Rechtliche Rahmenbedingungen

Aus Standard eCG Wiki
Wechseln zu: Navigation, Suche

Einleitung

Das deutsche Gesundheitswesen sieht sich aufgrund verändernder Rahmenbedingungen immer neuen Herausforderungen ausgesetzt, die eine Steigerung von Effektivität, Effizienz und Qualität erfordern[1]. Auslöser dieser Entwicklung sind unter anderem der demografische Wandel, der medizinisch technische Fortschritt, veränderte finanzielle Strukturen und steigende Patientenansprüche[2][3]. Johner (2009) führt an, dass zur Umsetzung von entsprechenden Maßnahmen eine Unterstützung durch den Einsatz von Informationstechnologie (IT) benötigt wird. IT kann damit als Enabler für das Kerngeschäft fungieren, welcher Wertebeiträge generiert, Effizienzen steigert, Innovationsbeiträge leistet und Unterstützung zur sektorenübergreifenden Patientenversorgung bietet[4]. In diesem Zusammenhang kann eCommerce als elektronische Unterstützung zum Kauf und Verkauf von Gütern und Dienstleistungen im Gesundheitswesen gesehen werden[5], welches die oben genannten Ziele der IT im Bereich der Gesundheitslogistik umsetzt. Um dieses zu erreichen ist es notwendig, dass die Logistikprozesse zum einen am Behandlungspfad des Patienten ausgerichtet sind und zum anderen eine Interoperabilität der Systeme zur Kommunikation gewährleistet ist. Ziel im Gesundheitswesen ist die positive Zustandsveränderung des Patienten. Am Beispiel eines Krankenhauses generiert der Behandlungsfall und damit die Zustandsveränderung des Patienten über das DRG-System die Erlöse[6], weshalb die Prozesse des Einkaufs auf den Behandlungsprozess ausgerichtet werden sollten. Die Interoperabilität gewährleistet diesbezüglich eine Vernetzung und Abstimmung aller beteiligten Systeme und Anwendungen innerhalb einer medizinischen Einrichtung und ihrer Umgebung. In Kombination mit den entsprechenden strukturellen und organisatorischen Veränderungen kann dies zu einer Straffung des Arbeitsprozesses führen und effiziente Rationalisierung und Kostensenkung ermöglichen[7]. Standards gestatten dabei eine Interpretation, Weiterverarbeitung und Speicherung von Daten, da es ansonsten zu einem Begriffswirrwarr zwischen den Kommunikationspartnern kommen kann und bei Fehlern sogar Menschenleben kosten könnte[8].

Um einheitliche Empfehlungen und Standards im Bereich eCommerce im Gesundheitswesen zu definieren sind dahingehend rechtliche Grundlagen zu eruieren, welches folgend durchgeführt wird. Ausgangspunkt bilden Rahmenbedingungen des Einzelhandels, da eCommerce dort für jedermann sichtbar und umfassend eingesetzt wird. Anschließend werden diese Rahmenbedingungen auf ihre Übertragbarkeit und Anwendbarkeit im Gesundheitswesen geprüft.

Definitionen und Begrifflichkeiten

Bevor rechtliche Grundlagen für elektronische Standards und deren Bedeutung für eCommerce im Einzelhandel und im Gesundheitswesen diskutiert werden können, sind geeignete Definitionen in diesem Bereich zu erläutern. Was ist eCommerce, was sind eStandards und welche Bereiche können unterschieden werden?

Was ist eCommerce?

Der Begriff eCommerce setzt sich zusammen aus den englischen Wörtern „electronic“ und „commerce“ und bedeutet übersetzt so viel wie elektronischer Handel / Geschäftsverkehr. Dieser Begriff ist als Teil des eBusiness zu sehen, welches Wirtz (2010) definiert als „…die Anbahnung sowie die teilweise respektive vollständige Unterstützung, Abwicklung und Aufrechterhaltung von Leistungsaustauschprozessen zwischen ökonomischen Partnern mittels Informationstechnologie.“ Der erweiterte Bereich des eBusiness umfasst dabei weitere Begrifflichkeiten wie eEducation, eCollaboration, eInformation und eCommunication[5]. Das eCommerce als Teil des eBusiness kann dabei definiert werden als „…die elektronische Unterstützung von Aktivitäten, die in direktem Zusammenhang mit dem Kauf und Verkauf von Gütern und Dienstleistungen via elektronischer Netze stehen“[5][9]. Damit zielt eCommerce speziell auf den Bereich des Kaufens und Verkaufens von Gütern und Dienstleitungen ab. Ziel ist die intra- und interorganisationale Reduktion von Kosten, die Steigerung von Effizienzen und die Vermeidung einer physischen Präsenz bei Unternehmen-Endkunden-Beziehungen[5]. Beispielhafte Aktivitäten sind das elektronische Aushandeln von Preisen oder die Nutzung einer digitalen Signatur zur Unterzeichnung von Lieferantenrechnungen[5].

Abgegrenzt werden muss der Begriff des eCommerce vom eProcurement. Die Begriffe eCommerce und eProcurement werden im deutschen Sprachgebrauch häufig als Gegenspieler „Vertrieb“ und „Beschaffung“ verwendet. Im Rahmen dieser Arbeit soll eProcurement verstanden werden als „…die Integration von netzwerkbasierten Informations- und Kommunikationstechnologien zur Unterstützung der … Aufgaben in den Beschaffungsbereichen von Unternehmen“[5]. Damit ist eCommerce die Sicht auf die elektronische Geschäftsabwicklung in Gänze und integriert eProcurement als die Sicht der Beschaffung. Standards müssen diesbezüglich von den Herstellern und Käufern zur ganzheitlichen Geschäftsabwicklung integriert werden[10], wodurch die Sichtweise des eProcurement mit in die Betrachtung fällt. Letztendlich ist eCommerce als Teil des eBusiness zu sehen, welches verschiedene Unternehmen-Kunden-Beziehungen im Bereich des elektronischen Handels umfasst.

Interoperabilität und eStandards

Die bereits beschriebene Vernetzung der Geschäftspartner bedingt, dass deren IT-Systeme miteinander kommunizieren können. Hierbei können eStandards bei der Identifikation, Klassifikation, Transaktion, Prozesskonfiguration oder bei Austauschformaten Unterstützung bieten[11]. Sie sind eine gemeinsame Sprache im elektronischen Geschäftsverkehr zum automatisierten und vernetzen Austausch von Daten[12]. Die Fähigkeit der Zusammenarbeit wird bezeichnet als Interoperabilität[13]. Diese Zusammenarbeit besteht nicht aus der reinen Übertragung der Daten, sondern auch aus einem Verstehen dieser Daten. D.h. eine Nachricht muss in ihre Teile zerlegbar sein (syntaktische Interoperabilität) und die Daten müssen verstanden und damit verarbeitet werden können (semantische Interoperabilität). Ziel muss es sein, die übertragenen Daten überprüfen zu können, in die eigene Systeme zu integrieren und auszuwerten[13]. Bedingungen hierfür sind ein sicherer und verlässlicher Übertragungsweg, eine gewisse standardisierte Sprache (syntaktisch und semantisch) und ein gemeinsamer Wissens- und Erfahrungshintergrund, z.B. über Laborwerte[13][11]. Um eine solche Funktion herzustellen, sind Strukturen und Semantik auszutauschender Nachrichten zu standardisieren. Interoperabilität setzt damit Standards voraus[13]. Im Gesundheitswesen existieren eine Vielzahl an internen und externen eStandards, welche im Rahmen einer Interoperabilität aber nicht unbedingt zusammenarbeiten können[14]. Unkoordinierte Standardentwicklungen haben dieses begünstigt, wobei eine zunehmende Zusammenarbeit der Standardwelten wie HL7, CEN oder ISO durch Joint Initiatives zu verzeichnen ist[8].

Ziel sollte es sein, dass Standards einen automatisierten und durchgängigen Bestellprozess im Gesundheitswesen ermöglichen, um einen entscheidenden Innovations- und Produktivitätsfaktor darzustellen[12].

Business to Consumer und Business to Business

Im Rahmen von Kauf- und Verkaufsentscheidungen spielt die Frage nach den Vertragspartnern eine wichtige Rolle. Dieses hat den Hintergrund, dass bei rechtlichen Fragestellungen gerade im Bereich des Datenschutzes in Deutschland personenbezogene Daten im Verhältnis zu Daten juristischer Personen, wie Unternehmen, unterschiedlich behandelt werden. In der allgemeinen Theorie lassen sich die klassischen Vertragspartner Business, Consumer und Government unterscheiden und in Kombination zueinander bringen, z.B. B2B oder B2C[10][5]. Gerade der Bereich des B2B spielt beim eCommerce in Deutschland mit einem Umsatz von 870 Mrd. € im Jahr 2012 eine große Rolle[15]. Im Verhältnis zu einem Einzelhandelsvolumen von 7% beim B2C-Online-Markt, beläuft sich der Umsatz bei B2B-Online-Shops aber auf gerade einmal 1%[15]. „Während im B2C-Online-Handel Bestellungen über Online-Shops an der Tagesordnung stehen“[15] wird der Großteil des Volumens des B2B Bereich hingegen über automatisierte Datenaustausche realisiert. D.h. „…Bestellungen, Rechnungen oder Produktbeschreibungen werden online über ein vordefiniertes Format übermittelt und weiterverarbeitet“[15]. Versucht man die Theorie auf das Gesundheitswesen zu übertragen, gilt es weitere Akteure in diesen Rahmen zu integrieren, wie die Leistungsanbieter (Healthcare Provider) und die Krankenkassen (Payer)[10]. Dieses liegt in den Besonderheiten des Gesundheitswesens begründet, da der Patient die Leistung erhält, diese aber von der Gemeinschaft aus den Krankenkassen bezahlt wird[16]. Des Weiteren tritt das Krankenhaus als Business-Partner gegenüber den Herstellern auf, sodass sich B2H/H2B-Beziehungen ergeben, welche über Versorgungsketten eine Verfügbarkeit von Produkten gewährleisten sollen[10]. Folgende Abbildung soll die verschiedenen Beziehungen im Gesundheitswesen verdeutlichen.

Tabelle 1: Kunden-Lieferanten-Matrix von eBusiness im Gesundheitswesen,
Quelle: nach [10]

Es zeigen sich die vielfältigen Ausprägungsmöglichkeiten von Kunden-Lieferanten-Beziehungen im Gesundheitswesen, welche bei rechtlichen Fragestellungen mit einbezogen werden sollten.

Im weiteren Verlauf werden im Rahmen des Datenschutzes personenbezogene Daten behandelt. Diese gelten im allgemeinen Bereich des Einzelhandels (B2C) sowie bei der Einbindung individueller Patientendaten (z.B. die Bestellung individueller Medikamente). Auch im B2B- oder B2H-Bereich kann eine solche Kontroverse diskutiert werden. Sollte beispielsweise eine Person im Krankenhaus einzeln Artikel unter dem eigenen Namen bestellen oder sollte eine Bestellung Rückschlüsse auf eine Person ermöglichen, so würde es sich im weiteren Sinne um personenbezogene Daten und damit einen schützenswerten Bereich handeln.

Rechtliche Grundlagen

Durch die weite Verbreitung von eCommerce im Einzelhandel, werden die gesetzlichen Grundlagen zunächst von dessen Standpunkt diskutiert. Anschließend folgt eine ausführliche Diskussion zum Datenschutz und ein eine abschließende Aufstellung von rechtlichen Regelungen zum Thema eStandards und eCommerce im Gesundheitswesen.

Allgemeine Rahmenbedingungen des eCommerce

Ausgangpunkt der Grundlagenrecherche sind gesetzliche Bestimmungen für den Online-Einzelhandel und der Umgang mit Daten im Rahmen von Vertragsbeziehungen (eCommerce). Solche umsatzstarken Online-Portale sind beispielsweise amazon.de, otto.de, notebooksbilliger.de oder zalando.de[17]. Die folgenden allgemeinen Rahmenbedingungen für den Online-Handel sind ohne Gesundheitsbezug erläutert aber analog anzuwenden.

Am Beginn einer Transaktion steht die Handelsplattform, auf der die Waren und Dienstleistungen ausgetauscht werden. Der Betreiber hat in diesem Zusammenhang bestimmte, allgemeine Informationspflichten auf diesen Plattformen (Impressum) und im elektronischen Geschäftsverkehr (E-Mail) zu erfüllen[18]. Folgende Informationen sind beispielhaft leicht erkennbar und unmittelbar erreichbar zur Verfügung zu stellen.

Tabelle 2: Informationspflichten im Impressum und bei E-Mails (Auszug),
Quelle: eigene Darstellung (siehe auch § 5 TMG, §§ 37a, 125a, 177a HGB, § 80 AktG, § 35a GmbHG, § 25a GenG)

Als Ergänzung kann hinzugefügt werden, dass bei kommerzieller Kommunikation für beispielsweise Angebote, Gewinnspiele oder zur Verkaufsförderung nach § 6 Telemediengesetz (TMG) zusätzlich diese Art der Kommunikation, Teilnahmebedingungen sowie die natürlich oder juristische Person dahinter klar als solche erkennbar sein müssen. Nach der Information des Kunden stellt der stattfinden Verkauf bzw. die Beschaffung über das Internet auf diesen Plattformen ein Fernabsatzvertrag dar[18]. Die allgemeinen Regelungen hierzu finden sich in den §§ 312b ff. des Bürgerlichen Gesetzbuchs (BGB) wieder. Hervorzuheben ist hier der § 312g BGB der unteranderem folgendes für die Nutzung von Telemedien besagt:


  1. Es sind „…technische Mittel zur Verfügung zu stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann.“
  2. Informationen wie Vertragstexte, Verhaltensrichtlinien, Sprache des Vertrages oder technische Schritte des Vertragsabschlusses sind rechtzeitig vor der Bestellung klar und verständlich mitzuteilen (siehe auch Artikel 246 § 3 EGBGB)
  3. Der Zugang der Bestellung ist „…unverzüglich auf elektronischem Wege zu bestätigen.“
  4. Vertragsbestimmungen einschließlich AGBs müssen bei Vertragsschluss abrufbar und darüber hinaus in wiedergabefähiger Form speicherbar sein.
  5. Die Bestellsituation ist „…so zu gestalten, dass der Verbraucher mit seiner Bestellung ausdrücklich bestätigt, dass er sich zu einer Zahlung verpflichtet“ (gut lesbare Schaltfläche).

Als Hinweis findet bei Verträgen aus ausschließlich individueller Kommunikation nur der Punkt 4 Anwendung. Ebenfalls können die Punkte 1 bis 3 keine Anwendungen finden, wenn zwischen Vertragsparteien die keine Verbraucher sind, also im B2B-Bereich, etwas Anderes vereinbart wird.

