Fernwartung der Praxis-EDV
Zahlreiche Anwendungen versprechen dem Zahnarzt, ihm den Praxisalltag leichter zu machen: Terminkalender, Anamnesebögen, Nachschlagewerke (zum Beispiel die „Rote Liste“) und nicht zuletzt das Internet als Informationsquelle.
Kaum eine Computeranlage arbeitet indes stetig problemfrei. Mal seltener, mal häufiger treten Probleme auf, die schließlich in einem vom Zahnarzt nicht mehr beherrschbaren Systemausfall gipfeln können. Spätestens dann ist die Hilfe von Spezialisten erforderlich, und zwar möglichst schnell, um die Verluste durch den Computerausfall zu minimieren und das möglichst preiswert.
Vor dem Hintergrund dieser Forderungen treten Service- und Softwarespezialisten mit dem Angebot auf den Markt, die Fernwartung des EDV-Systems per Datenleitung durchzuführen. Der Mitarbeiter des Servicehauses klinkt sich direkt vom Firmensitz in das EDV-System des Zahnarztes ein – das spart Zeit und Geld.
Begrenzte Kontrolle
Dieses attraktive Angebot birgt aber naturgemäß erhebliche Risiken für den Datenschutz, da ein neuer Zugang zum Rechner geschaffen wird. So werden dem Fernwartungspersonal Zugriffsmöglichkeiten auf gespeicherte personenbezogene Daten eröffnet und das ohne oder nur mit begrenzter Kontrolle durch den Zahnarzt.
Eng verzahnt mit dem § 203 StGB, der ärztliche Schweigepflicht und Patientengeheimnis regelt (siehe Kasten), sind die Bestimmungen des Bundesdatenschutzgesetzes (BDSG). Der niedergelassene Zahnarzt ist eine „nicht-öffentliche Stelle“ im Sinne des § 2 Abs. 4 BDSG und damit dessen Regelwerk unterworfen. Bereits die Zusammenstellung der Patientendaten auf Karteikarten erfüllt den Tatbestand der Datenspeicherung. Die elektronische Patientendatei unterscheidet sich insoweit rechtlich nicht. Unabhängig vom gewählten Medium der Datenverarbeitung und Nutzung muss der Zahnarzt beim Umgang mit Patientendaten unbedingt darauf achten, Persönlichkeitsrechte und Patientengeheimnisse zu wahren.
Vor diesem Hintergrund hat der Zahnarzt den Besonderheiten der elektronischen Medien Rechnung zu tragen. Wo die Datensicherheit nicht zu gewährleisten ist, verbietet sich die Anwendung elektronischer Datenverarbeitung und es muss auf herkömmliche Verfahren zurückgegriffen werden.
Wie bei jeder Wartung der EDV-Anlage muss erst recht bei Fernwartungen gewährleistet sein, dass nur Testdaten verwendet werden und kein Zugriff auf personenbezogene Daten möglich ist. Ein Zugriff auf personenbezogene Daten kann nur ausnahmsweise in Betracht kommen, wenn sich ohne Kenntnis dieser Daten der Fehler des EDVSystems nicht beheben lässt. Um den mit der Fernwartung verbundenen Risiken für den Datenschutz zu begegnen, werden im Allgemeinen mehrere Maßnahmen für erforderlich gehalten.
• Bei der Fernwartung muss derVerbindungsaufbau durch den Zahnarzterfolgen, so dass Fernwartungsarbeiten nur mit seinem Wissen und Willen beginnen können. Die Anschlussnummer der Fernwartungszentrale ist im EDV-System des Auftraggebers fest zu hinterlegen, so dass das Anwählen einer unzulässigen Nummer unmöglich wird. Nach Abschluss der Fernwartungsarbeiten ist die Fernwartungsverbindung unverzüglich abzubauen. Der Auftraggeber muss die Fernwartungsarbeiten jederzeit abbrechen können.
