Spektrum der Woche Aufsätze • Notizen
ÄRZTE BLATT
Heft 15 vom 12. April 1979
Das Patientengeheimnis in Kartei und Computer
Gefährdung von Patientendaten
bei konventioneller und automatischer Datenverarbeitung im System der kassenärztlichen Versorgung
Der Eintritt in eine gesetzliche Krankenversicherung und die Inanspruchnahme von Lei- stungen löst die Produktion, die Weiterleitung und die Ver- arbeitung einer großen Menge von personenbezogenen Da- ten aus. Mißbrauchsgefahren hat es immer gegeben; sie sind jedoch von völlig neuer Qualität, wenn Datensamm- lung und -verarbeitung auf ei- ner anderen Ebene als der der unmittelbaren Beziehungen zwischen Patient, Arzt und der zuständigen Institution im Sy- stem der kassenärztlichen Versorgung erfolgen.
Otfrid P. Schaefer
1. Einleitung
Die Gegenüberstellung konventio- neller und automatischer Verarbei- tung von Patientendaten ist für die Betroffenen, Patienten wie Ärzte, keine erkennbare Realität. Denn die automatische Verarbeitung von Pa- tientendaten tritt für sie kaum in Er- scheinung, die unmittelbare Arzt- Patienten-Beziehung in der Praxis und im Krankenhaus scheint bis heute davon kaum berührt.
Dieser Irrtum wird durch das noch weitgehend getrennte Nebeneinan- der konventioneller Verarbeitung in der Praxis einerseits und automati- scher Verarbeitung der Daten in den Kassenärztlichen Abrechnungsstel- len und bei den Krankenversiche- rungen andererseits begünstigt. Wie sieht die Realität aus? Ich möchte dies an einem fiktiven Beispiel einer freiwillig versicherten Person, nach- folgend Patientin genannt, verdeut- lichen:
2. Fluß der Patientendaten im Sy- stem der kassenärztlichen Versor- gung an einem Beispiel
Eine Patientin X tritt freiwillig in die gesetzliche Krankenversicherung ein. Sie hat neben dem Familienna- men den Vornamen, das Geburtsda- tum, den Familienstand, die Zahl der Kinder, den Arbeitgeber und ihr Ein-
kommen sowie das des Ehegatten und der Kinder (I) angegeben.
Sie ist erfaßt.
Die Patientin wird krank und sucht mit einem Krankenschein den Arzt A. auf. Die eigene Vorgeschichte und die Familienvorgeschichte wer- den erhoben, Befunde werden er- stellt und zusammen mit der Dia- gnose und der Verordnung in der Karteikarte dokumentiert.
Arzt A. stellt die Diagnosen:
C) Depressive Verstimmung im Kli- makterium
© Trichomonadiasis
® Subklinischer Diabetes mellitus bei Übergewicht
® Hyperlipidämie.
Die Patientin erhält ein Rezept mit einem Antidepressivum, einem ein- deutig definierenden Vaginalthera- peutikum und einem lipidsenkenden Medikament, das bei einem Apothe- ker eingelöst wird.
Abgesehen davon, daß der Apothe- ker und seine Hilfen aus dem vorge- legten Rezept drei der vier gestellten Diagnosen ableiten können, wan- dert das Rezept zur zuständigen Apothekenabrechnungsstelle, wo >
1019
Spektrum der Woche Aufsätze · Notizen
Gefährdung von Patientendaten
alle eingehenden Rezepte peri- odisch nach Apotheken, Ärzten und Krankenkassen sortiert zur Abrech- nung mit der betreffenden gesetzli- chen Krankenversicherung vorbe- reitet und schließlich weitergeleitet werden.
Hier beginnt der erste Schritt der automatischen Verarbeitung, nach- folgend mit DV gekennzeichnet.
Der Arzt ist gehalten, die von ihm veranlaßten diagnostischen und the- rapeutischen Maßnahmen gegen- über der Kassenärztlichen Verrech- nungsstelle bzw. der Krankenversi- cherung zu begründen bzw. zu rechtfertigen, um die Wirtschaftlich- keit seiner Arbeitsweise überprüfen zu können. Er trägt folglich auf dem Krankensch'ein der Patientin neben den Gebührenordnungsziffern seine Arbeits- bzw. "Rechtfertigungsdia- gnosen" ein. Mit der nächsten Quar- talsabrechnung wird der Kranken- schein an die zuständige Bezirks- stelle der Kassenärztlichen Vereini- gung weitergereicht
Die KV-Bezirksstelle prüft die Eintra- gungen und erstellt maschinenles- bare Belege (DV) und leitet den
Krankenschein mit allen relevanten
Abrechnungsdaten einschließlich Diagnosen an die Krankenkasse weiter, die wiederum alle Behand- lungsdaten und· gestellten Diagno- sen über den Krankenschein erfährt, nicht zuletzt, um die Leistungs- pflicht gegenüber der Patientin prü- fen zu können. Die maschinenlesba- ren Belege gehen zur Abrechnung an die KV-Landesstelle (DV).
Im Falle einer Beanstandung durch die gesetzliche Krankenversiche- rung wird der Krankheitsfall der Pa- tientin einem weiteren Personen- kreis, nämlich dem gesetzlich vorge- sehenen Prüfgremium, das mit Ver- tretern von Krankenkassen und Kas- senärztlicher Vereinigung besetzt ist, bekanntgemacht
Würde die Patientin an Arzt B. über- wiesen, so hat sich der Vorgang mit zusätzlichen Informationen über die Patientin wiederholt, wobei Vorin- formationen durch den erstbehan-
deinden Arzt in die Kartei des zweit- behandelnden Arztes eingehen und, fachspezifisch gefiltert, eine Weiter- gabe in der vorher beschriebenen Form erfahren. Es werden also auch Daten und Informationen über die Patientin dokumentiert, die nicht selbst erhoben (das heißt ungeprüft) sind.