Hat ein Kauf über eine Online-Plattform stattgefunden, müssen Geschäftsdokumente und Zahlungsflüsse hierüber abgewickelt werden. „Hinsichtlich der Abwicklung des Zahlungsverkehrs im Internet gelten grundsätzlich keine anderen Bedingungen als bei der Abwicklung des Zahlungsverkehrs außerhalb des Internets“[19]. Auch eine Richtlinie des Europarates (2010/45/EU), umgesetzt im Steuervereinfachungsgesetz 2011, setzt die Papierrechnung mit einer Online-Rechnung gleich. Inhalte sind beispielsweise:

  • Zustimmung des Rechnungsempfängers zur elektronischen Rechnung (AGBs möglich)
  • Lesbarkeit und Unversehrtheit der Rechnung
  • Zustellung in einem elektronischen Format (z.B. PDF per E-Mail oder als Download)
  • Garantie der Echtheit (z.B. elektronische Signatur)
  • Verpflichtenden Angaben einer Papierrechnung sind weiterhin einzuhalten[20]

Einen umsatzsteuerkonformen Austausch bietet gerade im Bereich des B2B der § 14 des Umsatzsteuergesetzes (UStG). Dabei kann die Echtheit und Unversehrtheit des Inhalts gewährleistet werden, z.B. durch eine qualifizierte elektronische Signatur oder durch ein electronic data interchange-Verfahren (EDI). EDI bedeutet in diesem Sinne eine „…Rechnung oder Bestellung, in einem strukturierten, standarisierten Format bzw. über ein standardisiertes Übertragungsprotokoll zwischen Unternehmen“[18] auszutauschen. Demnach bietet EDI die Möglichkeit elektronische Rechnungen auszustellen und zu empfangen. „Dazu treffen die jeweils beteiligten Unternehmen eine gemeinsame Vereinbarung, in der das exakte Datenformat sowie weitere Rahmenbedingungen festgelegt werden“[18].

Als letzte grundlegende Regelung gilt es der Frage nachzugehen, welches Recht bei Streitigkeiten auch bezogen auf spätere Erläuterungen zum Datenschutz angewendet werden muss. Das Herkunftslandprinzip nach § 3 TMG zeigt unterschiedliche Zuständigkeiten, welches anhand folgender Tabelle verdeutlicht wird.

Tabelle 3: Herkunftslandprinzip,
Quelle: nach [21] und § 3 TMG

Es zeigt sich, dass je nach Sitz einer Unternehmung unterschiedliche Rechtsgrundlagen herangezogen werden müssen.

Neben diesen Allgemeinen Erläuterungen wird folgend der Schwerpunkt auf den Bereich des Datenschutzes gelegt und ausführlich diskutiert. Hierbei werden gesundheitsspezifische Ergebnisse der Recherche gesondert dargestellt.

Datenschutz

Bei elektronischen Geschäften gilt es Daten auszutauschen, weshalb folgend ausführlich der Frage nachgegangen wird, welche Rechtslage in Deutschland zum Datenschutz bei solchen Aktivitäten besteht. Ausgangsbasis für den Datenschutz und damit verbundene Schutzgesetze bildet in Deutschland das Grundgesetz (GG). Genannt werden können in diesem Zusammenhang zwei Artikel:

Artikel 1 Abs. 1 GG
„Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“

Artikel 2 Abs. 1 GG
Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“


Demnach und nach einem Urteil des Bundesverfassungsgerichtes aus dem Jahre 1983 hat eine Person in Deutschland das Recht auf informationelle Selbstbestimmung (Urteil vom Bundesverfassungsgericht 15.12.1983). Geschlussfolgert werden kann, dass damit nicht die Daten an sich einem Schutz unterzogen werden aber eine Person das Recht hat selbst zu entscheiden was mit ihren Daten geschieht, z.B. gegenüber Organisationen. Spezielle Regelungen zum Datenschutz finden sich in Deutschland im Bundesdatenschutzgesetz (BDSG). Weitere Regelungen sind den einzelnen Datenschutzgesetzen der Bundesländer zu entnehmen, welches dem Föderalismus geschuldet ist. Gesonderte Regelungen für den eCommerce-Bereich sind zudem im TMG erfasst, welches aus der Umsetzung der EU-Richtlinie zum eCommerce entstanden ist.

Das BDSG verfolgt nach § 1 den Zweck eine Beeinträchtigung des Einzelnen und seiner personenbezogenen Daten zu verhindern. Personenbezogene Daten sind nach § 3 BDSG „…Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Allgemein sind die Daten für die Abwicklung von Geschäften in B2C unabdingbar, wie beispielweise Bestands- oder Nutzungsdaten. Bestandsdaten sind dabei Grundinformationen zum Kunden, wie Name, Adresse usw., welche das Vertragsverhältnis zwischen Nutzer und Dienstanbieter erfordert. Nutzungsdaten hingegen sind notwendige Daten, um die Inanspruchnahme und Abrechnung von Telemedien zu ermöglichen. Nur zu diesem Zwecke dürfen sie nach den §§ 14, 15 TMG erhoben werden. Die Zulässige Datenerhebung regeln dabei die §§ 4 und 28 des BDSG. Während § 4 die allgemeine Zulässigkeit der Datenerhebung regelt, spielgelt der § 28 die Datenerhebung und -speicherung für eigene Geschäftszwecke wieder (Verbot mit Erlaubnisvorbehalt). Dieses ist damit die Bestimmung, welche für eCommerce als Geschäftszweck greift. Daten dürfen demnach für die „…Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen“ genutzt werden. Gleiches besagt § 12 TMG, wonach der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien erheben und verwenden darf, soweit das Gesetz es erlaubt oder der Nutzer eingewilligt hat. Die Einwilligung der Nutzung dieser Daten bedarf nach § 4a BDSG grundsätzlich der Schriftform. Auch hier bietet § 28 Abs. 3a BDSG die Ausnahme bei einer elektronischen Einwilligung. Eine Einwilligung kann in elektronischer Form geschehen, muss aber bewusst erfolgen (nicht durch vorangekreuzte Checkbox oder in den AGBs versteckt), protokolliert werden, deren Inhalt jederzeit abrufbar und für die Zukunft widerrufbar sein (siehe auch § 13 TMG, Urteil vom Landgericht Dortmund 23.02.2007). Eine Weitergabe notwendiger Daten an beispielsweise einen Transportunternehmer ist wiederrum möglich, da dieses zur Erfüllung der Vertragspflichten dient (siehe § 28 Abs. 1 Nr. 1 BDSG). Das Recht auf Auskunft, Löschung oder Sperrung der Daten kann aber nicht durch das Rechtsgeschäft ausgeschlossen werden, welches § 6 BDSG noch einmal untermauert (siehe auch §§ 19, 34 BDSG Auskunft an den Betroffenen und §§ 20, 35 BDSG Berichtigung, Löschung und Sperrung von Daten).

Datenschutz für juristische Personen

Die Speicherung und Verarbeitung personenbezogener Daten fällt nach den Erläuterungen unter das BDSG und TMG. Im Rahmen des B2C bestehen damit grundsätzliche Regelungen. Die Anwendung dessen auf den B2B-Bereich lässt sich aber kontrovers diskutieren, da ein Unternehmen selbst als juristische Person gilt und damit per Definition keine bestimmte oder bestimmbare Person ist. Interessant ist, dass nach Artikel 19 Abs. 3 GG die Grundrechte auch für inländische juristische Personen gelten, soweit sie anwendbar sind. Grundsätzlich unterliegen Einzelangaben über juristische Personen aber nicht dem Schutz des BDSG, auch dann nicht, wenn es sich um sensible Daten handelt, da sie nicht personenbezogen sind[22]. Eine Ausnahme der Beschränkung des Datenschutzes auf rein personenbezogene Daten bietet das Telekommunikationsgesetz (TKG). Gemäß § 91 Abs. 1 TKG sind Verbindungsdaten von juristischen Personen denen einer natürlichen Person gleichgestellt und geschützt. Ein weiterer Schutz der Daten juristischer Personen kann das Gesetz gegen den unlauteren Wettbewerb (UWG) bieten. Nach § 3 UWG sind unlautere geschäftliche Handlungen unzulässig, wenn sie geeignet sind, die Interessen von Mitbewerbern spürbar zu beeinträchtigen. In Verbindung mit § 17 UWG wird bestraft, wer sich „…zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten Dritter oder in der Absicht dem Inhaber eines Unternehmens Schaden zuzufügen“, ein Geschäfts- oder Betriebsgeheimnis unbefugt verschafft, sichert, verwertet oder jemandem mitteilt (z.B. nach § 18 UWG der Schutz von Vorlagen, Zeichnungen, Modelle, Schablonen, Schnitte, Rezepte usw.). Eine weitere Ausnahme bietet auch die Rechtsprechung, welches in Infobox 1 an einem Beispiel erläutert wird. und auch gegen zukünftige Rechtsprechungen sollten die Daten daher wie die einer natürlichen Person gehandhabt werden.

Infobox 1: Ausnahme - Daten juristischer Personen als personenbezogene Daten

Das Interesse der Unternehmen ihre Daten zu schützen, wird durch die Datenschutzgesetze generell nicht erfasst, da es sich nicht um bestimmte Personen handelt. Diesbezüglich können allerdings Ausnahmen bestehen.

Beispiel:

Lassen sich den Daten einer Unternehmung Einzelangaben über eine natürliche Person, wie Gesellschaftern, Geschäftsführern oder anderen zuordnen, können die Daten unter den Datenschutz fallen, auch z.B. dann, wenn es sich um einen Einzelkaufmann handelt oder sich aus dem Namen einer Unternehmung der Inhaber identifizieren lässt (Urteil vom Verwaltungsgericht Wiesbaden 07.12.2007, Urteil vom Europäischen Gerichtshof 09.11.2010)[22]. Bestätigen tut dieses das Oberverwaltungsgericht Niedersachsen mit dem Urteil, dass auch juristische Personen Träger des Rechts auf informationelle Selbstbestimmung sein können als Teilbereich des Persönlichkeitsrechts, wobei die Schutzschwelle hoch anzusetzen sei (Urteil vom Oberverwaltungsgericht Lüneburg 15.05.2009, Urteil vom Europäischen Gerichtshof 09.11.2010).

Fazit: Aus dieser Recherche lässt sich festhalten, dass Daten juristischer Personen grundsätzlich nicht vom Datenschutz erfasst sind, im Einzelfall aber eine genaue Prüfung vorgenommen werden sollte. Zur Absicherung

Besondere personenbezogene Daten im Gesundheitswesen

Angrenzend an die Feinheiten der Daten juristischer Personen unterliegen besondere personenbezogene Daten einer verstärkten Schutzwürdigkeit nach den Datenschutzgesetzen. Diese Arten von Daten sind nach § 3 BDSG definiert als „…Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“ Für die Bestellungen von Arzneimitteln und Medizinprodukten durch beispielsweise ein Krankenhaus, sind neben allgemeinen Angaben möglicherweise individuelle Patientendaten notwendig. Daher wird folgend das Augenmerk auf die Gesundheitsdaten gelegt. Nach § 13 BDSG dürfen besondere personenbezogene Daten nur erhoben werden, wenn „…dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen“ (siehe auch § 28 Abs. 7 BDSG). Dieses unterstreicht zum einen die Musterberufsordnung der Ärzte (§ 9 Schweigepflicht MBO-Ä) zum anderen das Strafgesetzbuch (§ 203 Abs. 1 StGB), wobei das StGB speziell weitere Heilberufe mit einbezieht. Einzelne Regelungen finden sich beispielweise auch in den Datenschutzbestimmungen der Länder, wie im Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen Nordrhein-Westfalens (GDSG NW). Demnach dürfen Patientendaten in Krankenhäusern nur erhoben und gespeichert werden, soweit dieses „…zur Durchführung der Behandlung und Pflege einschließlich der Leistungsabrechnung oder zur Erfüllung der ärztlichen Dokumentationspflicht erforderlich ist“ oder der Patient eingewilligt hat (§ 10 GDSG NW). Die Einwilligung unterstreicht auch der § 4a Abs. 3 BDSG wonach Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn sich die Einwilligung des Patienten ausdrücklich auf diese Gesundheitsdaten bezieht. Eine Einwilligung hingegen ist nicht erforderlich, wenn die Daten z.B. dem Schutz des Betroffenen oder eines Dritten dienen und dieser physisch oder rechtlich außerstande ist eine Einwilligung zu geben, wenn die Daten offenkundig öffentlich sind oder wenn die Daten zur Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich sind (§ 28 Abs. 6 BDSG). Für eCommerce im Gesundheitswesen bedeutet dieses, dass bei einer Weitergabe von Patientendaten, beispielsweise an einen Hersteller für individuelle Produkte, grundsätzlich eine Einwilligung erforderlich ist, sollten nicht Ausnahmen nach den § 16 i.V.m. §§ 14, 13 BDSG bestehen, wie Schutz lebenswichtiger Interessen des Patienten oder zur wissenschaftlichen Forschung. Generell sind diese Daten zu anonymisieren oder zu pseudonymisieren, welches eine Weitergabe von Patientendaten ermöglicht und folgender Abschnitt zeigt (siehe auch Infobox 2).

