Startseite | Aktuelles | Die digitale (Zahn-)Arztpraxis – 9 Fragen und 9 Antworten

Die digitale (Zahn-)Arztpraxis – 9 Fragen und 9 Antworten

Von Rechtsanwalt Rainer Robbel (Köln)
Die digitale (Zahn-)Arztpraxis – 9 Fragen und 9 Antworten
Aktuelles
20.10.2022

Die digitale (Zahn-)Arztpraxis – 9 Fragen und 9 Antworten

Von Rechtsanwalt Rainer Robbel (Köln)

Während der Covid-19 Pandemie war es spürbar, Deutschland hinkt mit der Digitalisierung im Gesundheitswesen vielen anderen Ländern mit deutlichen Abstand hinterher. Das muss zukünftig besser werden und wird natürlich auch auf die (Zahn-)Arztpraxen betreffen, für die das tiefgreifende Veränderungen in der Diagnostik und der Behandlung als auch in den administrativen Prozessen bewirken wird.

Dabei stehen die (Zahn-)Ärzt:innen der Digitalisierung mehrheitlich aufgeschlossen gegenüber. Laut einer aktuellen Umfrage von bitkom wird die Digitalisierung von mittlerweile 76 Prozent aller befragten Mediziner:innen vor allem als Chance gesehen. Ein ähnliches Bild zeigt auch das Praxisbarometer Digitalisierung 2021 der Kassenärztlichen Bundesvereinigung. Nach den Erwartungen der Befragten soll die Digitalisierung viele Möglichkeiten bieten, den Praxisalltag patientenfreundlicher und effizienter zu gestalten sowie das Personal zu entlasten.

Dennoch, auch wenn wir von Chancen sprechen, eine wirkliche Wahl haben Sie nicht. Früher oder später werden Sie sich dem Ganzen stellen müssen, zumal vieles bereits gesetzlich geregelt ist (z.B. E-Health-Gesetz, Terminservice- und Versorgungsgesetz, Digitale-Versorgung-Gesetz). Bei den meisten von Ihnen dürfte zudem die Anbindung an die Telematikinfrastruktur in der Zwischenzeit abgeschlossen sein.

Wenn Sie wirklich dauerhaft von der Digitalisierung profitieren wollen, gibt es jedoch einiges zu beachten. Wir stellen Fragen. Rechtsanwalt Rainer Robbel aus Köln gibt die Antworten.

  1. ePA, eAU, eRezept, eArztbrief bis hin zur Online-Terminvergabe und Videosprechstunde – die einzelnen Anwendungen sollen die Abläufe vereinfachen und versprechen Vorteile für Arzt und Patient. Was sind Ihre Erfahrungen – gelingt das in der Realität oder stellt die Digitalisierung der Arztpraxen die Anwender in ihrem Praxisalltag vor zusätzliche Herausforderungen?

Sowohl als auch. Natürlich sollte das Digitalisieren diverser Prozesse auch in einer Arztpraxis zur Vereinfachung und vor allem Beschleunigung von Abläufen führen. Da die administrativen Aufgaben in den vergangenen Jahren immer mehr Zeit in Anspruch genommen haben, kann so im Idealfall mehr Zeit für die Behandlung der Patienten gewonnen werden, was ja die eigentliche und wichtigste Aufgabe ist.

Erinnern Sie sich noch an die gute alte Schreibmaschine und wie lange es dauerte, einen fehlerfreien Brief darauf zu schreiben? Am Ende ging das auch, aber will heute noch jemand auf eine moderne Office-Software verzichten? Der (mögliche) Output damit ist um ein Vielfaches höher, als mit der mechanischen Adler.

Ob die Vorteile am Ende tatsächlich überwiegen, hängt davon ab, wie gut und sicher die eingesetzte Technik ist und wie gut und sicher die Anwender:innen damit umgehen können.

