Zum Inhalt

Der Rechtsrahmen: Drei Ebenen von Pflichten

Auf welcher rechtlichen Grundlage beruhen die Anforderungen an IT-Sicherheit in einer Arztpraxis? Und warum gibt es gleich drei verschiedene Regelungssysteme?

Das Szenario: Eine Praxis wird gehackt

Es ist Samstagnacht. Sie erhalten einen Anruf von Ihrem IT-Dienstleister: "Ihre Praxissysteme wurden gehackt. Patientendaten liegen offen im Internet. Ransomware hat die Festplatte verschlüsselt."

Jetzt geht Ihnen nicht nur ein Gedanke durch den Kopf: "Das ist ein technisches Desaster." Sie denken auch: "Das wird teuer. Und es wird rechtliche Konsequenzen haben."

Welche? Das ist nicht so einfach zu sagen, weil nämlich nicht eine, sondern gleich drei verschiedene rechtliche Systeme anfangen zu spielen.

Es kommt eine Strafanzeige. Ein Staatsanwalt prüft, ob Sie die ärztliche Schweigepflicht verletzt haben. Es kommt eine Mitteilung der Datenschutzbehörde: Sie sollen nach DSGVO eine Datenpanne melden und Betroffene informieren. Und Ihre Ärztekammer wird Sie auffordern, die KBV-Richtlinie einzuhalten. Drei verschiedene Behörden, drei verschiedene Regelungssysteme, drei verschiedene potenzielle Konsequenzen.

Die drei Ebenen

Für Ärzte gilt nicht eines dieser Systeme – es gelten alle drei gleichzeitig. Und sie ersetzen sich nicht gegenseitig. Sie stehen nebeneinander.

Ebene 1: Strafrecht – § 203 StGB

Das Strafgesetzbuch § 203 stellt das unbefugte Offenbaren von fremden Geheimnissen unter Strafe. Als Arzt unterliegen Sie und alle, die mit Ihnen arbeiten, einer absoluten Schweigepflicht für alles, was Ihnen im Rahmen Ihrer ärztlichen Tätigkeit bekannt geworden ist.

Das ist nicht nur eine moralische Pflicht. Das ist Strafrecht. Ein Verstoß ist kein Verwarnungsgeld und keine Ordnungswidrigkeit – es ist eine Straftat mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.

Entscheidend ist: Die Schweigepflicht gilt nicht nur für aktives Handeln – also für den Fall, dass Sie selbst Patientendaten veröffentlichen. Sie gilt auch für Tun durch Unterlassen. Das heißt: Wenn Sie fahrlässig oder grob fahrlässig zulassen, dass Patientendaten nach außen dringen, weil Sie Ihre IT-Infrastruktur nicht richtig geschützt haben, dann haben Sie gegen die Schweigepflicht verstoßen.

Unverschlüsselte Server, schwache Passwörter, fehlende Backups, nicht aktualisierte Software – das sind keine technischen Fehler. Das sind potenzielle Straftaten, wenn sie dazu führen, dass Patientendaten offenbar werden.

Ebene 2: Datenschutzrecht – DSGVO und BDSG

Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten verarbeitet werden. Sie gilt für alle, die Daten von EU-Bürgern verarbeiten – also auch für Arztpraxen.

Nach der DSGVO müssen Sie technische und organisatorische Maßnahmen (TOMs) ergreifen – Verschlüsselung, Zugangsschutz, Backups. Mit Dienstleistern müssen Sie entsprechende Auftragsverarbeitungsverträge abschließen. Bei Datenpannen die Behörde melden (Meldefrist: 72 Stunden). Betroffene informieren, wenn ein hohes Risiko besteht.

Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro vor – das klingt dramatisch, ist aber für Großkonzerne gemeint. In der Praxis belegen deutsche Datenschutzbehörden kleinere Unternehmen mit Bußgeldern im Bereich von einigen Hundert bis einigen Tausend Euro.