Anonymisierung und Pseudonymisierung

Neben den Bestimmungen zur Erhebung, Speicherung und Verarbeitung von Daten weist das BDSG nach § 3a auf die Datenvermeidung und Datensparsamkeit hin. Es besteht das Ziel, so wenige Daten wie möglich zu erheben, zu nutzen oder zu verarbeiten. Insbesondere sollen demnach personenbezogene Daten anonymisiert oder pseudonymisiert werden, soweit es möglich ist und keinen unverhältnismäßigen Aufwand erfordert. Für den Einzelhandel bedeutet dieses neben dem Hinweis auf eine Datenschutzerklärung bei der Registrierung in einem Onlineportal nur Pflichtfelder abzufragen, welche für den Zweck der Geschäftsabwicklung notwendig sind[18]. Gleiches unterstreicht § 13 Abs. 6 TMG, nachdem Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonymisiert oder unter Pseudonym zu ermöglichen haben, soweit dieses technisch zumutbar ist. Anonymisieren bedeutet hierbei die Veränderung personenbezogener Daten derart, dass Angaben gar nicht oder nur mit unverhältnismäßigem Aufwand einer Person zugeordnet werden können (z.B. aufsummieren von Daten oder Löschung der Identifikationsmerkmale). Bei der Pseudonymisierung werden Identifikationsmerkmale hingegen ersetzt, sodass eine Bestimmung des Betroffenen ausgeschlossen werden kann oder wesentlich erschwert wird (§ 3 Abs. 6, 6a BDSG). Im Gegensatz zur Anonymisierung werden die Identifikationsmerkmale aber nicht ersatzlos gelöscht. Eine Zuordnungsmöglichkeit z.B. anhand eines Codes bleibt weiterhin bestehen, sodass die Daten wieder zusammengeführt werden können[23]. Verschiedene Verfahren gerade in der klinischen Forschung werden bei der Pseudonymisierung angewendet (Hashwert oder Erzeugung von Zufallswerten). Grund hierfür ist, dass z.B. bei Langzeitstudien Gesundheitsdaten generell im Sinne des Datenschutzes pseudonymisiert werden müssen, aber eine Zusammenführung durch spätere Erhebungen möglich sein soll[23]. Der Ort der Pseudonymisierung sollte nach Möglichkeit die erhebende Institution direkt am Patienten sein, da eine Weitergabe an Stellen die eine Pseudonymisierung durchführen bereits ein durchbrechen der ärztlichen Schweigepflicht wäre (Notwendigkeit einer Einwilligung) und gerade bei stigmatisierenden Krankheiten wie Psychosen oder Aids zu verhindern ist[23]. Dieses betrifft damit auch den eCommerce-Bereich sollten Medikamente oder Medizinprodukte für einen bestimmten Patienten und eine bestimmte Krankheit angefordert werden.

Anonymisierung und Pseudonymisierung in Verbindung mit „Big Data“ lässt sich allerdings bezweifeln. Bestimmte Merkmale und deren Kombination können nach Sweeney (2000) schon Rückschlüsse auf die Identität einer Person ermöglichen. Diese Erkenntnis erlangte die amerikanische Wissenschaftlerin, nach deren Studienergebnissen 87% der US-Bürger nur anhand der Postleitzahl, Geschlecht und Alter eindeutig zu identifizieren waren[24]. Dieses unterstreicht die Bedeutung einer effizienten Anonymisierung bzw. Pseudonymisierung.

Infobox 2: Pseudonymisierung gesundheitsbezogener Daten bei fehlender Einwilligung

Wie dieser und der letzte Abschnitt zeigen, ist es notwendig, gesundheitsbezogene Daten bei ihrer Weitergabe nach außen zu pseudonymisieren (z.B. an ein externes Labor oder Transportunternehmen), sollten nicht etwaige Ausnahmen bestehen[25]. Ansonsten könnte sich der Arzt bzw. das Krankenhaus strafbar machen[26].

Beispiel:

Es werden Laborproben von einem externen Labor bearbeitet. Diese Laborproben sind nach ihrer Analyse wieder dem einzelnen Patienten zuzuordnen. Die einfachste Handhabung wäre z.B. die Weitergabe von Patientennamen, Geburtsdatum oder Patienten-ID zur Identifikation des Patienten. Diese Weitergabe ist aber rechtlich nicht gestattet bzw. bei der ID fragwürdig (Rückschlüsse auf den Patienten möglich?) sollte nicht eine Einwilligung und Information des Patienten vorliegen[25].

Fazit:

Umgangen werden kann das Problem durch drei Möglichkeiten

  • Es liegt eine ausdrückliche (schriftliche) Einwilligung und Information vor
  • Die Daten des Patienten wurden ausreichend pseudonymisiert
  • Bestellung eines Berufungsgehilfen durch Einbindung der Person mittels Arbeitsvertrag in z.B. eine Arztpraxis[26]

Grundlage für den Umgang mit Patientendaten bietet der Behandlungsvertrag in dem die zur Erfüllung des Vertrages notwendige Datenverarbeitung geregelt werden sollte[27]. Die Einwilligung des Patienten muss sich allerdings auf die einzelne Situation beziehen, weshalb eine Pseudonymisierung zu bevorzugen ist[25].

Tracking und Tracing – IP-Adressen und Cookies

In Verbindung mit Anonymisierung und Pseudonymisierung von personenbezogenen Daten lässt sich im Rahmen von eCommerce über IP-Adressen, Cookies und das Tracking bzw. Anlegen von Nutzungsprofilen diskutieren. Diese können eine Verkaufsförderung bewirken oder zur Nutzung eines Web-Controllings dienen[18].

Bezogen auf den Online-Handel erlaubt § 15 TMG das Erheben und Nutzen personenbezogener Daten soweit dieses zur Nutzung und Abrechnung erforderlich ist. Nach § 12 Abs. 2 TMG dürfen diese personenbezogene Daten für andere Zwecke nur verwendet werden, soweit eine Rechtsvorschrift dieses erlaubt. § 15 Abs. 3 TMG erlaubt das Anlegen von pseudonymisierten Nutzungsprofilen z.B. zum Zwecke der Werbung oder bedarfsgerechten Gestaltung von Telemedien (Kaufempfehlungen), sofern der Nutzer diesem nicht wiederspricht. Dieses entspricht einer Opt-Out Regelung (vorangekreuzte Checkbox) bei der Registrierung eines Nutzers. Die pseudonymisierten Daten dürfen allerdings nicht mit den Daten des Nutzers zusammengeführt werden. In diesem Zusammenhang sieht der eCommerce Leitfaden des Handelsverband Deutschland[18] die Speicherung von Nutzungsdaten in Verbindung mit IP-Adressen rechtlich kritisch, da IP-Adressen als personenbezogene Daten gelten können. Hierzu können zwei gegensätzliche Rechtsurteile herangezogen werden. Das Landgericht Berlin hat IP-Adressen einen Personenbezug zugesprochen, sodass nach Datenschutzrecht eine Einwilligung nötig ist (Urteil über Logfiles einer Website). Konträr hierzu entschied das Amtsgericht München, dass IP-Adressen keine personenbezogenen Daten sind, da es an Bestimmbarkeit mangele. Dieses hat den Hintergrund, dass IP-Adressen vom jeweiligen Access Provider vergeben werden und nur dieser der IP-Adresse einem Nutzer zuordnen kann (Urteil vom Landgericht Berlin 06.09.2007, Urteil vom Amtsgericht München 30.09.2008)[28]. Ein Einwilligung für IP-Adressen gilt allerdings als äußert schwierig zum richtigen Zeitpunkt einzuholen, da sie bereits beim Betreten der Seite erfasst werden, ohne das ein Nutzer die Möglichkeit hat, entsprechende Erklärungen zu lesen oder eine Einwilligung zu geben. Diese Datenerhebung ist daher nicht in AGBs oder Nutzungsbedingungen zu verstecken, sondern der Zweck und die Art der Daten sind als expliziter Hinweis in die Datenschutzbestimmungen mit aufzunehmen[18]. Eine Zusammenführung der IP-Adressen mit den Bestelldaten des Kunden ohne ausdrückliche Einwilligung dessen wird hingegen als direkter Verstoß gegen das Datenschutzgesetz bewertet[28]. Das Beispiel in der Infobox 3 soll diese Problemstellung noch einmal aufgreifen und diskutieren.

Der Bereich der Cookies kann in diesem Zusammenhang ebenfalls angeführt und zusätzlich in drei Bereiche unterteilt werden. Erheben Cookies lediglich Daten die keinen Personenbezug aufweisen (zufallsgenerierte Cookies), ist kein rechtlicher Hinweis des Nutzungsanbieters erforderlich[28][29]. Bei notwendigen Cookies zur Nutzung eines Online-Shops (z.B. Warenkorbsystem) mit personenbezogenen Daten wie Benutzername oder E-Mail-Adresse, ist der Kunde diesbezüglich zu informieren[28][29]. Da dieses zur Erfüllung des Vertrages dient muss der Käufer hierfür allerdings nicht aktiv einwilligen sondern nur informiert werden (Art, Umfang und Zweck der Erhebung und Verwendung sowie Verarbeitung in Drittstatten; siehe auch §§ 13 Abs. 1 TMG, 33 Abs. 1 BDSG). Eine Einwilligung und Information des Kunden über seine Rechte hingegen muss geschehen, wenn die Cookies zu Zwecken genutzt werden, die über den Einkauf hinausgehen (z.B. Einkaufsverhalten), da Langzeitcookies nicht der Kaufabwicklung sondern dem erleichterten Einkauf dienen[28]. Bei der Speicherung von Cookies in Zusammenhang mit IP-Adressen gilt es, das bereits Diskutierte anzuwenden[29].

Fazit aus diesem Bereich ist, das bestenfalls auf die Speicherung unnötiger personenbezogener Daten verzichtet werden sollte, da gerade Nutzungsdaten in Zusammenhang mit IP-Adressen unter den Datenschutz fallen würden. Bezogen auf die in den vorherigen Kapiteln beschrieben Vertragskonzepte des B2C und B2B sind diese Ausführungen auf den B2C-Bereich anzuwenden und nur bei Personenbezug auf den B2B-Bereich zu übertragen. Ohne Einwilligung des Nutzers und Erklärung des Unternehmens über z.B. die Nutzung von Cookies sollte aber keine Datenerhebung stattfinden[18]. Zudem sind die Kunden über die Datenschutzpolitik des Unternehmens aufzuklären (Zweck der Datenerhebung, Verfahren der Weiterverarbeitung, Einsatz von Cookies). Des Weiteren muss ein Betreiber auf Widersprüche gegen die Datenspeicherung vorbereitet sein, sogar rückwirkend[18]. Online-Händel sollten beim Betrieb und bei der Auswahl von Controlling-Lösung die Möglichkeit einrichten, die Speicherung von IP-Adressen zu unterbinden oder Datenschutzkonform zu kürzen[18]. Zudem müsste bei der Datenverarbeitung durch Dritte die Kontrolle über die Daten behalten werden. Es bleibt festzuhalten, dass die weitere Rechtsprechung in diesem Kontext abzuwarten ist[18].

Infobox 3: Die Besonderheit von IP-Adressen als personenbezogene Daten

Die konträren Rechtsurteile aus Berlin und München lassen nicht bestimmen, ob IP-Adressen als personenbezogene Daten gelten oder nicht. Streitpunkt bleibt, ob die theoretische Möglichkeit der Zuordnung einer IP-Adresse ausreicht oder ob die verarbeitende Stelle nur mittels Dritter Personenbezug herstellen kann[28].

Beispiel:

Ein Krankenhaus und eine Privatperson führen jeweils eine Bestellung durch. Im Rahmen der Kommunikation werden beide IP-Adressen an einen Hersteller versendet. Zum einen über den Server des Krankenhaues, zum anderen durch den Computer der Privatperson. Der Hersteller empfängt und speichert in beiden Fällen die IP-Adressen. Sollte es zu Rechtsstreitigkeiten kommen, könnte die IP-Adresse der Privatperson als personenbezogen gelten und es müsste eine Einwilligung vorliegen, bei der des Krankenhaueses aufgrund des fehlenden Personenbezugs (juristische Person) möglicherweise nicht.

Fazit:

Da der Hersteller die IP-Adressen nicht unterscheiden kann, sollte er bis zu einer Klärung durch den Bundesgerichtshof aus Sicherheitsaspekten, wie z.B. bei der Verwendung von Tracking-Tools (wie Google-Analytics), die Daten personenbezogen einordnen. Hintergrund ist die theoretisch mögliche Zuordnung, welches offenbar auch von Datenschutzbehörden vertreten wird. Die Speicherung der IP-Adressen sollte daher mittels einer Opt-In-Checkbox (Checkbox die persönlich angekreuzt werden muss) durchgeführt werden[28].

RFIDs

Als weiteres datenschutzrelevantes Thema kommen bei modernen Bestell- und Logistikprozessen des eCommerce innovative Technologien wie der radio-frequency identification (RFID) immer größere Bedeutung zu. Mittels Transponder kann hierbei eine automatische Identifizierung und Lokalisierung von Gegenständen und/oder Personen erfolgen, z.B. entlang der Logistikkette[30]. Datenschutzrechtlich interessant wird ein RFID-Tag aber erst, sollten personenbezogene Daten diesbezüglich verknüpft oder auf ihm gespeichert werden[30]. In diesem Bezug greift wieder der § 28 BDSG, da die Daten zur Erfüllung eines Geschäftszweckes dienen (Zweckbindung). Nach Beendigung des Zwecks sind die Daten allerdings wieder zu löschen (§ 35 Abs. 2. BDSG). Eine, wie in den vorherigen Kapiteln beschriebene, Information und entsprechende Einwilligung ist aber zur Absicherung der Unternehmung sinnvoll (siehe auch §§ 6c, 33, 34 BDSG zu diesem Thema). Im Rahmen des „Supply Chain Managements“ stellt sich allerdings die Frage, inwieweit überhaupt personenbezogene Daten gespeichert werden. Die Industrie hat in diesem Rahmen mittels Selbstverpflichtung die EU-Empfehlung „…zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen“ (2009/387/EG) umgesetzt[31]. Auf Basis dessen müssen die Unternehmen vor dem Einsatz von RFID-Anwendungen ein „Privacy Impact Assessment“ (PIA) erstellen, welches den Datenschutzbehörden vor der Einführung vorgelegt werden muss (Datenschutzfolgeabschätzung)[32]. Zudem hatten sich 2006 bereits Teile der Wirtschaft auf eine Selbstverpflichtung geeinigt (EPCglobal). Demnach sollten Produkte mit Transponder mit dem EPCglobal-Logo gekennzeichnet und Information an die Kunden zur Deaktivierung oder Entfernung dieser Transponder gegeben werden[30].

Eine besondere Bedeutung für eCommerce im Gesundheitswesen kann die RFID bei der Arzneimittelversorgung und Patientenidentifikation bringen. Bei der Arzneimittelversorgung kann durch Speicherung der Daten auf einem RFID-Tag z.B. nachverfolgt werden, inwieweit eine unsachgemäße Lagerung vorlag[30]. Das Patientenarmband kann dabei helfen, Patienten eindeutig zu identifizieren, um diesen die richtigen Behandlungen und Produkte zukommen zu lassen[30]. Zur Nutzung von Patientenarmbändern ist eine Einwilligung einzuholen, welche bestenfalls im Behandlungsvertrag festgelegt wird, da ein Patientenarmband nicht zwingend zur Behandlung im Krankenhaus erforderlich ist[33]. Diesem ist zusätzlich eine Widerspruchsmöglichkeit gegen die Nutzung einzuräumen. Eine farbige Kennzeichnung, z.B. bei bestimmten Krankheiten oder Allergien, ist aufgrund stigmatisierender Wirkung zu vermeiden[33].