Würde schließlich eine Kranken- hausbehandlung notwendig, so wer- den dabei in aller Regel Teilinforma- tionen über die Patientin vom be- handelnden Hausarzt und beraten- den Facharzt weitergegeben, neue Informationen zur Vorgeschichte der Patientin erhoben und zusam- men mit allen Befunden und einer epikritischen Würdigung des Be- handlungsfalles im Krankenblatt do- kumentiert.
Nehmen wir zur Verdeutlichung der Problematik weiter an, daß während des Krankenhausaufenthaltes sozio- psycho-somatische Gesichtspunkte des Krankheitsgeschehens aufge- deckt wurden, die ihren Ursprung sowohl in der frühkindlichen Ent- wicklung als auch in einer ehelichen Konfliktsituation haben. Es wird auch festgehalten, daß die Patientin übergewichtig ist, mehr als 20 Ziga- retten raucht und regelmäßig Wein und Cognac konsumiert. Vom Haus- arzt weitergegebene Informationen und Eigenerhebungen des Kranken- hauses können dabei du rehaus auch unbeteiligte Dritte betreffen, sofern eine ausführliche Familien- vorgeschichte erfaßt wurde. Darin können auch "sozial diskriminieren- de Angaben" enthalten sein, wenn zum Beispiel die Frage nach "Alko- holismus in der Familie" von der Pa- tientin für den Vater bejaht wurde.
Dem Krankenblatt werden alle für die Krankenhausverwaltung ent- scheidenden Daten für die Abrech- nung mit der Krankenkasse entnom- men (teilweise DV), ehe es zum Se- kretariat und weiter ins Archiv wan- dert. Einweisender Arzt und auch die mitbehandelnden Ärzte erhalten in aller Regel einen Arztbericht Erfolgen beim niedergelassenen oder Krankenhausarzt nun Anfragen
1020 Heft 15 vom 12. April 1979 DEUTSCHES ARZTEBLATT
von privaten oder gesetzlichen Kranken- bzw. Rentenversicherun- gen, so zum Beispiel zur Klärung von Zusammenhangsfragen oder wegen eines Kurantrages oder auf- grund eines Rentenantrages, so werden die notwendigen und ver- fügbaren Informationen bei der Be- richterstattung aus allen vorhande- nen Unterlagen, also auch aus dem
Kranken hausentlassu ngsberi cht, entnommen und unter Umständen sogar der Entlassungsbericht in toto weitergegeben.
Der Arzt handelt bei Auskunftsbe- gehren dabei im wesentlichen auf der Grundlage vertraglicher Bestim- mungen der RVO und des BMÄ bzw. aufgrund des Nachweises der Ent- bindung von der Schweigepflicht gegenüber privaten Personenversi- cherern.
Daß auch bei Beachtung des ver- traglichen Rahmens das Patienten- geheimnis besonderen Gefahren ausgesetzt sein kann, soll folgendes Beispiel verdeutlichen:
I> Kürzlich kam ein jüngerer Patient,
Angestellter einer Betriebskranken- kasse, in meine Behandlung. Die vielschichtig geklagten Beschwer- den konnten aufgrundausführlicher Anamneseerhebung, besonders aus dem sozialen Umfeld, als "sozio- psycho-somatisch" bedingt geklärt werden. Es wurde daraufhin von mir eine ambulante Psychotherapie vor- geschlagen. Der Patient bat jedoch, von einer Überweisung an einen Psychiater oder Psychotherapeuten abzusehen, da er fürchtete, daß der hierfür notwendige Überweisungs- schein seinen Arbeitskollegen nach der nächsten Kassenabrechnung zur Kenntnis gebracht würde und al- lein die Tatsache, daß er sich in psychiatrischer Behandlung befän- de, seine Berufskarriere behindern müsse oder könne.
~ Das Beispiel macht deutlich, daß nicht erst die Diagnose, sondern schon die Tatsache einer Behand- lung durch einen Nervenarzt in einer bestimmten Lebenssituation (Festi- gung einer Berufskarriere) ein sozial diskriminierendes Datum werden
'seek.e.se
102mmoww.,,
eigoom„ Aee.
Mit Fachzeitschriften, Büchern und Organisationshilfen ist der Deutsche Ärzte-Verlag den Ärzten nah.
Niemand schreibt mit mehr Verstandnis fur die Arzte als der Verlag, der • •• • . •
Spektrum der Woche Aufsätze ·Notizen
Gefährdung von Patientendaten
kann. Daher müßte man folgerichtig fordern, daß den Angestellten von Krankenkassen die Möglichkeit ein- geräumt werden sollte, Versiche- rungsschutz bei einer anderen Kran- kenkasse zu erhalten.
3. Die Gefahren
bei konventioneller Verarbeitung Die Gefahren beginnen bei der häu- fig unverschlossen aufbewahrten Patientenkartei des niedergelasse- nen Arztes, zu der sich auch Unbe- fugte Zugang versehatten können. Das gleiche gilt, wie wir wissen, auch für die Krankenblattarchive der Krankenhäuser.
Die für den Arzt uneingeschränkt gültige Grundlage des Handeins beim Umgang mit Patientendaten ist, neben den übrigen geltenden Rechtsnormen (zum Beispiel § 203 StGB), die in den Berufsordnungen als verbindliches Satzungsrecht der Ärztekammer testgelegte Verpflich- tung zur Verschwiegenheit ("Ärztli- che Schweigepflicht"). Die Ange- stellten der Kassenärztlichen Ver- einigungen unterliegen zwar der Schweigepflicht gemäß § 203 Abs. 2 Nr. 2 StGB; zweifelhaft ist aber, ob dieses auch für die Mitarbeiter der Apotheken-Abrechnungsstelle gilt.
