Eine Checkliste für Ärzte

Die Beschränkungen, die durch die Covid-19-Pandemie in vielen Bereichen eingeführt wurden, haben in anderen Bereichen für Lockerungen und Neuerungen gesorgt. Die telemedizinische Behandlung von Patienten wurde vielfach empfohlen und einige von Ihnen betreuen nun Ihre Patienten via Telefon oder Videoanruf. Wichtig ist es hier, zu wissen, welche rechtlichen Rahmenbedingungen es dabei zu beachten gilt.

In der Ausgabe 02/2020 haben wir die Frage behandelt, ob telemedizinische Behandlungen grundsätzlich zulässig sind. Die Suche nach einer klaren Regelung in der österreichischen Rechtsordnung bleibt leider erfolglos – im Endeffekt obliegt es den jeweils behandelnden Ärzten, zu entscheiden, ob sie über hinreichende Entscheidungsgrundlagen für die Tätigkeit verfügen und die jeweilige Situation und die Gefahren entsprechend beherrschen. Die anzuwendenden rechtlichen Bestimmungen sind die gleichen wie bei klassischer Behandlung von Patienten „vor Ort“. Was heißt dies aber nun konkret? Hier ein Versuch der Zusammenfassung der wichtigsten 7 Parameter:

1. Unmittelbarkeit der Leistung

Folgende zwei Voraussetzungen sind nach derzeit herrschender Meinung zu jeder Zeit und kumulativ erforderlich:

1. Hinreichende Entscheidungsgrundlage für die Tätigkeit

• Vorgehen „lege artis“ – nach aktuellem Stand der Wissenschaft

• Wahl des passenden Mediums: Telefon oder synchrone Internetdienste (Videotelefonie, Chat etc.)

2. Situations- und Gefahrenbeherrschung

• Erkennen der Situation und eventueller Gefahren

• Aufklärung der Patienten und Dokumentation (auch über Gefahren der telemedizinischen Behandlung)

• Einwandfreie Datenübermittlung, notwendige IT-Kenntnisse

Wichtig: Das bedeutet, dass in dem Moment, in dem eine der beiden Voraussetzungen nicht gegeben ist, das Erfordernis der Unmittelbarkeit des §49 Abs.2 Ärztegesetz (ÄrzteG) nicht erfüllt ist und in diesem Fall die Behandlung angepasst werden muss. Passiert dies nicht, kann dies berufs- und haftungsrechtliche Folgen nach sich ziehen.

2. Einhaltung der datenschutzrechtlichen Bestimmungen

Gesundheitsdaten werden als besondere Kategorie personenbezogener Daten im Sinne des Art.9 DSGVO angesehen und unterliegen damit einem besonders hohen Schutz. Dies führt u.a. zu folgenden wichtigen Vorgaben:

1. Gesundheitsdaten sollten nicht mittels unverschlüsselter Kommunikation (etwa via E-Mail) versendet werden, obwohl es im Rahmen der Covid-19-Gesetzgebung Erleichterungen bis zum 31.12.2020 gibt.

• Die Nutzung von Messenger-Diensten (dazu zählt auch etwa WhatsApp) ist aufgrund einer datenschutzrechtswidrigen Übermittlung von Kontaktdaten durch die Applikation an Dritte unzulässig. Dies betrifft nicht nur die Arzt-Patienten-Kommunikation über Gesundheitsdaten, sondern auch den Versand an andere Ärzte bzw. Angehörige von Gesundheitsberufen!

• Für die Arzt-Patienten-Kommunikation ist neben der Übersendung von Gesundheitsdaten mittels normaler Briefpost die Übersendung auf elektronischem Wege nur zulässig, wenn entweder die Gesundheitsdaten verschlüsselt (zum Beispiel als mit Passwort verschlüsselter Anhang) übersendet werden oder ein System zur sicheren Datenbereitstellung (etwa: eine dem Stand der Technik entsprechende Befundplattform) genutzt wird. Wichtig: Der unverschlüsselte Versand ist auch unzulässig, wenn der Patient eingewilligt hat. Diese Empfehlung basiert auf einer Entscheidung der Datenschutzbehörde aus dem Jahr 2018 (DSB-D213.692/0001-DSB/2018 vom 16. 11. 2018).

