Datenschutz in Krankenhäusern

Internet, IT und Telekommunikation
23.12.2011545 Mal gelesen
Die E-Mail-Nutzung nimmt in Krankenhäuser zu. Der Versand einer E-Mail ist mit der Versand einer Postkarte zu vergleichen. Jeder kann Sie ohne Mühe lesen, ein Schutz von sensiblen Informationen besteht nicht.

Die E-Mail-Nutzung nimmt in Krankenhäusern zu. Diese Feststellung überrascht nicht, da diese Art der Kommunikation viele Vorteile bietet. Nicht nur die Geschwindigkeit, mit der Informationen versendet werden, ist beeindruckend, auch die einfache Beteiligung Dritter oder der Versand von großen Datenmengen wird durch die Nutzung der elektronischen Post erleichtert. Überraschend ist allerdings, wie wenig über die rechtlichen Rahmenbedingungen gesprochen wird. Der Versand einer E-Mail ist mit der Versand einer Postkarte zu vergleichen. Jeder kann Sie ohne Mühe lesen, ein Schutz von sensiblen Informationen besteht nicht. Auch Fragen der Archivierung werden oft sorglos behandelt. Die E-Mails werden in Lotus Notes oder Outlook lokal abgespeichert, eine weitergehende Speicherung erfolgt nicht. Der nachfolgende Beitrag soll einige rechtliche Aspekte der E-Mail-Nutzung aufzeigen. 

Schutz von sensiblen Informationen

Der Versand von Röntgenbildern für eine externe Befundung oder der Versand von Krankenakten per E-Mail ohne Verschlüsselung ist aus verschiedenen rechtlichen Gesichtspunkten kritisch. Das Strafgesetzbuch normiert in § 203 eine Schweigepflicht des Arztes. Ein unbefugtes Offenbaren von fremden Geheimnissen kann strafrechtliche Konsequenzen nach sich ziehen. Im Zusammenhang mit E-Mails ist daher sicherzustellen, dass nur Berechtigte Zugriff auf sensible Informationen haben. Zu den Berechtigten gehören sicherlich die behandelnden Fachabteilungen und die Pflegekräfte der Station. Weiterhin sollte ein Versand per elektronischer Post nur verschlüsselt erfolgen, um unberechtigte Zugriffe während des Versendens zu unterbinden. Soweit sonstigen Beschäftigten des Krankenhauses Zugriffsrechte gewährt werden, ist dies nur bei einer zwingenden Notwendigkeit zulässig. Alternativ kann vom Patienten eine Einwilligung eingeholt werden. Beispielsweise ist bei Sekretärinnen oder der EDV-Abteilung des Krankenhauses zu klären, ob eine zwingende Notwendigkeit besteht, auf E-Mails zuzugreifen.

Aber nicht nur das Strafrecht zwingt zum vorsichtigen Umgang mit E-Mails. Auch die datenschutzrechtlichen Bestimmungen legen einen Mindeststandard zum Schutze des Patienten fest. So ist für die rechtmäßige Übermittlung von Patientendaten beispielsweise die schriftliche Einwilligung des Patienten Voraussetzung. Ob die zum Teil in den Allgemeinen Geschäftsbedingungen des Krankenhausaufnahmevertrages versteckten Einwilligungen den gesetzlichen Anforderungen an eine Einwilligung genügen, ist zweifelhaft.

Zwang zur E-Mail-Archivierung

Soweit ein Krankenhaus den Regelungen des Handelsgesetzbuches (HGB) unterliegt, ergeben sich aus den handelsrechtlichen Vorschriften Anforderungen an die E-Mail-Archivierung. In § 238 Abs. 2 HGB legt der Gesetzgeber die Verpflichtung nieder, eine mit der Urschrift übereinstimmende Wiedergabe der abgesandten Handelsbriefe zurückzubehalten. In einem Klammerzusatz verweist der Gesetzgeber in dieser Vorschrift auch auf Bild- oder andere Datenträger. In den Kommentierungen zum Handelsgesetzbuch wird darauf verwiesen, dass als Handelsbriefe sämtliche Schriftstücke gelten, die der Vorbereitung, Durchführung und dem Abschluss oder der Rückgängigmachung eines Geschäfts dienen. Dabei wird nicht zwischen Briefpost, Telefax-Nachrichten oder in neuerer Zeit E-Mails unterschieden. Allein die inhaltliche Bewertung führt dazu, dass ein Schriftstück, auch ein elektronisches Schriftstück, ein Handelsbrief im Sinne des Gesetzes wird.