Gehen wir von einem möglicherwei- se notwendigen Prüfverfahren zur Überprüfung der Wirtschaftlichkeit der abgerechneten Leistungen des behandelnden Arztes aus, so verbie- tet zwar der§ 97 StPO die Beschlag- nahme der Karteikarte zur Beweis- führung und damit die Offenbarung aller Eintragungen über einen Pa- tienten einschließlich Vorgeschichte
in diesem Verfahren. Die Preisgabe
von Behandlungsdaten und Diagno-
sen, ohne deren Kenntnis eine sach-
gerechte Wi rtschaftlichkeitsprütung nicht möglich ist, kann aber aut- grund des Rechtsverhältnisses zwi-
sch~n Arzt und KV verlangt werden. Im übrigen muß in aller Regel davon ausgegangen werden, daß die Wei- tergabe ärztlicher Schweigepflicht unterliegender Tatsachen an Dritte dann nicht unbefugt ist, wenn der
Arztaufgrund der Sach- und Interes- sensJage des Patienten annehmen kann, daß der Patient betragt seine Einwilligung gäbe, weil ja die Wei-
tergabe ausschließlich in seinem ei-
genen Interesse erfolgt und damit dem Untersuchungszweck ent- spricht, und der Patient die Möglich-
keit hätte zu widersprechen (mut-
maßliche Einwilligung). Hier wird zukünftig noch die Notwendigkeit der Erfüllung des§ 3 BDSG (schritt- liehe Einwilligung) zu prüfen sein.
Die allgemeine Verfahrensweise der Ärzte in Praxis und Krankenhaus bei der Auskunttserteilung an Dritte fin- det nach meiner langjährigen Erfah- rung in Klinik und Praxis und aut- grund der Praxisanalyse des For- schungs- und Entwicklungsprojek- tes "Informationssystem für den nie- dergelassenen Arzt (INA)"1) auf der Grundlage der Rechtsgüterabwä- gung statt.
Wie schmal der Grat dieser Verfah- rensweise ist, weiß jeder Arzt aus den täglich zahlreichen, nicht selten sogar teletonischen Auskunftsbe- gehren von Patientenangehörigen, Krankenkassen, Arbeitgebern, Ver- tretern des öffentlichen Gesund- heitsdienstes und der sozialärztli- chen Dienste. Die zweitelhatte Ge- pflogenheit, ausführliche Kur- und Heilverfahrensberichte mit Eigen- anamnese, Familienvorgeschichte, Sozialanamnese, klinischen und Zu- satzbefunden nicht nur den behan- delnden Ärzten, sondern auch den Kranken- und Rentenversicherun- gen zuzustellen, muß an dieser Stel- le der Vollständigkeit halber kritisch erwähnt werden.
Dieses Verfahren ist schwerlich mit dem Grundsatz in Einklang zu brin- gen, daß die Inanspruchnahme von Sozialleistungen durch den Versi- cherten seine Einwilligung in die Of- fenbarung der Krankheitsumstände nur insoweit beinhaltet, als diese für
die Feststellung der Leistungspflicht
des Sozialversicherungsträgers not- wendig ist.
1) Gefördert durch den Bundesminister für Forschung und Technologie (DVM 014)
1022 Heft 15 vom 12. April1979 DEUTSCHES ARZTEBLATT
Schließlich muß hier die bei jedem Lebensversicherungsantrag dem Antragsteller abgenötigte Einver- ständniserklärung zur Befreiung von der Schweigepflicht erwähnt wer-
den: Der Bezug zum System der kas-
senärztlichen Versorgung wird her- gestellt durch die Formulierung:
"Ich ermächtige die Gesellschaft vor
Abschluß des Vertrages und in den ersten drei Jahren danach die Ärzte sowie alle Stellen, die sachverstän- dig über meine Gesundheitsverhält- nisse Auskunft geben können (z. B.
Krankenanstalten unter ärztlicher Leitung und unter ärztlicher Leitung stehende ähnliche Einrichtungen sowie andere Personenversicherer und deren Gemeinschaftseinrich- tungen), zu befragen".
~ Unter dem Begritt "alle Stellen, die sachverständig über meine Ge- su ndheitsverhältnisse Auskunft ge- ben können" sind auch gesetzliche Krankenversicherungen zu verste-
hen. Eine solche Auskunftserteilung
läßt sich nur bei sehr weitherziger Auslegung mit den lnteresser-1 des Patienten und somit auch durch sein stillschweigendes Einverständnis in die Weitergabe rechtfertigen, wobei erneut zu prüfen sein wird, ob damit dem§ 3 BDSG (schriftliche Einwilli-
gung) wirklich Genüge getan wird!
Es ist aber auch denkbar, daß im
Falle eines Unfalles eines Patienten eine private Haftpflichtversicherung des schuldigen Unfallgegners Antra- gen an den behandelnden Hausarzt richtet, um z. B. Vorerkrankungen des Patienten zu erfahren, die sich im Zweifelsfall negativ auf den Heil- verlauf oder die Schwere der Folge- erkrankungen des Unfalles auswir- ken können. Eine Befreiung von der Schweigepflicht gegenüber einer fremden Haftpflichtversicherung liegt in aller Regel nicht vor. Sie
wird, wie ich jüngst erlebt habe, oh-
ne jeden schriftlichen Nachweis von der Versicherung nicht selten ein- fach behauptet.
Auf den Kern des Problems redu- ziert, heißt das: Vertrauliche Anga- ben des Patienten (Vorgeschichte) und vom Arzt erhobene Untersu- chungsbefunde, die ursprünglich
zum Zwecke der Wiederherstellung der Gesundheit preisgegeben wur-
den, erfahren unter den genannten
Umständen und im Falle einer Aus- kunftserteilung u. U. eine zweckent- fremdete Verwendung durch Dritte, deren primäres Ziel es ist, den Lei- stungsanspruch des Patienten als möglichen Prozeßgegner herabzu- setzen, nicht aber, ihm zu nutzen.
