gms | German Medical Science

GMDS 2012: 57. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie

16. - 20.09.2012, Braunschweig

Datensicherheit und Datenschutz in der prä- und postklinischen Versorgungsphase

Meeting Abstract

Suche in Medline nach

  • Roland A. Görlitz - FZI Forschungszentrum Informatik, Karlsruhe, Deutschland
  • Asarnusch Rashid - FZI Forschungszentrum Informatik, Karlsruhe, Deutschland

GMDS 2012. 57. Jahrestagung der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS). Braunschweig, 16.-20.09.2012. Düsseldorf: German Medical Science GMS Publishing House; 2012. Doc12gmds220

DOI: 10.3205/12gmds220, URN: urn:nbn:de:0183-12gmds2202

Veröffentlicht: 13. September 2012

© 2012 Görlitz et al.
Dieser Artikel ist ein Open Access-Artikel und steht unter den Creative Commons Lizenzbedingungen (http://creativecommons.org/licenses/by-nc-nd/3.0/deed.de). Er darf vervielfältigt, verbreitet und öffentlich zugänglich gemacht werden, vorausgesetzt dass Autor und Quelle genannt werden.


Gliederung

Text

Einleitung: Wie steht es um das Recht auf informationelle Selbstbestimmung [1], wenn Patientendaten beim Notfalleinsatz ohne explizite Zustimmung übertragen werden oder Krankenhaus und niedergelassene Ärzte zum Wohl des Patienten Daten austauschen beziehungsweise bei Externen speichern? Können solche Routinedaten für Prozessverbesserungen, Qualitätssicherung und Forschung verwendet werden?

Dieser Beitrag beleuchtet relevante Fragestellungen unabhängig von elektronischen Patienten-, Fall- oder Gesundheitsakten sowie Krankenhausinformationssystemen. Am Beispiel der Telemedizinprojekte StrokeAngel [2] und StrokeManager [3] werden zu beachtende Vorschriften erläutert und deren Praxisanwendung diskutiert.

Datenschutzrechtliches Rahmenwerk: In der prä- und postklinischen Versorgungsphase werden für eine optimale Behandlung Patientendaten gespeichert und übermittelt. Hierbei gelten Vorschriften des Bundesdatenschutzgesetz (BDSG), Landesdatenschutzgesetze (LDSG), branchenspezifische Gesetze und Berufsordnungen. Um eine rechtmäßige Datenbewegung durchführen zu können, muss eine Erlaubnisnorm oder die Patienteneinwilligung vorliegen (§4 BDSG). Letztere kann durch eine Einverständniserklärung erlangt werden, wobei die erfassten Daten den im BDSG festgehaltenen Grundprinzipien genügen müssen: Datensparsamkeit (§3a BDSG), nachgewiesene Notwendigkeit der Erfassung (§13–14 BDSG) und Zweckgebundenheit (u.a. §14 und §31 BDSG). Weiterhin müssen bei einer automatisierten Verarbeitung der Daten die in Anlage §9 BDSG beschriebenen Kontrollmaßnahmen gewährleistet und dokumentiert sowie das Zugriffs- und Widerrufsrecht der Patienten gewährleistet werden (§6 BDSG).

Erfahrungsbericht: Bei der Planung und Durchführung der Telemedizinprojekte StrokeAngel [2] und StrokeManager [3] kamen viele Facetten des datenschutzrechtlichen Rahmenwerks zur Anwendung. Beide befassen sich mit der Indikation Schlaganfall, welche für eine optimale Versorgung ein koordiniertes Zusammenspiel von verschiedenen Instanzen erfordert [4]. Daraus folgt ein Austausch von besonders schutzbedürftigen Daten (§3 Abs.9 BDSG), der rechtlich durch organisationale und technische Maßnahmen abgesichert werden muss, die folgendes garantieren:

1.
Zugriffsschutz
2.
Rechtssichere Dokumentation
3.
Anwendungsbezogene Nutzbarkeit
4.
Patientenwillen gewährleisten

Im Laufe der Projekte wurde deutlich, dass die Konsultation von Datenschutzbeauftragten und Ethikrat, die sich möglicherweise mehrere Monate mit der Sachlage beschäftigen, frühzeitig eingeplant werden muss. Bei der Konzeption wurden Medizinproduktanforderungen nicht betrachtet, weil lediglich die Übertragung und Archivierung der Kommunikation und nicht die medizinischen Entscheidungsprozesse betroffen sind. Seitens der technischen Maßnahmen wurden sichere Verschlüsselungs-, Zugriffs-, Übertragungs- und Dokumentationskonzepte erarbeitet und wegen des Beschlagnahmeverbots (§97 Abs.1 StPO) sichergestellt, dass die Daten auf deutschen Server gespeichert werden. Kern der ergriffenen organisationalen Maßnahmen ist eine schriftliche, datenschutzrechtliche Einwilligungserklärung für Patienten und gegebenenfalls Angehörige. Bei der präklinischen Datenübermittlung zur medizinischen Versorgung kann durch eine im Notfall vorliegende stillschweigende Erlaubnisnorm darauf verzichtet werden, da jedoch Daten für wissenschaftliche Auswertungen und weitergehende postakute Unterstützung verwendet werden, muss eine besonderen Anforderungen genügende Einwilligungserklärung geleistet und eine spätere Pseudonymisierung der Daten gewährleistet werden.

Diskussion: StrokeAngel zeigt auf, wie der Datenaustausch zwischen Rettungsdienst und Klinik datenschutzrechtlich unbedenklich abgewickelt und Fragen zur Verantwortung geklärt werden können. Die Zusammenführung der Daten aus Rettungsdienst und Klinik erweist sich als unbedenklich, solange identifizierende Daten gelöscht und jegliche Rückverfolgbarkeit ausgeschlossen werden. Beim StrokeManager ist die Bestimmung der „notwendigen“ Daten schwierig, da eine umfassende medizinische, pflegerische und soziale Unterstützung benötigt wird. Eine korrekte Einwilligungserklärung erlaubt hierbei eine gewisse Freiheit bei der Datenerfassung.

Die Erfahrung hat gezeigt, dass trotz vieler Vorschriften zwar keine pauschalen Aussagen möglich sind, aber individuelle Lösungen vor allem durch frühe Einbindung der Datenschutzbeauftragten, Ethik-und Betriebsräten machbar sind. Diese erarbeiteten individuellen Lösungen können auf andere Indikationen oder Technologieanwendungen übertragen werden.


Literatur

1.
Gola P, Schomerus R, editors. Bundesdatenschutzgesetz. 10. Auflage. München; 2010.
2.
Stroke Angel [Internet]. Karlsruhe: FZI ; c2005-09. Available from: http://www.strokeangel.de [updated 2012 April; cited 23.04.2012] Externer Link
3.
Stroke Manager [Internet]. Karlsruhe: FZI ; c2010-12. Available from: http://www.stroke-manager.de [updated 2012 March; cited 23.04.2012] Externer Link
4.
Kjellström T, Norrving B, Shatchkute A. Helsingborg Declaration 2006 on European stroke strategies. Cerebrovasc Dis. 2007; 23(2-3) :231-41.