Schweigepflicht und Datenschutz waren auch bislang wesentliche Bestandteile der Berufsausübung der freiberuflichen Hebamme. Während die Schweigepflicht nur für gesetzlich festgelegte Berufsgruppen gilt, gelten die Regelungen zum Datenschutz für alle, die Daten erheben, nutzen, speichern oder weiterleiten. Ausgenommen ist lediglich die private oder familiäre Datenverarbeitung, beispielsweise in Adressverzeichnissen oder sozialen Netzwerken. Anbieter von Plattformen, die die private Nutzung ermöglichen, sind von den Datenschutzgesetzen jedoch erfasst.

 

Schweigepflicht auch für »Mitwirkende«

 

In der Medizin hat die Verschwiegenheitsverpflichtung eine lange Tradition, die bis auf den Hippokratischen Eid um 460 bis 370 vor Christus zurückgeht. In Deutschland stellt der § 203 des Strafgesetzbuches (StGB) die Verletzung von Privatgeheimnissen (§ 203 StGB 1998) unter Strafe, wenn sie bei der Tätigkeit in besonders sensiblen Berufen erfahren wurden. Das gilt etwa für MedizinerInnen, JuristInnen, SteuerberaterInnen und auch Hebammen. Die Regelungen zur Schweigepflicht und die Umstände, unter denen ein Abweichen davon straffrei ist, wurden in den Folgen 9 bis 11 ausführlich dargestellt (DHZ 12/2014 bis DHZ 02/2015).

Seit Oktober 2017 gilt eine Ergänzung des § 203 StGB, nach der auch für die »Mitwirkenden« der betroffenen Berufsgruppen die Schweigepflicht gilt. Klargestellt wurde, dass die von der Schweigepflicht umfassten Berufsgruppen die Verschwiegenheitsverpflichtung nicht brechen, wenn sie diesen Mitwirkenden Geheimnisse in notwendigem Umfang bekannt machen. Mitwirkende können Praktikantinnen, werdende Hebammen, Bürokräfte und andere Beschäftigte sein. Es sind aber nicht nur Angestellte, sondern auch Ehrenamtliche und mithelfende Familienangehörige. Diese fallen bei der mitwirkenden Tätigkeit ebenfalls unter das Gesetz. Die Hebamme muss dafür Sorge tragen, dass ihnen der Umgang mit der Schweigepflicht bekannt ist.

Jede Hebamme, die in ihrer Berufsausübung Personen beschäftigt, die dabei Kenntnis von Geheimnissen erlangen könnten, sollte diese unterrichten. Die Unterrichtung wird im QM-System nachgewiesen durch ein Formular zum »Nachweis einer Schulung/Unterweisung/Einweisung«. Zweckmäßig ist dabei, den Mitwirkenden eine Kopie des Paragrafen auszuhändigen. Ein entsprechendes Formblatt kann auf der Internetseite der Berufsgenossenschaft für Gesundheitsdienst und Wohlfahrtspflege (BGW) heruntergeladen werden (BGW 2018). Im Vertragsmuster zu Beschäftigungsverhältnissen sollte ein Verweis auf § 203 des StGB in der aktuellen Fassung aufgenommen werden.

 

Datenschutz in Landes- und Bundesgesetzen

 

Die Datenschutzbestimmungen haben sich parallel mit den Möglichkeiten der elektronischen Datenverarbeitung entwickelt. Das erste Gesetz dazu weltweit war das Landesdatenschutzgesetz in Hessen 1970. Erst 1977 folgte ein Bundesgesetz unter dem Titel »Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung«.

Das Recht auf informationelle Selbstbestimmung wurde 1983 durch das Verfassungsgericht als Grundrecht anerkannt (BVerfG 1983). Vorausgegangen waren Proteste gegen eine umfangreiche staatliche Datenerhebung für eine Volkszählung. Das Urteil hatte weitreichende Folgen. Die Überlegungen wurden in den Datenschutzgesetzen von Bund und Ländern erst mit Verspätung umgesetzt.

