Der Begriff Telemedizin beschreibt den Einsatz unterschiedlicher neuer Medien zur medizinischen Diagnostik, Therapie und Rehabilitation. Es handelt sich um einen Teil der Telematik (Wortkombination aus Telekommunikation und Informatik), der sich auf den medizinischen Bereich fokussiert. Versorgungskonzepte der Telemedizin sind z.B. die elektronische Gesundheitskarte, Videosprechstunden, die digitale Patientenakte und andere Formen der Online-Kommunikation (z.B. e-Mail oder chatten). Das sogenannte E-Health-Gesetz schaffte 2015 einen gesetzlichen Rahmen für den Umgang mit Patientendaten in der Telemedizin. Das Gesetz wurde daraufhin noch mehrfach aktualisiert. Die Videosprechstunde wurde z.B. erst mit der Aktualisierung von 2017 zulässig.
Worauf kommt es datenschutzrechtlich an?
Zuerst sei gesagt, dass in der Telemedizin grundsätzlich alle datenschutzrechtlichen Vorschriften gelten, die auch sonst in der Medizin gültig sind. Das heißt z.B., dass Gesundheitsdaten von der DSGVO als besondere Kategorie personenbezogener Daten angesehen werden und damit einem besonders hohen Schutz unterliegen.
Hinzu kommen Datenschutzvorgaben bzgl. Online-Kommunikation und Datenweitergabe. In der Telemedizin finden i.d.R. 2 Arten von Datenübertragung statt:
Datenaustausch zwischen Arzt/ Ärztin und Patient/-in
Datenaustausch unter Ärzten/ Ärztinnen oder anderen Gesundheitsfacheinrichtungen (z.B. Krankenhäusern, Krankenkassen etc.)
Bei der Übermittlung von Gesundheitsdaten an Dritte ist zu berücksichtigen, dass die Weitergabe nur mit einer entsprechenden Einwilligungserklärung des Betroffenen zulässig ist, sofern keine andere gesetzliche Grundlage die Datenweitergabe gestattet (z.B. gegenüber der Polizei oder den Krankenkassen).
Ein weiterer Fokus liegt in der Telemedizin auf dem technischen Datenschutz und der Datensicherheit, denn das größte Risiko des Datendiebstahls oder der -manipulation liegt in der unzureichend geschützten Datenübertragung.
Sieben konkrete Maßnahmen für eine datenschutz-konforme Telemedizin
Als Erstes sollte unbedingt darauf geachtet werden, dass die Systeme, mit denen Patientendaten verarbeitet werden, nicht mit dem Internet verbunden sind. Die Online-Kommunikation selbst sollte auf einem gesonderten Rechner stattfinden - noch besser ist es, wenn zusätzlich über ein gesichertes Netz kommuniziert wird.
Alle Kommunikationsvorgänge sollten per Ende-zu-Ende-Verschlüsselung gesichert werden. Bei diesem Verfahren werden Daten bereits beim Absender verschlüsselt und können nur beim Empfänger wieder entschlüsselt werden. Die Vorteile sind der Schutz gegen Abhören und die unbefugte Speicherung während der Übertragung sowie die Absicherung von medizinischen Daten, z.B. als ePatientenakte.
Hierzu veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine technische Richtlinie für die Verschlüsselung von Gesundheitsdaten in der Telemedizin. Der Arzt/ die Ärztin sollte den Patienten außerdem auf die Notwendigkeit einer verschlüsselten Kommunikation hinweisen.Bei der Übermittlung von Untersuchungsergebnissen oder Krankheitsbildern an den Betroffenen ist unbedingt sicherzustellen, dass der/ die Adressat:in tatsächlich der/ die Betroffene und damit zur Einsicht berechtigt ist. Hierbei handelt es sich um einen der Punkte, bei dem klare Richtlinien für Ärzte und Pflegepersonal unerlässlich für die Zukunft der Telemedizin sind.
Da Ärzte/ Ärztinnen in der Telemedizin Zugriff auf viele sensible Daten haben und außerdem ein gewisses Risiko besteht, dass Patienten einer Person Gesundheitsdaten mitteilen, die möglicherweise gar nicht ihr Arzt/ ihre Ärztin ist, sollte die Authentifizierung des medizinischen Personals besonders sicher sein. Ein Username und ein Passwort sind hier nicht ausreichend. Eine Möglichkeit ist z.B. der eArztausweis.
Patient:innen müssen transparent und umfangreich darüber informiert werden, was mit ihren Gesundheitsdaten passiert, wenn sie ein telemedizinisches Angebot in Anspruch nehmen. Dazu gehören auch Antworten auf Fragen wie:
- Zu welchem Zweck wird mir die Leistung angeboten, worin liegt der Mehrwert?
- Wer kann die elektronische Patientenakte oder elektronische Gesundheitskarte auslesen?
- Was geschieht beim Verlust der Karte?
- Wie werden meine Daten gespeichert und wann werden sie gelöscht?
- Wie wird die Kommunikation verschlüsselt?
- Welche Rechte habe ich als Betroffene:r?Als Verarbeiter:in von Gesundheitsdaten ist man grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu ernennen. Der Aufbau telemedizinischer Angebote sollte unbedingt mit dem Datenschutzbeauftragten besprochen werden.
V.a. die veraltete IT-Infrastruktur vieler Arztpraxen und Krankenhäuser gefährdet den Datenschutz in der Telemedizin, darum ist es ebenfalls ratsam, eine:n IT-Expert:in hinzuzuziehen.
Welche Daten darf ein Betriebsarzt eigentlich an den Chef/ die Chefin weitergeben? Das und viele weitere hilfreiche Informationen finden Sie in unserem Blogbeitrag zum Datenschutz beim Betriebsarzt.
Autorin: Maike Weiss
Artikel veröffentlicht am: 11. Mai 2020