Für Krankenhäuser bedeutet dies, dass zunächst einmal die ausgehende elektronische Post regelmäßig und entsprechend archiviert werden muss. In der Praxis ergibt sich dabei die Schwierigkeit, Handelsbriefe aus der Vielzahl der E-Mails herauszufiltern. Wie oben geschildert, sind nur Schriftstücke aufzubewahren, die im Zusammenhang mit einem konkreten Geschäft stehen. Nicht jedes Werbeschreiben oder jede Kontakt-E-Mail, ist nach den gesetzlichen Anforderungen des Handelsgesetzbuches zu archivieren. Hier sind in der Praxis entsprechende organisatorische Voraussetzungen zu schaffen, die die Umsetzung der Anforderungen des Gesetzgebers sicherstellen.

Aufbewahrung von Unterlagen: Eingangspost

Eine weitere Vorschrift, die im Zusammenhang mit E-Mails Bedeutung erlangt, ist der § 257 HGB mit der Überschrift "Aufbewahrung von Unterlagen, Aufbewahrungsfristen". Nach dieser Vorschrift ist ein Krankenhaus verpflichtet, u.a. empfangene Handelsbriefe aufzubewahren. In Abs. 2 wird der Begriff Handelsbriefe konkretisiert. Dies sind nur Schriftstücke, die ein Handelsgeschäft betreffen. Ein Krankenhaus hat die Möglichkeit, die Verpflichtung zur Aufbewahrung zu delegieren. Die Verantwortlichkeit bleibt jedoch davon unberührt und ist bei einem Outsourcing vertraglich abzusichern.

Der Gesetzgeber verlangt eine geordnete Aufbewahrung der Unterlagen, schreibt aber kein bestimmtes Ordnungssystem vor. Für Handelsbriefe gilt gem. § 257 Abs. 4 eine 6-jährige Aufbewahrungsfrist. Die Aufbewahrungspflicht beginnt mit dem Schluss des Kalenderjahres, in dem die Handelsbriefe abgesandt oder empfangen worden sind.

Sanktionen

Hat ein Krankenhaus die Aufbewahrungspflichten verletzt, so ist dies handelsrechtlich nicht weiter sanktioniert. Allerdings ist nach der Rechtsprechung des Bundesfinanzhofes die Aufbewahrungspflicht Bestandteil der Grundsätze ordnungsgemäßer Buchführung (BFH, BStBl. II 1976, 819). Eine Verletzung stellt daher ein Verstoß gegen die Buchführungs- und Aufzeichnungspflichten dar. Dies kann gem. § 152 AO auch steuerliche Konsequenzen haben. Eine Verletzung der Besteuerungsgrundlagen kann aus der Verletzung der Aufbewahrungspflichten auch elektronischer Post die Folge sein. Eine fehlende Archivierung von E-Mails kann unter Umständen auch strafrechtliche Konsequenzen nach sich ziehen. Beispielsweise kommt eine Verletzung der Aufbewahrungspflicht als Steuerhinterziehung (§ 370 AO) oder als leichtfertige Steuerverkürzung (§ 378 AO) in Betracht. Ein weiterer rechtlicher Gesichtspunkt ist die Frage der persönlichen Haftung der Krankenhausleitung, wenn diese eine Organisation der E-Mail-Archivierung unterlassen oder nur unvollständig vornehmen.

Elektronische Steuerprüfung

Seit dem 01. Januar 2002 können Steuerprüfer auf steuerrelevante Unterlagen, die in einem Krankenhaus in digitaler Form vorliegen, zugreifen. Die Anforderungen sind hierzu in den "GDPdU" zusammengefasst, den "Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen". Viele Krankenhäuser stellen diese Anforderungen nach wie vor vor erhebliche Probleme. In Anbetracht der Tatsache, dass bereits erste gerichtliche Entscheidungen vorliegen, sollte jedes Krankenhaus für sich die Frage klären, welche organisatorischen Anforderungen der elektronische Datenzugriff der Finanzverwaltung nach sich zieht.

§ 147 Abs. 6 Abgabenordnung (AO) bildet die Ermächtigungsgrundlage für den elektronischen Datenzugriff der Finanzverwaltung. Sie sieht das Recht der Finanzbehörden vor, elektronisch gespeicherte Daten des Steuerpflichtigen einzusehen und für Prüfungszwecke auszuwerten. Elektronisch aufgezeichnete steuerrelevante Daten müssen während der gesetzlichen Aufbewahrungsfrist in maschinell auswertbarer Form vorgehalten werden (§ 147 Abs. 2 Nr. 2 AO). Diese Regelung korrespondiert mit den handelsrechtlichen Vorschriften. Buchführungs- und Jahresabschlussunterlagen und Buchungsbelege müssen 10 Jahre, sonstige steuerrelevante Unterlagen müssen 6 Jahre aufbewahrt werden (§ 147 Abs. 3 AO). Daneben stellt § 200 AO klar, dass ein Krankenhaus zur Mitwirkung und Unterstützung bei Außenprüfungen verpflichtet ist.

