Gesundheitsdiensten" in Betracht. Die Datenaufbereitung und Rückübermittlung hat keinen direkten Bezug zur Versorgung des Patienten. Wohl aber lässt sich eine Arztpraxis als Gesundheitsdienst einstufen, zu dessen Verwaltung die Praxisstrukturdaten für erforderlich angesehen werden können.

Weitere Voraussetzung für die Datenübermittlung der pseudonymisierten Patientendaten nach § 28 Abs. 7 S. 1 BDSG ist, dass die Verarbeitung der Daten beim Dienstleister durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Inwieweit diese Voraussetzungen bei den Dienstleistern gegeben sind, konnte vom ULD nicht geprüft werden.

Bei pseudonymer Datenverarbeitung ist auch die Benachrichtigungspflicht nach § 33 Abs. 1 S. 1 BDSG zu beachten. Danach sind die Betroffenen von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung sowie von der Identität der verantwortlichen Stelle zu benachrichtigen. Diese Pflicht besteht auch bei pseudonymisierter Datenverarbeitung; da das BDSG - anders als das LDSG SH - die Verarbeitung pseudonymer Daten nach den gleichen rechtlichen Regeln wie die eindeutig individuell zugeordneter Daten regelt. Den Anforderungen auf Benachrichtigung genügt die Ärzteschaft im Hinblick auf die Abwicklung des Behandlungsvertrags. Doch auch durch die Ärzte erfolgt keine Benachrichtigung bzgl. der "Kategorie der Empfänger" der Verordnungsdaten, also der Dienstleister (§ 33 Abs. 1 S. 3 BDSG). Die Patienten müssen nach den Umständen zudem nicht mit dieser Übermittlung rechnen. Die Dienstleister kommen ihrer Benachrichtigungspflicht nicht nach. Dem können sie auch mangels Kenntnis der Identitätsdaten selbst nicht nachkommen. Wohl aber kann die Benachrichtigung durch den behandelnden Arzt erfolgen (§ 33 Abs. 2 Nr. 1 BDSG). Es liegen keine Ausnahmen von der Benachrichtigungspflicht nach § 33 Abs. 2 BDSG vor. Dies gilt auch nicht für Nr. 8 dieser Regelung, die für Dienstleister gilt, die Patientendaten zum Zweck der Übermittlung verarbeiten.

Materiell ist die Datenverarbeitung beim Dienstleister i.d.R. nach § 29 BDSG zu beurteilen, da dieser die Daten zum Zweck der Übermittlung verarbeitet. U.U. ist § 30 BDSG anzuwenden, wenn die Übermittlung zurück an die Arztpraxen sowie an die Pharmaindustrie in Bezug auf die Patientendaten in anonymisierter Form erfolgt. Zu beachten sind im ersteren Fall insbesondere § 28 Abs. 6 bis 9 BDSG (§ 29 Abs. 5 BDSG - besondere Arten von personenbezogenen Daten) und § 28 Abs. 4 BDSG (§ 29 Abs. 4 BDSG - Zwecke der Werbung und der Marktforschung bei der Pharmaindustrie).

Nach § 28 Abs. 1 S. 2 bzw. § 29 Abs. 1 S. 2 BDSG sind bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden, konkret festzulegen. Eine solche Zweckfestlegung findet im Hinblick auf die Auswertung der an die Arztpraxis zurück zu übermittelnden Daten statt (s.o.: Analyse des Verordnungsverhalten, Überblick über Budgetstatus, Warnhinweise bei drohende Überschreitung der Richtgrößen, Aufschlüsselung der Patientenstruktur, Behandlungsschwerpunkte). Dem gegenüber erfolgt oft keine ausdrückliche Festlegung bzgl. der Nutzung der Dienstleister für eigene Zwecke. So sieht z.B. ein Überlassungsvertrag zwischen Arzt und Dienstleister vor, dass Letzterer das "unwiderrufliche Recht" erhält, "die Daten zu nutzen, zu verwerten und zu verarbeiten sowie Dritten Nutzungsrechte und Verwertungsrechte daran einzuräumen". Dies ist rechtlich nicht ausreichend, zumal hierbei nicht nur die pseudonymisierten Daten der Patienten, sondern auch die personenbezogenen Praxisdaten der Ärztinnen und Ärzte verarbeitet werden. Es bedarf der Festlegung, an welche Stellen (Pharmaindustrie) die Daten weitergegeben werden. Dem ULD liegt eine Äußerung vor, wonach die Daten beim Dienstleister als Grundlage dienten "für wissenschaftliche Studien in den Bereichen Pharmakoepidemiologie, Pharmaökonomie und für gesundheitspolitische Studien". Dieser Formulierung ist zu entnehmen, dass nicht nur von Art. 5 Abs. 3 GG erfasste rein wissenschaftliche Zwecke verfolgt werden, sondern auch anwendungsorientierte ökonomische Zielsetzungen. Es bedarf daher der Klärung, inwieweit die Daten beim Dienstleister oder bei der Pharmaindustrie für Zwecke der Marktforschung und der Werbung genutzt werden sollen.