Abgesehen von diesem du rehaus alltäglichen Geschehen sind die Ge- fahren für die beim Patienten erho- benen Befunde und Daten sehr zahl- reich, insbesondere, wenn sozial diskriminierende Sachverhalte schon aus der einfachen Diagnose, ja selbst aus der Fachbezeichnung des behandelnden Arztes, herzulei- ten sind und sich auf den sozialen Status und den beruflichen Werde- gang auswirken können.
..,.. Datenschutz fängt also sehr früh
an, und man kann sagen: Je genauer
die Diagnosen, desto größer die Ge- fahren.
Die im Rahmen der Kassenabrech-
nung weitergegebenen Diagnosen- dies gilt es auch hier noch einmal besonders hervorzuheben - sind mehrheitlich keine wissenschaftli- chen Diagnosen, sondern ange- sichts des prozessualen Charakters der Diagnosefindung, die sich über mehr als ein Behandlungsquartal er- strecken kann (!):
[> Verdachtsdiagnosen
[> Arbeitsdiagnosen
[> Differentialdiagnosen
[> Rechtfertigungsdiagnosen.
Letztere besonders, um angesichts der Prüfung auf Wirtschaftlichkeit von Diagnostik und Therapie des Arztes, die veranlaßten Maßnahmen zu rechtfertigen oder zu begründen. So will zum Beispiel die Diagnose·
"V. a." (Verdacht auf) oder eine "z.
B."-Diagnose Magengeschwür oder toxische Hepatose nichts anderes besagen, als daß der Verdacht auf eine dieser Erkrankungen bestand
und abgeklärt wurde. Im Patientenfi- le einer Krankenkasse kann dies aber zu jeder irrtümlichen Interpre- tation Anlaß geben, weil mehrheit- lich medizinische Laien mit der Be- arbeitung befaßt sind und zumal es keine Absprachen für den Arzt bei der Verwendung diagnostischer Be- griffe bei der Kassenabrechnung ge- ben kann.
Es liegt auf der Hand, welche Ge- fährdung des Patienteninteresses durch die Preisgabe von Diagnosen aus der Kassenabrechnung eintre- ten kann, zum Beispiel bei Anfragen privater Personenversicherer, und sei es selbst nur zur zweifelsfreien (?) Feststellung der Todesursache oder zeitlicher Zusammenhangsfra- gen eines zum Tode führenden Leidens.
Fassen wir die Gefahren im konven- tionellen Informationsfluß zusam- men, so ergeben sich im wesentli- chen sieben Gefahrenbereiche:
CD
Durch die Art und Weise der Auf- bewahrung vertraulicher Aufzeich- nungen (Patientenkartei/Kranken- blattarch iv /Versicherung skartei).@Durch unbewußte Weitergabe von Patientendaten an Personen und In- stitutionen, die bisher nicht eindeu- tig der Geheimhaltungspflicht nach
§ 203 StGB unterliegen.
@Durch Auskunftsbegehren Dritter, die zwar gesetzlichen Anspruch auf Offenbarung von Teilinformationen über Patienten haben, die jedoch den eindeutigen Zweck, weswegen sie solche Informationen im Interes- se des Patienten erhalten, im eige- nen Interesse zu überschreiten trachten (lnteressenskollision).
0
Durch das Auskunftsbegehren Dritter, die keinen Anspruch auf Of- fenbarung von Patientengeheimnis- sen haben, diesen aber ohne oder mit Hilfe unzureichender Einwilli- gung des Patienten vorschützen.®
Durch eine unzulässig weitherzi- ge Auslegung der stillschweigenden Einwilligung des Patienten in die Of- fenbarung.Gefährdung von Patientendaten
@Durch die subjektive Handhabung des Grundsatzes der "Rechtsgüter- abwägung" durch den der Geheim- haltungspflicht unterliegenden Arzt oder sein Hilfspersonal bei Aus- kunftserteilung.
0
Durch die Ausnutzung einer ein- mal gegebenen Ermächtigung zur Entbindung von der Schweigepflicht und eine dadurch bedingte, mög- licherweise nachteilige Verwendung diagnostischer Begriffe, die zu an- deren Zwecken als denen der Aus- kunftserteilung erstellt werden. Hinzu kommt noch die völlig unge- klärte Frage der Zulässigkeif einer Weitergabe von Informationen über Dritte im Rahmen der Familienvor- geschichte, wenn diese Bestandteil der Gesamtbeurteilung eines Krank- heilstalles (oder der Risikobeurtei- lung) ist und damit zu einer Preisga- be an andere als den unmittelbar konsultierten, zur Verschwiegenheit verpflichteten Arzt führt.4. Die Gefahren
bei automatischer Verarbeitung von Patientendaten
Eine automatische Verarbeitung von Patientendaten in den Praxen nie- dergelassener Ärzte erfolgt in der Bundesrepublik Deutschland - ab- gesehen von einigen Piloteinrich- tungen - so gut wie bisher nicht.
Eine Ausnahme stellt die Laborda- tenverarbeitung in mittleren und großen Gemeinschaftseinrichtun- gen (Laborgemeinschaften) nieder- gelassener Ärzte dar. Wenngleich in diesen Gemeinschaftseinrichtungen auch nur Laboranforderungen und -ergebnisse zwischen Ärzten und ih- ren Laboratorien ausgetauscht wer- den, wurde unlängst doch die Ge- fährdung von Patientendaten durch die leichtfertige Behandlung alter Ergebnislisten in Hessen bekannt:
Die mit Patienten- und Arztnamen versehenen Altlisten lagen zum Ab- transport durch die Müllabfuhr auf der Straße! Es kam zu einer Inter- vention der Landesärztekammer und des Hessischen Datenschutzbe-
auftragten. [>
DEUTSCHES ARZTEBLATT
Heft 15 vom 12. April1979 1023Spektrum der Woche Aufsätze • Notizen
Gefährdung von Patientendaten
Die automatische Verarbeitung von Patientendaten im Bereich der Pri- märversorgung findet sonst nur an einer Reihe von Universitätskliniken, Krankenhäusern der Maximalversor- gung und der Forschung dienenden Piloteinrichtungen statt. Über die Verwendung und den Schutz der dort verarbeiteten Daten wird an an- derer Stelle berichtet.