Technische Maßnahmen

Nach den gesetzlichen Regelungen des Datenschutzes haben zum einen öffentliche wie nicht-öffentliche Stellen die Daten automatisiert verarbeiten, eine Beauftragten für den Datenschutz zu bestellen (§ 4f BDSG). Zum anderen haben sie technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes zu treffen (§§ 9 BDSG und 13 Abs. 4 TMG). Diese sind in ihrem Aufwand nach dem angestrebten Schutzzweck zu bestimmten. Da diese Aspekte auch zur Verarbeitung von Daten im Bereich des eCommerce gelten, werden sie folgend kurz erläutert. Die technischen Maßnahmen lassen sich der Anlage zu § 9 des BDSG entnehmen. Demnach sind folgende Punkte zu gewährleisten:

  • Zutrittskontrolle (zu Datenverarbeitungsanlagen)
  • Zugangskontrolle (Passwortschutz für Datenverarbeitungssysteme)
  • Zugriffskontrolle (Berechtigungskonzepte)
  • Weitergabekontrolle (Speicherung/Protokollierung der Datenweitergabe)
  • Eingabekontrolle (Identifizierung der Person die Daten einträgt)
  • Auftragskontrolle (Verarbeitung nur entsprechend eines erteilten Auftrages)
  • Verfügbarkeitskontrolle (Schutz gegen Verlust oder Zerstörung)
  • Datentrennung (zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können)

Ergänzt werden können diese Punkte im Bereich des eCommerce aus dem § 13 Abs. 4 TMG um beispielhafte Punkte wie:

  • Die Nutzung des Dienstes muss jederzeit beendet werden können.
  • Anfallende personenbezogene Daten sind nach Ablauf der Nutzung zu löschen oder zu sperren.
  • Es ist sicherzustellen, dass Nutzungsprofile nicht mit Angaben zur Identifikation des Trägers eines Pseudonyms zusammengeführt werden können.

Zudem lassen sich diese Punkte jeweils um die Aspekte der landesspezifischen Datenschutzgesetze ergänzen, wie § 10 des Datenschutzgesetz Nordrhein-Westfalens (DSG-NRW) zeigt. Demnach sind geeignete Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz von Daten gewährleisten. Ebenfalls sind nach § 8 DSG-NRW z.B. Verfahrensverzeichnisse anzulegen, die beispielhaft Name und Anschrift der verarbeitenden Stelle, Art der gespeicherten Daten, Zugriffsrechte, die Art der organisatorischen und technischen Maßnahmen (inkl. eingesetzter Hard- und Software) enthalten müssen.

Zusätzliche Regelungen für das Gesundheitswesen bietet der § 10 Abs. 5 MBO-Ä, nachdem besondere Schutzmaßnahmen für Speichermedien zu treffen sind, um eine Vernichtung, Veränderung oder unrechtmäßige Verwendung zu verhindern (nach Empfehlung der Ärztekammer). Die Empfehlung besagt neben der allgemeinen Einhaltung des BDSG z.B. zu technischen Schutzmaßnahmen), dass eine beweissichere elektronische Dokumentation eine qualifizierte elektronische Signatur enthalten muss ([34].

Angeführt werden kann in diesem Bereich auch das IHE-Profil ATNA (Audit Trail and Node Authentication). Dieses definiert grundlegende Sicherheitsanforderungen für Systeme, welche in einem Netzwerk kommunizieren[35]. In Verbindung „…mit der Auditierung von Zugriffen auf Patientendaten werden [z.B.] die zu protokollierenden Ereignisse, das Format der Audit-Informationen sowie die Kommunikation mit einem zentralen Audit Repository zu Speicherung aller Audit-Informationen in einem Netzwerk definiert“[35] „ATNA ermöglicht [damit] eine Grundsicherung durch die Protokollierung der Zugriffe auf Patientendaten, welche von Kontrollorganen ausgewertet werden“[36] können. Bezogen auf das BDSG können mit ATNA verschiedene Aspekte berücksichtigt werden:

  • Zugangskontrolle - Authentifizierung von Systemkomponenten und Protokollierung von Nutzerdaten
  • Zugriffkontrolle - Protokollierung von Datenzugriffen
  • Weitergabekontrolle - Protokollierung von Datenweitergaben und Verschlüsselung der Daten beim Transport
  • Eingabekontrolle - Speicherungs- und Auswertungsmöglichkeit aller Datenzugriffe im zentralen Audit Repository[35]
Zusammenfassung Datenschutz

Die Ausführungen zum Datenschutz sollen folgend anhand der sieben goldenen Regeln des Datenschutzes nach Bizer (2007) übersichtlich zusammengefasst werden:

Tabelle 4: Die sieben goldenen Regeln des Datenschutzes,
Quelle: nach [37]

Es zeigen sich übersichtlich die unterschiedlichen Anforderungen des Datenschutzes. Generell können die Ansprüche an den Umgang mit sensiblen Daten durch Einhaltung dieser Grundsätze über den gesamten Prozess des eCommerce erfüllt werden. Ein Beispiel für dieses Regeln bietet die Schweigepflicht eines Arztes, wonach dieser die Daten an einen anderen Arzt nur dann weitergeben darf, sollte dieser in die Behandlung mit eingebunden sein, eine Einwilligung vorliegen oder es ihm ein Gesetz ausdrücklich erlauben[25]. Eine Problemstellung, die sich aus den Datenschutzbestimmungen ergibt, ist z.B. die Notwendigkeit der Pseudonymisierung der Daten. Versucht eine Arztpraxis oder ein Krankenhause dem Prozess des eCommerce ein effektives Materialcontrolling zu hinterlegen, z.B. zur Nutzung einer Kostenträgerrechnung, hat es beispielsweise Medizinprodukte einem Kostenträger (dem Fall und damit dem Patient) zuzurechnen. Dieses umfasst die Zuordnung des Patienten zum Medizinprodukt und damit die Zuordnung zu dem an den Hersteller versendeten Pseudonym. Folglich ist die Bedeutung bei der Erstellung von Pseudonymen nicht zu unterschätzen.

Rechtliche Grundlagen im Gesundheitswesens - eCommerce und Standards

Neben den allgemeinen Grundlagen im Bereich eCommerce sowie den speziellen Regelungen des Datenschutzes, werden folgend gesetzliche Grundlagen diskutiert, welche im Rahmen des Gesundheitswesens zur Anwendung kommen. Es wird der Frage nachgegangen, inwieweit es Vorgaben für Standards und eStandards im Gesundheitswesen gibt und welche gesetzlichen Regelungen ebenfalls den Bereich des eCommerce im Gesundheitswesen betreffen.

Allgemeine Vorgaben zu Standards und eStandards

Folgend werden allgemeine Vorgaben zu Standards und eStandards im Gesundheitswesen für den Bereich des eCommerce diskutiert. Spezielle Regelungen zu Medizinprodukten und Arzneimitteln sollen daraufhin erläutert werden. Fachlich lassen sich Katalogaustauschformate, Identifikations-, Transaktions-, Klassifikations- und Prozessstandards unterscheiden[38]. Folgende Tabelle soll dieses überblicksartig darstellen.

Table 5: Standards und dessen Beschreibung,
Quelle: in Anlehnung an [38][39]

Es zeigt sich die Einteilung in fünf verschiedene Arten von Standards. Folgende Erläuterungen und gerade der Bereich der Medizinprodukte und Arzneimittel wird zeigen, dass wenn gesetzliche Vorgaben bestehen, sich diese auf Identifikations- und Klassifikationsstandards beziehen.

Als erstes Ergebnis bleibt festzuhalten, dass die Entwicklung von eStandards und eine Interoperabilität vom Gesetzgeber gewünscht, gefordert und gefördert werden[40], gesetzliche Grundlagen in Deutschland allerdings schwer zu identifizieren sind.

Bezogen auf allgemeine Standards im Gesundheitswesen kann das SGB V herangezogen werden. Dieses sieht im Rahmen der Gesetzgebung eine Klassifikation mittels ICD und OPS vor. Die §§ 295, 301 SGB V (Abrechnung ärztlicher Leistungen und Krankenhäuser) besagen, dass Diagnosen nach der Internationalen Klassifikation der Krankheiten verschlüsselt werden müssen (ICD nach aktueller Fassung des DIMDI). Des Weiteren erläutern die Paragraph, dass durchgeführte Operationen und Prozeduren nach einem vom DIMDI herausgegeben Schlüssel zu kodieren sind (OPS). Zudem erlaubt der § 92 SGB V, dass der G-BA zur Sicherung der ärztlichen Versorgung für die Versicherten, Richtlinien erlassen darf. Demnach befürwortet die Richtlinie zur medizinischen Rehabilitation nach § 4 Abs. 2 die Nutzung der ICF für konzeptionelle und begriffliche Grundlage in der Rehabilitation.

Es zeigt sich, dass sich allgemeine Vorgaben zu Standards im Gesundheitswesen etabliert haben, wie ICD oder OPS. Nach einem Artikel zu eBusiness-Standards in Deutschland sind viele Experten der Meinung, dass die Politik aufklärend und fördernd mitwirken, jedoch nicht aktiv in die Entwicklung von Standards eingreifen sollte (Informations- und Beratungsnagebote der Politik)[40]. Zusätzlich muss der öffentliche Sektor mittels seiner Kaufkraft als Multiplikator fungieren und den Einsatz von Standards bei seinen Partnern einfordern, um eine Verbreitung zu fördern[40]. Dabei soll die Politik auch als Koordinator und Moderator auftreten, um eine Harmonisierung auf Bundes- und internationaler Ebene zu erreichen. Rechtliche Rahmenbedingungen sind dabei eher für den Umgang und die Verbreitung zu schaffen (z.B. eine Kennzeichnungspflicht)[40]. Ein Rückblick auf den Einzelhandel zeigt, dass zum einen international anerkannte Identifikationsstandards, wie Barcodes oder RFIDs, zur Generierung einer effizienteren Supply Chain ohne gesetzliche Grundlage genutzt werden[41]. Zum anderen, dass die Gesetzgebung in der Lebensmittelindustrie durch Kennzeichnungspflichten (EG Nr. 1935/2004, EG Nr. 178/2002) Einfluss auf die Logistikprozessketten nimmt. Letztere verpflichten die Unternehmen eine Rückverfolgbarkeit der Produkte sowie der Materialen und Gegenstände mit Lebensmittelkontakt sicherzustellen[40]. Damit müssen die Unternehmen ermittelt werden können, welche Materialien oder Gegenstände in den Prozess einbringen (Rückverfolgbarkeit der Prozessstufen) und eine Kennzeichnung und Identifikation muss gewährleistet sein[40]. Diesbezüglich kann auch § 2 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformationen (VIG) herangezogen werden, welcher besagt: „Jeder hat nach Maßgabe dieses Gesetzes Anspruch auf freien Zugang zu allen Daten über […] die Zusammensetzung von Erzeugnissen und Verbraucherprodukten, ihre Beschaffenheit, die physikalischen, chemischen und biologischen Eigenschaften einschließlich ihres Zusammenwirkens und ihrer Einwirkung auf den Körper, auch unter Berücksichtigung der bestimmungsgemäßen Verwendung oder vorhersehbaren Fehlanwendung, .. die Kennzeichnung, die Herkunft, die Verwendung, das Herstellen und das Behandeln von Erzeugnissen und Verbraucherprodukten, die bei einer Stelle … unabhängig von der Art ihrer Speicherung vorhanden sind. Bezogen auf das Gesundheitswesen muss eine Rückverfolgbarkeit bezüglich von Arzneimitteln und Medizinprodukten gesichert werden, welches neben weiteren eCommerce-betreffenden Vorgaben folgend erläutert wird.

Spezielle Regelungen für Medizinprodukte

Als ein wesentlicher Bestandteil der Logistikprozesse im Gesundheitswesen werden Medizinprodukte gehandelt und in den Online-Prozess des eCommerce eingebunden. Per Definition des § 3 Medizinproduktegesetz (MPG) sind Medizinprodukte „…alle einzeln oder miteinander verbunden verwendeten Instrumente, Apparate, Vorrichtungen, Software, Stoffe und Zubereitungen aus Stoffen oder andere Gegenstände“, zur Erkennung, Verhütung, Überwachung, Behandlung oder Kompensation von Krankheiten, Verletzungen, Behinderungen oder zur Empfängnisregelung (ausführliche Definition siehe § 3 MPG).

Als einleitender Hinweis gilt es festzuhalten, dass nach § 87 SGB V die Bedingungen zur Erstattung von Materialkosten für Vertragsärzte mittels einheitlichen Bewertungsmaßstab (EBM) geregelt sind (für gesetzlich Versicherte). Demnach sind beispielsweise Kosten für Produkte wie Einmalspritzen, Einmalkanülen oder Einmaltrachealtuben im EBM integriert. Produkte wie Arzneimittel, Verbandmittel, Materialien oder Instrumente, „…die nach der Anwendung verbraucht sind oder die der Kranke zur weiteren Verwendung behält“,[42] sind dagegen nach den Maßgaben der Gesamtverträge zwischen Kassenärztlicher Vereinigung und Verbänden der Krankenkassen abzurechnen[42]. Nach der Gebührenordnung für Ärzte (GOÄ) sind auch für Selbstzahler die Kosten für die Anwendung von Instrumenten und Apparaten mit den Gebühren nach Gebührenverzeichnis abgegolten (§ 4 Abs. 3 GOÄ). Die Abrechnung im Krankenhaus hingegen erfolgt über DRGs und Zusatzentgelte, sodass häufig die Kosten für Materialien und Medizinprodukte in diesen Pauschalen enthalten sind. Da die Finanzierung im Gesundheitswesen ein eigenes Thema an sich darstellt, soll an dieser Stelle nicht weiter darauf eingegangen werden. Es zeigen sich aber schon in dieser kurzen Übersicht die unterschiedlichsten Möglichkeiten einer Abrechnung von Produkten im Gesundheitswesen (siehe auch Tabelle 1: Kunden-Lieferanten-Matrix von eBusiness im Gesundheitswesen).

Im Rahmen von Abläufen beim eCommerce kann zu Beginn der § 37 MPG benannt werden. Dieser verleiht dem BMG eine Verordnungsermächtigung. Beispielhaft kann die Verordnung über Vertriebswege für Medizinprodukte (MPVertrV) angeführt werden, wonach z.B. verschreibungspflichtige Medizinprodukte Apothekenpflichtig sind (§ 1 MPVertrV). Des Weiteren besagt § 10 der Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten (MPBetreibV), dass Patienten bei aktiven implantierbaren Medizinprodukten schriftliche Informationen ausgehändigt werden müssen, welche beispielhaft Verhaltensanweisungen und zukünftige Kontrolluntersuchungen aber auch Dinge wie Bezeichnung, Art und Typ, Seriennummer des Medizinproduktes oder Name des Herstellers enthalten müssen[43].