Die Datenauswertung durch den Dienstleister erfolgt in enger Kooperation mit den Anbietern für Arztpraxis-Software. Dies ändert nichts an dem Umstand, dass für die Wahrung des Patientengeheimnisses ausschließlich die Inhaber der Arztpraxen verantwortlich sind und nicht die Anbieter der Praxis-Software und der Datenauswertungs-Dienstleistung. Die ausschließliche Verantwortung für die sichere Abschottung der Patientendaten von öffentlichen Netzen, insbesondere dem Internet, liegt also auch beim Arzt. Dieser hat i.d.R. nicht die technische Kompetenz zu einer sicheren Abschottung seiner Arztpraxissoftware. Bei einer direkten Anbindung an das Internet, auch bei Zwischenschaltung einer nicht ausreichend fachkundig administrierten Firewall, besteht ein großes Risiko bzgl. der Integrität und der Vertraulichkeit der Patientendaten. Daher dringen die Datenschutzkontrollinstanzen ebenso wie die Ärztekammern darauf, dass zwischen dem Arztpraxisrechner mit den Patientendaten und öffentlichen Netzen eine physikalische Trennung besteht. In vielen Fällen ist den Ärzten nicht einmal bewusst, dass bei einer ungeschützten Anbindung ihres Praxisrechners der objektive Tatbestand der Verletzung ihrer ärztlichen Schweigepflicht nach § 203 StGB gegeben sein kann.

Das ULD musste leider feststellen, dass - soweit ersichtlich - weder die Software-Hersteller noch die Dienstleister zur Datenauswertung die Ärzte auf die oben genannten Risiken hinweisen. Sie gehen i.d.R. selbstverständlich davon aus, dass Ärzten die Sicherheitsrisiken bekannt sind und dass sie die adäquaten Sicherungen - z.B. durch Installierung eines separaten Internet-Rechners, eines VNC-Servers oder zumindest einer leistungsfähigen Firewall - ergreifen. Es wird unterstellt, dass die für die Auswertung exportierten Daten aus dem geschützten Bereich ohne Vertraulichkeits- und Integritätsverlust z.B. mit einer Diskette in den ungeschützten Bereich des Internet übertragen werden. Durch das Angebot der Online-Übermittlung zum Zweck der Auswertung wird die Tendenz zum Anschluss des (i.d.R. ungenügend gesicherten) Praxisrechners an das Internet weiter gefördert. Ein Dienstleister geht in den Teilnahmebedingungen sogar davon aus, dass i.d.R. die Patientendaten mit dem Praxisrechner versandt werden ("Dieser Computer muss nicht Bestandteil Ihrer Praxis-EDV sein"). Dies ist aus Sicht der Datenschutzes unverantwortlich, wenn von Seiten der Anbieter die Ärztinnen und Ärzte nicht zugleich auf die Sicherheitsrisiken und die Möglichkeiten, diese Risiken zu minimieren, hingewiesen werden.

Das Vertrauen in die Vereinbarkeit mit den Anforderungen des Datenschutzes und des Pateintengeheimnisses der Auswertungsverfahren von Dienstleistern könnte dadurch gesichert werden, dass diese Produkte ein Gütesiegelverfahren nach § 4 Abs. 2 LDSG SH durchlaufen. Nach dieser Regelung sollen Produkte, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde, vorrangig eingesetzt werden. Ein solches förmliches Verfahren unter Einbeziehung von externen Gutachtern wird vom ULD angeboten. Da die Auswertungsverfahren auch in Ambulanzen öffentlicher Kliniken eingesetzt werden können, ist die Anwendung des § 4 Abs. 2 LDSG SH auf derartige Produkte möglich. Ein Gütesiegel gibt den Abnehmern des Produktes die Gewähr, dass das erworbene und eingesetzte Produkt datenschutzrechtlich geprüft wurde. Hier wäre insbesondere zu prüfen, inwieweit eine Risiko der Verletzung von Patientengeheimnissen durch den Arzt besteht und inwieweit der Dienstleister die datenschutzrechtlichen Anforderungen, insbesondere § 29 BDSG beachtet. Mit dem Gütesiegel kann für das Produkt geworben werden.