Dr. Joachim Jacob
BUNDESBEAUFTRAGTER
FÜR DEN
DATENSCHUTZ
Riemenschneiderstr. 11
53175 Bonn

Es gilt das gesprochene Wort



Datenschutz - ärztliche Schweigepflicht - Telekommunikation

Vortrag am Institut für Medizinische Statistik, Dokumentation
und Datenverarbeitung der Universität Bonn
am 13. Juni 1996

1. Datenschutz

Datenschutz ist ein wichtiger Begleiter auf dem Weg in die Informationsgesellschaft; er ist in seiner Intention dem Feuerschutz vergleichbar. Feuerschutz schützt nicht das Feuer und verbietet es auch nicht. Er soll vielmehr den Gefahren des oft sinnvollen Gebrauchs entgegenwirken, die durch absichtlichen Mißbrauch, Leichtfertigkeit oder Unachtsamkeit entstehen, weil daraus Schäden für an der Nutzung beteiligte oder unbeteiligte Personen entstehen können.

Die Erkenntnis, daß der Umgang mit Informationen u. U. auch Schädigungsrisiken birgt, hat schon früh in der Menschheitsgeschichte zu Schutzvorschriften geführt, z.B. zum Arztgeheimnis, zum Beichtgeheimnis und zum Steuergeheimnis.

Heute, an der Schwelle zur Informationsgesellschaft, gehört Datenschutz zu den Selbstverständlichkeiten einer jeden modernen Industriegesellschaft. Und so ist es keine Sensation, wenn der Satz: "Die außerordentlichen Vorteile der informationstechnischen Revolution werden nicht voll zur Geltung kommen, wenn nicht wirksame Regeln zum Schutz der Privatsphäre und als Vertrauensbasis für eine geschäftliche Beziehung geschaffen werden.” von den Verbänden der informationstechnischen Industrien Europas, Amerikas und Japans an die Politiker der G7-Staaten gerichtet wurde, um diese zu veranlassen, solche Garantien international wirksam zu schaffen.

2. Moderne Informationstechnik (IT) in der Medizin

Im ärztlichen Bereich, mit seiner langen Tradition des behutsamen Umgangs mit den Daten der Patienten hat der Einsatz moderner IT begonnen und er wird vermutlich zu erheblichen strukturellen Veränderungen führen. Für durchgreifende und schnelle Änderungen sprechen u.a. die folgenden Anzeichen und Gründe:

Es ist offensichtlich, daß unter diesen Umständen sehr bald Erfolge erreicht werden und daß der Schutz des Patientengeheimnisses dabei zu beachten ist. Die traditionelle Aufgeschlossenheit der Ärzte als hier maßgeblich beteiligte Gruppe, die Interessen der Patienten - und jeder weiß, daß er auch hin und wieder Patient ist - und die allgemeinen Erfahrungen mit dem Datenschutz auch auf der Seite der Technik-Anbieter lassen erwarten, daß Datenschutz hier nicht zur Streitfrage, sondern zum festen Bestandteil der Lösungen wird.

3. Telemedizin

Mit den Mitteln der Datenfernübertragung können große Entfernungen zwischen dem zu behandelnden Patienten und einem Arzt ohne relevanten Zeitverlust überbrückt werden.

Fallgruppe a)

Ein Arzt betreut den Patienten und beteiligt daran einen oder mehrere andere Ärzte oder Fachleute (Telekonsilum).

Die Beteiligung anderer Ärzte oder Fachleute an der Beurteilung der Lage und der Beratung über die angezeigte Therapie im fachlich gebotenen Umfang ist durch den Behandlungsvertrag gedeckt. Damit ist die Datenübermittlung zulässig, soweit sie dazu erforderlich ist. Das heißt, der unmittelbar betreuende Arzt darf alle relevanten Daten sowie Eindrücke und Vermutungen mit den sonst Beteiligten austauschen.

Die Risiken der Übertragung sind - völlig unabhängig von der Zulässigkeit - so gering wie möglich zu halten, hier sind wenn möglich kryptographische Verschlüsselungsverfahren einzusetzen. Deshalb müssen die technischen Vorkehrungen für planbare Telekonsilien den Einsatz von Verschlüsselung vorsehen.

Fraglich ist, ob außer den Daten des Falles auch die identifizierenden Daten des Patienten selbst dann übermittelt werden dürfen, wenn das zur Behandlung keinen Beitrag leistet. Wenn dies ausschließlich zur Liquidation erforderlich ist, sollte man sich ernsthaft fragen, ob dieser Personenbezug nicht vermeidbar ist. Schließlich könnte die Liquidation genauso gut über den betreuenden Arzt erfolgen. Die derzeitige Praxis bei Laborleistungen sollte dafür kein Vorbild sein, sondern auf ihre Erforderlichkeit kritisch geprüft werden. Datenvermeidung ist auch eine Form von Datenschutz!