„Das Medizinproduktegesetzes .. fordert [zudem] für die Anzeige von Medizinprodukten eine einheitliche Nomenklatur“[44]. Dafür wird aktuell die deutschsprachige Version des Medical Device Nomenclature Systems (UMDNS) verwendet. „Der UMDNS wird vom Europäischen Komitee für Normung (CEN) für die Verschlüsselung von Medizinprodukten im Rahmen gesetzlicher Aufgaben empfohlen“[44]. Ersetzt werden soll dieser durch die Global Medical Device Nomenclature (GMDN). „Sobald eine deutsche Übersetzung vorliegt, soll sie im deutschen Medizinprodukte-Informationssystem zur Verschlüsselung von Medizinprodukten eingesetzt werden“[45].

Weitere Regelungen sind ebenfalls der EU-Richtlinie über Medizinprodukte zu entnehmen (Medical Device Directive (MDD; 93/42/EWG)). Diese Beschreibt in Anhang I MDD beispielsweise grundlegende Anforderungen an Medizinprodukte, wie die Validierung von Software oder dass „jedem Produkt .. Informationen beizufügen [sind], die - unter Berücksichtigung des Ausbildungs- und Kenntnisstandes des vorgesehenen Anwenderkreises - die sichere und ordnungsgemäße Anwendung des Produkts und die Ermittlung des Herstellers möglich machen.“ Ebenfalls bietet Anhang IX MDD Klassifizierungskriterien für Medizinprodukte. Des Weiteren ist Artikel 17 und Anhang XII MDD die CE-Kennzeichnung für Medizinprodukte zu entnehmen, welche im MPG in §§ 6, 9 umgesetzt wurde. Demnach dürfen, Medizinprodukte nur mit CE-Kennzeichnung in den Verkehr gebracht bzw. in Betrieb genommen werden, mit gewissen Ausnahmen wie z.B. Sonderanfertigungen. Einzelne Regelungen zur CE-Kennzeichnung wie Konformitätsbewertungsverfahren werden ebenfalls in § 6 MPG näher erläutert. Diese Kennzeichnung bleibt auch in der frühestens in 2014 geltenden EU-Medizinprodukte-Verordnung nach Artikel 18 Medical Device Regulation (MDR) bestehen (Zusammenführung der Richtlinien „Active Implantable Medical Devices Directive“ (AIMDD; 90/385/EWG) und „Medical Devices Directive“ (MDD; 93/42/EWG)). Ein Positionspapier vom BMG (2013b) fordert hierbei sogar die Einführung einer neuen CE-Kennzeichnung, als z.B. „CEMed“. Demnach „…müssen alle Hochrisiko-Medizinprodukte (u.a. alle kritischen Implantate) vor der Vermarktung von speziell qualifizierten Benannten Stellen geprüft werden.“

Als zukünftige Herausforderung im Bereich der Medizinprodukte sind diese mittels „Unique Device Identifier“ (UDI) zu kennzeichnen. Eine Empfehlung der Europäischen Kommission sowie dass bereits erwähnte Positionspapier der Bundesregierung, sehen diese Kennzeichnung für Medizinprodukte vor (2013/172/EU)[43][46]. Diese Kennzeichnung mittels UDI soll dann in der MDR der Europäischen Kommission umgesetzt werden. Aufgrund der Vorgabe als Verordnung und nicht als Richtlinie führt dieses zu einer unmittelbaren Einführung in allen EU-Ländern. Des Weiteren bietet eine Verordnung den Vorteil, dass diese nicht in nationales Recht umgewandelt werden muss, was zu unterschiedlichen Umsetzungen führen würde. Ziel ist die eindeutige Identifizierung und Rückverfolgbarkeit von Produkten, die Harmonisierung des Rechtsrahmens sowie eine Stärkung der Patientensicherheit, z.B. dadurch, dass die Anzahl der Fälle bei denen ein falsches Medizinprodukt ausgewählt wurde verringert wird (2013/172/EU). Die UDI besteht dabei aus einer Abfolge numerischer oder alphanumerischer Zeichen die eine eindeutige Identifizierung eines Medizinproduktes ermöglicht und z.B. mittels Strichcode auf dem Produkt aufgebracht werden (Produktkennung und Herstellerkennung) (2013/172/EU)[47]. Kernelemente der UDI wären beispielsweise der Device Identifier, Angabe der Verpackungsstufe, Herstellername und Herstelleranschrift, GMDN-Code und -bezeichnung, Handelsname/Markenname, Gerätetyp, Chargennummern oder weitere medizinisch relevante Eigenschaften[47]. Artikel 24 der neuen MDR würde ein einheitliches nach Möglichkeit weltweites System der einmaligen Produktnummer vorschreiben. Die UDI wäre dann am Produkt anzubringen (Strichcode) und „…die Wirtschaftakteure und Gesundheitseinrichtungen erfassen und speichern die Produktnummer und die Produktionsnummer der Produkte, die sie abgegeben oder bezogen haben“ (Artikel 24 Abs. 5 MDR). Die Einführung des UDI-Systems soll dabei einem risikobasierten Ansatz folgen und schrittweise eingeführt werden, bei der mit den Produkten der höchsten Risikoklasse begonnen wird. Nach dem BVMed (2012b), könnte die Einführung/Registrierung dann in folgenden Schritten ablaufen:

  • Medizinprodukte mit hohem Risiko 2014
  • Medizinprodukte mit mittlerem Risiko 2016
  • Medizinprodukte mit geringem Risiko 2018

Artikel 25 MDR verweist zusätzlich auf die Einführung eines elektronischen Systems (UDI-Datenbank), zur Erfassung der Produkte und Hersteller und ggf. des Importeurs. In dieser Datenbank wären die Informationen aus dem Strichcode hinterlegt[47]. Erreicht werden sollen unteranderem eine bessere Berichterstattung von Zwischenfällen, die Möglichkeit effizientere Rückrufaktionen sowie die Ermöglichung von Datenabfragungen (2013/172/EU). Das UDI-Datenbanksystem, wäre damit integraler Bestandteil der nach Artikel 27 MDR benannten Europäischen Datenbank für Medizinprodukte (Eudamed), die einen öffentlichen Zugang „…zu allen erforderlichen Informationen über die auf dem Markt befindlichen oder die vom Markt genommenen Produkte, die dazugehörigen von den benannten Stellen ausgestellten Prüfbescheinigungen und die beteiligten Wirtschaftsakteure“ erlaubt und eine Rückverfolgbarkeit von Produkten ermöglicht[43].

Infobox 4: Zusammenfassung und Herausforderungen für Medizinprodukte

Es lässt sich festhalten, dass einige Bestimmungen für den Umgang mit Medizinprodukten bestehen:

  • Sicherstellung des Nutzer und Anwenderkreises durch entsprechende Informationen
  • Informationen an Patienten bei implantierbaren Medizinprodukten
  • CE-Kennzeichnung für Medizinprodukte

Als aktuelle Herausforderung ist die Umsetzung der UDI zur Rückverfolgbarkeit von Medizinprodukten zu beachten, welche als standardisierte Produktkennung in den nächsten Jahren umgesetzt werden wird.

Spezielle Reglungen für Arzneimittel

Neben Medizinprodukten werden auch Arzneimittel in den Logistikprozess des eCommerce im Gesundheitswesen eingebracht und verarbeitet. Nach § 2 des Arzneimittelgesetzes (AMG) sind dieses Stoffe oder Zubereitungen aus Stoffen, die zur Anwendung am menschlichen Körper bestimmt sind oder diesem verabreicht werden, um eine Heilung, Linderung oder Verhinderung von Krankheiten oder Beschwerden zu erreichen. Damit sollen sie „…die physiologischen Funktionen durch eine pharmakologische, immunologische oder metabolische Wirkung“ wiederherstellen, korrigieren, beeinflussen oder eine medizinische Diagnose erstellen (ausführliche Definition siehe § 2 AMG).

Das AMG definiert dabei in seinen Paragraphen verschiedene gesetzliche Regelungen, die gerade das Inverkehrbringen von Arzneimitteln und damit Online-Bestellprozesse betreffen. Des Weiteren werden Standards, wie die Pharmazentralnummer (PZN), definiert.

Bezogen auf die Vertriebswege kann als erstes § 9 AMG angeführt werden. Demnach müssen Arzneimittel den Namen und die Anschrift des pharmazeutischen Unternehmens tragen und zudem muss das Unternehmen seinen Sitz im Geltungsbereich des Gesetzes haben (Deutschland, EU, Vertragsstaat). § 10 AMG geht auf die weitere Kennzeichnung von Fertigarzneimitteln ein. Auf den Behältnissen sind dauerhaft, in gut lesbarer Schrift und in verständlicher deutscher Sprache, Bezeichnungen wie Chargennummer, Art der Anwendung, Verfallsdatum (in Monat und Jahr), Verwendungszweck, ggf. Blindenschrift usw. anzugeben (ausführlich siehe § 10 AMG). Ferner sind ggf. Hinweise zur Lagerung, Warnhinweise oder Aufbewahrungshinweise zu geben. Ergänzt werden kann § 11a AMG, nachdem nach Aufforderungen für Fertigarzneimittel Fachinformationen an Ärzte, Apotheker usw. herauszugeben sind.

§ 48 AMG definiert die Verschreibungspflicht und die daraus resultierende Apothekenpflicht von Medikamenten, sollten sie beispielsweise die Gesundheit des Menschen gefährden können. Eine Besonderheit im Arzneimittelvertrieb ist damit die Apothekenpflicht die nach § 43 AMG weiter ausgeführt wird. Demnach dürfen Arzneimittel für den Endverbraucher nur in Apotheken in den Verkehr gebracht werden und ohne Behördliche Erlaubnis auch nicht im Wege des Versands. Ausnahmen bilden hier die §§ 44 und 45 AMG.

  • § 44 AMG: Das Arzneimittel ist zu anderen Zwecken als zur Beseitigung oder Linderung bestimmt (Heilwasser oder Pflaster).
  • § 45 AMG: Durch Ermächtigung des BMG und BMWi mit Zustimmung des Bundesrates kann eine Ausnahme der Apothekenpflicht bestimmt werden.
  • § 46 AMG: Durch Ermächtigung des BMG und BMWi mit Zustimmung des Bundesrates kann die Apothekenpflicht ausgeweitet werden.

Zusätzlich erlaubt das Apothekengesetz (ApoG) nach § 11a ApoG den Versand von apothekenpflichtigen Arzneimitteln, wenn schriftlich versichert wird, dass der Versand zusätzlich zum üblichen Apothekenbetrieb geschieht (soweit für den Versandhandel keine gesonderten Vorschriften bestehen) und z.B. ein Qualitätssicherungssystem zur Versendung besteht (z.B. System zur Sendungsverfolgung) (weitere Ausführungen siehe § 11a ApoG). Des Weiteren erlaubt § 21 ApoG, dass das BMG Rechtsverordnungen z.B. zur Gestaltung, zum Betreiben und zur Qualitätssicherung von Medien im elektronischen Arzneimittelhandel erlassen kann. Als Beispiel kann § 17 der Apothekenbetriebsordnung (ApBetrO) angeführt werden. Demnach hat der Apothekenleiter Verpackung, Transport, Qualität und ggf. persönliche Information und Beratung sicherzustellen. Ebenfalls sind bei elektronischer Abgabe auf der Verschreibung Daten wie Name des Apothekeninhabers, Datum der Abgabe oder Preise anzugeben (ausführliche Erläuterung siehe § 17 ApBetrO).

Neben den beschriebenen Informationen und der Apothekenpflicht regelt das AMG genauer das Inverkehrbringen von Arzneimitteln. Nach § 47 AMG dürfen apothekenpflichtige Arzneimittel von pharmazeutischen Unternehmen und Großhändlern außer an Apotheken nur an andere Großhändler und pharmazeutische Unternehmen abgegeben werden sowie in Ausnahmen z.B. an Krankenhäuser und Ärzte (beispielsweise radioaktive Arzneimittel, Muster, spezielle Impfstoffe). Unternehmen die nicht in einem Vertragsstaat des europäischen Wirtschaftsraums sitzen, bedürfen einer Einfuhrerlaubnis der zuständigen Behörden (§ 72 AMG). Zusätzlich muss eine pharmazeutisches Unternehmen im Rahmen seiner Verantwortlichkeit eine angemessene, „…bedarfsgerechte und kontinuierliche Belieferung vollversorgender Arzneimittelgroßhandlungen [(vollständiges herstellerneutrales Sortiment an apothekenpflichtigen Arzneimitteln)] gewährleisten“ (§ 52b AMG), damit der Bedarf der Patienten, der Apotheken die mit dem Großhandel in Beziehung stehen, für mindestens zwei Wochen gedeckt ist (§ 52b AMG). Ergänzt werden kann hier § 63c AMG, demnach Unterlagen zu führen sind und zusätzlich eine elektronische Meldepflicht für den Inhaber einer Zulassung besteht, für Verdachtsfälle und Nebenwirkungen. Neben dem Großhandel darf der Einzelhandel freigegebene Arzneimittel in den Verkehr bringen, unter der Voraussetzung einen Beauftragten mit der erforderlichen Sachkenntnis zu besitzen (§ 50 AMG). Eine Selbstbedienung z.B. mittels Automaten ist im Einzelhandel oder bei Apotheken nicht erlaubt, außer es handelt sich um freigegebene Arzneimittel oder zur äußeren Anwendung bestimmte Desinfektionsmittel oder Sauerstoff (§ 52 AMG).

Als weiterer Hinweis können die §§ 67, 67a AMG angeführt werden. Demnach müssen zum einen die Hersteller und der Handel ihre Tätigkeit den zuständigen Behörden anzeigen, zum anderen hat das DIMDI datenbankgestützte Informationssysteme über Arzneimittel zu errichten. Diese Systeme umfassen dabei amtliche Zulassungsinformationen sowie Informationen zur Anwendung, Neben- und Wechselwirkungen und das Versandapothekenregister[48].

Neben diesen für den Handel und damit für den eCommerce-Bereich relevanten Informationen definiert das Gesetz bei Arzneimitteln verschiedene Standards. Als erstes kann die anatomisch-therapeutisch-chemische Klassifikation (ATC) angeführt werden. Dieses ist eine amtliche Klassifikation für pharmakologische Wirkstoffe und teilt Arzneimittel in fünf Ebenen ein[49]. Das Beispiel für die Acetylsalicylsäure - B01AC06 soll dieses verdeutlichen.