Wichtig: DSGVO ist kein Entweder-Oder. Die DSGVO-Anforderungen gelten zusätzlich zu § 203 StGB. Sie können nicht sagen: "Ich habe die DSGVO erfüllt, also ist die Schweigepflicht OK." Beide müssen erfüllt sein.

Ebene 3: Berufsrecht – KBV-Richtlinie und Heilberufsgesetze

Auf der dritten Ebene stehen die berufsrechtlichen Vorgaben. Für Vertragsärzte und Psychotherapeuten in der gesetzlichen Krankenversicherung ist das besonders wichtig: die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV).

Diese Richtlinie ist nicht ein unverbindlicher Leitfaden. Sie ist geltendes Recht mit Sanktionen. Die Anforderungen sind nach Praxisgröße gestaffelt und umfassen sichere Passwörter, Verschlüsselung, regelmäßige Backups, Virenscutz, IT-Sicherheitsschulungen und Verschwiegenheitsverpflichtungen für externe Dienstleister.

Die Nichterfüllung kann zu Bußgeldern bis zu 100.000 Euro führen.

Wie die drei Ebenen zusammenhängen

Das ist die gute Nachricht: Die drei Ebenen verlangen in der Sache oft dieselben Maßnahmen. Wer seine Praxis so aufstellt, dass sie die § 203 StGB-Anforderungen erfüllt, erfüllt damit auch die DSGVO und meist auch die KBV-Richtlinie.

Ein und dieselbe technische Maßnahme erfüllt also alle drei rechtlichen Anforderungen gleichzeitig.

Merksatz: Wer die Anforderungen von § 203 StGB sorgfältig erfüllt, erfüllt damit automatisch auch einen großen Teil der DSGVO und der KBV-Richtlinie.

Die zentrale Unterscheidung: Strafrechtliche Garantenpflicht

Es gibt eine wichtige Unterscheidung zwischen den drei Ebenen: Bei § 203 StGB geht es um die Garantenpflicht des Arztes. Das heißt: Sie können diese Verantwortung nicht vollständig an Dienstleister delegieren.

Wenn Sie einen IT-Dienstleister einstellen und dieser macht schlechte Arbeit, können Sie nicht sagen: "Der ist schuld." Sie sind schuld – weil Sie dafür hätten sorgen müssen, dass dieser Dienstleister gute Arbeit leistet.

Die praktische Konsequenz: Dokumentation ist nicht optional

Aus dieser Verantwortung ergibt sich eine praktische Konsequenz: Sie müssen dokumentieren, dass Sie Ihre Verantwortung erfüllen.

Das bedeutet nicht, dass Sie ein hundertseítiges Compliance-Buch schreiben müssen. Es bedeutet aber:

  • Sie sollten aufschreiben können, welche IT-Sicherheitsmaßnahmen Sie getroffen haben.
  • Sie sollten nachweisen können, dass Sie Ihr Team geschult haben.
  • Sie sollten dokumentieren, welche Verträge mit Dienstleistern bestehen.
  • Sie sollten einen Notfallplan haben.

Warum? Weil Sie im Schadensfall zeigen müssen, dass Sie "alles Notwendige getan haben".

Was Sie jetzt wissen sollten

Am Ende dieses Kapitels sollte Ihnen klar sein:

  • Es gibt drei unterschiedliche rechtliche Systeme, die alle für Ihre Praxis gelten.
  • Sie ersetzen sich nicht gegenseitig – sie ergänzen sich.
  • Eine saubere IT-Sicherheitsmaßnahme erfüllt meist alle drei gleichzeitig.
  • Sie persönlich als Arzt tragen die strafrechtliche Verantwortung.
  • Dokumentation ist der Nachweis, dass Sie Ihre Verantwortung erfüllen.

In den nächsten Kapiteln werden wir uns diese drei Ebenen einzeln anschauen.