Um das zu realisieren, braucht es das Fachwissen im Bereich IT und Datenschutz und das werden nur die wenigsten Mediziner:innen in dem erforderlichen Umfang haben. Jede Praxis wird laufend zusätzliche Mittel und Ressourcen bereitstellen müssen, um die Aufgaben rund um die Digitalisierung bewältigen zu können. Die Kostenposition IT und Datenschutz wird somit künftig deutlich höher sein als bisher und den Ertrag zunächst einmal schmälern, dessen sollten sich alle Leistungserbringer bewusst sein.

Ich rate grundsätzlich auch von internen Lösungen ab, denn zum einen müssen Sie als Leistungserbringer das Personal freistellen und schulen, zum anderen droht jedes Mal ein Know-How-Verlust, sobald dieses Personal kurz- oder langfristig oder sogar unwiederbringlich ausfällt. Also müsste man, um das abzufangen, Vertretungslösungen implementieren. Dass das unterm Strich zu höheren Kosten führt, ist offensichtlich. Zu guter Letzt wird auch noch die Handlungsfähigkeit eingeschränkt. Versuchen Sie mal, einen internen Datenschutzbeauftragten zu kündigen!

Die Digitalisierung wird Sie vor eine Reihe von Herausforderungen stellen und die werden Sie in der Regel nur meistern können, wenn Sie sich das dafür erforderliche Know-How einkaufen. Dennoch sind Sie gut beraten, wenn Sie und Ihre Mitarbeiter:innen sich daneben selbst Grundkenntnisse aneignen und diese auch regelmäßig auffrischen, denn der eben erwähnte gute und sichere Umgang wird nur dann zu bewerkstelligen sein, wenn Sie wissen, was Sie tun.

  1. Was ist Ihr Fazit: Digitalisierung als Chance oder Hürde?

Beides, sie bietet zweifellos Chancen, wird aber auch die ein oder andere Hürde bereithalten. Die Digitalisierungsbefürworter werden Ihnen enorme Vorteile versprechen, die Fraktion der Bedenkenträger sieht erhebliche Kosten, Aufwand und Risiken bei wenig Nutzen. Wie so oft im Leben liegt die Wahrheit irgendwo dazwischen.

Die Digitalisierung ist, wie vor 160 Jahren die Industrialisierung, nicht nur eine Fortschrittserscheinung, sondern ein Zeitalter. Ob man will oder nicht, man wird nicht darum herumkommen. Ergo sollte man die Digitalisierung als Chance begreifen und die Hürden aus dem Weg räumen, dann wird sie bei einem zielgerichteten und sauber konfigurierten Einsatz zweifellos einige Vorteile mit sich bringen.

Es wird aber auf der anderen Seite auch Geld und Zeit kosten, sich mit diesen Dingen zu beschäftigen und vor allem die erforderliche Sicherheit zu gewährleisten. Wer glaubt, wenn das einmal alles eingerichtet ist und läuft, braucht sich nicht mehr darum zu kümmern, ist auf dem Holzweg.

Man sollte sich auch nicht verzetteln. Nicht jede bunt beworbene App führt am Ende zu besseren Ergebnissen. Wie viel Zeit glauben Sie, hat man 1985 durchschnittlich für die schriftliche Korrespondenz aufgewandt? Und wieviel glauben Sie, ist es heute mit den Möglichkeiten moderner Werkzeuge und Kommunikationsmittel wie Textverarbeitung und E-Mail? Ich kann es Ihnen nicht mit wissenschaftlicher Sicherheit sagen, aber da ich Erfahrungen sowohl aus 1985, als auch von heute habe, würde ich mal behaupten, dass man heute eher mehr Zeit aufwendet, als früher. Auch, weil man sich früher auf das Wesentliche konzentrierte, während man heutzutage wirklich jede noch so unwichtige Information mit der Welt teilt. Ob das am Ende immer zu einer höheren Effizienz führt, darf man bezweifeln. Man ist daher gut beraten, jeden neuen digitalisierten Prozess kritisch zu bewerten.

