DSGVO, Digitale-Versorgung-Gesetz, elektronische Patientenakten - die Digitalisierung macht auch vor Arztpraxen nicht halt, erst recht nicht in Zeiten der COVID-19-Pandemie. Neuen Chancen stehen aber auch neue Gefahren gegenüber, vor denen sich Ärzte wappnen müssen. In diesem Artikel erfahren Sie, wie Sie Ihre Praxis bestmöglich auf das digitale Zeitalter vorbereiten.

figure 1

© flashmovie / stock.adobe.com

In diesem Jahrzehnt wird sich die medizinische Versorgung wesentlich stärker als in den vergangenen 50 Jahren verändern. Der Buchstabe D (für digital und Daten) wird zum Symbol für Fortschritt und Risiko gleichermaßen. Digitale Daten stehen für innovative Forschung und effektive Arbeitsabläufe, aber auch für berechtigte Ängste bei Datenschutz und Datensicherheit. Die Datenschutzgrundverordnung (DSGVO) und das Digitale-Versorgung-Gesetz (DVG) werden die medizinische Versorgung in Deutschland nachhaltiger beeinflussen als viele Ärzte bislang abschätzen können. Die elektronische Patientenakte (ePA) hat sich mittlerweile durchgesetzt und die Telematikinfrastruktur (TI) wird zu einem Standard in der medizinischen Kommunikation. Die Entwicklungen der Digitalisierung in der Medizin lassen sich nicht mehr aufhalten und alle Ärzte und ihre Vertreter sind gut beraten, Praxen und Kliniken darauf auszurichten.

Dieser praxisinterne Innovationsprozess hat sowohl eine rechtliche als auch eine finanzielle Komponente. Käufer und Investoren prüfen heute sorgfältig, ob eine Praxis in den Bereichen Datenschutz (DSGVO/BDSG), Informationssicherheit (DVG) und Qualitätsmanagement (QM) nach der Richtlinie des Gemeinsamen Bundesausschusses (G-BA; § 135 ff SGB V) auf dem neuesten Stand sind, und nur rechtskonforme Praxen können zu fairen Preisen abgegeben werden. Investitionen in Rechtskonformität nach DSGVO und DVG sind daher unbedingt wertsteigernd für Praxis oder Klinik und damit unterm Strich wirtschaftlich.

Wie unterscheiden sich DSGVO und DVG?

Das DVG ist ein Bundesgesetz, das speziell den Gesundheitsbereich adressiert und damit für Arztpraxen und Kliniken bindend ist. Es wurde Ende 2019 verabschiedet und gilt seit Januar 2020 für alle medizinischen Versorgungseinrichtungen in Deutschland. Es regelt insbesondere die Informationssicherheit in der digitalen Versorgung der Zukunft. Publikumswirksam sind die Videosprechstunden und die Verordnungen von Gesundheits-Apps, im Mittelpunkt stehen allerdings die Herausforderungen der Informationssicherheit und die nachgewiesene Vorsorge gegen Cyber- und Hackerangriffe, die immer häufiger sensible Patientendaten gefährden (wie im Zuge der Datenkatastrophen in der Klinik Fürth, in einer Arztpraxis in Celle und in vielen Praxen in Bayern geschehen).

Die DSGVO ist eine EU-Verordnung, die für alle Organisationen gilt, die Personendaten verarbeiten. Durch die fehlende Spezifizierung im Gesundheitsbereich gibt es viele offene Fragen für Arztpraxen und Kliniken. Artikel 9 der DSGVO definiert "besondere Kategorien besonderer Daten", worunter auch Gesundheitsdaten von Patienten fallen. Im Mittelpunkt steht der Datenschutz, der in Deutschland noch durch das Bundesdatenschutzgesetz (BDSG) in der neuen Fassung ergänzt wird.

Wie hängen DSGVO und DVG zusammen?

Die Verbindung zwischen Datenschutz nach DSGVO und Informationssicherheit nach DVG ergeben sich aus Artikel 32 der DSGVO, Absatz 1, Satz 1: "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten" und Absatz 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind." Informationssicherheit in der Praxis ist für Ärzte also sowohl nach DSGVO als auch nach DVG verpflichtend.

Was bedeuten die neuen Anforderungen für Ärzte?

DSGVO und DVG haben erheblichen Einfluss auf die rechtskonforme Praxisorganisation. Ein Bindeglied zwischen den beiden Komponenten ist ein Qualitätsmanagementsystem (QMS) nach § 135 ff SGB V (QM-Richtlinie des G-BA). Im Prinzip muss eine medizinische Einrichtung drei Managementsysteme parallel einrichten und ständig aktualisieren (Abb. 1):

1
figure 2

© MCSS AG, Köln

Rechtskonforme Praxisorganisation im Jahr 2020 unter Berücksichtigung von SGB V, QM-Richtlinie des G-BA, Bundesdatenschutzgesetz neu (BDSG), Datenschutzgrundverordnung (DSGVO) und Digitale-Versorgung-Gesetz (DVG)

