02. November 2021

Patientendaten in Gefahr? EU plant erweiterten Zugriff für Ermittler

Die EU-Kommission arbeitet an einer Verordnung zur Sicherung elektronischer Beweismittel in Strafsachen. Sollte diese umgesetzt werden, könnte das Auswirkungen für den Umgang mit Patientendaten haben.

Lesedauer: 3 Minuten

Dieser Beitrag wird vertreten von Alexa Frey, Fachanwältin für Medizinrecht. Redaktion: Sebastian Schmidt

Das sind die Pläne der EU-Kommission

Geplant ist, dass die Ermittlungsbehörden eines Mitgliedsstaates direkt an Telekommunikationsanbieter in einem anderen Mitgliedsstaat herantreten können. Mehr noch könnten sie so über diesen direkt auf Daten zugreifen. Relevant wird dies insbesondere dann, wenn Daten in einer Cloud oder einem Rechenzentrum gespeichert werden. Besonders brisant: Der „Inhaber“ der Daten erfährt nicht oder erst später von der erfolgten Beschlagnahme seiner Daten. So soll es in der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen festgeschrieben werden.

Kritik an der Verordnung durch Datenschützer

Eine Reihe von Datenschutzbeauftragten kritisieren die Verordnung. Der Hauptkritikpunkt an der grenzüberschreitenden Beweiserhebung: Eine verpflichtende Beteiligung der Justizbehörden am Sitz des Telekommunikationsanbieters ist nicht vorgesehen.

Hinzu kommt, dass die Regelungen der einzelnen Strafprozessordnungen von Staat zu Staat unterschiedlich sind, wann die Voraussetzungen für eine Durchsuchung erfüllt sind.

Problematisch ist auch, dass einzelne Handlungen – wie Schwangerschaftsabbrüche – in einigen EU-Staaten straffrei in anderen EU-Staaten aber strafbar sind.

Welches Risiko hätte die Verordnung für Ärzte?

Offen ist, inwieweit ein Risiko für Ärztinnen und Ärzte besteht, dass ausländische Ermittlungsbehörden auf deren Patientendaten und -Dokumentation zugreifen. Voraussetzung wäre die Speicherung der Patientenunterlagen in einer Cloud oder einem Rechenzentrum.

Seit Einführung der IT-Sicherheitsrichtlinie durch die Kassenärztliche Bundesvereinigung gilt für alle niedergelassene Ärzte bzw. Vertragsärzte seit dem 01.04.2021 für Office-Produkte ein Verbot der Cloud-Speicherung. Unklar ist jedoch, ob eine reine Speicherung der Daten in einem externen Server oder der externe Betrieb einer Praxis-Software zur Behandlungsdokumentation, also eine Web-Anwendung, hiervon umfasst sein soll oder nicht.

Ein allgemeines Verbot der Nutzung eines Rechenzentrums – wie es teilweise für Krankenhäuser in den Landeshausgesetzen und -datenschutzgesetzen vorgesehen ist – besteht für Arztpraxen derzeit nicht.

Die Folge: Speichert eine Arztpraxis die Daten also in einem externen Rechenzentrum oder einer Cloud und nicht am Praxissitz auf einem eigens betriebenen Praxisserver, besteht das Risiko, für den Anwendungsbereich der E-Evidence-Verordnung und somit ein potenziell möglicher Zugriff durch Strafverfolgungsbehörden.

Vorsicht ist bei Cloud-Lösungen geboten

Nicht nur aufgrund der geplanten E-Evidence-Verordnung tun Ärztinnen und Ärzte gut daran die Patientenunterlagen nicht in einer Cloud oder einem Rechenzentrum zu speichern. Da lokale Lösungen mit einem eigenen Praxisserver – bei Erfüllung der notwendigen IT-Sicherheitsstandards – einen erheblichen personellen, technischen und auch wirtschaftlichen Aufwand bedeuten, sind externe Dienste jedoch meist in vielerlei Hinsicht „günstiger“.

Entscheidend ist, dass Ärztinnen und Ärzte bei der Auswahl des Dienstleistungsunternehmens ein hohes Augenmaß auf die Einhaltung der IT-Sicherheitsrichtlinie, die Einhaltung der ärztlichen Schweigepflicht, den Datenschutz und nicht zuletzt den Standort der Datenspeicherung legt.

Ebenso wichtig ist, dass sie überprüfen, wo externe Dienstleister (Cloud-Anbieter, Rechenzentren) ihre Server betreiben. Auch die Technisch-Organisatorischen Maßnahmen der Anbieter, um die Daten vor einem externen Zugriff zu schützen, sollten sie vor Vertragsabschluss prüfen. Ferner sollte eine Mitteilungspflicht vereinbart werden, wenn durch externe Dritte, wie Strafverfolgungsbehörden, auf die elektronischen Daten zugegriffen wurde.

Was Ärzte jetzt beachten sollten

Sofern Arztpraxen seit längerer Zeit Speicherorte und Praxis-Server verwenden, gibt die geplante E-Evidence-Verordnung Anlass, die Praxis-IT einer umfassenden Prüfung zu unterziehen. Denn bei einer „Lagerung“ der Daten im Ausland erhöht sich durch die Verordnung das Risiko eines Zugriffs auf die Daten durch Ermittlungsbehörden – und das möglicherweise ohne Kenntnis der Arztpraxis.

Alexa Frey ist selbständige Rechtsanwältin und Fachanwältin für Medizinrecht und Fachanwältin für IT-Recht. Sie berät Leistungserbringer im Gesundheitswesen in Fragen des Arzthaftungsrechts, IT-Rechts, Datenschutzes, Vertrags- und Gesellschaftsrechts, Vergütungsrechts und Medizinstrafrechts.

Kontakt: frey@wws-ulm.de

Bildquelle: © Getty Images / mixmagic

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

Verantwortlich für den Inhalt dieser Seite ist 
coliquio GmbH gemäß §4 HWG.

coliquio GmbH
Turmstraße 22
78467 Konstanz
www.coliquio.de

Tel.: +49 7531 363 939 300
Fax: +49 7531 363 939 900
Mail: info@coliquio.de

Vertretungsberechtigter Geschäftsführer:
Martin Drees
Handelsregister: Amtsgericht Freiburg 
Registernummer: HRB 701556
USt-IdNr.: DE256286653