Nicht zuletzt werden natürlich auch die Risiken erheblich höher. Wann wurde schon einmal ein Aktenschrank in einer Arztpraxis gestohlen? Datenbanken mit riesigen Beständen sensibelster Daten sind für viele Hacker jedoch ein lohnenswertes Ziel. Und das ist in jüngerer Vergangenheit schon mehrfach vorgekommen (s. Beispiel Finnland, https://www.aerzteblatt.de/nachrichten/117742/Vertrauliche-Psychotherapiedaten-in-Finnland-gehackt)! Nicht umsonst zählt das Gesundheitswesen zur kritischen Infrastruktur, also zu Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Fazit: Die Digitalisierung kommt so oder so, eine Chance ist sie dann, wenn man sich auf das Wesentliche konzentriert und sich die nötige Expertise verschafft, um das alles bestmöglich gesichert, optimal konfiguriert und in jeder Weise ökonomisch zu nutzen. Dann wird der Nutzen die Kosten, den Aufwand und die Risiken übersteigen.

  1. Online-Terminbuchung, Videosprechstunde, ePA, eRezept, Gesundheitsapps auf Rezept etc. – wo steht Deutschland bei der Digitalisierung und welche Tipps können Sie den Leistungserbringern geben?

Wie schon gesagt, sind Deutschlands Ärzt:innen, aber auch der Großteil der Patient:innen der Digitalisierung gegenüber aufgeschlossen und sehen sie überwiegend als Chance. Dennoch liegt Deutschland im internationalen Vergleich bei der Digitalisierung laut einer Studie der Bertelsmann Stiftung auf dem vorletzten Platz der 17 untersuchten Länder.

In Dänemark und Estland ist es zum Beispiel längst üblich, dass Patienten ihre Patientenakte mitsamt ihren Befunden und Medikationsplänen online einsehen sowie mit ihren behandelnden Ärzten teilen können. Ähnliches gilt im Vergleich zu Kanada. Dort ist die Nutzung der Videosprechstunde bereits weit verbreitet, was allerdings auch den großen Entfernungen dort geschuldet ist. Laut der Studie setzt Israel standardmäßig auch künstliche Intelligenz (KI) zur Krebs-Früherkennung ein. Wie erfolgreich das letztlich ist, kann ich nicht sagen, das wird man sicherlich langfristig und aufmerksam beobachten müssen, denn nicht jeder Einsatz von KI führt zum erwünschten Erfolg und darf bei der Befunderhebung nur ein zusätzliches Hilfsmittel sein. Bei der Früherkennung von Herzerkrankungen durch Smartwatches und Wearables ist man meines Wissens nach mittlerweile wieder auf dem Rückzug.

Neben der oben beschriebenen kritischen Prüfung jedes digitalisierten Ablaufs ist der meines Erachtens wichtigste Ratschlag: Schaffen Sie Redundanz und Sekundärsysteme. Der Praxisbetrieb und vor allem die Behandlung müssen auch dann reibungslos funktionieren, wenn ein digitales System einmal ausfällt. Im Zweifel muss wieder analog gearbeitet werden können. Sie können sich nie zu 100% auf die digitale Technik verlassen. Es wird technisch bedingte Ausfälle ebenso wie Cyberangriffe geben. Es wird auch Datenschutzvorfälle geben. Die gibt es auch heute schon in den Ländern, die mit der Digitalisierung deutlich weiter sind. Das Gute am Zuspätkommen ist, dass man die Erfahrungen aus anderen Ländern, die deutlich weiter sind, nutzen kann. Es bleibt zu hoffen, dass sowohl die politisch, als auch die fachlich Verantwortlichen dies auch tun.