• Für die Kommunikation zwischen Ärzten sowie zwischen Ärzten und Angehörigen von anderen Gesundheitsberufen ist der Versand von Gesundheitsdaten im Wege der etablierten Befundübermittlungssysteme datenschutzkonform. Eine Übermittlung von Patientendaten an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, ist wie bisher gemäß § 51 Abs. 2 Z. 2 ÄrzteG nur zulässig, wenn der jeweilige Patient einwilligt. Die Einwilligung muss nicht schriftlich oder ausdrücklich erfolgen; sie sollte jedoch dokumentiert werden.

2. Der Arzt sollte Patienten auf die Notwendigkeit einer verschlüsselten Kommunikation hinweisen.

3. Patienten müssen transparent und umfangreich darüber informiert werden, was mit ihren Gesundheitsdaten passiert, wenn sie ein telemedizinisches Angebot in Anspruch nehmen. Dazu gehören auch Antworten auf Fragen wie:

• Zu welchem Zweck wird mir die Leistung angeboten, worin liegt der Mehrwert?

• Wer kann die elektronische Patientenakte oder die e-card auslesen?

• Wie werden meine Daten gespeichert und wann werden sie gelöscht?

• Wie wird die Kommunikation verschlüsselt?

• Welche Rechte habe ich als Betroffener?

4. Die Aufzeichnungen sowie die sonstigen der Dokumentation im Sinne des §51 Abs.1 ÄrzteG dienlichen Unterlagen sind mindestens zehn Jahre aufzubewahren.

5. Sofern die Kerntätigkeit des datenschutzrechtlichen Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, besteht die Pflicht, einen Datenschutzbeauftragten zu ernennen. Die Österreichische Ärztekammer empfiehlt z.B. die Bestellung eines Datenschutzbeauftragten für Gruppenpraxen oder Ordinationen/Ordinationsgemeinschaften, sollten durchschnittlich mehr als 5000 verschiedene Patienten pro Jahr betreut werden.

Der Aufbau telemedizinischer Angebotesollte unbedingt mit dem Datenschutzbeauftragten besprochen werden, wenn ein solcher bestellt wurde.

3. Identitätsprüfung und Gewährleistung der Vertraulichkeit sowie Integrität der Daten Bei der Weitergabe von Gesundheitsdaten im Sinne des Gesundheitstelematikgesetzes 2012 (GTelG 2012) ist nach §6 GTelG 2012 u.a. die Vertraulichkeit nach Stand der Technik sicherzustellen:

1. elektronische Weitergabe über „sicheres Netzwerk“ (z.B. reines Intranet)

• Absicherung des Datenverkehrs durch kryptografische oder bauliche Maßnahmen

• Netzzugang für geschlossene/abgrenzbare Benutzergruppe und

• Authentifizierung der Benutzer

2. elektronische Weitergabe über „unsicheres Netzwerk“ (z.B. Internet)

• vollständige Verschlüsselung der Gesundheitsdaten mittels eines kryptografischen Verfahrens gemäß der GTelV (AES 128, 192 oder 256 Bit bzw. TDEA mit effektiver Schlüssellänge von mind. 112 Bit).

Wichtig: Die Vertraulichkeit ist bei der elektronischen Weitergabe von Gesundheitsdaten grundsätzlich zu gewährleisten. Eine Verschlüsselung der Daten ist dann nicht erforderlich, wenn der Personenbezug so verschlüsselt ist, dass unbefugte Dritte keinen Hinweis auf den Betroffenen ableiten können. Bei einer Speicherung von Gesundheitsdaten in der Cloud gilt, dass dies nur verschlüsselt erfolgen darf.