Tabelle 6: Aufbau des ATC-Codes,
Quelle: in Anlehnung an [50]

Nach dem Gesetz hat der G-BA in seinen Richtlinien, Hinweise aufzunehmen, die einem Arzt eine therapie- und preisgerechte Auswahl an Arzneimittel nach Indikationsgebieten und Wirkstoffen ermöglicht (§ 92 Abs. 2 SGB V). In Verbindung mit dem § 73 Abs. 8 SGB V müssen die Kassenärztlichen Vereinigungen, die Krankenkassen und die Verbände der Vertragsärzte hierüber informieren und die Kosten der Arzneimittel je Tagesdosis (DDD - Defined Daily Dose) nach ATC mit der aktuellen Version des DMIDI angeben[49]. Ärzte dürfen hierbei nur solche elektronischen Systeme verwenden, die diese Informationen bereitstellen und zugelassen sind. Zusätzlich definiert das DIMDI in Abstimmung mit dem BMG auch die Packungsgrößen für Arzneimittel nach der Packungsgrößenverordnung (§ 5 PackungsV).

  • N1: 10 Tage (+/- 20%)
  • N2: 30 Tage (+/- 10%)
  • N3: 100 Tage (+/- 5%) (§ 1 PackungsV)

Neben dem ATC-Code und den definierten Packungsgrößen, sind pharmazeutische Unternehmen dazu verpflichtet auf den Verpackungen von Arzneimitteln eine Kennzeichnung in maschinenlesbarer Form anzubringen (§ 131 SGB V i.V.m. § 300 Abs. 1 Nr. 1 SGB V). Dieses ist die sogenannte Pharmazentralnummer (PZN), die im Rahmenvertrag nach § 131 SGB V zwischen dem Spitzenverband der Krankenkassen und der Arzneimittelindustrie bestimmt wurde. Diese Nummer ist eine achtstellige (seit 2013) Ziffernfolge und meistens in einem Barcode dargestellt[51]. Demnach tragen alle Arzneimittel, aber auch nicht Arzneimittel die PZN. Diese werden von der Informationsstelle für Arzneispezialitäten (IFA) vergeben[52]. Neben Arzneimitteln haben auch apothekenüblich Waren, nach § 1a ApBetrO, einen Anspruch auf eine PZN (z.B. Mittel zur Körperpflege). Die PZN soll die Kommunikation der Handelspartner rationalisieren und wird unteranderem für die logistischen Prozesse und eine fehlerfreie elektronische Abwicklung (Warenverkehr) eingesetzt (bundeseinheitlichen eindeutigen Identifikation)[52].

Zusätzlich zur deutschen PZN, wird diese mit der EU-Richtlinie (2011/62/EU) in die international eindeutige Artikelnummer „Pharmacy Product Number“ (PPN) überführt (delegierte Rechtsakte zu Sicherheitsmerkmalen für Arzneimittel werden voraussichtlich 2017 in Kraft treten). Ziel ist es Sicherheitsmerkmale (Echtheit und Identifizierung) zu harmonisieren und weltweit eindeutig zu machen (Artikel 54 2011/62/EU)[53]. Mit der PPN lassen sich mittels Datenmatrix neben der Produktnummer optional Verfallsdatum, Seriennummer, Chargenbezeichnung oder GTIN maschinenlesbar aufbringen[53]. Nachdem securPharm-Projekt (Verbände der Apotheken und Pharmahersteller) soll der Aufbau der PPN aus der Integration von Artikelnummern, mit einer Länge von bis zu 18 Stellen, bestehen und kann die PZN oder National Trade Item Number (NTIN) hierbei abbilden[54][55]. Zudem wird der nationalen Produktnummer ein Präfix in Form des „Product Registration Agency Code“ (PRA-Code) zur international eindeutigen Identifikation vorangestellt und eine zweistellige Prüfziffer angehängt[56]. Für einen Datenaustausch mittels beispielsweise RFID, ist der PPN nach der ISO/IEC 15418 der eindeutige Daten Identifier „9N“ zugewiesen worden[56]. Folgend soll der Aufbau der PPN dargestellt werden.

Abbildung 1: Bildung der PPN,
Quelle: nach [55][57][58]

Es zeigt sich veranschaulicht die Erweiterung bzw. die Einbindung der PZN in die PPN.

Infobox 5: Zusammenfassung und Herausforderungen für Arzneimittel

Es lässt sich festhalten, dass es Vorgaben für Standards (z.B. PZN) im Bereich der Arzneimittel gibt. Einige Bestimmungen die für den Umgang mit Arzneimitteln bestehen sind:

  • Apothekenpflicht
  • Kennzeichnungspflichten (PZN, Chargennummern, Art der Anwendung, Verfallsdatum, Verwendungszwecke)
  • Bestimmungen des Versandhandels (Präsenzapotheke)
  • Versorgungsicherung des Großhandels
  • ATC-Klassifikation

Als aktuelle Herausforderung ist die Umsetzung der PPN zu beachten, welche als standardisierte Produktkennung in den nächsten Jahren umgesetzt werden wird.

Vorgaben zu Standards und eStandards in Europa

Im Folgenden werden kurze Beispiele für eine gesetzliche Umsetzung von Standards in verschiedenen europäischen Staaten gegeben.

Als erstes ist aufzuzeigen, dass die mittlerweile durch EU-Recht und in Deutschland anerkannte und mit der Papierrechnung gleichgestellte elektronische Rechnungstellung in anderen europäischen Ländern bereits frühzeitig gefördert wurde. So hat bei einem öffentlichen Empfänger die Rechnungstellung in Ländern wie Dänemark (seit 2005), Spanien (seit 2010) und Finnland (seit 2010) zwingend elektronisch zu erfolgen. In Schweden werden seit 2008 alle Rechnungen von Regierungsbehörden elektronisch ausgeführt. Auch in Italien werden durch das Gesetz „Finanziaria 2008“ alle Rechnungen zwischen Unternehmen und der Verwaltung elektronisch abgewickelt. In den Niederlanden ist seit 2009, wie auch nach der neunen EU-Richtlinien, der einfache Versand einer Rechnungsdatei mittels E-Mail ohne elektronische Signatur rechtmäßig, wobei eine implizite Einwilligung des Empfängers weiterhin erfolgen muss[59].

Es zeigt sich, dass im allgemeinen Bereich des eCommerce bereits einige Aspekte gesetzlich geregelt oder angestoßen wurden. Im Gesundheitssektor kann hier die nationale Datenbank UBB (Ulusal Bilgi Bankasi) der Türkei angeführt werden, die bereits seit 2008 alle Medizinprodukte die in der Türkei verkauft werden registriert[60]. Ähnliches gilt in Frankreich für Arzneimittel, wonach eine gesetzliche Bestimmung der Arzneimittelbehörde (AFSSAPS) seit 2011 die Rückverfolgbarkeit von Medikamenten gewährleisten soll. Demnach müssen alle Arzneimittelhersteller eine Datenmatrix mit einem 13-stelligen Code, Chargennummer und Verfallsdatum auf den Verpackungen abdrucken. Zusätzlich wird empfohlen, dass die Produkte durch Empfang eines elektronischen Lieferscheins verfolgbar sind[61][62]. Diese beiden Regelungen zeigen damit Vorläufer der jetzt geplanten Umsetzungen des beschriebenen UDI-Systems bzw. der PPN.

Auch das Procurement Development Programm des NHS versucht durch eine Modernisierung der Beschaffungsprozesse im Gesundheitswesen, die Effizienz zu steigern, Kosteneinsparungen zu generieren und ein Wirtschaftswachstum zu fördern[63]. Inhalt dieses Programms sind vier Initiativen:

  1. Generierung unmittelbarer Effizienz- und Produktivitätsgewinne
  2. Verbesserung der Daten, Informationen und Transparenz, inkl. der Adaption des GS1 Code-Standards
  3. Aufzeigen von Kostenreduktion im Behandlungsprozess durch Partnerschaften im Procurement-Bereich
  4. Schaffung eines langfristigen Programms zur Unterstützung der Beschaffung des NHS (DH-UK und NHS 2013)

Im Fokus der Standardisierung ist Punkt zwei genauer zu betrachten. Ziel ist eine konsequente Nutzung und Verbesserung der Stammdaten in der gesamten Lieferkette, als Grundlage für eine Beschaffungseffizienz (DH-UK und NHS 2013). Zudem soll eine gemeinsame Sprache verwendet werden, zum Erfassen und Austauschen von Beschaffungsdaten. Ein einheitlicher Barcode-Standard auf Seiten der Beschaffung und von Handel, Industrie ist notwendig, um Fehler und Verschwendung in der Lieferkette zu minimieren. Das Programm setzt dabei auf den GS1 Supply-Chain-Codierungsstandard auf beiden Seiten des Logistikprozesses, beginnend mit implantierbaren Geräten und Medikamenten (DH-UK und NHS 2013). Die „eProcurement strategy“ vom NHS unterstützt die Anwendung des GS1-Standards. Empfohlen wird beispielsweise eine vertragliche Bindung der Lieferanten zur Nutzung der GS1-Codierung im NHS. Ebenfalls soll ein Datawarehouse für Beschaffungsdaten errichtet und weitere Standards zur Interoperabilität von eProcurement-Systemen definiert werden (DH-UK und NHS 2013).

Die Verschiedenen gesetzlichen Initiativen in Europa zeigen einen kleinen Ausschnitt von Ansätzen, welche in Europa praktiziert werden. Es bleibt festzuhalten, dass gerade die Bildung von eStandards nicht im Vordergrund steht und durch Förderung seitens des öffentlichen Sektors und der Regierungen eine einheitliche Verbreitung geschehen kann[40].

Zusammenfassung und Herausforderungen für eCommerce im Gesundheitswesen

Die abschließende Diskussion versucht eine Übersicht der rechtlichen Rahmenbedingungen für den Prozess des eCommerce herzustellen sowie die zukünftigen Herausforderungen an die eStandardisierung zu erläutern.

Es ist festzuhalten, dass „die Erstellung komplexer Behandlungsprozesse, deren Kommunikation an das medizinische Personal und insbesondere die Erfassung aller Daten, die zur Analyse der Prozesse erforderlich sind, […] ohne IT-Unterstützung nicht mehr handhabbar [sind]“[64]. Der Prozess des eCommerce bzw. des internetbasierten Handels kann trotz der Komplexität und speziellen Rahmenbedingungen im Gesundheitswesen die Prozesse unterstützen und Vorteile generieren, welchen andere Industrien bereits abschöpfen[65]. Folgende Abbildung einer Wertschöpfungskette von Gehmlich (2008) zeigt in diesem Zusammenhang die Integration des Beschaffungsprozesses im Krankenhaus als unterstützende Aktivität des Primärprozesses (Veränderung des Gesundheitsstatus des Patienten).

Abbildung 2: Wertschöpfungskette eines Krankenhauses,
Quelle: nach [66]

Vereinfacht lässt sich entnehmen, dass die Beschaffung und damit auch der analog stattfinde Verkaufsprozess der Industrie, den gesamten Behandlungspfad im Krankenhaus anspricht und eCommerce in allen Ebenen stattfindet. Dieser Bereich bezieht sich dabei nicht ausschließlich auf die Versorgung mit Gesundheitsgütern, sondern schließt auch andere Versorgungsgüter wie z.B. Büromaterialien mit ein. Ein bereits angesprochenes Problem im Rahmen der eCommerce-Prozesse im Gesundheitswesen ergibt sich aus der Übermittlung individueller personenbezogener Daten und der damit verbunden Pseudonymisierung. Dieses wird folgend in Infobox 6 noch einmal aufgegriffen.

Infobox 6: Übermittlung pseudonymisierter Gesundheitsdaten beim eCommerce

Problem:

Wie bereits beschrieben, können beispielsweise Krankenhäuser versuchen dem eCommerce-Prozess effektive Materialcontrolling-Instrumente bzw. eine Kostenträgerrechnung zu hinterlegen. Dieses bedingt der Zuordnung der Patientendaten zu teuren Medizinprodukten und/oder Arzneimitteln und damit zu einer einzelnen Bestellung. Erfolgt die Übermittlung der Patientendaten mittels Pseudonym an den Hersteller, ist dieses im krankenhausinternen Controlling dem Patienten ordnungsgemäß zuzurechnen. Hilfreich kann entweder eine entsprechende Mappingtabelle sein, welche einem Patienten einen Code zuweist und diesen wieder entschlüsseln lässt oder die Bestellnummer des Auftrags muss dem Patienten direkt zugeordnet werden. Die Problemstellung hierbei ergibt sich aus möglichen Sammelbestellungen, bei denen zusätzlich z.B. die genauen Artikelnummern dem Patienten zugeordnet werden müssten, welches allerdings eine Fehlerquelle darstellt (gleiche Artikelnummern; vermehrte Verlinkungen). Daher ist ein effektives System der Pseudonymisierung umzusetzen, welches solche Fehlerquellen minimiert und ausschließt, wobei hier keine abschließende Lösung präsentiert werden soll.

Um innerhalb der Wertschöpfungskette eine kontinuierlichen, verbesserten und automatisierten Austausch von Produkten zu ermöglichen, sind Standards zwischen den Partner auf Industrie- und Krankenhausseite sowie eine Interoperabilität der Systeme zueinander, für einen unterbrechungs- und fehlerfreien Austausch unabdingbar. Versucht man diesen Prozess vereinfacht darzustellen, lässt sich dieser bezogen auf das Krankenhaus wie folgt visualisieren.

Abbildung 3: Der elektronische Einkaufsprozess,
Quelle: eigene Darstellung, in Anlehnung von [41]

Es zeigt sich die Darstellung eines Bestellprozesses im Krankenhaus, von der auftretenden Notwendigkeit eines Produkts, bis zu dessen Bezahlung und Controlling. Da Basis dieses Beitrags die rechtlichen Grundlagen für eCommerce-Standards war, werden folgend diesem Schaubild (in verkürzter Form) relevante Standardformate zugeordnet.

