Die eAU – das gilt datenschutzrechtlich!

Seit Anfang diesen Jahres ist die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) für alle Ärztinnen und Ärzte verpflichtend. Wir erläutern die datenschutzrechtlichen Anforderungen an diese Datenverarbeitung.

Besondere personenbezogene Daten

Die Arbeitsunfähigkeitsbescheinigung enthält gemäß § 109 Abs. 1 SGB IV folgende Daten:

• Den Namen des  Arbeitnehmers bzw. der Arbeitnehmerin;
• Den Beginn und das Ende der Arbeitsunfähigkeit;
• Das Datum der ärztlichen Feststellung der Arbeitsunfähigkeit;
• Die Kennzeichnung als Erst- oder Folgemeldung;
• Die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem (Arbeits-)Unfall beruht.

Gesundheitsdaten werden von der DSGVO in Art. 9 als besonders sensibel eingestuft und sollten daher äußerst gut geschützt werden. Geeignete technische und organisatorische Schutzmaßnahmen müssen daher durch Betreiberinnen und Betreiber von Arztpraxen ergriffen werden. 

Das passiert technisch bei der eAU

Um zu verstehen, welche Maßnahmen zur elektronischen Datensicherheit ergriffen werden sollten, werfen wir einen kurzen Blick auf den technischen Hintergrund der eAU-Übertragung. Nachdem Ärztinnen und Ärzte Patienten untersucht haben und zu dem Schluss kommen, eine Arbeitsunfähigkeit liegt vor, füllen sie die Arbeitsunfähigkeitsbescheinigung digital aus. Im nächsten Schritt wird diese über die Kommunikation im Medizinwesen ("KIM") an die Krankenkasse übermittelt. 

Die KIM erfolgt unter erhöhten Sicherheitsstandards, da auf die sogenannte Telematikinfrastruktur ("TI") zurückgegriffen wird. Die Kommunikation findet somit auf einer gemeinsamen Plattform statt, zu der nur berechtigte Personen Zugriff haben. Nachdem sich die Arztpraxis über einen Konnektor und ihr Praxisverwaltungssystem in diese Infrastruktur eingeloggt und die eAU losgeschickt hat, passiert folgendes: Die eAU verlässt die Arztpraxis verschlüsselt, durchläuft verschlüsselt die TI und wird erst wieder bei der Krankenkasse entschlüsselt. Die Sicherheit der elektronischen Übertragung der eAU von der Arztpraxis zu der Krankenkasse ist somit gewährleistet. 

Maßnahmen zur Datensicherheit

Dadurch, dass die KIM den Kommunikationsbereich absichert, müssen Arztpraxen alle Schritte absichern, die davor stattfinden. Die Aufnahme, die Digitalisierung und die Speicherung der Daten auf dem Praxisnetzwerk sollten demnach durch geeignete technische und organisatorische Maßnahmen geschützt werden. Bei der Übermittlung der eAU können beispielsweise folgende Maßnahmen ergriffen werden:

• Die Verwendung von starken und vertraulichen Kennwörtern (im besten Fall besteht das Passwort aus mindestens acht Zeichen, enthält Groß- und Kleinschreibung und verwendet Sonderzeichen und Zahlen).
• Informationen auf den Bildschirmen sollten nicht durch Dritte wahrgenommen werden (beispielsweise das Beachten eines möglichen Einblicks durch ein Fenster oder die aktive Sperrung des Bildschirms bei dem Verlassen des Arbeitsplatzes).
• Die Sicherheit der PCs und des Praxisnetzwerks sollte durch Firewalls und Anti-Viren-Programme gewährleistet werden.
• Die Datensicherung darf wiederum ebenfalls nicht vernachlässigt werden. Regelmäßige Backups sind notwendig, um dem Grundsatz der Datensicherung der DSGVO zu genügen.

Hier ist zu beachten, dass kein Standard existiert. Die Auswahl und die Stärke der Maßnahmen obliegen dem Verantwortlichen, also dem Praxisbetreiber. Dabei müssen der Stand der Technik, die Implementierungskosten sowie Eintrittswahrscheinlichkeit und Schwere von Datenschutzvorfällen abgewogen werden. Hierbei kann ein Datenschutzbeauftragter helfen.

Fazit zur eAU

Für Arztpraxen ergibt sich durch die Einführung der digitalen Übertragung der eAU seit Januar 2023 innerhalb der KIM kein großer Unterschied im Hinblick auf die Auswahl der technischen und organisatorischen Maßnahmen. Betreiberinnen und Betreiber von Praxen, die sich vor der Einführung der eAU noch keine Gedanken über die Datensicherheit gemacht haben, sollten spätestens jetzt handeln. 

Aus der Sicht der Patientinnen und Patienten ist die Einführung der eAU in puncto Datenschutz zu begrüßen. Beispielsweise kann der Arbeitgeber nicht mehr durch den Stempel der Arztpraxis und eine etwaige Facharztbezeichnung auf die Art der Krankheit Rückschlüsse ziehen.

 

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.