Datenschutz und Datensicherheit in Arztpraxen, Teil 1: Viel Unwissenheit und sträflicher Leichtsinn

Die Fachhochschule Ulm - Hochschule für Technik - hat untersucht, wie sich die Computerisierung auf den Datenschutz und die Datensicherheit in Arztpraxen auswirkt. Fazit: Durch die automatische Datenverarbeitung sind die Sicherheitslöcher erheblich größer geworden, die Wahrung des Arztgeheimnisses ist weniger gesichert als zuvor. Teil 1 dieses zweiteiligen Beitrags thematisiert die Bandbreite möglicher Defizite beim Datenschutz in der Arztpraxis.

Es gibt in Arztpraxen neben den Datenschutzrisiken, die durch die Computertechnik bedingt sind, immer auch noch die klassischen, die sich vor allem durch die räumliche Situation, den Umgang mit Akten, Befunden und dem Telefon ergeben. Schon die Anordnung des Empfangsbereichs ist oft problematisch, vor allem in Praxen, in denen es keine Trennung von Empfangs- und Wartebereich gibt. Wartende können die Anmeldung von anderen Patienten verfolgen und dabei beispielsweise Informationen über deren Gesundheitszustand erhalten. In vielen Praxen gibt es vor dem Tresen keine Diskretionszone, statt dessen herrscht zu bestimmten Zeiten ein dichtes Gedränge. Auch kommt es immer noch vor, daß mehrere Patienten gleichzeitig im selben Raum behandelt werden, teilweise sogar ohne Trennvorhang. Zu dünne Wände ermöglichen das unbefugte Mithören von Diagnosegesprächen und Behandlungen. Häufig kann man - meist im Empfangsbereich - durch Blick auf den Bildschirm etwas aus der Patientendokumentation in Erfahrung bringen. Es gibt auch Praxen, bei denen die Bildschirme durch das Fenster von außen eingesehen werden können. Oftmals kann ein Patient, während er im Sprechzimmer auf den Arzt wartet, auf dem Bildschirm die Daten des vor ihm behandelten Patienten studieren. Falls dies wegen eines Bildschirmschoners nicht unmittelbar möglich ist, genügt das Antippen einer beliebigen Taste auf der Tastatur.
Unbekannt ist in der Regel das Phänomen der kompromittierenden Abstrahlung. Hier handelt es sich um eine vom Rechner ausgehende Störstrahlung, die die im Computer verarbeitete Information mit sich trägt (1). Mit einem entsprechenden Empfangsgerät läßt sich in einiger Entfernung diese Information auswerten. Ohne mit dem Computer direkt in Verbindung zu stehen, lassen sich so auch alle vertraulichen Informationen, die über die Rechner einer Arztpraxis laufen, unbemerkt aufzeichnen und auswerten. Je nach örtlichen Gegebenheiten kann der Lauscher bis zu hundert Meter (gelegentlich auch noch weiter) von der Arztpraxis entfernt sein. Gegen diese Abhörmöglichkeiten werden kaum Vorkehrungen getroffen, obwohl sie in kriminellen Kreisen durchaus eine Rolle spielen.
Gegen Einbruch und die Folgen von Brand besteht meist nur ein unzureichender Schutz. Das gleiche gilt für den Schutz von Computern mit Patienten- und Abrechnungsdaten vor Diebstahl oder Sabotage, etwa durch einen Tresor für Datenträger. Meistens werden diese in Büroschränken oder gar in offenen Regalen aufbewahrt. Bei einem Brand ist so möglicherweise der gesamte Bestand an Patienteninformationen verloren.
Akten und Befunde
Eine weit verbreitete Unsitte sind die ungeschützten Ablagen von Krankenakten vor den Sprechzimmern der Ärzte, die meist die Reihenfolge der zu behandelnden Patienten festlegen. Auch sonst sind frei herumliegende Krankenakten im Bereich der Anmeldung, in den Sprech- und Behandlungszimmern nichts Ungewöhnliches. Aktenschränke stehen oftmals offen oder sind nicht verschließbar. Automatisch mittels Transpondertechnik sich öffnende und schließende Aktenarchive sind hingegen die Ausnahme.
Telefon und Telefax Häufig können Patienten, die in Hörweite der Anmeldung warten, Telefongespräche mit anderen - namentlich genannten - Patienten (oder über andere Patienten) verfolgen. Aber auch im Sprechzimmer bekommen Patienten sehr oft Telefonate über andere Patienten mit. Schnurlose analoge Telefone können darüber hinaus durch Scanner abgehört werden. Eine Gefahr für die unbefugte Offenbarung von Patientendaten besteht auch in der Fernabfrage der Anrufbeantworter. In den meisten Praxen werden Fabrikate eingesetzt, deren Fernabfragecode relativ leicht zu knacken ist.
