Daten schützen
Schweigepflicht und Datenschutz waren auch bislang wesentliche Bestandteile der Berufsausübung der freiberuflichen Hebamme. Während die Schweigepflicht nur für gesetzlich festgelegte Berufsgruppen gilt, gelten die Regelungen zum Datenschutz für alle, die Daten erheben, nutzen, speichern oder weiterleiten. Ausgenommen ist lediglich die private oder familiäre Datenverarbeitung, beispielsweise in Adressverzeichnissen oder sozialen Netzwerken. Anbieter von Plattformen, die die private Nutzung ermöglichen, sind von den Datenschutzgesetzen jedoch erfasst.
Schweigepflicht auch für »Mitwirkende«
In der Medizin hat die Verschwiegenheitsverpflichtung eine lange Tradition, die bis auf den Hippokratischen Eid um 460 bis 370 vor Christus zurückgeht. In Deutschland stellt der § 203 des Strafgesetzbuches (StGB) die Verletzung von Privatgeheimnissen (§ 203 StGB 1998) unter Strafe, wenn sie bei der Tätigkeit in besonders sensiblen Berufen erfahren wurden. Das gilt etwa für MedizinerInnen, JuristInnen, SteuerberaterInnen und auch Hebammen. Die Regelungen zur Schweigepflicht und die Umstände, unter denen ein Abweichen davon straffrei ist, wurden in den Folgen 9 bis 11 ausführlich dargestellt (DHZ 12/2014 bis DHZ 02/2015).
Seit Oktober 2017 gilt eine Ergänzung des § 203 StGB, nach der auch für die »Mitwirkenden« der betroffenen Berufsgruppen die Schweigepflicht gilt. Klargestellt wurde, dass die von der Schweigepflicht umfassten Berufsgruppen die Verschwiegenheitsverpflichtung nicht brechen, wenn sie diesen Mitwirkenden Geheimnisse in notwendigem Umfang bekannt machen. Mitwirkende können Praktikantinnen, werdende Hebammen, Bürokräfte und andere Beschäftigte sein. Es sind aber nicht nur Angestellte, sondern auch Ehrenamtliche und mithelfende Familienangehörige. Diese fallen bei der mitwirkenden Tätigkeit ebenfalls unter das Gesetz. Die Hebamme muss dafür Sorge tragen, dass ihnen der Umgang mit der Schweigepflicht bekannt ist.
Jede Hebamme, die in ihrer Berufsausübung Personen beschäftigt, die dabei Kenntnis von Geheimnissen erlangen könnten, sollte diese unterrichten. Die Unterrichtung wird im QM-System nachgewiesen durch ein Formular zum »Nachweis einer Schulung/Unterweisung/Einweisung«. Zweckmäßig ist dabei, den Mitwirkenden eine Kopie des Paragrafen auszuhändigen. Ein entsprechendes Formblatt kann auf der Internetseite der Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW) heruntergeladen werden (BGW 2018). Im Vertragsmuster zu Beschäftigungsverhältnissen sollte ein Verweis auf § 203 des StGB in der aktuellen Fassung aufgenommen werden.
Datenschutz in Landes- und Bundesgesetzen
Die Datenschutzbestimmungen haben sich parallel mit den Möglichkeiten der elektronischen Datenverarbeitung entwickelt. Das erste Gesetz dazu weltweit war das Landesdatenschutzgesetz in Hessen 1970. Erst 1977 folgte ein Bundesgesetz unter dem Titel »Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung«.
Das Recht auf informationelle Selbstbestimmung wurde 1983 durch das Verfassungsgericht als Grundrecht anerkannt (BVerfG 1983). Vorausgegangen waren Proteste gegen eine umfangreiche staatliche Datenerhebung für eine Volkszählung. Das Urteil hatte weitreichende Folgen. Die Überlegungen wurden in den Datenschutzgesetzen von Bund und Ländern erst mit Verspätung umgesetzt.
Informationelle Selbstbestimmung bedeutet, dass Personen selbst bestimmen können müssen, welche Daten über sie erhoben und zu welchem Zweck sie verwendet werden. Ohne dieses Recht wären die Grundrechte auf Selbstbestimmung und freie Entfaltung der Persönlichkeit gefährdet, weil nicht ausgeschlossen werden kann, dass das eigene Verhalten aus Vorsicht angepasst wird, wenn nicht bekannt und beeinflussbar ist, welche Daten in welchem Zusammenhang verarbeitet werden. Daten dürfen daher nur verarbeitet werden, wenn eine Rechtsgrundlage dafür besteht oder wenn die betroffenen Personen der Datenverarbeitung zugestimmt haben.