Fallgruppe b)

Der Patient wird in der aktuellen Situation nicht von einem Arzt betreut, die Lage wird mündlich geschildert und/oder durch die Übertragung von Bildern oder Meßwerten, z.B. EKG-Daten, präzisiert (Telekonsultation).

Die Situation unterscheidet sich nicht wesentlich vom Telekonsilium, aber sowohl bei der Befundaufnahme (Datenerhebung) als auch hinsichtlich des Arztgeheimnisses treten neue Aspekte auf. Schon beim Telekonsilium hat der beratend hinzugezogene Arzt keinen unmittelbaren Eindruck vom Patienten. Bei der Telekonsultation fehlt ihm aber auch der Kollege, der sachverständig in der Lage ist, aufgrund seines Befundes die relevanten Fakten zu schildern, die notwendigen Fragen zu stellen und die Antworten zu verstehen und in die gebotenen Handlungen umzusetzen. Sowohl aus ärztlicher und im Hinblick auf die Dokumentation auch aus datenschutzrechtlicher Sicht muß die Erhebung von Befunden (Daten) diese Besonderheiten berücksichtigen.

Ist der Patient nicht allein, wird er eine oder mehrere helfende Personen und gegebenenfalls noch zusehende und zuhörende Personen in seiner Nähe haben, Beispiel: Patient bricht im Flugzeug zusammen. Weder für eine im Notfall tele-assistierende Person noch gar für die sonstigen Anwesenden gilt die ärztliche Schweigepflicht.

Je nach den Zufälligkeiten des Ereignisses könnte der Patient mit Auskünften deshalb bewußt oder unbewußt zurückhaltender sein, als er es einem anwesenden Arzt gegenüber wäre. Und der Tele-Arzt wird bei seinen Fragen berücksichtigen, daß der Patient durch Fragen und Antworten, die alle zufällig mit Anwesenden mithören, bloßgestellt werden kann. Auch wenn man vom Vorrang der Hilfe vor der Geheimhaltung ausgehen kann und muß, bleibt die Belastung des Arzt-Patienten-Verhältnisses durch die Beteiligung nicht-ärztlicher Dritter erheblich. Sie wird durch die digitale und damit verdeckte Übermittlung von Meßdaten nur zum Teil gemildert. Deshalb sollte erwogen werden, ob und unter welchen Umständen die beim Patienten helfende Person als Gehilfe des konsultierten Arztes i.S.d. § 203 StGB angesehen werden kann, mit der Folge, daß auch sie das Arztgeheimnis für die Tatsachen zu wahren hat, die ihr bei der Tele-Assistenz bekannt werden.

4. Das Nutzen früher erhobener Gesundheitsdaten

Das Beispiel der Telekonsultation rückt noch einen anderen Aspekt der Informationsprobleme bei der ärztlichen Behandlung in den Vordergrund, der bei näherem Hinsehen auch sonst von Bedeutung ist: Es fehlen oft zuverlässige Angaben über die gesundheitliche Vorgeschichte, deren Kenntnis die Arbeit des behandelnden Arztes wesentlich erleichtern kann.

Der Patient hat i.d.R. vieles vergessen und manches nie genau gewußt. Einiges fällt ihm gerade nicht ein und anderes fällt ihm ein, aber er hält es so lange nicht für berichtenswert, wie er sich nicht darauf angesprochen fühlt. Diese Mängel werden durch die professionelle Dokumentation der Ärzte behoben, wobei jedoch die Feststellungen auf verschiedene Ärzte verteilt und oft bei Bedarf nicht greifbar sind. Das liegt mit daran, daß die Ärzte eines Patienten wechselseitig nicht in jedem Fall Informationen austauschen und weil der Patient auf seine Vorbehandlungen und auf die vorbehandelnden Ärzte oft nicht hinweist.

Informationstechnik und Telekommunikation sind in der Lage, dies zu beheben. Eine der zur Zeit diskutierten Überlegungen baut auf Gesundheitsdatenkarten, in denen die relevanten Angaben über einen Patienten von diesem selbst zum jeweils behandelnden Arzt mitgebracht werden.

Eine andere Perspektive bieten Gesundheitsdatennetze, mit denen die an verschiedenen Stellen oder zentralisiert (z.B. für alle Bürger in einem Zentralcomputer oder für jeden Bürger bei seinem Hausarzt) vorgehaltenen Angaben eines Patienten durch Eingabe der Personalien vom Bedarfsträger abgerufen werden können.

Zu diesen Grundmodellen gibt es verschiedene Varianten, und es wird auch schon an Kombinationen von Karten und Netzen gearbeitet.