Obwohl man in fast jedem "Spy shop" inzwischen auch Geräte kaufen kann, mit denen sich Faxgeräte abhören und Faxe umleiten lassen, werden in vielen Praxen Arztbriefe und Befunde per Fax verschickt - und zwar unverschlüsselt. Selten wird der Faxempfänger vorher angerufen, damit sensible Faxe wenigstens dort sofort in sichere Obhut genommen werden können.
Hardware
Die computertechnische Ausstattung der Arztpraxen reicht vom veralteten Second-Hand-PC bis hin zum multimediafähigen Rechner mit moderner Prozessor-Technologie. Es gibt Einzelplatzcomputer ebenso wie lokale Netze. Was jedoch fast immer fehlt, sind Kontrollsysteme, mit denen die Vorschriften der Zugangskontrolle in der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) erfüllt werden. So sollte etwa der Server für ein Praxisnetz nicht direkt neben einer ungesicherten Balkontür im Erdgeschoß plaziert oder aber das gesamte DV-System im Wartezimmer auf einem Rollwagen montiert werden. Auch die im BDSG vorgeschriebenen Verfahren der Datenträgerkontrolle sind weitgehend unbekannt (Tresore für Datenträger und ähnliches). Abschließbare Diskettenlaufwerke ohne das dazugehörige Schlüsselverwaltungssystem machen wenig Sinn. Regeln zur Verwendung oder zum Versand von Disketten sind die Ausnahme, ebenso wie die systematische Prüfung erhaltener Disketten auf Viren.
Zur Datenträgerkontrolle gehört auch eine ordnungsgemäße Vernichtung von Datenträgern und Papieren nach DIN 32757. Dies erfordert für Papier spezielle Aktenvernichter und besondere Löschverfahren für automatische Datenträger. Software
Bei der verwendeten Praxissoftware stehen vor allem folgende Aspekte im Mittelpunkt: n die Erfüllung der Forderungen des BDSG und der sonstigen, sich auf den Umgang mit Patientendaten beziehenden Rechtsvorschriften, n die Berücksichtigung der im Interesse des Arztes liegenden Datensicherheitsaspekte, einschließlich einer fälschungssicheren Dokumentation des ärztlichen Handelns. Letzteres ist wichtig, um im Falle eines Kunstfehlerverfahrens dem Arzt beweisfähige Dokumente aus dem Computer an die Hand geben zu können. Viele Praxisprogramme erfüllen die Forderungen des BDSG nicht in allen Punkten. Mängel gibt es vor allem bei der Speicher- bzw. Benutzerkontrolle und der (gerade in Praxisgemeinschaften wichtigen) Zugriffskontrolle im Sinne der Anlage zu § 9 BDSG. Zu beanstanden ist hier häufig ein unzulänglicher Paßwortschutz. Dies ist etwa dann der Fall, wenn die Praxissoftware den Zugang zum Betriebssytem mit allen damit verbundenen Manipulationsmöglichkeiten nicht verhindern kann. Auch auf der Ebene der Anwendungsprogramme ist der Schutz oft nicht ausreichend. So ist eine Mindestlänge der Paßwörter häufig nicht vorgeschrieben, Verfallszeiträume werden nicht mit einem Wiederverwertungsverbot gebrauchter Paßwörter verbunden, es gibt keine verschlüsselte Paßwortablage und ähnliches. Auch gegen das Ausprobieren von Paßwörtern gibt es oftmals keinen überzeugenden Schutz. Hinzu kommt, daß einfache Maßnahmen wie das Ersetzen von Paßwörtern bei einem Mitarbeiterwechsel oftmals vernachlässigt werden. In vielen Fällen ist so ein Zugang zu den Patientendaten ohne großen Aufwand möglich.
Auch das Abschalten der Bildschirmschoner ist in der Regel nicht an eine Paßworteingabe (oder einen Transponder oder ähnliches) gekoppelt, so daß sich Unbefugte (etwa wartende Patienten) in unbeobachteten Momenten beispielsweise vertrauliche Informationen aus den Praxisrechnern beschaffen können. Hier ist neben der Speicherkontrolle vor allem auch die Zugangskontrolle (Anlage zu § 9 BDSG) tangiert. Darüber hinaus ist auch die Eingabekontrolle (Anlage zu § 9 BDSG) zu berücksichtigen. Diese spielt insbesondere dann eine Rolle, wenn mehrere Mitarbeiter gleichzeitig Zugang zu den Rechnern haben.
Sofern eine Praxis Zugang zum öffentlichen Netz hat, sind von der Praxissoftware die Vorschriften des § 9 BDSG zur sogenannten Transportkontrolle (zum Beispiel Verschlüsselung) und die der Übermittlungskontrolle (zum Beispiel fälschungssichere Dokumentation der Datenfernübertragung) umzusetzen. Wegen der rasanten Entwicklung gerade auch auf dem Gebiet der Datenübermittlung im medizinischen Bereich besteht die Gefahr, daß diese schneller in die Praxen kommt, als die Praxissoftware ersetzt wird. Wie bereits angesprochen, liegt in der fälschungssicheren, also beweisfähigen Dokumentation nicht nur der Datenübermittlung, sondern auch der internen Aktivitäten ein existentielles Interesse des Arztes. Um so erstaunlicher ist es, daß dieser Punkt bei den Arztsoftware-Anbietern nicht stärker als (verkaufsförderndes) Merkmal berücksichtigt wird.