Die Rechtsgrundlage für die Datenerhebung der Hebamme in der originären Berufsausübung findet sich im Sozialgesetzbuch (§ 35 SGB I 2016). In Nebenbereichen der Hebammentätigkeit ist das Bundesdatenschutzgesetz anzuwenden (BDSG 2017). Das gilt beispielsweise bei der Gestaltung einer Homepage, der Beschäftigung von Angestellten oder bei Tätigkeiten, die weder im Rahmen des gesetzlichen Anspruchs der Frauen auf Hebammenhilfe noch bei der Tätigkeit als Familienhebammen erbracht werden, beispielsweise Babymassage.
In Detailfragen, die in die Länderzuständigkeit gehören, gelten die Landesdatenschutzgesetze. Diese wären beispielsweise zuständig, wenn beim Datenschutzbeauftragten (DSB) des Landes in Erfahrung gebracht werden soll, ob eine Datenerhebung der Aufsichtsbehörde für Hebammen (Gesundheitsamt, Senatsverwaltung, Ministerium) in angefragter Form rechtmäßig ist.
Der Vertrag über die Versorgung mit Hebammenhilfe (nach § 134a Abs. 1 SGB V in der Fassung des Schiedsspruches 2017) verpflichtet in § 4, diese rechtlichen Grundlagen zu beachten, soweit sie auf die vertraglich umfasste Hebammentätigkeit anwendbar sind. Der Nachweis der Erfüllung dieser Anforderung kann im QM-System durch eine Linkliste zu den Gesetzestexten erbracht werden.
Die Datenschutzgrundverordnung der EU
Als wären die bislang geltenden gesetzlichen Grundlagen nicht kompliziert genug, gibt es mit Wirkung zum 25. Mai 2018 auf europäischer Ebene die neue Datenschutzgrundverordnung (DSGVO) (DSGVO 2018). Was in der Umstellungsphase für alle, die Daten verarbeiten, zunächst kompliziert und verwirrend aussehen mag, ist für den Schutz der Daten der Bürger ein sehr wichtiger Schritt. In den Prozessen der heutigen Datenverarbeitung werden Daten, die zum Beispiel in Hessen (mit einem guten Datenschutzgesetz) erhoben werden, in Indien eingegeben und auf einem Server in den USA (mit einem lückenhaften Datenschutz) gespeichert. Zukünftig gilt für alle Verantwortlichen in der EU das gleiche Recht und sie müssen auch dafür sorgen, dass es eingehalten wird, wenn sie die für ihr Kerngeschäft erforderlichen Daten woanders verarbeiten lassen. Für die Hebamme bietet es die Gelegenheit, die eigene Arbeitsweise in Bezug auf den Datenschutz noch einmal zu analysieren und sicher mit den Rechten der Frauen auf angemessenen Schutz ihrer Daten abzugleichen.
In vielen Fällen dienen Rechtsetzungsakte der EU als Basis für Gesetzesänderungen, die in Folge erst in nationales Recht umgesetzt werden müssen. Für die Betroffenen entfalten solche Richtlinien dann erst nach Umsetzung in nationales Recht unmittelbare Wirkung. Bei der DSGVO wurde ein anderer Weg beschritten. Sie gilt – als Verordnung – europaweit unmittelbar.
Das nationale Recht der Mitgliedstaaten musste jedoch daran angepasst werden. Deshalb wurde zeitgleich mit der DSGVO ein neues Bundesdatenschutzgesetz geschaffen. Auf übergeordneter Ebene ist noch nicht für alle Bereiche abschließend geklärt, ob die Umsetzung auf nationaler Ebene konform ist mit der DSGVO. Noch weniger ist die »Übersetzung« in die Praxis abgeschlossen. Was die Änderungen nun konkret in der Praxis für die betroffenen Berufe und Organisationen bedeuten, ist teilweise noch ungeklärt.
Für die nächsten Monate bis Jahre ist daher damit zu rechnen, dass es widersprüchliche Aussagen gibt und Änderungen der Änderungen notwendig werden. So ist beispielsweise noch nicht abschließend geklärt, für welche Daten eine Frau bei der Hebamme die Löschung verlangen kann und welche die Hebamme behalten darf, um sich für die Zeit abzusichern, in der sie noch in die Haftung genommen werden kann.