  1. Sind die rechtlichen Vorgaben praktikabel für die Leistungserbringer und welche Kritik üben Sie?

Ich denke schon. Die aktuellen rechtlichen Rahmenbedingungen lassen eine weitgehende Digitalisierung der Arztpraxis zu. Ich will und kann hier nicht auf die Spezialgesetze wie E-Health-Gesetz oder Digitale-Versorgung-Gesetz (DVG) eingehen, aber die DSGVO ist grundsätzlich ein gutes und durchdachtes Gesetz, um den Datenschutz sicherzustellen. Man darf ja nicht vergessen, dass unser gutes altes BDSG die Vorlage für die DSGVO geliefert hat und als Vorbild für den Datenschutz in aller Welt gilt und das schon seit 1971. Natürlich ist ein solcher gesetzlicher Rahmen in manchen Einzelfällen nicht immer passend, aber diesen Anspruch hat kein Gesetz. Und ja, man hätte einige Pflichten abstufen sollen, wie z.B. die Informations- oder Auskunftspflichten. Große Unternehmen haben nun einmal viel mehr Ressourcen, um den Aufwand rund um den Datenschutz betreiben zu können. Auch hätte man sich bei einigen Formulierungen etwas mehr Klarheit gewünscht, aber Gesetze sind nun einmal abstrakt formuliert, denn sie regeln eine unbestimmte Vielzahl von Einzelfällen, haben also stets einen generellen Charakter.

Die Anwendung auf den Einzelfall obliegt vielmehr der Rechtsfortbildung, also allen voran den Gerichten. Und hier liegt der eigentliche Kern des Problems, der die Grundlage von zumeist unseriöser – weil ohne das nötige Wissen geübten – Kritik an der DSGVO ist. Es gibt derzeit einfach noch zu wenig Rechtsfortbildung, was aber vor allem der Tatsache geschuldet ist, dass nur ganz wenige Stellen den Datenschutz in der Vor-DSGVO-Zeit wirklich ernst genommen haben, obwohl das BDSG bundesweit seit 1979 galt.

Wenn gerade wir in Deutschland in der Digitalisierung hinterherhinken, wird gerne das Argument hervorgeholt, der Datenschutz sei schuld. Alles sei verboten und alles extrem bürokratisch. Die Deutschen würden das natürlich ob ihrer Art viel ernster nehmen, als das in anderen Ländern der Fall ist, wo man sich nicht um so etwas Unsinniges wie den Datenschutz schert.

Ich kann Ihnen jetzt zahlreiche Beispiele nennen, warum das nicht der Fall ist und warum der Datenschutz gerade im Gesundheitswesen, einer kritischen Infrastruktur, so wichtig ist. Wer dazu mehr wissen will, kann sich gerne bei mir melden. Ich bin mir absolut sicher, dass die Datenschutzkritiker anders denken, wenn sie wüssten, was ich weiß. Den meisten sind die Risiken einfach nicht bewusst, was angesichts der extrem komplexen Materie kaum verwundert.

„Die Gründe für die regelmäßigen Rückschläge bei der Umsetzung der Digitalisierung im Gesundheitsbereich, insbesondere bei den Anwendungen der Telematik-Infrastruktur, haben zwei wesentliche Gründe: Einerseits sind sie wirtschaftlichen Interessen und bürokratischer Inkompetenz zuzuschreiben, andererseits der Tatsache, dass Datenschutz nicht von Anfang an mitgedacht wurde. Derzeit wird z.B. auf Bundesebene gemäß den Vorgaben des Ex-Gesundheitsministers Jens Spahn ein Gesundheits-Forschungsdatenzentrum aufgebaut, in dem gewaltige Designmängel stecken. Das Vorhaben zeigt exemplarisch, dass Gesundheitsforschung – etwa zu Corona – nicht am Datenschutz scheitert, sondern am ministeriellen Unwillen, angemessene Forschungsstrukturen aufzubauen und den gesetzlichen Rahmen an die europäische Datenschutz-Grundverordnung anzupassen.“

Das sagt einer der anerkanntesten Datenschutzexperten in Deutschland, Thilo Weichert, Jurist und Politologe, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz e. V. (DVD) und Mitglied des Netzwerks Datenschutzexpertise, von 2004 bis Juli 2015 Datenschutzbeauftragter von Schleswig-Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel.