Weitergabe von Daten Auch ohne Datenfernübertragung werden Patientendaten (und auch Daten des Arztes) von Arztpraxen an andere Institutionen übermittelt. An erster Stelle sind hier die Kassenärztlichen Vereinigungen (KVen) und die Privatärztlichen Verrechnungsstellen (PVS) zu nennen. Die Übermittlung erfolgt entweder auf Papier oder Diskette, meist durch die Post. Sofern die untersuchte Praxissoftware nicht die Möglichkeit zur Verschlüsselung von Daten bietet und auch sonst keine Sicherheiten vorhanden sind, ist diese Datenübermittlung ein Verstoß gegen die Datenträger- und gegen die Transportkontrolle.
Während die Datenübermittlung an die KVen auf der Basis von Rechtsvorschriften (SGB) erfolgt, ist diejenige an die PVS freiwillig und basiert auf Verträgen. Datenschutzrechtlich handelt es sich hier um eine Auftragsdatenverarbeitung, die dem Arzt besondere Pflichten auferlegt (siehe Kasten rechts).
Den Ärzten sind diese Gegebenheiten weitestgehend unbekannt, so daß daher meist auch nicht die erforderlichen Maßnahmen ergriffen werden. Zwar haben die Ärzte, die eine PVS in Anspruch nehmen, ihre Patienten meist irgendwann einmal um Erlaubnis gebeten und dies in den Akten vermerkt. Eine schriftliche Einwilligung im Sinne des Gesetzes wird häufig jedoch nicht eingeholt. Konkrete vertragliche Regelungen in bezug auf die technischen und organisatorischen Maßnahmen des Datenschutzes werden häufig schon deshalb nicht getroffen, weil es den entsprechenden Sachverstand nicht gibt.
Ferner ist oftmals nicht bekannt, daß die PVS nicht nur die Krankheiten der Privatpatienten der Ärzte kennen, sondern über die Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) und über die Schuldnerverzeichnisse der Amtsgerichte auch Zugang zu den Daten über deren finanzielle Verhältnisse haben, also über die wichtigsten personenbezogenen Daten der Wettbewerbsgesellschaft verfügen können. Um dieses Gefahrenpotential für ihre Patienten zu entschärfen und sich vor etwaigen Schadensersatzansprüchen zu schützen, müßten die Ärzte nicht nur für angemessene vertragliche Regelungen, sondern dort auch für ein schnellstmögliches, fachgerechtes Löschen ihrer Daten nach erfolgter Abrechnung sorgen. Eine andere nach § 203 StGB verbotene Form der Übermittlung von Patientendaten liegt vor, wenn man Rechner mit Patientendaten auf der Festplatte in die Reparaturwerkstatt gibt. Nur unter Aufsicht des Arztes oder seiner Mitarbeiter darf eine solche Reparatur stattfinden, oder die Festplatte muß vor Verlassen der Praxis unlesbar gemacht werden. Spezielle Verpflichtungen der Werkstatt zur Geheimhaltung reichen nicht aus. Das gleiche gilt, wenn eine solche Reparatur in der Praxis ohne Aufsicht des Arztes oder seiner Mitarbeiter durchgeführt wird.
Solche Situationen in der einen oder anderen Form sind keineswegs selten - schon die Einführung der Praxissoftware mit Testläufen auf Basis von Echtdaten ist hierfür ein Beispiel. Meist ist sich in solchen Fällen keiner der Beteiligten eines Verstoßes bewußt. Nachfragen in einschlägigen Werkstätten haben überdies ergeben, daß Reparaturen an Arzt-Rechnern noch nie unter Aufsicht vorgenommen wurden. Auch hat man von Arztpraxen noch nie einen PC mit ausgebauter oder zerstörter Festplatte zur Reparatur bekommen. Nicht einmal (wenn auch unzureichende) Geheimhaltungsverpflichtungen gegenüber den Arztpraxen hat es bisher gegeben. Gerhard Kongehl

Teil 2 dieses Beitrages folgt in der nächsten Ausgabe von PraxisComputer.

Zum Autor Professor Dr. jur. Gerhard Kongehl ist Professor für Datenschutz, Datensicherheit und Technikfolgenabschätzung der Fachhochschule Ulm - Hochschule für Technik, Bundesvorsitzender des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e. V. und Mitglied des Arbeitskreises Datenschutz und Datensicherheit in der Medizin der Landesärztekammer Baden-Württemberg, Stuttgart.

Literatur
(1) Opfer J: Computerspionage ohne Modem und Paßwort: Kompromittierende Abstrahlung, eine häufig übersehene Lücke in der IT-Sicherheit. Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn 1994.