Informationelle Selbstbestimmung bedeutet, dass Personen selbst bestimmen können müssen, welche Daten über sie erhoben und zu welchem Zweck sie verwendet werden. Ohne dieses Recht wären die Grundrechte auf Selbstbestimmung und freie Entfaltung der Persönlichkeit gefährdet, weil nicht ausgeschlossen werden kann, dass das eigene Verhalten aus Vorsicht angepasst wird, wenn nicht bekannt und beeinflussbar ist, welche Daten in welchem Zusammenhang verarbeitet werden. Daten dürfen daher nur verarbeitet werden, wenn eine Rechtsgrundlage dafür besteht oder wenn die betroffenen Personen der Datenverarbeitung zugestimmt haben.
Die Rechtsgrundlage für die Datenerhebung der Hebamme in der originären Berufsausübung findet sich im Sozialgesetzbuch (§ 35 SGB I 2016). In Nebenbereichen der Hebammentätigkeit ist das Bundesdatenschutzgesetz anzuwenden (BDSG 2017). Das gilt beispielsweise bei der Gestaltung einer Homepage, der Beschäftigung von Angestellten oder bei Tätigkeiten, die weder im Rahmen des gesetzlichen Anspruchs der Frauen auf Hebammenhilfe noch bei der Tätigkeit als Familienhebammen erbracht werden, beispielsweise Babymassage.

In Detailfragen, die in die Länderzuständigkeit gehören, gelten die Landesdatenschutzgesetze. Diese wären beispielsweise zuständig, wenn beim Datenschutzbeauftragten (DSB) des Landes in Erfahrung gebracht werden soll, ob eine Datenerhebung der Aufsichtsbehörde für Hebammen (Gesundheitsamt, Senatsverwaltung, Ministerium) in angefragter Form rechtmäßig ist.

Der Vertrag über die Versorgung mit Hebammenhilfe (nach § 134a Abs. 1 SGB V in der Fassung des Schiedsspruches 2017) verpflichtet in § 4, diese rechtlichen Grundlagen zu beachten, soweit sie auf die vertraglich umfasste Hebammentätigkeit anwendbar sind. Der Nachweis der Erfüllung dieser Anforderung kann im QM-System durch eine Linkliste zu den Gesetzestexten erbracht werden.

 

Die Datenschutzgrundverordnung der EU

 

Als wären die bislang geltenden gesetzlichen Grundlagen nicht kompliziert genug, gibt es mit Wirkung zum 25. Mai 2018 auf europäischer Ebene die neue Datenschutzgrundverordnung (DSGVO) (DSGVO 2018). Was in der Umstellungsphase für alle, die Daten verarbeiten, zunächst kompliziert und verwirrend aussehen mag, ist für den Schutz der Daten der Bürger ein sehr wichtiger Schritt. In den Prozessen der heutigen Datenverarbeitung werden Daten, die zum Beispiel in Hessen (mit einem guten Datenschutzgesetz) erhoben werden, in Indien eingegeben und auf einem Server in den USA (mit einem lückenhaften Datenschutz) gespeichert. Zukünftig gilt für alle Verantwortlichen in der EU das gleiche Recht und sie müssen auch dafür sorgen, dass es eingehalten wird, wenn sie die für ihr Kerngeschäft erforderlichen Daten woanders verarbeiten lassen. Für die Hebamme bietet es die Gelegenheit, die eigene Arbeitsweise in Bezug auf den Datenschutz noch einmal zu analysieren und sicher mit den Rechten der Frauen auf angemessenen Schutz ihrer Daten abzugleichen.

In vielen Fällen dienen Rechtsetzungsakte der EU als Basis für Gesetzesänderungen, die in Folge erst in nationales Recht umgesetzt werden müssen. Für die Betroffenen entfalten solche Richtlinien dann erst nach Umsetzung in nationales Recht unmittelbare Wirkung. Bei der DSGVO wurde ein anderer Weg beschritten. Sie gilt – als Verordnung – europaweit unmittelbar.
Das nationale Recht der Mitgliedstaaten musste jedoch daran angepasst werden. Deshalb wurde zeitgleich mit der DSGVO ein neues Bundesdatenschutzgesetz geschaffen. Auf übergeordneter Ebene ist noch nicht für alle Bereiche abschließend geklärt, ob die Umsetzung auf nationaler Ebene konform ist mit der DSGVO. Noch weniger ist die »Übersetzung« in die Praxis abgeschlossen. Was die Änderungen nun konkret in der Praxis für die betroffenen Berufe und Organisationen bedeuten, ist teilweise noch ungeklärt.
Für die nächsten Monate bis Jahre ist daher damit zu rechnen, dass es widersprüchliche Aussagen gibt und Änderungen der Änderungen notwendig werden. So ist beispielsweise noch nicht abschließend geklärt, für welche Daten eine Frau bei der Hebamme die Löschung verlangen kann und welche die Hebamme behalten darf, um sich für die Zeit abzusichern, in der sie noch in die Haftung genommen werden kann.

