Welche Verantwortung tragen Ärzte hinsichtlicher der Auswahl ihrer Praxissoftware? Muss diese datenschutzkonform ausgestaltet sein und wer haftet letztlich dafür? Diese Fragen dürften sich Ärzte spätestens nach einem Beitrag der Tagesschau stellen.

Unsichere Praxissoftware – Patientendaten ungeschützt im Netz„, so titelte jüngst die Tagesschau einen Beitrag auf ihrer Webseite. Dabei kamen die Autoren schließlich zu folgendem Fazit: „Verantwortlich ist (…) letztlich die Arztpraxis. Sie müsse überprüfen, dass die Software datenschutzkonform sei – und dürfe sich nicht auf irgendwelche Zertifikate oder Gütesiegel verlassen„. (Quelle: Tagesschau.de)

Arzt als Verantwortlicher der Datenverarbeitung

Tatsächlich ist es so, dass der Inhaber einer Arztpraxis selbst Verantwortlicher der Datenverarbeitung ist. Für ihn gelten die Regelungen der Datenschutz-Grundverordnung (DSGVO). Er muss die Grundsätze der DSGVO wahren. Zu diesen zählen auch die Prinzipien Privacy by Design und Privacy by Default. Sie bedeuten nichts anderes, als dass bereits bei der Entwicklung von Software auf den Datenschutz zu achten ist und datenschutzkonforme Voreinstellungen zu treffen sind.

Der Softwareentwickler und -hersteller verarbeitet dagegen selbst meist keine Patientendaten. Verkauft der Softwareentwickler seine Praxissoftware also an den Arzt und verwendet dieser die Software in seiner Praxis, bleibt die Verantwortung für die Datenverarbeitung zunächst beim Arzt. Denn Art. 4 Nr. 7 DSGVO definiert den datenschutzrechtlich Verantwortlichen wie folgt:

„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…);

Der Softwareentwickler und Hersteller einer Praxissoftware wird per se auch nicht zum Auftragsverarbeiter. Anders kann die Situation aussehen, wenn die Praxissoftware beispielsweise in der Cloud oder in einem Rechenzentrum betrieben wird oder der Entwickler im Rahmen der Wartung Zugriff auf das System des Arztes hat.

Der Arzt fühlt sich jedoch meist nur als Anwender. Er ist selten IT-Profi. Er wird sich daher schwer tun, die Software vor Anwendung auf Fehler hin zu prüfen. Blindlings auf seine Software verlassen darf sich der Arzt dennoch nicht. Er muss bei der Auswahl und Wartung der Praxissoftware Sorgfaltspflichten wahren. Neben möglichen Geldbußen bei Verstößen kann der Arzt dabei den Betroffenen auch auf Schadenersatz haften.

Ärzte sollten sich dieser Situation bewusst sein und daher Vorkehrungen treffen. Das können neben einer guten Dokumentation der von ihnen getroffenen Maßnahmen der Abschluss einer Cyberrisk-Versicherung oder natürlich auch gute IT-Verträge sein. Vor allem der Leistungsumfang der vereinbarten Leistungen ist präzise zu prüfen und zu dokumentieren – das gilt für die Versicherungsverträge ebenso wie für IT-Verträge. Aber auch Haftungsklauseln sind möglichst zum Vorteil des Arztes auszuhandeln. Helfen kann dabei bestenfalls ein auf das IT-Recht im Gesundheitswesen spezialisierter Anwalt.

Haftet der Softwareentwickler?

Wie verhält es sich dann aber mit dem Softwareentwickler, dem Hersteller und dem Händler? Hier kommt es jeweils auf den Einzelfall an. Selbst wenn Entwickler nicht nach Art. 4 Nr. 7 DSGVO als Verantwortliche anzusehen sind, können sie über vertragliche Nebenpflichten dem Arzt gegenüber haften. Sie zahlen dann möglicherweise für Mangelgewährleistungsansprüche und Schadenersatz. Denn es dürfte kaum zu bezweifeln sein, dass die Konformität einer Software mit der DSGVO mittlerweile eine gewöhnliche und vorausgesetzte Eigenschaft einer Software ist.

Bestenfalls sollten Verträge mit den Ärzten daher zunächst den Leistungsumfang möglichst konkret beschreiben und darüber hinaus austarierte Haftungsklauseln enthalten. Je nach Sichtweise der Partei können die Beschreibung des Leistungsumfangs sowie die Klauseln des Vertrags unterschiedlicher nicht ausfallen. Die Parteien haben immer unterschiedliche Interessen. Es ist daher für die Parteien stets sinnvoll, eigene Anwälte zu beauftragen und sich nicht auf die Aussage des Anwalts seines Gegenübers zu verlassen. Arztpraxen beispielsweise sollten vertragliche Vereinbarungen verwenden, die den Hersteller zur Berücksichtigung der datenschutzrechtlichen Anforderungen verpflichten.

Die möglichen Konstellationen sind äußerst komplex und vielfältig. Eine pauschale Zuordnung der Haftung ist nicht möglich. Die vorstehenden Beispiele sind zudem auf zahlreiche weitere Konstellationen, beispielsweise auf Krankenhaus-Informations-Systeme (KIS) übertragbar. Auch hier können sowohl Krankenhausbetreiber wie Softwarehäuser durch gute Verträge viel Geld sparen. Ganz zu schweigen von der Bedeutung, die Verträge im IT-Recht bei der Vergabe öffentlicher Aufträge erlangen können.

Kristin Kirsch
Kristin KirschRechtsanwältin
Kristin Kirsch ist Co-Autorin auf staufer.de, freie Rechtsanwältin im IT-Recht und Datenschutzrecht sowie Partnerin bei FASP Finck Sigl & Partner Rechtsanwälte Steuerberater mbB.
Dr. Andreas Staufer
Dr. Andreas StauferRechtsanwalt
Dr. Andreas Staufer ist Fachanwalt für IT-Recht und Fachanwalt für Medizinrecht. Schwerpunkte sind Neue Technologien, Technologisierung und Datenschutz sowie Rettungsdienstrecht.

Der Beitrag kann eine individuelle, anwaltliche Beratung nicht ersetzen. Beachten Sie bitte das Erstelldatum und prüfen Sie den Beitrag ggf. auf Aktualität. Wenn Sie sich unsicher sind, fragen Sie Ihren Anwalt – oder uns.

Bildquellen