Die personenbezogenen Patienten- daten, die mit der Kassenabrech- nung von den Vertragsärzten an die Kassenärztlichen Vereinigungen und Krankenkassen gelangen, er- fahren in aller Regel heute überall schon eine maschinelle Verarbei- tung:
• In den KV-Bezirksstellen werden Arzt-Nummer, Kassen-Nummer und Leistungsdaten auf Platte oder Lochstreifen erfaßt, auf Plausibilität und Richtigkeit geprüft und an die KV-Landesstelle insgesamt über- sandt. Die Originalkrankenscheine gehen an die zuständigen Kranken- kassen und verbleiben dort.
• Die gesetzlichen Krankenversi- cherungen erhalten nach Abschluß der Abrechnung eine Einzellei- stungsaufstellung mit Arzt-Nummer, Fall-Nummer, Gesamtbetrag des Falles und Leistungs-Nummern der Gebührenordnung, nach Tagen ge- trennt. Darüber hinaus werden den Krankenkassen Anzahl- und Sum- menstatistiken mit Fallzahl pro Arzt und errechnetem Fallwert von der KV-Landesstelle übermittelt.
Aufgrund dieser Angaben trifft die gesetzliche Krankenversicherung ihre Auswahl für das Prüfwesen. Ei- ne besondere Gefährdung der Pa- tientendaten ist hierbei nicht zu er- kennen.
Die Ersatzkassen liefern ihrerseits die Summen der Arzneimittelbeträ- ge pro Arzt an die Kassenärztlichen Vereinigungen weiter, da diese In- formationen direkt von den Apothe- ken-Abrechnungsstellen an die Kas- sen gegeben werden und nicht an die Kassenärztlichen Vereinigun- gen. Auch diese Maßnahme dient in erster Linie dem Prüfwesen.
Zur Verdeutlichung des gegenwärti- gen Standes automatischer Verar- beitung von Patientendaten nur so- viel: In Hessen erfolgt inzwischen die automatische Datenverarbeitung der Ortskrankenkassen in drei gro- ßen regionalen Rechenzentren, und zwar in Frankfurt/Main, Wiesbaden und in Schwalmstadt (für den nord-, mittel- und osthessischen Raum).
Letzterem sind zum Beispiel bisher 14 Ortskrankenkassen der Region angeschlossen, um ihr Beitragswe- sen abzuwickeln. Die Anlage ist im Aufbau, Leistungs- und Finanzwe- sen ist in Vorbereitung. Datenfern- verarbeitung ist ab Mitte 1979 mit- tels Standleitung und Datensichtge- räten geplant. Träger aller dieser Einrichtungen ist der Landesver- band der Ortskrankenkassen in Hes- sen als Körperschaft des öffentli- chen Rechts. Also:
E> Datenverarbeitung außer Haus unter veränderter Hoheit (LDO).
In diesem Zusammenhang muß auch das sogenannte DOMINIG-Pro- jekt 2) erwähnt werden. Wenngleich das „Zentralinstitut für die Kassen- ärztliche Versorgung in der Bundes- republik Deutschland" (ZI) die Fort- setzung seiner Mitarbeit am Groß- forschungsprojekt, Teil III, aufge- kündigt hat, weil das genehmigte Großkonzept und Lösungsziel nicht erreichbar erscheint und auch das Teilprojekt DOMINIG I (Senator für Gesundheit und Umweltschutz Ber- lin) nunmehr erheblich modifiziert und reduziert vorliegt, gehört doch die Zielsetzung solcher umfassen- der interaktiver Gesundheitsinfor- mationssysteme mit in unsere Be- trachtungen.
Interaktive DV-Systeme sind teilwei- se in Großkliniken realisiert, teilwei- se noch in der Planung. Sie sind aber auch, wie das DOMINIG als um- fassende Gesundheitsinformations-
2) DOMINIG = Datenverarbeitungseinsatz zur Lösung überbetrieblicher Organisa- tions- und Managementaufgaben durch In- tegration des normierten Informationsflus- ses zwischen verschiedenen Einrichtun- gen des Gesundheitswesens. Jetzt im
„Programm der Bundesregierung zur För- derung von Forschung und Entwicklung im Dienste der Gesundheit 1978-1981"
systeme entworfen und als System- vorschläge mit regionaler Abschot- tung, wie das oben erwähnte INA- Projekt, für den regionalen Verbund niedergelassener Ärzte als Gemein- schaftseinrichtung konzipiert.
Die Einführung umfassender medi- zinischer Informationssysteme — und darauf muß sich unsere Be- trachtung konzentrieren — wurde zu- nächst unter dem Aspekt der Ratio- nalisierung der Verwaltungsarbeit gesehen. Inzwischen gehen aber die Ansprüche an solche Systeme be- deutend weiter. Diese Ansprüche werden angesichts der „giganti- schen Möglichkeiten eines Informa- tionssystems" — wie von Ferber es nannte — aber weniger aus der Per- spektive des Versicherten zu sehen sein als aus der Sicht der Gesund- heitspolitiker, der planenden Ver- waltung, der Medizin-Soziologie und nicht zuletzt aus der Sicht der Vertragspartner im System der so- zialen Sicherung und der rivalisie- renden gesellschaftlichen Gruppen.