 

Grundsätze der neuen Verordnung

 

In Artikel 5 der DSGVO werden die Grundsätze beschrieben, die für die Regelungen der Datenverarbeitung maßgeblich sind (siehe Kasten).

Diese Grundsätze galten weitgehend auch schon bislang für den Datenschutz. Neu ist vor allem, dass man ab 25. Mai 2018 die Einhaltung der Grundsätze auch nachweisen muss. Gesundheitsdaten zählen zu den besonderen Daten, für die höchste Anforderungen gelten.

 

Umsetzung Schritt für Schritt

 

Es führt kein Weg daran vorbei, die Inhalte der Datenschutzverordnung in Erfahrung zu bringen. Einen Überblick geben Zusammenfassungen, beispielsweise in Wikipedia. Am gründlichsten ist das Lesen im Original (DSGVO 2018 aus offiziellen Quellen (wie Europaparlament, Bundesregierung). Es hat den Vorteil, dass die »Erwägungsgründe«, also die Überlegungen für die Aufnahme einer Regelung ins Gesetz, einigermaßen nachvollziehbar dargelegt sind. Der Text ist jedoch keine leichte Kost und in vielem ist schwer nachvollziehbar, welche Konsequenz die Hebamme daraus ziehen muss.

Bei der Nutzung von kommerziellen Angeboten (einzelne Anwaltskanzleien, Dienstleistungsunternehmen) findet sich eher eine hilfreiche Gliederung oder eine Verknüpfung zu den Inhalten des Bundesdatenschutzgesetzes, so dass es leichter ist, beide Rechtsquellen mit ihren Neuerungen zu erfassen (https://dsgvo-gesetz.de). Eine gute Zusammenfassung mit Beispielen und Musterformularen für die Umsetzung der Anforderungen hat die Kassenärztliche Bundesvereinigung (KBV) für Arztpraxen erstellt (http://www.kbv.de/html/datensicherheit.php)

Neben der eigenverantwortlichen Recherche ist der Besuch von Fortbildungen zu empfehlen. Einer der Vorteile liegt darin, dass mit der Fortbildungsbescheinigung gleichzeitig der Nachweis der erforderlichen Fachkunde verbunden ist. Fortbildungen, deren TeilnehmerInnen sich anschließend »Datenschutzbeauftragte« nennen dürfen, sind nicht normiert. Sie dauern meist wenige Tage, sind aber mit Preisen ab circa 1.400 Euro ziemlich teuer. Jede freiberufliche Hebamme ist auch dann verpflichtet, sich an alle Datenschutzbestimmungen zu halten, wenn ihr nicht obliegt, eine Datenschutzbeauftragte(DSB) zu benennen. Fortbildungen mit kürzerer Dauer, die einen Überblick über die Neuerungen mit der DSGVO geben, sind auch zu einem niedrigeren Preis zu finden.

Eine Datenschutzbeauftragte ist erforderlich, wenn mehr als zehn Beschäftigte Daten verarbeiten, wobei hierunter jeglicher Umgang mit Daten verstanden wird. Mittelgroße bis große Geburtshäuser und Hebammenpraxen fallen sicher darunter. Es besteht auch die Möglichkeit, sich für die Erfüllung der Aufgaben des Datenschutzes eines externen Dienstleistungsunternehmens zu bedienen.