Grundsätze der neuen Verordnung
In Artikel 5 der DSGVO werden die Grundsätze beschrieben, die für die Regelungen der Datenverarbeitung maßgeblich sind (siehe Kasten).
Diese Grundsätze galten weitgehend auch schon bislang für den Datenschutz. Neu ist vor allem, dass man ab 25. Mai 2018 die Einhaltung der Grundsätze auch nachweisen muss. Gesundheitsdaten zählen zu den besonderen Daten, für die höchste Anforderungen gelten.
Auszüge aus der neuen Datenschutzverordnung: Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
- Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (»Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz«);) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (»Zweckbindung«);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (»Datenminimierung«);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (»Richtigkeit«);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (»Speicherbegrenzung«);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (»Integrität und Vertraulichkeit«);
- Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (»Rechenschaftspflicht«).
Umsetzung Schritt für Schritt
Es führt kein Weg daran vorbei, die Inhalte der Datenschutzverordnung in Erfahrung zu bringen. Einen Überblick geben Zusammenfassungen, beispielsweise in Wikipedia. Am gründlichsten ist das Lesen im Original (DSGVO 2018 aus offiziellen Quellen (wie Europaparlament, Bundesregierung). Es hat den Vorteil, dass die »Erwägungsgründe«, also die Überlegungen für die Aufnahme einer Regelung ins Gesetz, einigermaßen nachvollziehbar dargelegt sind. Der Text ist jedoch keine leichte Kost und in vielem ist schwer nachvollziehbar, welche Konsequenz die Hebamme daraus ziehen muss.
Bei der Nutzung von kommerziellen Angeboten (einzelne Anwaltskanzleien, Dienstleistungsunternehmen) findet sich eher eine hilfreiche Gliederung oder eine Verknüpfung zu den Inhalten des Bundesdatenschutzgesetzes, so dass es leichter ist, beide Rechtsquellen mit ihren Neuerungen zu erfassen (https://dsgvo-gesetz.de). Eine gute Zusammenfassung mit Beispielen und Musterformularen für die Umsetzung der Anforderungen hat die Kassenärztliche Bundesvereinigung (KBV) für Arztpraxen erstellt (http://www.kbv.de/html/datensicherheit.php)
Neben der eigenverantwortlichen Recherche ist der Besuch von Fortbildungen zu empfehlen. Einer der Vorteile liegt darin, dass mit der Fortbildungsbescheinigung gleichzeitig der Nachweis der erforderlichen Fachkunde verbunden ist. Fortbildungen, deren TeilnehmerInnen sich anschließend »Datenschutzbeauftragte« nennen dürfen, sind nicht normiert. Sie dauern meist wenige Tage, sind aber mit Preisen ab circa 1.400 Euro ziemlich teuer. Jede freiberufliche Hebamme ist auch dann verpflichtet, sich an alle Datenschutzbestimmungen zu halten, wenn ihr nicht obliegt, eine Datenschutzbeauftragte(DSB) zu benennen. Fortbildungen mit kürzerer Dauer, die einen Überblick über die Neuerungen mit der DSGVO geben, sind auch zu einem niedrigeren Preis zu finden.
Eine Datenschutzbeauftragte ist erforderlich, wenn mehr als zehn Beschäftigte Daten verarbeiten, wobei hierunter jeglicher Umgang mit Daten verstanden wird. Mittelgroße bis große Geburtshäuser und Hebammenpraxen fallen sicher darunter. Es besteht auch die Möglichkeit, sich für die Erfüllung der Aufgaben des Datenschutzes eines externen Dienstleistungsunternehmens zu bedienen.
Für eine alleine arbeitende Hebamme lässt sich aus den Erläuterungen der DSGVO für ÄrztInnen herleiten, dass sie ziemlich sicher keine Datenschutzbeauftragte benötigt. Noch nicht abschließend geklärt ist die Frage, ab wie vielen freiberuflichen Hebammen, die zusammenarbeiten, eine DSB benannt werden muss (Hansen-Oest 2017). Da die Erst-ab-10-Mitarbeiter-Grenze für die Verarbeitung allgemeiner Daten gilt, nicht jedoch für die besonders sensiblen Gesundheitsdaten, könnte sich später auch noch herausstellen, dass schon ab zwei freiberuflichen Hebammen eine DSB zu benennen ist. Hier gilt es, aufmerksam auf die die noch zu erwartenden Ausführungsbestimmungen zu achten. Die DSB sollte in ihrer Funktion »unabhängig« sein. Dies bedeutet nicht, dass sie neben dieser Funktion keine anderen Aufgaben ausüben kann oder dass sie nicht angestellt sein darf. Die Unabhängigkeit in Bezug auf den Datenschutz kann über eine Stellenbeschreibung mit Festlegung entsprechender Verantwortlichkeiten und Befugnisse dargestellt werden.