War es anfangs ein Ziel, die Moti- vation und Einbestellung der Ver- sicherten zur Wahrnehmung von Früherkennungsuntersuchungen zu verbessern, beinhaltet die Planung interaktiver Gesundheitsinforma- tionssysteme heute jedoch weit
mehr:
C) Verbesserung des Informations- flusses zwischen möglichst allen Bereichen der medizinischen Ver- sorgung,
© Vereinfachung und Rationalisie- rung der Verwaltungsarbeit durch eine weitgehende Verflechtung aller Vertragspartner,
() Verbesserung der epidemiologi- schen Forschung und damit der Planungsgrundlagen im Gesund- heitswesen und als Folge daraus, C) Einflußnahme auf Lebensge- wohnheiten und Verhaltensmuster der Versicherten im Sinne einer „ge- sunden Lebensweise".
Diese Aufzählung erhebt keinen An- spruch auf Vollständigkeit, sondern
1024 Heft 15 vom 12. April 1979 DEUTSCHES ÄRZTEBLATT
soll in erster Linie die Problematik verdeutlichen, die sich hinsichtlich der noch zu erörternden zusätzli- chen Gefahren - ungeachtet einer ungeklärten Kosten-Nutzen-Rela- tion ergibt.
Zweifellos lassen sich einige der Ge- fährdungen, die in der konventionel- len Patientendatenverarbeitung er- kennbar sind, durch den Einsatz der EDV leichter beseitigen; als man- cher Skeptiker geneigt ist zu glau- ben. Viele sind identisch. So ist es unvergleichlich viel schwieriger für den Laien, selbst eindeutig definie- rende Patientendaten aus einem Da- tenspeicher oder einer codierten Li- ste zu mobilisieren als den Griff in eine alphabetisch sortierte Kartei zu tun.
Es verdient jedoch festgehalten zu werden, daß der individuelle Miß- brauch durch den Griff in die Patien- tenkartei oder durch das Knacken eines verschlüsselten Patientenda- tums ebensowenig vollkommen aus- geschlossen werden kann wie Mord und Totschlag.
Dies sind sicher nicht die Gefahren, die mit der Einführung der automati- schen Datenverarbeitung im System unserer sozialen Sicherung zu er- kennen sind. Vielmehr ist es die Tat- sache, daß durch die Einrichtung umfassender interaktiver Informa- tionssysteme neue Gefahren in Er- scheinung treten, die bei der kon- ventionellen Verarbeitung nicht ent- standen und für den Laien, den Lie- feranten von Informationen, schol!
jetzt nicht mehr überschaubar, ge- schweige denn zu du rehschauen sind.
Die Rechtsgrundlage für solche Sy- steme wurde u. a. durch die Einfüh- rung der§§ 223 und 319 a in die RVO durch das sogenannte Kostendämp- fungsgesetz geschaffen. Diese Be- stimmungen bergen die Gefahr in sich, daß die Krankenkassen Daten von Patienten über den bisherigen Zweck hinaus zum Beispiel zur Er- möglichung einer Therapiekontrolle durch medizinische Laien durchfüh- ren können. Hier muß auch darauf hingewiesen werden, daß keines-
These I
Der Mißbrauch von Patientenda- ten ist weder bei konventioneller noch bei automatischer Verarbei- tung auszuschließen.
These II
Die Verwendung diagnostischer Begriffe bei der Kassenabrech- nung muß überdacht werden. Es ist zu prüfen, ob nicht übergeord- nete diagnostische Begriffe an- stelle der bisher gebräuchlichen Arbeits- und Rechtfertigungsdia- gnosen Verwendung finden soll- ten. Sie könnten den erforderli- chen Zwecken bei gleichzeitig verbessertem Datenschutz die- nen.
These 111
Der Arzt sollte bei allen Aus- kunftsbegehren Dritter eine aktu- elle Entbindung von der Schwei- gepflicht verlangen.
These IV
Die automatische Verarbeitung von Patientendaten schafft durch Verschlüsselung und Anonymi- sierung auf Teilebenen der Verar- beitung nur eine Scheinsicher- heit.
These V
Eine Weitergabe von Patienten- daten an Personen und Institutio- nen, die bisher nicht eindeutig der Geheimhaltungspflicht nach
§ 203 StGB unterliegen, ist zu un- terbinden.
These VI
Die Zweckbindung bei Weiterga- be und Verarbeitung von perso- nengebundenen Daten muß in je- dem denkbaren System oberster Grundsatz bleiben.
Gefährdung von Patientendaten
These VII
Bei Auskunftsbegehren Dritter an Rechenzentren ist - unabhängig vom Nachweis berechtigter Inter- essen-
.,.. die Zweckbindung der Ur- sprungsdaten zu beachten. .,.. der Umfang der Auskunft auf das unbedingt notwendige Maß zu beschränken,
.,.. in Zweifelsfällen eine aktuelle Einwilligung des Patienten zur Auskunftserteilung zu beschaf- fen.
These VIII
Alle Patientendaten sind bei den für ihre Verarbeitung berechtig- ten Stellen - in Abstimmung mit dem zuständigen Datenschutz- beauftragten - periodisch auf ihre Entbehrlichkeit zu überprü- fen und gegebenenfalls zu lö- schen.
These IX
Das Recht des Bürgers auf lük- kenlose Auskunft über die über ihn gespeicherten Daten und In- formationen sollte auch im medi- zinischen Bereich - allerdings durch Ärzte - gewährleistet wer- den. unbeschadet des Rechts auf Korrektur. Sperrung und Lö- schung im Sinne des BDSG.
These X
Zur Wahrung und Durchsetzung der Rechte des Bürgers gegen- über der Verwaltung, ist die völli- ge Unabhängigkeit des Daten- schutzbeauftragten zu fordern. Die Datenschutzbeauftragten der Länder und des Bundes sollten nicht der jeweiligen Regierung, sondern nur dem Parlament ver- antwortlich sein.
DEUTSCHES ARZTEBLATT
Heft 15 vom 12. April 1979 1025Spektrum der Woche Aufsätze ·Notizen
Gefährdung von Patientendaten
wegs nur Patientendaten, sondern auch "Arztdaten" in den Gefahren- bereich einbezogen werden.
