Haftungsrisiko des Arztes

Praxismanagement

Das Haftungsrisiko des Arztes

Unwissenheit schützt vor Strafe nicht – Sicherheit ist wichtiger denn je!

                                                                                       
Datenschutz und IT-Sicherheit spielen eine zentrale Rolle in der Praxis. Patientinnen und Patienten müssen sich auf ein größtmögliches Maß an Sicherheit und Vertraulichkeit beim behandelnden Arzt verlassen können.
Sicherheit und Vertraulichkeit in der Praxis bedeutet für die Ärzte angesichts der aktuellen Gefährdungslage mehr als nur die Installation von Virenscanner und Firewalls, denn auch höhere Gewalt wie Feuer, technisches Versagen sowie Stromausfall, Vorsatz wie Diebstahl und Hacking, sowie Organisationsdefizite wie unklare Vorschriften oder ungeschulte Mitarbeiter können die Reputation einer Praxis ernsthaft in Gefahr bringen.
Das Oberlandesgerichtes Hamm traf im Dezember 2003 ein weit reichendes Urteil: Das Unternehmen A hatte Probleme mit einem Computerkabel. Es beauftragte den IT-Dienstleister B. Ein Angestellter von B tauschte das Kabel aus, doch einige Tage später gab es Fehlermeldungen im Computersystem von A. Der Angestellte von B wollte daraufhin eine Festplatte bei A austauschen. Erfragte nach, ob die Daten auf der Platte gesichert seien. Dies wurde vom Unternehmen A bejaht. Der Server des Unternehmens stürzte beim Austausch ab, wobei wichtige Firmendaten verloren gingen, denn die Daten waren doch nicht gesichert. Das Unternehmen A ließ von einem zweiten Dienstleister einen Teil der Daten wiederherstellen, und wollte den ersten nicht bezahlen. B klagte vor dem Landesgericht Bochum und bekam Recht. A ging in die Berufung vor dem Oberlandesgericht Hamm, doch auch die Berufung wurde abgewiesen, diesmal in letztinstanzlicher Entscheidung.
Beinahe noch interessanter als die Entscheidung selbst ist die Urteilsbegründung: Das geschädigte Unternehmen A habe, so schrieb das OLG Hamm, „nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese grob vernachlässigt“. Eine Sicherung der Unternehmensdaten hätte „täglich erfolgen müssen, die Vollsicherung mindestens einmal wöchentlich“. Stattdessen wurde nicht einmal monatlich komplett gesichert. Der nach dem Absturz festgestellte Stand der Komplettsicherung entsprach dem Stand vier Monate vor den Wartungsarbeiten. Das sein, so das OLG, „grob fahrlässig“ gewesen. Und das Gericht legte in seiner Urteilsbegründung gleich noch nach: Selbst wenn der IT-Dienstleister B seine Kontrollpflichten vor dem Austauschen vernachlässigt hätte – was ihm in diesem jedoch nicht nachgewiesen werden könnte -, hätte ein überwiegendes Mitverschulden des Unternehmen A vorgelegen. Mit anderen Worten: Egal wie dilettantisch solche Wartungsarbeiten durchgeführt werden, derartig „blauäugige“ Unternehmen müssen für solche Schäden wie den Datenverlust selbst aufkommen.
Derartige Fälle, wie beim OLG Hamm, dringen jedoch eher selten an die Öffentlichkeit und kommen selten vor Gericht, die betroffenen Unternehmen haben Sorge um ihr Image. Wer gibt schon „öffentlich gerne zu“, dass seine Datensicherung Lücken hat oder seine Software nicht vollständig lizenziert ist und dadurch dem Unternehmen Schäden entstanden sind.
Die Höhe der Einbußen lassen sich nur schwer beziffern. Dagegen lässt sich ein Aspekt genau Angeben, der bei der Debatte um Sicherheit, Vertraulichkeit und finanziellen Schäden nur selten auftaucht. Die Frage der Haftung! Wer ist verantwortlich wen aus einer Sicherheitslücke Ansprüche auf Schadenersatz abgeleitet werden? Das Bewusstsein, wie wichtig eine durchdachte Datenschutz und Datensicherheit Strategie für den Gesamterfolg einer Praxis ist, setzt sich langsam durch.

