THEMEN DER ZEIT

Datenschutz: Unbefugte Zugriffe verhindern

Dtsch Arztebl 2010; 107(7): A-274 / B-241 / C-237

Krüger-Brand, Heike E.

Foto: Fotolia
Die Menge elektronisch gespeicherter Daten im Gesundheitswesen wächst. Der Umgang damit erfordert ein Risikobewusstsein der Nutzer.

Was haben George Clooney, Britney Spears und Monika Lierhaus gemeinsam? Sie wurden Opfer von Datenmissbrauch durch unberechtigte Zugriffe auf ihre elektronisch gespeicherten Patientendaten. In allen drei Fällen gelangten Details der medizinischen Behandlung aus dem Krankenhausinformationssystem (KIS) an die Öffentlichkeit. Auf Datenschutzprobleme im Krankenhaus verwies Dr. Rita Wellbrock, Mitarbeiterin beim Hessischen Datenschutzbeauftragten, bei einer Veranstaltung zum Europäischen Datenschutztag in Wiesbaden. Das KIS ermöglicht den zeit- und ortsungebundenen Abruf der darin gespeicherten Patientendaten und unterstützt effiziente Therapieentscheidungen. Diesen Vorteilen stehen allerdings auch Risiken gegenüber. In den genannten Beispielen wurden als Folge des Datenmissbrauchs zwar Sanktionen verhängt, dies sei jedoch längst nicht die Regel, berichtete Wellbrock, denn nicht immer könne im Nachhinein festgestellt werden, ob jemand und wer unbefugt zugegriffen habe.

Sicherheitskonzept nötig
Ursachen für Datenschutzprobleme im Krankenhaus sind oftmals zu pauschale Zugriffsberechtigungen und unzureichende Zugriffskontrollen. Diese seien nicht nur zum Schutz von Prominenten erforderlich, sondern auch „von Lehrern, Nachbarn, Exehefrauen, Arbeitskollegen et cetera“, betonte Wellbrock. „Der Patient rechnet nicht damit, dass eine Vielzahl von Mitarbeitern im Krankenhaus seine persönlichen Daten zur Kenntnis nehmen kann, und das muss er auch nicht.“ Das Krankenhaus sei keine Einheit, in der personenbezogene Daten beliebig ausgetauscht werden dürften.

Die Anforderung einer differenzierten Zugriffsgestaltung und eines technischen Konzepts hierfür ist in der Praxis nicht immer befriedigend gewährleistet. Dies betrifft sowohl die KIS-Anbieter, deren Systeme Datenschutzmaßnahmen technisch unterstützen müssen, als auch die Krankenhäuser, die ihre internen Abläufe sicher gestalten und datenschutzkonforme KIS einsetzen müssen. „Da gibt es viel zu tun“, meinte Wellbrock. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat daher im Oktober 2009 eine Entschließung zum Thema „Krankenhausinformationssysteme datenschutzgerecht gestalten“ veröffentlicht. Darüber hinaus soll eine Arbeitsgruppe sich in diesem Jahr mit dem Thema befassen und Empfehlungen ausarbeiten.

Klärungsbedarf besteht aus Sicht der Datenschützer auch beim Thema elektronische Gesundheitsakte. In dieser „persönlichen“ Akte kann der Patient Kopien der Behandlungsdokumentation sowie eigene Gesundheitsdaten speichern. Inzwischen gibt es einige kommerzielle Produkte, meist als Online-Akten, aber auch in dezentraler Form auf USB-Sticks. Krankenkassen dürfen ihren Versicherten solche Akten finanzieren, wenn es die Qualität und Wirtschaftlichkeit der Behandlung verbessert. Diese Lösungen erfüllen aber nicht die strengen Datenschutzanforderungen, die der Gesetzgeber an eine elektronische Patientenakte auf Basis der geplanten Telematikinfrastruktur nach § 291 a Sozialgesetzbuch V gestellt hat. Deren Realisierung innerhalb einer eigenen Netzinfrastruktur ist derzeit jedoch nicht absehbar, so dass Unternehmen Internetanwendungen auf den Markt bringen. Bekannte Beispiele sind „Google Health“ oder „Health Vault“, eine Lösung, die Microsoft seit diesem Jahr gemeinsam mit Siemens in Deutschland vermarktet.

USB-Stick oder Internet?
„Die eigenen Krankheitsdaten in der Hosentasche oder im Internet?“, fragte Rüdiger Wehrmann, Mitarbeiter beim Hessischen Datenschutzbeauftragten. Behaftet mit Risiken ist beides. Wer sich für einen USB-Stick entscheidet, muss darauf vertrauen, dass der konsultierte Arzt bereit ist, diesen ihm unbekannten Stick auf einem Rechner in seiner Praxis einzulesen. Auch im Notfall kann der Nutzer nicht davon ausgehen, dass der Helfer zuerst nach einem möglicherweise vorhandenen USB-Stick sucht, von dem er noch nicht einmal weiß, wie dieser aussieht – so gibt es den Stick auch als Schmuckstück. Bei einer webbasierten Gesundheitsakte hingegen bestehen die allgemeinen Sicherheitsproblematiken des Internets. Zudem variieren die Zugangs- und Sicherheitsoptionen je Anbieter, auch ist nicht immer klar, wo die Daten gespeichert werden.

Der Nutzer sollte laut Wehrmann vor der Entscheidung für ein Produkt daher klären, welche Einflussmöglichkeiten er auf die Gestaltung der Akte hat, etwa hinsichtlich der Vergabe von Zugriffs- und Löschrechten, und welche Sicherungs- und Authentisierungsverfahren eingesetzt werden. Wichtig sei auch die Frage, was mit den gespeicherten Daten bei einer Kündigung passiert.
Heike E. Krüger-Brand
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Alle Leserbriefe zum Thema

Login

Loggen Sie sich auf Mein DÄ ein

E-Mail

Passwort

Anzeige