Nach der Information gilt es, die Bereiche zu identifizieren, in denen Hebammen aufgrund der neuen gesetzlichen Grundlagen selbst Änderungen vornehmen müssen. Häufige Bereiche sind:
- Datenerhebung, Nutzung, Speicherung, Archivierung
- Datenübermittlung an Abrechnungsdienstleister
- Berufliche Nutzung von Apps und Kommunikationsdiensten (whatsapp)
- Homepage
- Führen von Verzeichnissen (zum Beispiel im Smartphone)
- Formulare zur Nutzung bei der Betreuung (beispielsweise Behandlungsvertrag, Kursanmeldung, Einverständniserklärungen)
- Beschäftigung von »Mitwirkenden« und Inanspruchnahme von Dienstleistern
- Informationsroutinen (zum Beispiel Merkblätter und mündliche Information im Vorgespräch)
- Organisation in Hebammenpraxen und Geburtshäusern
- Weitere?
Im nächsten Schritt gilt es zu bewerten, welche Themenbereiche Priorität in der Umsetzung der neuen Anforderungen haben. Um Sanktionen vorzubeugen und Aufsichtsbehörden nicht auf den Plan zu rufen, ist es besonders wichtig, den Außenauftritt, der beispielsweise auf der eigenen Internetseite für eine breite Masse einsehbar ist, rechtssicher zu gestalten. Dazu gehören insbesondere die Überarbeitung des Impressums sowie die Aufnahme beziehungsweise Aktualisierung einer online abrufbaren Datenschutzerklärung. Es ist leider zu erwarten, dass die »Abmahnmafia« ziemlich schnell damit anfangen wird, Internetauftritte auf die Einhaltung der neuen DSGVO zu überprüfen und finanzielle Forderungen an die für die Homepage Verantwortlichen (also die Hebammen) zu stellen.
Allerdings darf auch die interne Umsetzung der neuen datenschutzrechtlichen Vorgaben nicht vernachlässigt werden. Mit anderen Worten: Die im Rahmen des QM erstellten Dokumente müssen überprüft und gegebenenfalls angepasst werden.
Für die Datenverarbeitung im Rahmen der Abrechnung von Hebammenleistungen mit den Krankenkassen ist zu erwarten, dass die Abrechnungsdienstleister über alle notwendigen Schritte informieren und Umsetzungsmuster bereitstellen, beispielsweise für die Information der Frauen. Die im Zusammenhang mit der Schweigepflicht dargestellte Vorgehensweise für »Mitwirkende« ist auch für den Datenschutz anwendbar.
Hinweise für die Praxis: Bestandsaufnahme und Verbesserungen
- Welche Daten werden bei der Berufsausübung zu welchem Zweck verarbeitet (erhoben, bearbeitet, gespeichert, weitergeleitet)? Die Dokumentation dieses Arbeitsschrittes in einem »Verzeichnis der Verarbeitungstätigkeiten« kann als Nachweis über die Umsetzung der DSGVO dienen, der auf Anforderung der Aufsichtsbehörde vorgezeigt werden muss.
- Wenn sich bei der Erfassung der Datenverarbeitungstätigkeiten ergeben sollte, dass für bestimmte Vorgänge ein besonders hohes Risiko besteht, könnte eine »Datenschutz-Folgenabschätzung« erforderlich sein. Was dies konkret in typischen Hebammentätigkeiten bedeutet, ist noch nicht zu sagen.
- Welche Maßnahmen werden zum Datenschutz ergriffen? Dieser Arbeitsschritt wird in einer »Aufstellung der Maßnahmen zum Datenschutz« dokumentiert und als Nachweis aufbewahrt. Wenn bislang schon so etwas wie ein Konzept zum Umgang mit Datenschutz und Schweigepflicht im Rahmen der QM-Einführung erstellt oder eine Checkliste dazu genutzt wurde, kann das bisherige Dokument an die neuen Erfordernisse angepasst und umbenannt werden.