Abbildung 4: Zuordnung der Standardformate zum eCommerce-Prozess,
Quelle: eigene Darstellung, in Anlehnung von [41]

Es zeigt sich, dass Standard- und eStandardformate in verschiedenen Ebenen des Prozess eingreifen und diesen unterstützen können. Wobei einzelne Standards verschiedenen Teilen des Prozesses zugeordnet werden können. Diese Aufteilung ist allerdings nicht deckungsgleich mit den als Ausgangspunkt dieser Ausarbeitung recherchierten rechtlicher Rahmenbedingungen. In diesem Zusammenhang werden folgend zwei Abbildung eines Bestellprozess im Krankenhaus dargestellt, welche zum einen eine Bestellung über das Materialwirtschaftssystem (MAWI) und zum anderem über ein Online-Portal darstellen. Dieses ist notwendig, da je nach Bestellvorgang die gesetzlichen Grundlagen des eCommerce zu einem anderen Zeitpunkt in den Prozess eingreifen. So treten diese bei einer Bestellung über das MAWI erst später im Prozess auf, da die Vorgänge bis zur Bestellung intern im Haus ablaufen, im Gegensatz zu dem Bestellvorgang über ein Internetprotal.

Abbildung 5: Rechtliche Rahmenbedingungen des eCommerce (Bestellung über MAWI),
Quelle: eigene Darstellung, in Anlehnung an [41]

Neben den im Zweifelsfall alle Bereiche umfassenden Datenschutz, lässt sich erkennen, dass detaillierte Regelungen für einzelne Bereiche des Prozesses bestehen, es aber ansonsten keine den gesamten Prozess betreffende Regelung gibt. Beispielhaft gelten allgemeine Anforderungen an das eCommerce ab der Sendung einer Bestellanforderung durch das MAWI, da erst ab diesem Zeitpunkt eine externe Kommunikation stattfindet. Hier wird noch einmal der personenbezogene Datenschutz beim Tracking und Tracing hervorgehoben, welcher eine Pseudonymisierung von Patientendaten fordert. Ebenfalls lässt sich erkennen, dass die Bereiche der Beschaffung und die abschließende Rechnungstellung und Bezahlung eher allgemeinen Anforderungen des Gesetzes unterstellt sind (ohne direkten Gesundheitsbezug). Spezielle gesundheitsrechtliche Fragestellungen dagegen treten eher in der Mitte bzw. zu Beginn des Prozesses auf. Anforderungen an Kennzeichnungspflichten und an das Inverkehrbringen von Medizinprodukten und Arzneimitteln auf Seiten der Hersteller greifen schon vor dem eigentlichen Bestellprozess und sind ab der eigentlichen Bestellung zwingend erforderlich. Ebenfalls könnten zukünftige Anforderungen wie die UDI-Kennzeichnung mit aufgegriffen werden, welche über den Prozess hinaus greifen und z.B. eine erforderliche Rückverfolgbarkeit gewährleisten müssen. Neben dieser klassischen Bestellung über das MAWI eines Krankenhauses, kann durchaus auch eine weitere Art der Bestellung mit angeführt werden. Dieses ist die Bestellung über ein Online-Portal durch z.B. eine einzelne Person des Krankenhaueses. Gründe hierfür können beispielweise die fehlende Verfügbarkeit im MAWI oder die beschleunigt Bestellung einer einzelnen Fachkraft sein. Folgende Abbildung veranschaulicht inwieweit sich die gesetzlichen Regelungen hierdurch verschieben können.

Abbildung 6: Rechtliche Rahmenbedingungen des eCommerce (Bestellung über Online-Portal),
Quelle: eigene Darstellung, in Anlehnung an [41]

Die allgemeinen Datenschutzbestimmungen sowie die Anforderungen an Medizinprodukte und Arzneimittel sind durch den veränderten Bestellprozess grundsätzlich nicht betroffen. Ebenso wenig werden vorerst die Voraussetzungen für die Rechnungsstellung angesprochen (im Einzelnen können sich Änderungen ergeben durch z.B. die Art der Rechnungstellung oder des Empfängers; B2B oder B2C). Durch den veränderten Bestellprozess werden allerdings die allgemeinen Bestimmungen des eCommerce vorgezogen. Diese greifen damit schon ab dem betreten des Online-Portals, wie die diskutierte Speicherung von IP-Adressen oder Cookies. Grundsätzlich betrifft dieses damit zum einen die Hersteller, indem sie frühzeitiger in den Prozess eingreifen und die Bestimmungen einhalten müssen und zum anderen die Krankenhäuser, indem auch sie eher zu einem vorsichtigen Umgang mit sensiblen Daten verpflichtet sind.

Abschließend lässt sich zusammenfassen, dass nach den Recherchen nur bedingt Vorgaben für eStandards im Gesundheitswesen bestehen aber gesetzliche Rahmenbedingen den Prozess des eCommerce dennoch erheblich beeinflussen können (Datenschutzgesetze, TMG). Als Herausforderung für eCommerce im Gesundheitssektor ist eine Interoperabilität der IT-Systeme zu gewährleisten. Nicht nur die in Deutschland oft zitierte Telematikinfrastruktur muss eine technische und semantische Interoperabilität sicherstellen[67], sondern auch die einzelnen Bereiche wie der des eCommerce, um Insellösungen zu verhindern. Dieses fordert auch das BMWi, indem es Standardisierungen und der Interoperabilität in der IT eine strategische Bedeutung zumisst[68]. Letztendlich gilt es nicht neue Standards zu definieren, aber „international anerkannte Standards müssen verbindlich festgelegt werden, um international den Austausch von Daten“[67] zu ermöglichen und um zu verhindern, dass durch eigene deutsche Standards ein Nachteil für die deutsche Industrie entsteht[67]. Ziel muss es sein möglichweise auch finanzielle Anreize zu schaffen, damit IT-Lösungen auch intersektoral eingesetzt werden, um die Versorgungsprozesse zu optimieren, Bürokratie abzubauen und Ressourcen gezielter zu nutzen[67]. Das BMWi unterstützt beispielsweise durch den Aufbau von Testumgebungen die Entwicklung und Verbreitung erforderliche Technologien[68]. Im Vordergrund stehen dabei zugängliche und transparente (offene) Standards, um mögliche bestehende Schutzrechte auszuschließen und Wettbewerbsbehinderungen zu minimieren[68]. Ziel ist eine wirtschaftliche und technische Abhängigkeit der Softwareindustrie abzubauen, um Lizenzkosten zu senken und durch Interoperabilität die Alternativen am Markt zu erhöhen[68]. Im Zentrum dieser Entwicklungen sollte der jeweilige, vollständige Prozess mit seinen Daten (-schutz) zu berücksichtigen sein, damit einzelne Standards in einem harmonisierten Gesamtprozess agieren können.

Rechtsurteile

Amtsgericht München (2008): AG München-Urteil vom 30.09.2008. Az. 133 C 5677/08.

Bundesverfassungsgericht (1983): BVerfG-Urteil vom 15.12.1983. Az. 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83.

Europäischer Gerichtshof (2010): EuGH-Urteil vom 09.11.2010. Az. C-92/09, C-93/09.

Landgericht Dortmund (2007): LG Dortmund-Urteil vom 23.02.2007. Az. 8 O 194/06.

Landgericht Berlin (2007): LG Berlin-Urteil vom 06.09.2007. Az. 23 S 3/07.

Oberverwaltungsgericht Lüneburg (2009): OVG Lüneburg-Urteil vom 15.05.2009. Az. 10 ME 385/08.

Verwaltungsgericht Wiesbaden (2007): VG Wiesbaden-Urteil vom 07.12.2007. Az. 6 E 928/07.

Auszug gesetzlicher Bestimmungen - Allgemein und speziell zum Datenschutz

Bundesrecht
  • Bürgerliches Gesetzbuch (BGB)
  • Bundesdatenschutzgesetz (BDSG)
  • Grundgesetz (GG)
  • Signaturgesetz (SigG)
  • Strafgesetzbuch StGB
  • Telekommunikationsgesetz (TKG)
  • Telemediengesetz (TMG)
  • Umsatzsteuergesetz (UStG)
  • Verbraucherinformationsgesetz (VIG)
  • Verordnung zur elektronischen Signatur (SigV)

Landesrecht NRW

  • Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Nordrhein
  • Berufsordnung für Apothekerinnen und Apotheker der Apothekerkammer Westfalen-Lippe
  • Berufsordnung für die nordrheinischen Ärztinnen und Ärzte
  • Bestellung von behördlichen Datenschutzbeauftragten gemäß § 32a DSG NRW (RdErl. d. Innenministeriums)
  • Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)
  • Gesetz über die Unabhängigkeit des Landesbeauftragten für Datenschutz und Informationsfreiheit
  • Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW)

EU

  • Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
  • Richtlinie 2009/136/EG („Cookie“-Richtlinie)
  • Richtlinie 2007/47/EG zur Änderung der Richtlinien 90/385/EWG (aktive implantierbare medizinische Geräte), 93/42/EWG (Medizinprodukte) und 98/8/EG (Inverkehrbringen von Biozid-Produkten)
  • Richtlinie 2011/62/EU zur Änderung der Richtlinie 2001/83/EG zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel hinsichtlich der Verhinderung des Eindringens von gefälschten Arzneimitteln in die legale Lieferkette

Gesundheit

  • Apothekenbetriebsordnung
  • Apothekengesetz
  • Arzneimittel - Richtlinie / AM-RL
  • Arzneimittelgesetz AMG
  • Gebührenordnung für Ärzte und Zahnärzte (GOÄ, GOZ)
  • Heilmittelwerbegesetz HWG
  • Medizinproduktegesetz MPG
  • Musterberufsordnung der Ärzte (MBO-Ä)
  • Sozialgesetzbücher SGB – Besonders I, V, X
  • Verordnung über Apothekenpflichtige und freiverkäufliche Arzneimittel
  • Verordnung über das datenbankgestützte Informationssystem über Medizinprodukte des Deutschen Instituts für Medizinische Dokumentation und Information
  • Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten (MPBetreibV)
  • Verordnung über den Großhandel und die Arzeimittelvermittlung
  • Verordnung über die Bestimmung und Kennzeichnung von Packungsgrößen für Arzneimittel in der vertragsärztlichen Versorgung
  • Verordnung über Medizinprodukte
  • Verordnung über Vertriebswege für Medizinprodukte(MPVertrV)

Kirchenrecht

  • Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD)
  • Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Bistum Aachen…
  • Datenschutzdurchführungsverordnung der evangelischen Kirche von Westfalen
  • Datenschutzdurchführungsverordnung der evangelisch-lutherischen