  1. Viele Leistungserbringer stellen die Frage, ob sie tatsächlich von jedem Patienten eine Einwilligung einholen müssen bzw. ob es nicht ausreicht, einen entsprechenden Aushang in der Praxis zu platzieren. Was antworten Sie darauf? (beispielsweise E-Arztbrief)

Das ist schon eine sehr konkrete Frage. Dafür müssen wir erstmal den Unterschied zwischen einer Information und einer Einwilligung kennen. Die Information ist eine einseitig gerichtete Erklärung an die betroffene Person, im Falle einer Datenschutzinformation gemäß Art. 13 DSGVO darüber, welche personenbezogenen Daten von wem zu welchem Zweck wann wie lange und auf welcher Rechtsgrundlage verarbeitet und ggf. an wen übermittelt werden. Hierzu ist die verantwortliche Stelle, also in der Regel die Stelle, die die Daten verarbeitet, gesetzlich verpflichtet. Die Einwilligung hingegen ist eine ausdrückliche Willenserklärung der betroffenen Person und erfordert von dieser ein aktives Handeln (im elektronischen Verkehr spricht man von „Opt-In“). Außerdem muss die Einwilligung freiwillig sein und informiert erfolgen.

Der Unterschied also ist das aktive Handeln und die Freiwilligkeit. Ist die betroffene Person lediglich informiert, bedeutet das ja noch nicht, dass sie mit dem, worüber sie informiert wurde, auch einverstanden ist.

Nun könnte man auf die Idee kommen, dass, wenn die betroffene Person die Information liest oder zumindest lesen könnte und Ihre Behandlung in Anspruch nimmt, sie ja irgendwie auch ihr Einverständnis erklärt. Die Juristen sprechen von einem konkludenten Handeln.

Prinzipiell ist das durchaus denkbar, lässt man die Frage, ob das ein „aktives Handeln“ ist, einmal außen vor. Allerdings haben Sie in dem Moment ein Problem, wo die betroffene Person sagt, dass sie das alles nicht verstanden hat oder den Aushang nicht gesehen, geschweige denn gelesen habe. Wie weisen Sie dann nach, dass die Person über die Folgen ihres Tuns ausreichend informiert und über ihr jederzeitiges Widerrufsrecht belehrt wurde? Eher schwierig, oder?

  1. Wo lauern die Haftungsfallen?

Zum Beispiel im Falle einer unzulässigen Datenverarbeitung. Das kommt häufiger vor, als man gemeinhin glaubt. Beispiele: Online-Terminbuchung bei einem Dienstleister, der die Daten über einen US-Clouddienstleister verarbeitet, unzulässiges Tracking oder unzulässige Übermittlung von Daten auf der Website, Versand von Patientendaten an falschen Empfänger usw. Die möglichen Folgen sind Unterlassung und Schadenersatz an die Betroffenen und/oder ein Bußgeldverfahren durch die Aufsichtsbehörden.

Weitere Risiken sind Datenschutzvorfälle wie z.B. ein Cyberangriff, ein offener E-Mailverteiler, Datenverlust, -abfluss, z.B. durch Verlust oder Diebstahl eines Datenträgers.

Problematisch ist derzeit auch die rechtliche Stellung der Beteiligten, also der Ärzte und der Gematik. Ob § 307 Abs. 5 SGB V mit der DSGVO vereinbar ist, ist höchst fraglich. Daraus resultiert eine gewisse Unsicherheit, wer wann und in welchem Umfang auf die Geltendmachung von Betroffenenrechten zu reagieren hat?

  1. Mal aus dem Nähkästchen geplaudert: wo bestehen die größten Probleme? (Akzeptanz der Pat. / technische Umsetzung?)

Die Akzeptanz scheint laut aktueller Umfragen das kleinere Problem zu sein. Das könnte sich allerdings ändern, wenn es mal zu einem Datenschutzvorfall mit entsprechendem Umfang gekommen ist (s.o. Datenbankhack in Finnland).