- Jede Person, von der Daten erhoben werden, hat das Recht, darüber informiert zu werden und weitergehende Rechte auszuüben. Daraus ergibt sich die Verpflichtung derjenigen, die Daten erheben, eine »Information zum Datenschutz« auszuhändigen. Da diese zukünftig umfangreicher sein muss als die bisherigen Passagen dazu in Muster-Behandlungsverträgen oder den bislang üblichen Angaben des Internetauftritts, sollte sie als separates Dokument erstellt werden.
- Für alle Unternehmen, die im Auftrag der Hebamme Daten verarbeiten (zum Beispiel Abrechnungsdienstleister), ist zu überprüfen, ob deren Datenschutzvorkehrungen den Anforderungen der DSGVO entsprechen. Am einfachsten erfolgt dies, wenn sie über ein entsprechendes Siegel oder eine Zertifizierung verfügen. Mit den externen Dienstleistern sind sogenannte Auftragsdatenverarbeitungsvereinbarungen zu schließen. Solche Vereinbarungen halten in vielen Fällen die externen Kooperationspartner bereit.
Ausblick
Um widersprüchliche Aussagen in den Dokumenten zu vermeiden und zukünftigen Überarbeitungsaufwand gering zu halten, ist es sinnvoller, bereits Vorhandenes (beispielsweise Datenschutzkonzept, Vorgehen zur Datensicherung, Verfahrensanleitung zur Archivierung) in die neue Form zu integrieren, als beides parallel weiter bestehen zu lassen. Gesetzliche Vorgaben gehen vor vertragliche Regelungen oder die Konstruktion des QM-Systems durch den QM-Anbieter. Für die Erstellung der genannten Dokumente wird es sicher noch Muster und Fortbildungen bei den Verbänden geben. Am sichersten ist immer die individuelle Inanspruchnahme anwaltlicher Beratung oder Überprüfung der selbst erstellten Dokumente oder der Dokumente, die auf Grundlage von Mustern an die individuellen Bedürfnisse angepasst wurden. >
Definition: Sozialdaten
Als Sozialdaten gelten Daten, die im Zusammenhang mit der Erfüllung von Aufgaben verarbeitet werden, die ihre Grundlage im Sozialgesetzbuch finden (unter anderem Rente, Arbeitslosengeld, Jugendhilfe, Krankenversicherung). Für sie gelten das Sozialgeheimnis
(§ 35 SGB I 2016) und der Sozialdatenschutz (Zweites Kapitel, Zehntes Buch des SGB 2001).
Hinweis
Der Artikel wurde von Dr. Christian Bichler, Rechtsanwalt, Wirtschaftsmediator und Fachanwalt für Medizinrecht in der Praxis Ulsenheimer & Friederich in München, juristisch geprüft.
Literatur
§ 203 - Strafgesetzbuch (StGB), Verletzung von Privatgeheimnissen, neugefasst durch B. v. 13.11.1998 BGBl. I S. 3322; zuletzt geändert durch Artikel 1 G. v. 30.10.2017 BGBl. I S. 3618. Geltung ab 01.01.1975; FNA: 450-2, http://www.buzer.de/s1.htm?a=203&g=StGB (letzter Zugriff: 26.04.2018)
§ 35 SGB I, Sozialgeheimnis, Text in der Fassung des Artikels 3 Bundesteilhabegesetz (BTHG) G. v. 23. Dezember 2016 BGBl. I S. 3234; zuletzt geändert durch Artikel 31 G. v. 17.07.2017 BGBl. I S. 2541 m.W.v. 1. Januar 2018, http://www.buzer.de/gesetz/3690/a51844.htm (letzter Zugriff: 29.4.2018)
Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW), Nachweis einer Schulung/Unterweisung/Einweisung, https://www.bgw-online.de/DE/Arbeitssicherheit-Gesundheitsschutz/Sichere-Seiten/Arbeitshilfen/Unterweisungen/Unterweisungen_node.html, (letzter Zugriff: 26.04.2018)
»
Ich bin Abo-Plus-Leserin und lese das ePaper kostenfrei.
Ich bin Abonnentin der DHZ und erhalte die ePaper-Ausgabe zu einem vergünstigten Preis.
Upgrade Abo+
Jetzt das Print-Abo in ein Abo+ umwandeln und alle Vorteile der ePaper-Ausgabe und des Online-Archivs nutzen.