Für eine alleine arbeitende Hebamme lässt sich aus den Erläuterungen der DSGVO für ÄrztInnen herleiten, dass sie ziemlich sicher keine Datenschutzbeauftragte benötigt. Noch nicht abschließend geklärt ist die Frage, ab wie vielen freiberuflichen Hebammen, die zusammenarbeiten, eine DSB benannt werden muss (Hansen-Oest 2017). Da die Erst-ab-10-Mitarbeiter-Grenze für die Verarbeitung allgemeiner Daten gilt, nicht jedoch für die besonders sensiblen Gesundheitsdaten, könnte sich später auch noch herausstellen, dass schon ab zwei freiberuflichen Hebammen eine DSB zu benennen ist. Hier gilt es, aufmerksam auf die die noch zu erwartenden Ausführungsbestimmungen zu achten. Die DSB sollte in ihrer Funktion »unabhängig« sein. Dies bedeutet nicht, dass sie neben dieser Funktion keine anderen Aufgaben ausüben kann oder dass sie nicht angestellt sein darf. Die Unabhängigkeit in Bezug auf den Datenschutz kann über eine Stellenbeschreibung mit Festlegung entsprechender Verantwortlichkeiten und Befugnisse dargestellt werden.

Nach der Information gilt es, die Bereiche zu identifizieren, in denen Hebammen aufgrund der neuen gesetzlichen Grundlagen selbst Änderungen vornehmen müssen. Häufige Bereiche sind:

• Datenerhebung, Nutzung, Speicherung, Archivierung
• Datenübermittlung an Abrechnungsdienstleister
• Berufliche Nutzung von Apps und Kommunikationsdiensten (whatsapp)
• Homepage
• Führen von Verzeichnissen (zum Beispiel im Smartphone)
• Formulare zur Nutzung bei der Betreuung (beispielsweise Behandlungsvertrag, Kursanmeldung, Einverständniserklärungen)
• Beschäftigung von »Mitwirkenden« und Inanspruchnahme von Dienstleistern
• Informationsroutinen (zum Beispiel Merkblätter und mündliche Information im Vorgespräch)
•  Organisation in Hebammenpraxen und Geburtshäusern
• Weitere?

Im nächsten Schritt gilt es zu bewerten, welche Themenbereiche Priorität in der Umsetzung der neuen Anforderungen haben. Um Sanktionen vorzubeugen und Aufsichtsbehörden nicht auf den Plan zu rufen, ist es besonders wichtig, den Außenauftritt, der beispielsweise auf der eigenen Internetseite für eine breite Masse einsehbar ist, rechtssicher zu gestalten. Dazu gehören insbesondere die Überarbeitung des Impressums sowie die Aufnahme beziehungsweise Aktualisierung einer online abrufbaren Datenschutzerklärung. Es ist leider zu erwarten, dass die »Abmahnmafia« ziemlich schnell damit anfangen wird, Internetauftritte auf die Einhaltung der neuen DSGVO zu überprüfen und finanzielle Forderungen an die für die Homepage Verantwortlichen (also die Hebammen) zu stellen.

Allerdings darf auch die interne Umsetzung der neuen datenschutzrechtlichen Vorgaben nicht vernachlässigt werden. Mit anderen Worten: Die im Rahmen des QM erstellten Dokumente müssen überprüft und gegebenenfalls angepasst werden.

Für die Datenverarbeitung im Rahmen der Abrechnung von Hebammenleistungen mit den Krankenkassen ist zu erwarten, dass die Abrechnungsdienstleister über alle notwendigen Schritte informieren und Umsetzungsmuster bereitstellen, beispielsweise für die Information der Frauen. Die im Zusammenhang mit der Schweigepflicht dargestellte Vorgehensweise für »Mitwirkende« ist auch für den Datenschutz anwendbar.

 

Ausblick

 

Um widersprüchliche Aussagen in den Dokumenten zu vermeiden und zukünftigen Überarbeitungsaufwand gering zu halten, ist es sinnvoller, bereits Vorhandenes (beispielsweise Datenschutzkonzept, Vorgehen zur Datensicherung, Verfahrensanleitung zur Archivierung) in die neue Form zu integrieren, als beides parallel weiter bestehen zu lassen. Gesetzliche Vorgaben gehen vor vertragliche Regelungen oder die Konstruktion des QM-Systems durch den QM-Anbieter. Für die Erstellung der genannten Dokumente wird es sicher noch Muster und Fortbildungen bei den Verbänden geben. Am sichersten ist immer die individuelle Inanspruchnahme anwaltlicher Beratung oder Überprüfung der selbst erstellten Dokumente oder der Dokumente, die auf Grundlage von Mustern an die individuellen Bedürfnisse angepasst wurden. >