Full size image

  1. Das Datenschutzmanagementsystem (DSMS) nach DSGVO und BDSG neu

  2. Das Informationssicherheitsmanagementsystem (ISMS) nach DVG

  3. Das Qualitätsmanagementsystem (QMS) nach § 135 ff SGB V (QM-Richtlinie des G-BA)

Die Einführung dieser drei Systeme kann - seriös kalkuliert - bis zu 2,5 % des Umsatzes pro Jahr kosten. Spätestens jetzt wird sich der ausgelastete oder auch überlastete Arzt fragen, wie er diese "Arzt-Bürokratie" überwinden und dennoch wirtschaftlich arbeiten kann. Allerdings gibt es in diesem Kontext auch gute Nachrichten: Durch Nutzung innovativer Technologien und Zusammenlegung der drei Systeme zu einem intelligenten Konzept lassen sich 40 % der Standardkosten für Informationssicherheit, Datenschutz und QM einsparen. Das entspricht einer Optimierung von circa 1 % und eine Senkung der Kosten von 2,5 % auf 1,5 % des Jahresumsatzes. Durch Optimierung der Praxisorganisation mit einem maßgeschneiderten QM-System lässt sich zudem die Produktivität der Praxis oder Klinik um 2-3 % (und mehr) verbessern.

Was sollte man als Arzt tun?

In diesem Spannungsfeld benötigt der Arzt externe Unterstützung durch Fachleute, die gleichermaßen Datenschutz, Informationssicherheit, Medizinrecht und Praxisorganisation auf QM-Basis beherrschen. Neben Anfangshonoraren für die einmalige Einrichtung ist es sinnvoll, monatliche Lizenzverträge abzuschließen, die den Ärzten Planungssicherheit geben und wirtschaftliche Konditionen gewährleisten. Bei allen neuen rechtlichen Rahmenbedingungen stehen immer die Mitarbeiter im Mittelpunkt. Ihre Schulung und laufende Fortbildung sind die wichtigsten Elemente für die Rechtskonformität aller medizinischen Einrichtungen. Für Datenpannen und Verstöße gegen Informationssicherheit allgemein sind in über 85 % der Fälle Unkenntnis und mangelhafte Ausbildungen der Mitarbeiter verantwortlich. Kann der Arzt bei einem Rechtsverstoß keinen detaillierten Schulungsplan (Curriculum) nachweisen, handelt er nach DVG, DSGVO/BDSG und § 135 ff SGB V fahrlässig (oder sogar grob fahrlässig) und muss ein hohes Haftungsrisiko kalkulieren. Auch Versicherungen in diesem Bereich setzen immer vollständige Rechtskonformität in der Praxis und Klinik voraus. Diesem hohen Risiko steht ein vergleichsweise geringes Budget für die Rechtskonformität auf Basis des "Outsourcings" gegenüber. Es empfiehlt sich deshalb ein kombiniertes Konzept aus:

  1. Einem Datenschutz- und Informationssicherheits-Beauftragten (DSB/ISB) extern

  2. Einem QM-Koordinator als Unterstützung des internen QM-Beauftragten (QMB)

  3. Einem Schulungsdienstleister mit E-Learning-Verträgen und wirtschaftlichen Webinar-Angeboten

  4. Einem Dienstleister eines Cloud-basierten Managementsystems für die jeweils aktuelle Rechtskonformität

  5. Einer individuellen Rechtsschutz- und Haftpflichtversicherung

Zu bevorzugen ist immer ein "Alles-aus-einer-Hand-Vertrag", der in aller Regel preiswerter ist und durch die Nutzung von Synergien Kapazität spart. Am Markt gibt es zwar bislang nur sehr wenige ganzheitliche Lösungen; dies wird sich aber voraussichtlich ändern, sobald die Ärzte die höheren Ansprüche an ihre Rechtskonformität erkennen. Aufklärung durch Berufsverbände und KVen ist hier gefragt.

figure 3

© MQ-Illustrations / stock.adobe.com

Die Digitalisierung erfordert mit Produkten wie der elektronischen Patientenakte (ePA) von Ärztinnen und Ärzten zunehmend ein noch größeres technisches, rechtliches und wirtschaftiches Know-how. Weil sich das schwerlich durch eigenes Wissen und eigene Kräfte gewährleisten lassen wird, gewinnt das Outsourcing solcher Bereiche an externe Dienstleister an Bedeutung.

Fazit

Die "Arzt-Bürokratie" erreicht mit der Einführung des DVG, den Anforderungen an Informationssicherheit nach DSGVO sowie der QM-Richtlinie einen neuen Höhepunkt. Der verantwortliche Arzt ist gut beraten, seine Praxis oder Klinik umgehend auf den Prüfstand zu stellen. Da die meisten Ärzte nicht über eine ausreichende Kompetenz verfügen, ist ein "Outsourcing" dringend zu empfehlen. Kein Arzt kommt schließlich heute noch auf die Idee, Buchhaltung, Steuererklärung und Verteidigung bei steuerlichen Betriebsprüfungen selbst zu übernehmen. Ein guter Rechtskonformitätsbeauftragter wird im beginnenden neuen Jahrzehnt daher mindestens genauso wichtig werden wie der gute Steuerberater. Wenn es zu einem Audit oder sogar zu einem rechtlichen Verfahren kommt, muss der Arzt zumindest nachweisen können, dass er eine Analyse und Planung mit einem qualifizierten Dienstleister erstellt hat und somit das vom Gesetzgeber geforderte Verantwortungsbewusstsein dokumentieren kann.