Möglichkeiten des Datenzugriffs

Der Prüfer kann im Rahmen einer Außenprüfung nach pflichtgemäßem Ermessen entscheiden, welche Art des Datenzugriffs er wählt. Ein "Online-Zugriff" auf das EDV-System des Krankenhauses ist ausdrücklich ausgeschlossen. Dem Prüfer stehen nur folgende Varianten des Datenzugriffs zur Verfügung:

-      Unmittelbarer Datenzugriff,

-      mittelbarer Datenzugriff,

-      Datenträgerüberlassung.

Steuerlich relevante Daten

In der Praxis schwierig zu klären ist die Frage, welche Daten als steuerlich relevant einzustufen sind. In dem FAQ-Katalog der Finanzverwaltung wird entwaffnend ehrlich darauf hingewiesen, dass es zu diesem Terminus keine allgemein gültige Definition gibt. Nebulös umschreibt die Finanzverwaltung den Begriff steuerlich relevante Daten wie folgt: "Steuerlich relevant" sind Daten immer dann, wenn sie für die Besteuerung des Steuerpflichtigen von Bedeutung sein können.

Diese Definition und Beschreibung erklärt allerdings in der Praxis die Detailfragen nicht. An dieser Stelle ist der Steuerpflichtige mehrfach gefordert. Er muss zum einen die steuerrelevanten Daten von den anderen Daten abgrenzen. Darüber hinaus muss er auch organisatorisch sicherstellen, dass ein Zugriff nur auf die steuerrelevanten Daten möglich ist. Dabei sind datenschutzrechtliche oder besondere berufsspezifische Gesichtspunkte zu beachten. Bei Meinungsverschiedenheiten ist nach Auffassung des Bundesfinanzministeriums im Einzelfall zu entscheiden, welche Folgerungen zu ziehen sind. Auch dies lässt einen breiten Interpretationsspielraum offen.

E-Mails mit Signatur

Ein Gesichtspunkt wird in der Zukunft zunehmend an Bedeutung gewinnen. Bisher ist der Einsatz von qualifizierten elektronischen Signaturen in der Praxis noch nicht so verbreitet. Dies wird sich aber mit steigendem Sicherheitsbedürfnis ändern. Insbesondere vor dem Hintergrund, dass zunehmend rechtlich relevante Daten per E-Mail versandt werden. Für einen gerichtsfesten Nachweis, dass eine E-Mail mit qualifizierter elektronischer Signatur eingegangen ist, genügt nicht der Ausdruck der entsprechenden E-Mail auf Papier. Der Autor hat bereits gerichtliche Verfahren erlebt, in denen die Gerichtsentscheidung von der Frage abhing, ob eine E-Mail mit einem bestimmten Inhalt so eingegangen ist. Wird dies von einer Partei bestritten, kann nur mit Hilfe eines Sachverständigengutachtens geklärt werden, welche E-Mail mit welchem Inhalt versandt wurde und eingegangen ist. Für ein solches Sachverständigengutachten genügt nicht der Papier-Ausdruck. Hier ist ein Zugriff auf die archivierte Original-E-Mail notwendig. Hier besteht bei einigen Krankenhäusern Organisationsbedarf.

Private E-Mail- und Internetnutzung am Arbeitsplatz

Die Diskussion um die private E-Mail- und  Internet-Nutzung in Krankenhäusern hat durch das Urteil des Bundesarbeitsgerichts vom 7. Juli 2005 (Az.: 2 AZR 581/04) eine neue Qualität bekommen. Die Bundesarbeitsrichter haben klargestellt, dass eine private Nutzung des Internets eine fristlose Kündigung rechtfertigen kann. Diese Auffassung war bis dato nicht von allen Arbeitsgerichten geteilt worden. Die wichtigsten Erkenntnisse der Entscheidung lauten:

Auch wenn der Arbeitgeber die Privatnutzung nicht ausdrücklich verboten hat, verletzt der Arbeitnehmer mit einer intensiven zeitlichen Nutzung des Internets während der Arbeitszeit zu privaten Zwecken seine arbeitsvertraglichen Pflichten. Das gilt insbesondere dann, wenn der Arbeitnehmer auf Internetseiten mit pornographischem Inhalt zugreift. Diese Pflichtverletzung kann ein wichtiger Grund zur fristlosen Kündigung des Arbeitsverhältnisses sein. Ob die Kündigung in einem solchen Fall im Ergebnis wirksam ist, ist auf Grund einer Gesamtabwägung der Umstände des Einzelfalls festzustellen.