Die mißbräuchliche Verwendung von angereicherten Datenbeständen wird aber auch dadurch begünstigt, daß der Kreis der "Wissenden" von einer eben noch überschaubaren Zahl von Personen und Institutionen in die Anonymität entschwindet.
Ein entscheidender Gesichtspunkt der Gefährdung ist auch die Verla- gerung der Verfügungsgewalt der Daten vom primären Erfassungsbe- reich auf eine anonyme höhere Ebe- ne, wodurch eine bis heute zu Recht geübte "Von-Fall-zu-Fall-Entschei- dung" der Preisgabe vertraulicher Informationen praktisch unmöglich gemacht wird.
Eine weitere Gefahr ergibt sich aus der jederzeit verfügbaren Summe medizinischer Daten der Versicher- ten bei Auskunftsbegehren Dritter,
die "ein berechtigtes Interesse" an
der Auskunftserteilung nachweisen können. So zum Beispiel durch pri- vate Personenversicherer. Die ur- sprünglich zu völlig anderen Zwek- ken abgegebenen ärztlichen "Dia- gnosen" erhalten im Rahmen einer versicherungsrechtlichen Beurtei- lung ein völlig neues und nicht ge- wolltes Gewicht:
~ Was der Arzt aus einer Kartei im Zweifelsfall und im eindeutigen In- teresse seines Patienten gegenüber Dritten zurliekhalten kann und muß, ist bei einer einmaligen Hergabe an ein übergeordnetes System seiner persönlichen Einflußnahme entzo- gen. Ganz zu schweigen von der Ge- fahr, irrtümlich fehlerhafte Informa- tionen fest- und fortzuschreiben.
Allen vorher genannten Aspekten der Gefährdung von Patientendaten bei der automatischen Datenverar- beitung ist gemeinsam, daß sie die Gefahr des Mißbrauchs von Perso- nendaten zum Nachteil eines Kollek- tivs angesichts bestehender, beson- ders aber bei jeder theoretisch mög- lichen Veränderung bestehender Machtverhältnisse begünstigen kön- nen:
~ Angesichts einer sozialpolitisch pointierten, zunehmend gesell- schaftsbezogenen Betrachtungs- weise der Rechte und Pflichten un- serer Staatsbürger läßt sich abse- hen, wann bestimmte Merkmalträ- ger aus sozioökonomischen Grün- den zu einer Herausforderung für die Mehrheit der Versichertenge- meinschaft werden, sofern sie es nicht schon sind.
Beispiel:
Alle deutlich übergewichtigen Per- sonen belasten die Versichertenge- meinschaft durch ein erhöhtes Krankheitsrisiko, durch ein vermehr- tes Operationsrisiko, durch die ver- mehrte Neigung zu postoperativen Komplikationen, durch die vermehr- te Neigung zu statischen Beschwer- den, Krampfaderleiden, Hochdruck, Diabetes usw.
Oder:
Zigarettenraucher belasten- selbst- verschuldet - die Versichertenge- meinschaft durch die vermehrte Nei- gung zu chronischen Atemwegser- krankungen, zu Gefäßerkrankun- gen, Herzinfarkt, chronischen Ma- genschleimhautentzündungen bis hin zum Bronchialkarzinom.
Oder:
Patienten über 65 Jahren belasten die Versichertengemeinschaft ein- deutig durch die zunehmende - wenn auch unverschuldete-"Multi- morbidität" des höheren Lebensal- ters.
Angesichts der eminenten Kosten- steigerung im gesamten System der sozialen Sicherheit, nicht nur in der Bundesrepublik Deutschland, fehlt es schon heute nicht an Stimmen, die einen Risikozuschlag von denje- nigen Personen fordern, die durch ihr "gesundheitswidriges Verhal- ten" die Gesamtheit der Versicher- ten belasten. Wie könnte dieser Per- sonankreis besser erfaßt werden als durch umfassende Gesundheitsin- formationssysteme, wie könnten die für eine Selektion von Risikogrup- pen notwendigen, an verschiedenen
1026 Heft 15 vom 12. April 1979 DEUTSCHES ARZTEBLATT
Orten zu verschiedenen Zeiten er- faßten Teilinformationen (Kriterien) besser zusammengeführt werden als durch interaktive lnformationssy- steme?
Man muß auch fragen, wer ange- sichtsder heute schon geübten Pra- xis der Weitergabe vertraulicher In- formationen über Patienten in der Lage ist auszuschließen, daß die Er- fassung von Risikogruppen nicht in naher Zukunft schon, im wohlver- standenen Interesse der Versicher- tengemeinschaft, als legitim im Sin- ne des höherwertigen Rechtsgutes angesehen und praktiziert wird?
Auf diese Problematik hat auch W.
Weißhauer in seinem Beitrag zum Thema. "Computer und Arztgehei m- nis" an läßlich der XXVII. Generalver- sammlung des Weltärztebundes un- ter dem Titel "Schweigepflicht des Arztes - die Ansicht des Patienten"
eindringlich hingewiesen. Er wählte das aktuelle Beispiel des Führer- scheinentzuges über die Meldung aller Patienten mit schwerer Beein- trächtigung von Organfunktionen, die zum Führen eines Kraftfahrzeu- ges ungeeignet machen. Dieser Pro- zeß mag manchem noch utopisch erscheinen, ich persönlich teile die- se Auffassung nicht, auch nicht an- gesichts der bestehenden Machtver- hältnisse in unserer sozialen Demo- kratie. Jede theoretische Änderung der Machtverhältnisse aber läßt die Gefahren eines "Mißbrauchs zum Nachteil eines Kollektivs" in kaum überschaubare Dimensionen ent- gleiten. Der Selektion und Manipula- tion definierter Personengruppen (Merkmalträger) wären Tür und Tor geöffnet.