Einzelnachweis

  1. Johner C. Das Umfeld der IT im Gesundheitswesen. In: Johner C und Haas P. Praxishandbuch IT im Gesundheitswesen. Erfolgreich einführen, entwickeln, anwenden und betreiben. Carl Hanser Verlag, München, 2009. S.XXI-XXIII.
  2. Kirschner S, Witzleb WC, Eberlein-Gonska M, Krummenauer F und Günther KP. Klinische Pfade. Sinnvolles Steuerungsinstrument oder Beschränkung ärztlicher Handlungsfreiheit? In: Der Orthopäde 2007. 36:516-522
  3. Messerschmidt M, Schülein P und Murnleitner M. Der Wertbeitrag der IT zum Unternehmenserfolg. Abgerufen am 21. September 2013 von https://www.pwc.de/de/consulting/it/assets/PwC-Studie_Wertbeitrag.pdf
  4. Simon A. Die betriebswirtschaftliche Bewertung der IT-Performance im Krankenhaus am Beispiel eines Benchmarking-Projektes. In: Schlegel H. Steuerung der IT im Klinikmanagement. Methoden und Verfahren. Vieweg + Teubner Verlag, Wiesbaden, 2010. S.73-90
  5. 5,0 5,1 5,2 5,3 5,4 5,5 5,6 Wirtz BW. Electronic Business. Gabler Verlag, Wiesbaden, 2010.
  6. Bundesministerium für Gesundheit (BMG). Entgelte für voll- und teilstationäre Krankenhausleistungen. Abgerufen am 20. November 2013 von http://www.bmg.bund.de/krankenversicherung/stationaere-versorgung/krankenhausfinanzierung.html
  7. Sunyaev A. Health-Care Telematics in Germany. Design and Application of a Security Analysis Method. Gabler Verlag, Wiesbaden, 2011
  8. 8,0 8,1 Thun S. Medizinische Dokumentation und Kommunikation. In: Johner C und Haas P [Hrsg.]. Praxishandbuch IT im Gesundheitswesen. Erfolgreich einführen, entwickeln, anwenden und betreiben. Carl Hanser Verlag, München, 2009. S.131-162
  9. Weiber R. Herausforderung Electronic Business: Mit dem Informations-Dreisprung zu Wettbewerbsvorteilen auf den Märkten der Zukunft. In: Weiber R [Hrsg.]. Handbuch Electronic Business. Informationstechnologien – Electronic Commerce – Geschäftsprozesse. Betriebswirtschaftlicher Verlag Dr. Th. Gabler GmbH, Wiesbaden, 2000.
  10. 10,0 10,1 10,2 10,3 10,4 Hübner U. Introduction to eBusiness. In: Hübner U und Elmhorst MA. eBusiness in Healthcare. From eProcurement to Supply Chain Management. Springer-Verlag, London, 2008. S.3-26.
  11. 11,0 11,1 Hübner U. Achieving Interorganizational Connectivity. In: Hübner U und Elmhorst MA. eBusiness in Healthcare. From eProcurement to Supply Chain Management. Springer-Verlag, London, 2008. S.103-125
  12. 12,0 12,1 Mittelstand-Digital. eStandards: Geschäftsprozesse standardisieren, Erfolg sichern. Abgerufen am 20. November 2013 von http://www.mittelstand-digital.de/DE/Foerderinitiativen/e-standards.html
  13. 13,0 13,1 13,2 13,3 Haas P, Johner C und Thun S. Interoperabilität und Standards. In: Johner C und Haas P. Praxishandbuch IT im Gesundheitswesen. Erfolgreich einführen, entwickeln, anwenden und betreiben. Carl Hanser Verlag, München, 2009. S.261-282
  14. Standard eCG. Projekthintergrund. Abgerufen am 20. November 2013 von http://www.standard-ecg.de/index.php/de/hintergrund
  15. 15,0 15,1 15,2 15,3 Institut für Handelsforschung Köln (IFH). Geschäftskunden sorgen für 870 Milliarden Euro B2B-E-Commerce-Umsatz jährlich. Abgerufen am 11. November 2013 von http://www.ifhkoeln.de/ News-Presse/Geschaeftskunden-sorgen-fuer-870-Milliarden-Euro-B2B-E-Commerce-
  16. Claßen R. Basisinformationen zum Gesundheitswesen. In: Johner C und Haas P. Praxishandbuch IT im Gesundheitswesen. Erfolgreich einführen, entwickeln, anwenden und betreiben. Carl Hanser Verlag, München, 2009. S.109-130
  17. EHI Retail Institute. E-Commerce: Top 100 Onlineshops mit solidem Umsatzwachstum. Abgerufen am 20. November 2013 von http://www.ehi.org/nc/pressemitteilungen-rechte-spalte/detailanzeige/article/e-commerce-top-100-onlineshops-mit-solidem-umsatzwachstum .html
  18. 18,00 18,01 18,02 18,03 18,04 18,05 18,06 18,07 18,08 18,09 18,10 18,11 Stahl E, Witmann G, Krabichler T und Breitschaft M. E-Commerce-Leitfaden. Noch erfolgreicher im elektronischen Handel. Universitätsverlag Regensburg GmbH, Regensburg, 2012
  19. Schmidt WA und Prieß M. Deutschland. In: Spindler G und Börner F. E-Commerce-Recht in Europa und den USA. Springer-Verlag, Berlin, 2003. S.167-252
  20. Bundesministerium für Finanzen (BMF). Umsatzsteuer; Vereinfachung der elektronischen Rechnungsstellung zum 1. Juli 2011 durch das Steuervereinfachungsgesetz 2011. Abgerufen am 09. Dezember 2012 von http://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Steuerarten/Umsatzsteuer/Umsatzsteuer-Anwendungserlass/2012-07-02-Vereinfachung-der-elektronischen-Rechnungsstellung.pdf?__blob=publicationFile&v=4
  21. Schütze B. Datenschutzrechtliche Anforderungen in der Medizininformatik. Gastvortrag an der Hochschule Osnabrück (22.11.2013.10:00)
  22. 22,0 22,1 Landesbeauftragter für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI-NRW). Datenschutz. Was sind personenbezogene Daten? Abgerufen am 21. November 2013 von https://www.ldi.nrw.de/mainmenu_Datenschutz/Inhalt/FAQ/PersonenbezogeneDaten.php
  23. 23,0 23,1 23,2 Landesbeauftragter für den Datenschutz Bayern (LfD-Bayern). Orientierungshilfe: Pseudonymisierung in der medizinischen Forschung. Abgerufen am 22. November 2013 von http://www.datenschutz-bayern.de/technik/orient/ohilfe_psn_03.html
  24. Sweeney L. Simple Demographics Often Identify People Uniquely. In: Data Privacy Working Paper 2000;3:1-34
  25. 25,0 25,1 25,2 25,3 Linnemann SC. Zulässigkeit der Weitergabe von Patientendaten an ein externes Labor. Abgerufen am 21. September 2013 von https://www.pwc.de/de/consulting/it/assets/PwC-Studie_Wertbeitrag.pdf
  26. 26,0 26,1 Unabhängiges Zentrum für Datenschutz Schleswig-Holstein (ULD). Patientendatenverarbeitung im Auftrag. Abgerufen am 19. Dezember 2013 von https://www.datenschutzzentrum.de/material/themen/gesund/patdvia.htm
  27. Unabhängiges Zentrum für Datenschutz Schleswig-Holstein (ULD). Patientendatenschutz im Krankenhaus. Abgerufen am 19. Dezember 2013 von https://www.datenschutzzentrum.de/medizin/krankenh/patdskh.htm
  28. 28,0 28,1 28,2 28,3 28,4 28,5 28,6 Hoeren T und Föhlisch C. Darf ich IP-Adressen meiner Kunden speichern? Auszug aus Trusted Shops Praxishandbuch. Praxishilfen und Musterformulierungen für Shopbetreiber. Abgerufen am 26. November 2013 von http://www.trustedshops.de/shop-info/datenschutz-ip-adresse-speicherung-einwilligung-personenbezogene-daten/
  29. 29,0 29,1 29,2 Quaas S. Definition, Funktionsweise und rechtliche Beurteilung von Cookies. Abgerufen am 26. November 2013 von http://www.vis.bayern.de/daten_medien/datenschutz/cookies.htm
  30. 30,0 30,1 30,2 30,3 30,4 Ministerium für Umwelt, Forsten und Verbraucherschutz und Landesbeauftragter für den Datenschutz Rheinland-Pfalz (MUFV und LDI-RLP). RFID Radiofrequenz-Identifikation. Was ist das? Abgerufen am 26. November 2013 von http://www.datenschutz.rlp.de/downloads/oh/info_RFID.pdf
  31. Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V. (BITKOM). Selbstverpflichtung zum Datenschutz bei RFID. Abgerufen am 26. November 2013 von http://www.bitkom.org/de/themen/50792_67587.aspx
  32. Bundesamt für Sicherheit in der Informationstechnik (BSI). Privacy Impact Assessments (PIA). Ein neuer Weg zur Stärkung des Datenschutzes in Europa? Abgerufen am 26. November 2013 von https://www.bsi.bund.de/DE/Themen/ElektronischeAusweise/Radio FrequencyIdentification/PIA/pia_node.html
  33. 33,0 33,1 Dreesen J und Hay C. AG Patientenidentifikation im Projekt e-medPPP – Ergebnisse und Empfehlungen. Abgerufen am 26. November 2013 von http://www.pro-patientensicherheit.de/fileadmin/Medienablage/Dokumente/Sonstige/110729_-_AG_Patientenidentifikation_-_e-medPPP_V_1.0.pdf
  34. Bundesärztekammer. Empfehlung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis. Deutsches Ärzteblatt 2008
  35. 35,0 35,1 35,2 HL7 Deutschland e.V. 2013. IHE-D Cookbook. Abgerufen am 29. Januar 2014 von http://wiki.hl7.de/index.php/IHE_DE_Cookbook#IHE_Audit_Trail_and_Node_Authentication_.28ATNA.29
  36. Rampetsreiter C. E-Health in der biomedizinischen Analytik. Ein Grobkonzept für die elektronische Übertragung von Labordaten. disserta Verlag, Hamburg, 2012
  37. Bizer J. Sieben goldene Regeln des Datenschutzes. In: DuD 2007;31(5):350-356
  38. 38,0 38,1 Quantz J und Wichmann T. E-Business-Standards in Deutschland. Bestandsaufnahme, Probleme, Perspektiven. Ein Forschungsauftrag des Bundesministeriums für Wirtschaft und Arbeit. Berlecon Research GmbH, Berlin, 2003
  39. Global Standards 1 (GS1) und Institut der deutschen Wirtschaft Köln Consult GmbH (IW Köln). Transaktionsstandards. GS1-Standards zahlen sich aus - EDI im Bargeldverkehr. Abgerufen am 05. Dezember 2013 von http://www.gs1-germany.de/fileadmin/gs1/best_ practices/edi_im_bargeldverkehr.pdf
  40. 40,0 40,1 40,2 40,3 40,4 40,5 40,6 Schleife K, Flug M, Stiehler A und Dufft N. executive summary. E-Business-Standards in Deutschland. Bestandsaufnahme, Probleme Perspektiven. Die Studie wurde erstellt im Auftrag von PROZEUS – Prozesse und Standards, einem Förderprojekt des Bundesministeriums für Wirtschaft und Technologie. Berlecon Research GmbH, Berlin, 2010
  41. 41,0 41,1 41,2 41,3 41,4 Conway KM und Perrin R. The Evolution of eBusiness in Healthcare. In: Hübner U und Elmhorst MA. eBusiness in Healthcare. From eProcurement to Supply Chain Management. London: Springer-Verlag, 2008. S.157-176
  42. 42,0 42,1 Kassenärztliche Bundesvereinigung (KBV). Einheitlicher Bewertungsmaßstab (EBM). Abgerufen am 28. November 2013 von http://www.kvberlin.de/20praxis/70themen/honorarreform /ebm2009.pdf
  43. 43,0 43,1 43,2 Bundesministerium für Gesundheit (BMG). Positionspapier des Bundesministeriums für Gesundheit (BMG) zur Revision der europäischen Medizinprodukte-Richtlinien unter dem Motto: Vertrauen wieder herstellen – Patientensicherheit bei Medizinprodukten muss erste Priorität sein. Abgerufen am 28. November 2013 von http://www.bmg.bund.de/fileadmin/dateien/Downloads/M/Medizinprodukte/2013_03-28_Positionspapier2_end.pdf
  44. 44,0 44,1 Deutsches Institut für Medizinische Dokumentation und Information (DIMDI). UMDNS. Abgerufen am 05. Dezember 2013 von http://www.dimdi.de/static/de/mpg/thesauri/umdns /index.htm
  45. Deutsches Institut für Medizinische Dokumentation und Information (DIMDI). GMDN – Global Medical Device Nomenclature. Abgerufen am 05. Dezember 2013 von http://www.dimdi.de/ static/de/mpg/thesauri/gmdn/index.html
  46. Bundesverband Medizintechnologie e.V. (BVMed). Medizinprodukterecht. Vorschlag für eine EU-Medizinprodukte-Verordnung (26.09.2012). BVMed, Berlin, 2012
  47. 47,0 47,1 47,2 Bundesverband Medizintechnologie e.V. (BVMed). Unique Device Identification (UDI). UDI – Was ist es? Wann kommt es? Was kann ich tun? Abgerufen am 28. November 2013 von http://www.bvmed.de/stepone/data/downloads/c1/e4/00/udi_bvmed_0312.pdf
  48. Deutsches Institut für Medizinische Dokumentation und Information (DIMDI). Informationssystem Arzneimittel. Abgerufen am 10. Dezember 2013 von http://www.dimdi.de/static/de/amg /index.htm
  49. 49,0 49,1 Deutsches Institut für Medizinische Dokumentation und Information (DIMDI). ATC-Klassifikation mit definierten Tagesdosen DDD. Abgerufen am 10. Dezember 2013 von http://www.dimdi.de/static/de/amg /atcddd/index.htm
  50. De Millas C, Hempel E und Höer A. Methodische Erläuterungen. In: Häussler B, Höer A und Hempel E. Arzneimittel-Atlas 2012. Der Arzneimittelverbrauch in der GKV. Springer-Verlag, Berlin, 2013
  51. Informationsstelle für Arzneispezialitäten (IFA). Technische Hinweise zur PZN-Codierung. Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/mandanten/1/documents/04_ifa_ coding_system/IFA-Spec_PZN_Codierung_DE.pdf
  52. 52,0 52,1 Informationsstelle für Arzneispezialitäten (IFA). Pharmazentralnummer (PZN). Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/de/ifa-gmbh/pharmazentralnummer.html
  53. 53,0 53,1 Informationsstelle für Arzneispezialitäten (IFA). Data Matrix Code für Handelspackungen. Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/de/ifa-codingsystem/data-matrix-handelspackungen.html
  54. securPharm e.V. Statusbericht 1. 2013. Abgerufen am 11. Dezember 2013 von http://www.securpharm.de/fileadmin/pdf/Die_Initiative/statusbericht%20securpharm%202013-1%20deutsch.pdf
  55. 55,0 55,1 Informationsstelle für Arzneispezialitäten (IFA). Weltweite Nutzung der PPN. Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/de/ifa-codingsystem/weltweite-nutzung-ppn.html
  56. 56,0 56,1 Informationsstelle für Arzneispezialitäten (IFA). Harmonisierung unterschiedlicher Nummernsysteme im europäischen Arzneimittelmarkt mittels PPN. Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/mandanten/1/documents/04_ifa_coding_system/IFA_Info_PRA_Code_DE.pdf
  57. Informationsstelle für Arzneispezialitäten (IFA). Von der PZN zur PPN. Abgerufen am 10. Dezember 2013 von http://www.ifaffm.de/de/ifa-codingsystem/von-pzn-zu-ppn.html
  58. Informationsstelle für Arzneispezialitäten (IFA). PPN. Pharmacy Product Number. Technical Specification. Abgerufen am 10. Dezember 2013 von http://ifa-ppn.com/downloads/de/PPN-Spec-English-2011_11_04.pdf
  59. Ciciriello C und Hayworth M. Elektronische Rechnungsstellung. Leitfaden für kleine und mittlere Unternehmen in der EU. European Business Lab, Andria, 2009
  60. European Health Industry Business Communications Council (EHIBCC). Update der Registrationsprozedur für Medizinprodukte in der Türkei. Abgerufen am 04. Dezember 2013 von http://www.hibc.de/index.php?option=com_content&view=article&id=35%3 Aupdate-der-registrationsprozedur-fuer-medizinprodukte-in-der-tuerkei&catid=24%3Anews& Itemid=4&lang=de
  61. Global Standards 1 (GS1). Kennzeichnung von Pharmazeutika in Deutschland. NTIN-Leitfaden für die Verwendung im securPharm-Pilotprojekt Version 1.4. Abgerufen am 10. Dezember 2013 von http://www.gs1-germany.de/fileadmin/gs1/basis_informationen/ntin _leitfaden_securPharm_pilot_project_v14_1_jan2013.pdf
  62. Avery Dennison. FOCUS on: Interview mit Valérie Marchand, Leiterin GS1 Healthcare Frankreich. Abgerufen am 10. Dezember 2013 von http://www.monarch.averydennison.com/emea/de/about/ newsletter/pharma-1-2-interview-gs1.asp
  63. Department of Health (DH-UK) und National Health Service (NHS) 2013. Better Procurement Better Value Better Care: A Procurement Development Programm for the NHS. Abgerufen am 11. Dezember 2013 von https://www.gov.uk/government/uploads/system/uploads/attachment _data/file/226835/procurement_development_programme_for_NHS.pdf
  64. Muscholl M. Anforderungen an die Informationsverarbeitung im Gesundheitswesen. In: Eckardt J und Sens B. Praxishandbuch Integrierte Behandlungspfade. Intersektorale und sektorale Prozesse professionell gestalten. Economica, Verlagsgruppe Hüthig Jehle Rehm GmbH, Heidelberg, 2006. S.123-166.
  65. DeJesus EX. Supply Chain Management. Internet-based supply procurement is coming, but how to best exploit the technology is as yet unclear. In: Healthcare Informatics 2001;18(2):74-76
  66. Gehmlich V. Opportunities of Supply Chain Management in Healthcare. In: Hübner U und Elmhorst MA. eBusiness in Healthcare. From eProcurement to Supply Chain Management.Springer-Verlag, London, 2008. S.27-56
  67. 67,0 67,1 67,2 67,3 Bundesverband Gesundheits-IT e.V. (bvitg). bvitg Positionspapier zur Gesundheitspolitik. Gute Gesundheitsversorgung braucht mehr IT. Abgerufen am 11. Dezember 2013 von http://www.bvitg.de/pressemitteilung-bvitg/items/gute-gesundheitsversorgung-braucht-mehr-it.html
  68. 68,0 68,1 68,2 68,3 Bundesministerium für Wirtschaft und Technologie (BMWi). Standards und Wettbewerb. Abgerufen am 11. Dezember 2013 von http://www.bmwi.de/DE/Themen/Digitale-Welt/standards-und-wettbewerb,did=360680.html?view=renderPrint