Die technischen Mittel für die Verhinderung unbefugter Zugriffe auf die schützenswerten Daten sind im Prinzip verfügbar. Mathematische Verfahren zur Verschlüsselung von digital gespeicherten Daten arbeiten in den heute selbst für Chipkarten verwendeten Prozessoren so schnell und zuverlässig, daß Kryptoverfahren sich ohnehin zum Dreh- und Angelpunkt der Datensicherheit entwickeln. Für die befugten Benutzer wird das Verschlüsseln und Entschlüsseln genauso unauffällig ablaufen wie heute die Transformation von Buchstaben und Bildern in Folgen von Nullen und Einsen, die auch kaum jemand ohne die Hilfe eines Programms richtig interpretieren kann. Während die technischen Probleme der Sicherung von Daten gegen unbefugte Zugriffe bei der Übertragung und während der Speicherung in Computern oder Chipkarten (die bald wie kleine PC arbeiten werden) keine besonderen Schwierigkeiten erwarten läßt, sind andere Fragen noch kaum ausführlich beantwortet:

Um mit meiner Antwort auf die zweite Frage zu beginnen: In automatisierte Systeme zur Bereitstellung von Gesundheitsdaten für zukünftige Behandlungen darf nichts gegen den Widerspruch des Betroffenen aufgenommen werden. Es mag aus ärztlicher Sicht verwundern, daß damit das Instrument z.T. entwertet werden soll, noch bevor es fertig ist. Die Technik sollte aber zur Verbesserung der Situation des Patienten eingesetzt werden, damit zu seiner Behandlung alles verfügbar ist, was er beitragen möchte und schon heute beitragen würde, wenn er das könnte. Eine gegen seinen nach eventueller Beratung aufrecht erhaltenen Widerspruch durchgesetzte Zwangspräsentation seiner gesundheitlichen Vorgeschichte wäre ein Übermaß und eine Entmündigung, die mit der Selbstverantwortung nicht zu vereinbaren wäre. Wer also das Risiko einer weniger erfolgreichen Behandlung bewußt in Kauf nimmt, um die Mitteilung einer bestimmten Angabe über seine Gesundheit nicht einem automatisierten System zu überlassen, sondern fallweise selbst darüber zu entscheiden, dem sollte man diese Entscheidung nicht nehmen, zumal pfiffige Bürger sie mit List und vielleicht mit etwas Geld ohnehin behalten könnten. Die Fälle, in denen Bürger sich so entscheiden, werden sehr selten sein. Und die Bürger, die sich so entschieden haben, werden den Gegenstand dieser Entscheidung nicht vergessen und die Angabe bei entsprechendem Bedarf in der Regel doch präsentieren, so daß im Ergebnis das Informationsdefizit sehr gering sein dürfte.

Die Frage, wer welche Daten in einem solchen System schreiben und wer auf diese Daten zugreifen darf, ist in erster Linie eine Frage an die Fachleute aus den verschiedenen Gesundheitsberufen. Angesichts der Unterschiede im Informationsbedarf der verschiedenen Fachärzte, der Apotheker, der Krankengymnastin, des Rettungssanitäters - und das sind sicher noch nicht alle, die zu berücksichtigen wären -, verbietet sich die einfache Antwort "jeder darf alles” von selbst. Eine sachgerechte Zuweisung von Befugnissen wird wegen des Vorrangs der Hilfe nicht pingelig bemessen sein dürfen, darf sich aber auch nicht jenseits dessen bewegen, was bei vertretbaren Annahmen noch zur Hilfe für den Patienten erforderlich sein kann. Technisch wird diese Differenzierung so realisiert, daß jeder Angehörige eines Gesundheitsberufes mit der Chipkarte (Health Professional Card - HPC), die er ohnehin in den Computer stecken muß, der ihn bei seiner Arbeit unterstützen wird, zugleich die Gruppenzugehörigkeit mitteilt.

Die generell für eine Berufsgruppe definierten Zugriffsbefugnisse dürfen jedoch nur dann genutzt werden, wenn die Daten zur Behandlung des Patienten benötigt werden. Das ist bei Daten, die auf der Karte in der Hand des Patienten stehen, leichter zu lösen als bei Daten, die über ein Netz abgerufen werden können. Für jedes System entscheidend wird das Ergebnis des folgenden Szenarios sein, das sich inzwischen zu einer Art Prüfstein entwickelt hat:

Am Ende des Einstellungsgesprächs bittet der Vertreter des Betriebes den Kandidaten, seine Gesundheitsdaten durch den dafür hinzugezogenen Betriebsarzt lesen zu lassen. Der Kandidat weiß zwar, daß schon die Bitte unzulässig ist und er sie von Rechts wegen abschlagen könnte, aber er weiß auch, daß er dann die Stelle nicht bekommt. Welche technischen, organisatorischen oder rechtlichen Mittel schützen den Kandidaten so, daß er seine Gesundheitsdaten nicht präsentieren muß und seine Einstellung nicht gefährdet?

Die Antwort auf diese Frage wird für kein System leicht sein, aber jedes System wird sich dieser Frage stellen müssen. Und die Antwort muß überzeugend sein, um die zu erwartende kritische Prüfung zu bestehen. Denn was wäre das für ein Fortschritt, der das Arztgeheimnis als Stütze in einer für jeden Menschen wichtigen Situation durch die im Prinzip sinnvolle Nutzung von Chipkarten und Telekommunikation wegrationalisiert?

This page was last modified on