~ Herrschaft über Informationen bedeutet Macht. Mit zentralen um- fassenden Informationssystemen wird die Konzentration von Macht begünstigt, und hier sind natürlich keineswegs nur umfassende Infor- mationssysteme - etwa bei der ge- setzlichen Krankenkasse- gemeint.
Jede andere 1rägerschaft ist denk- bar. Daß aber Machtkonzentration auch zu ihrem Mißbrauch verleitet, ist eine Binsenweisheit, und das wis- sen wir aus der Geschichte.
C>
Gefährdung von Patientendaten
Zusammenfassung der Gefahren bei automatischer Verarbeitung Fassen wir auch die Gefährdungs- möglichkeiten von Patientendaten bei ihrer automatischen Verarbei- tung zusammen, so ergeben sich neben der Mehrzahl der bei der kon- ventionellen Verarbeitung aufge- zählten Gefahren stichwortartig fol- gende fünf Bereiche:
0
Einmal im Zusammenhang mit ei- ner ärztlichen Behandlung preisge- gebene Informationen und Daten entschwinden für den Patienten in unvorhersehbaren Kanälen ohne si- chere zeitliche Begrenzung.© Der Kreis der „Mitwisser" wird immer größer und bleibt anonym.
®
Informationssysteme der gesetzli- chen Krankenversicherung drohen bei extensiver Auslegung des Be- griffs „berechtigte Interessen" zu Selbstbedienungsläden auskunft- heischender öffentlicher und nicht- öffentlicher Einrichtungen zu wer- den.C) Falsche, irrtümliche oder fehler- hafte Informationen, die einmal gespeichert werden, können sich dauerhaft nachteilig für den Patien- ten auswirken.
® Es besteht zumindest hypothe- tisch die Gefahr, daß medizinische Merkmalträger unterschiedlicher Kategorien aus den Datenbeständen zentraler Dateien mobilisiert und mit Sanktionen belegt werden.
5. Lösungswege
Steinmüller hat in seinem Beitrag
„Datenschutz bei riskanten Syste- men" ausführliche Lösungsvor- schläge gerade für den Bereich der Primärdatenerfassung und -verar- beitung gemacht. Davon möchte ich schlaglichtartig nur fünf von insge- samt zehn Postulaten zitieren und mir zu eigen machen:
C) Das Postulat der möglichst dich- ten Abschottung des riskanten Infor- mationssystems („je dichter die
Grenzen eines Informationssystems nach außen sind, um so freier und ungehinderter kann die Informa- tionsverarbeitung im Innern sein"),
© Das Postulat der Ausschließung des undichten Dritten („jede Daten- schutzmaßnahme innerhalb eines Systems und jede Abschottung nach außen ist wirkungslos und überflüs- sig, wenn das Empfängersystem un- dicht ist"),
(j) Das Postulat der definierten Struktur „das Definitionspostulat dient der Erhöhung der Transparenz eines Informationssystems durch Offenlegung möglicher Gefahren- quellen").
® Das Postulat der möglichsten Ein- fachheit („es bezweckt die quanti- tative Minimierung der definierten Struktur im Hinblick auf die leichte- re Überschaubarkeit und Beherr- schung des Gesamtsystems"),
® Das Postulat der verteilten Kon- trolle („dies bedeutet, daß eine rechtliche Organisationsform ge- wählt werden muß, die die individu- elle Verantwortlichkeit des Arztes auch im Rahmen des Gesamtsy- stems bestehen läßt — Selbstkontrol- le — und eine kollektive Verantwort- lichkeit für das Gesamtsystem ge- währleistet")
Der Schutz vor Mißbrauch perso- nengebundener Daten aus dem Gesundheitsbereich, insbesondere zum Nachteil einer „definierten Gruppe von Merkmalsträgern", ist nur dann wirksam zu verhindern, wenn in Rechenzentren eine peri- odische Löschung von Primärdaten, zum Beispiel bei den Leistungsträ- gern, gesetzlich verfügt wird und der Patient das Recht auf Auskunft der über ihn gespeicherten Daten mit dem Ziel der Korrektur, Löschung oder Sperrung wahrnehmen kann.
> Auskunftserteilung über Gesund- heitsdaten sollte jedoch stets durch Ärzte (des Vertrauens) erfolgen, um einen möglichen Schaden durch die Auskunftserteilung selbst zu ver- meiden.
Sollte die Rechtsauslegung dahin tendieren, daß Krankenblätter oder Patientenkarteien, die der unmittel- baren Patientenbetreuung dienen, auch unter das BDSG fallen, so müßte das Recht auf Löschung und Sperrung für diesen Bereich ausge- schlossen werden, da sonst das Ziel selbst — nämlich die Patientenbe- treuung — unzumutbar behindert würde.
Medizinische Informatiker sollten mitverantwortliche Leiter von Re- chenzentren sein, die medizinische Daten speichern, verarbeiten und abgeben.
Schließlich ist zur Durchsetzung der Rechte des Bürgers gegenüber der planenden Verwaltung die völlige Unabhängigkeit von Datenschutzbe- auftragten zu fordern. Die Daten- schutzbeauftragten der Länder und des Bundes sollten nicht der jeweili- gen Regierung, sondern dem Parla- ment verantwortlich sein.
(Nach einem Referat im 1. Workshop von GMDS (Deutsche Gesellschaft für medizinische Dokumentation, In- formatik und Statistik e. V.) und GRVI (Gesellschaft für Rechts- und Verwaltungsinformatik) über juristi- sche Probleme der Datenverarbei- tung in der Medizin, 12. und 13. Ja- nuar 1979, Bad Homburg.)
Literatur beim Verfasser
Anschrift des Verfassers:
Dr. med. Otfrid P. Schaefer Karthäuserstraße 19 3500 Kassel
DEUTSCHES ÄRZTEBLATT Heft 15 vom 12. April 1979 1027