• Alle Fernwartungsaktivitäten müssen an einemKontrollbildschirmzum Mitlesen sichtbar gemacht werden.
• Das Fernwartungspersonal muss sich einerAnmeldeprozedurunterziehen. Diese muss aus einer Identifikation (Benutzerkennung) und Authentifikation (Passwort) bestehen. Die Fernbetreuung von Anwenderprogrammen ist unter einer Kennung vorzunehmen, die keine Systemverwalterprivilegien einschließt.
• Der Auftraggeber räumt dem Fernwartungspersonal nur solcheZugriffsmöglichkeitenein, die für die Durchführung der Fernwartungsarbeiten unbedingt erforderlich sind. Dabei verhindert der Auftraggeber grundsätzlich den Zugriff auf personenbezogene Daten.
Auch an den Inhalt des Vertrages mit dem Service- und Softwarehaus sind besondere Anforderungen zu stellen. Das Praxispersonal unterliegt einer eigenen Verschwiegenheitspflicht, die strafrechtlich in § 203 Abs. 3 StGB verankert ist, indem die „berufsmäßig tätigen Gehilfen“ den in § 203 Abs. 1 StGB genannten Geheimnisträgern gleichgestellt werden. Aus diesem Grund ist der Zahnarzt der berufsrechtlichen Pflicht unterworfen, seine Mitarbeiter über die Pflicht zur Verschwiegenheit nachweislich zu belehren (§ 4 Abs. 2 Musterberufsordnung).
Auch EDV-Unternehmen müssen schweigen
Diese Verschwiegenheitspflicht ist bei Unternehmen zur EDV-Wartung nicht in ausreichendem Maße gegeben. Deshalb ist der Zahnarzt gezwungen, im jeweiligen Wartungsvertrag eine eigene vertragliche Verpflichtung zur Verschwiegenheit zu formulieren.
In den Vertrag sollten daher – neben den oben aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen – einige weitere Punkte aufgenommen werden.
1.Jegliche Weitergabe von Daten an Dritte ist untersagt.
2.Der Auftragnehmer (das Wartungsunternehmen) verpflichtet sich, die konkret mit der Wartung beauftragtenMitarbeiter namentlich zu benennen.
3.Es dürften nur Mitarbeiter eingesetzt werden, die nach § 5 Bundesdatenschutzgesetz vertraglich auf das Datengeheimnis verpflichtet wurden.
4.Dem Auftragnehmer eingeräumte Zugriffsrechte darf dieser nur ausschließlich in dem für die Durchführung der Wartungsarbeiten erforderlichen Umfang nutzen.
Dem Zahnarzt als „Geheimnisträger“ sollte bewusst sein, dass der Anspruch, den Zugriff auf personenbezogene Daten durch Dritte zu verwehren, bei der Fernwartung eigentlich nicht zu gewährleisten ist. Bereits die Verbindung des Praxiscomputers mit Telefonleitungen nach außen stellt ein besonderes Risikopotential dar, dem gegenwärtig kein 100-prozentiger Schutz entgegengestellt werden kann. Passwörter, Datenverschlüsselung und Firewall bieten für den allgemeinen Gebrauch zwar durchaus einen gewissen Schutz, jedoch keine verlässliche Sicherheit. Diese Sicherheitslücke kann nur wirksam geschlossen werden, wenn der mit einem Zugang versehene Rechner vom Praxiscomputer mit Patientendaten vollständig getrennt ist. Dieser Rechner wäre dann jedoch der Fernwartung entzogen, was unter dem Gesichtspunkt der umfassenden ärztlichen Verschwiegenheit gerechtfertigt erscheint.
Dipl.-Stom. Jürgen HerbertKarl-Liebknecht-Str. 303046 Cottbus
Der Autor ist Präsident der Landeszahnärztekammer Brandenburg und im Vorstand derBundeszahnärztekammer zuständig für den Bereich Elektronische Medien.