Wer ist verantwortlich wen aus fehlendem Datenschutz und IT-Sicherheit Ansprüche auf Schadenersatz abgeleitet werden? Ohne ein Datenschutz- und IT-Sicherheitskonzept sind die Inhaber der Praxis persönlich haftbar, wenn sie in ihrer Praxis nicht für ausreichenden Datenschutz und Datensicherheit sorgen. Die gesetzlichen Regelungen umfassen jedoch nicht nur das Haftungsrecht, sondern auch das Strafrecht, dabei reichen die Strafen von Bußgeld bis hin zum Freiheitsentzug.
Um Sicherheits- und Haftungsrisiken vorzubeugen sollte der Praxisinhaber ein Datenschutz- und IT-Sicherheitskonzept entwickeln lassen, dies verabschieden und auch intern kommunizieren. Dieses System von Verfahren und Regelungen dient der dauerhaften Steuerung und Kontrolle der praxisweiten Informationssicherheit.
Rein rechtlich gesehen darf vor Datenschutz- und IT-Sicherheitsproblemen niemand die Augen verschließen – schon gar nicht der Arzt.

Übersicht der Haftungsrisiken

Die Übersicht spiegelt nur einen Teil der möglichen Haftungsrisiken wieder.

 

Pflicht bzw. Regelungs-/HandlungsbedarfRechtsgrundlage

Potentielle Schäden und sonstige Nachteile für die Praxis

 

Ansprüche Dritter
Bestellung eines DatenschutzbeauftragtenDatenschutzrecht
§4f, §43, I und II BDSG

Bußgeld bis zu 25.000 Euro

 

 
Einführung eines Datenschutz- und SicherheitskonzeptsDatenschutzrecht
§ 9 und Anlagen zu § 9

Ausfall von IT
Systemen
Verlust von Daten
aufgrund von
Sicherheitslücken
Image- und Vertrauensschaden

 

Schadenersatz
Ständige Aktualisierung des Datenschutz- und Sicherheits-KonzeptsDatenschutzrecht
§ 9 und Anlagen zu § 9

Ausfall von IT-Systemen
Verlust von Daten aufgrund von Sicherheitslücken
Image- und Vertrauensschaden

 

Schadenersatz
Regelungen beim Zugang von externen Dritten zu Datenverar-beitungssystemenDatenschutzrecht
§ 9 BDSG i.V.m. § 823 BGB
Zivilrecht
§ 280 I BGB, § 823 II BGB i.V.m. BDSG

Zugang zu personenbezogenen Daten von unbefugten Dritten
Imageschaden
ggf. Virenverseuchung bei Wartung, Fernwartung etc.

 

Schadenersatz
Sicherung von Vertraulichkeit und Geheimhaltung

Zivilrecht
Vertragliche Vertraulichkeits-verpflichtungen i.V.m. § 280 BGB, Vorvertraglich ggf. § 311 Abs. 2 BGB
Sicherheitsüberprüfungsgesetz § 2,7-10 SüG

 

Image- und VertrauensschadenSchadenersatz
Vertragsstrafe
Ordnungsgemäße Abbildung der wirtschaftlichen Verhältnisse der Praxis in der BuchführungHandelsrecht
§ 239 Abs. 4 HGB
Steuerrecht
§ 164 Abs. 5 AO

Bei nicht ordnungs-gemäßer Buchführung Schätzung der Be-steuerungsgrundlage
Imageschaden
Geldstrafe Bußgelder

 

Schadenersatz
Datenschutzrechtliche Konformität sicherstellenDatenschutzrecht
§§ 4g, § 38 Abs. 5 BDSG, § 7 BDSG, § 9 BDSG, § 43 BDSG, § 44 BDSG

Aufsichtsbehörde kann Maßnahmen zur Beseitigung von Defiziten anordnen.
Bußgelder bis

250.00 Euro
Zwangsgelder
Freiheitsstrafe bis 2 Jahre 

Strafrecht

 

Schadenersatz
Unterlassung
Abmahnung

Verhinderung von Schäden Dritter durch firmeneigene IT

 

Zivilrecht
§§ 823, 1004, 280 BGB
Images- und Vertrauensschaden
Verlust von Patienten
Schadenersatz
Unterlassung
Virenfreier Daten-/Datenträger-austauschDatenschutzrecht
§ 9 BDSG
Zivilrecht
§§ 823, 1004, 280 BGB

Nichtverfügbarkeit von personenbezog. oder persönlichen Daten.

Ungewollte Weiterverarbeitung von personenbez. oder persönlichen Daten.
Praxisstillstand
Vermögensverluste
Schädigung Dritter durch Verbreitung von Viren

Schadenersatz

 

Jürgen Menge, Thinking Systems, 05.09.08