Das es auch anders gehen kann, musste ein Arbeitgeber vor dem Landesarbeitsgericht (LAG) Köln erfahren. Das Urteil der Kölner Richter vom 15.12.2003 (Az.: 2 Sa 816/03) zeigt das Dilemma um die private PC-Nutzung in Unternehmen überdeutlich. Eine Chefsekretärin hatte mehrfach private eMails an Dritte gesandt und sogar ihren Arbeitgeber als dumm und unfähig bezeichnet. Aber kündigen konnte der Arbeitgeber dennoch nicht. Das LAG Köln fordert zunächst eine Abmahnung. Der Fehler des Arbeitgebers: Es gab im Unternehmen keine betriebliche Regelung über den Umfang der Privatnutzung des PC´s am Arbeitsplatz.

Der rechtliche Hintergrund

Immer wieder scheiterten bisher Arbeitgeber mit Kündigungen, weil die private PC-Nutzung in den Betrieb nicht oder nur unzureichend geregelt ist. Es empfiehlt sich also dringend, diesen Bereich mit den Mitarbeitern klar zu vereinbaren. Daran ändert auch die vorgestellte Entscheidung des Bundesarbeitsgerichts nichts.

Der Arbeitgeber wählt

Ein Krankenhaus muss sich zwischen zwei Wegen entscheiden:

 Dem Arbeitnehmer ist nur die rein dienstliche Nutzung von Internet und eMail erlaubt.

  1. Dem Arbeitnehmer ist auch die private eMail- und Internetnutzung gestattet oder nicht ausdrücklich verboten.

Die Variante 1 ist der rechtlich einfachere, für die Betriebspraxis zumeist schwierigere Weg. Wurde einmal die private Internet-Nutzung gestattet, wird jedes Verbot von den Mitarbeitern als Rückschritt empfunden. Hier werden sowohl von der IT-Abteilung als auch von der Unternehmensleitung kommunikative Höchstleistungen erwartet, um den Mitarbeitern deutlich zu machen, dass eine erlaubte private Internet-Nutzung zusätzliche erhebliche Kosten aufgrund der Telekommunikationsgesetze und strafrechtliche Gefahren mit sich bringen. Nur bei einer Untersagung der privaten Nutzung sind vom Arbeitgeber die telekommunikationsrechtliche Vorschriften nebst den besonderen datenschutzrechtlichen Regelungen nicht zu beachten.

Praxistipp

Wenn eine "betriebliche Übung" der privaten Nutzung besteht, kann diese nicht durch eine Betriebsvereinbarung aufgehoben werden. Die betriebliche Übung kann nur durch eine individual-arbeitsvertragliche Übung oder durch eine "negative"/entgegengesetzte betriebliche Übung beseitigt werden

Die Variante 2 ist der für die Krankenhäuser der kompliziertere Weg. Der Arbeitgeber muss das Fernmeldegeheimnis wahren. Jegliche Überwachung der Inhalte sowie der Verbindungsdaten der Internet- und eMail-Nutzung ist unzulässig. Trennt der Arbeitgeber eine erlaubte private Kommunikation nicht von der dienstlichen Kommunikation, so erstreckt sich die Geheimhaltungspflicht auch auf dienstliche eMails.

Neben der Wahrung des Fernmeldegeheimnisses ist das Krankenhaus als Erbringer geschäftsmäßiger Telekommunikationsdienste gem. § 87 I TKG zu angemessenen technischen Vorkehrungen und sonstigen Maßnahmen zum Schutz des Fernmeldegeheimnisses verpflichtet. Diese Maßnahmen stellen einen erheblichen Mehraufwand dar. Die Verpflichtung bezieht sich nur auf solche Datenverarbeitungssysteme, die bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten eingesetzt werden, wie z.B. ein PC mit Internet-/eMailzugang. Als Maßnahmen zum Schutz des Fernmeldegeheimnisses kommen Zutritts- und Zugriffsbeschränkungen, Verschlüsselungen sowie der Schutz der Firewall-Auswertungsprotokolle vor unbefugter Einsichtnahme in Betracht.

Was ist konkret zu tun?

Die Nutzung von E-Mails in Krankenhäusern sollte unter rechtlichen Aspekten überprüft werden. Es empfiehlt sich, zunächst die derzeitige und geplante Nutzung elektronischer Post im Krankenhaus zu analysieren und auf dieser Basis die rechtlichen Notwendigkeiten zu prüfen. Wenn der rechtliche Anforderungskatalog feststeht, kann im nächsten Schritt nach der passenden technischen Lösung gesucht werden. Der umgekehrte Weg von der technischen Lösung zu den rechtlichen Anforderungen birgt die Gefahr in sich, dass technisch rechtliche Notwendigkeiten nicht oder nur unvollständig abgebildet werden.