Das GTelG 2012 enthält u.a. auch Sonderbestimmungen zur Übermittlung durch Fax und erlaubt – zeitlich befristet bis zum 31.12.2020 – die Übermittlung von Gesundheitsdaten per Fax und E-Mail (unverschlüsselt), allerdings nur sofern dies zur Bekämpfung der Ausbreitung von Covid-19 erforderlich ist (§27 Abs.16 GTelG 2012).

4. Einhaltung der berufsrechtlichen Bestimmungen mit speziellem Fokus auf telemedizinische Besonderheiten

Sämtliche berufsrechtliche Bestimmungen des ÄrzteG finden auch in Bezug auf telemedizinische Behandlungen unverändert Anwendung:

• Erbringung auch telemedizinischer Leistungen nur von der Praxis oder vom Dienstort aus

• Anpassung der Aufklärungs- und Dokumentationspflicht insbesondere an die speziellen Umstände und Risiken der telemedizinischen Behandlung (u.a. auch IT-spezifische Situations- und Gefahreneinschätzung)

• Besonders gute Dokumentation bei stufenweiser Aufklärung und Check, ob diese Aufklärung bereits mögliche telemedizinische Risiken umfasst hat

• angesichts der Verschwiegenheitspflichten genaue Prüfung, in welchem technischen Tool die telemedizinischen Behandlungen stattfinden sollen sowie

• professionelle Betreuung/Auslagerung der IT

Wichtig: Die Aufklärung und Dokumentation sollten auch das spezielle Wesen, den Umfang und die besonderen Risiken bei telemedizinischer Behandlung umfassen. Der Arzt übernimmt wohl auch eine Haftung für die personelle Ausstattung bzw. für Mängel bei der Bedienung und Überwachung der EDV- und medizintechnischen Geräte, daher ist eine professionelle Betreuung oder Auslagerung der IT von wachsender Bedeutung.

5. Besondere Vorsicht bei möglichen internationalen Sachverhalten

Hier ist grundsätzlich davon ausgehen, dass das Recht des Behandlungsortes bzw. der vertragscharakteristischen Leistung anzuwenden ist.

In Einzelfällen kann sich jedoch auch das Problem stellen, dass telemedizinische Behandlungen in Ländern, die einer völlig anderen Rechtsordnung unterliegen, durchgeführt werden und Behandlungsfehler nach diesen Rechtsbestimmungen geahndet werden.

Wichtig: Es empfiehlt sich daher, vor der Aufnahme derartiger Behandlungen die dezidierte vertragliche Regelung des anzuwendenden Rechts mithilfe einer Rechtswahlklausel sowie des Gerichtsstandes zu klären, um keine unangenehmen Überraschungen zu erleben.

6. Einhaltung der Anforderungen des E-Commerce-Gesetzes und des Fern- und Auswärtsgeschäftegesetzes

Telemedizinische Behandlungen via Internet stellen, soweit sie entgeltlich sind, einen Dienst der Informationsgesellschaft im Sinne des E-Commerce-Gesetzes (ECG) dar und unterliegen demnach den Bestimmungen des ECG, das u.a. die Impressumspflicht, Informationspflichten in Verbindung mit dem Abschluss von Verträgen sowie in Verbindung mit AGBs etc. regelt.

Des Weiteren kommt §8 Abs.4 des Fern- und Auswärtsgeschäftegesetzes (FAGG) zur Anwendung, wenn ein elektronisch geschlossener Fernabsatzvertrag über Gesundheitsdienstleistungen den Patienten (als Verbraucher) zu einer Zahlung verpflichtet.

7. Laufende Überprüfung des Vorliegens der Voraussetzungen

Sobald die kumulativ zu erfüllenden Voraussetzungen zur Gänze oder teilweise z.B. durch einen IT-Ausfall oder durch eine wesentliche Änderung der medizinischen Umstände nicht mehr einwandfrei gegeben sind, sollte die Situations- und Gefahrensituation neu bewertet werden und die Alternativen sollten entsprechend evaluiert werden.