Die weitaus größeren Probleme sind m.E. die fehlende digitale Kompetenz in Politik und Wirtschaft, wirtschaftliche Erwägungen und damit verbundene fallende Investitionsquoten sowie Überinterpretationen bei der Anwendung der Vorschriften (z.B. viel zu detailliertes Verfahrensverzeichnis, „Information Overkill“, ordnerfüllende Auskünfte usw.).

  1. Das hin und her kostet ja doch einiges an Nerven. Erst ist ein Weg gefunden, dann gibt es wieder Schritte zurück, da es Datenschutzbedenken gibt oder Sicherheitslücken auftreten. Ist die Einigung auf eine Vereinheitlichung der Datenwege für alle Anwendungen eine Lösung?

Auf gar keinen Fall. Das ist zwar eher eine Frage an einen IT-Experten und nicht an den Juristen, aber wie schon ausgeführt, wird der Datenschutz viel zu oft viel zu spät mit einbezogen. Würde man das früh genug machen, gäbe es keine Datenschutzbedenken und damit auch keine Sicherheitslücken. Das hängt untrennbar zusammen. Wird der Datenschutz eingehalten, sind die Daten auch größtmöglich vor schädlichen Einflüssen geschützt. Natürlich weiß jeder, dass es keine 100%ige Sicherheit gibt, aber die DSGVO verlangt technische und organisatorische Maßnahmen, die sich an dem jeweiligen Stand von Wissenschaft und Technik richten und vom Aufwand her in einem vernünftigen Verhältnis zum Risiko stehen müssen. Nicht jede E-Mailadresse oder Telefonnummer muss verschlüsselt in einen fünffach gesicherten Datentresor, die Gesundheitsdaten der Patienten womöglich aber schon. Hält man sich daran, sind Sicherheitslücken auf das kleinstmögliche Maß minimiert.

Eine der größten Gefahren für kritische Infrastrukturen ist es, wenn es keine redundanten Systeme gibt und bei einem einzigen Angriff oder einem einzigen Schadvorfall alle oder ein Großteil der Daten betroffen sind (siehe: https://www.funkschau.de/datacenter-netzwerke/bittere-erste-bilanz-nach-dem-ovh-brand.184588.html). Um das zu verhindern, bedarf es zwingend einer Dezentralisierung und ausgeklügelten Notfallsystemen. Wer hingegen vereinheitlicht und zentralisiert, erhöht die Risiken signifikant und das nicht selten aus wirtschaftlichen Gründen. Wie viele Krankenhäuser wurden schon durch Cyberangriffe tagelang stillgelegt? Haben wir denn gar nichts aus den jüngsten Vorfällen im Bereich der Energieversorgung und dem Angriffskrieg von Russland in der Ukraine gelernt?

Fahren Sie immer mehrgleisig, achten Sie peinlichst auf Ihre Datensicherung und schaffen Sie Fallback-Lösungen. Der Begriff kommt aus der Sicherheitstechnik und beschreibt ein Sekundärsystem, welches bei Ausfall eines primären Systems einen Schutz gegenüber einer Gefährdung bietet oder den Totalausfall des Gesamtsystems verhindert, wenn auch zu einer reduzierten Betriebsqualität. Also, sorgen Sie dafür, dass Sie auch dann noch behandeln können, wenn einzelne oder auch alle (digitalen) Primärsysteme ausfallen.

  1. Zu guter Letzt, welche Technologien versprechen Erleichterungen des Praxisalltags für Patient:innen und Personal?

Zurzeit sind das m.E. vor allem:

  • Praxisverwaltungssysteme (PVS)
  • Digitale Abrechnungssysteme
  • Elektronische Patientenakte (ePA)
  • Digitale Anamnese
  • Online-Terminbuchung
  • Video-Sprechstunde
Suchen
Format
Autor(en)


Rainer Robbel
Rechtsanwalt
ext. Datenschutzbeauftragter (TÜV-zert.), Datenschutzauditor (Bitkom-zert.)

Mail: koeln@etl-rechtsanwaelte.de


Alle Kontaktdaten

Weitere interessante Artikel