Gesetzliche Anforderungen

Datenschutz im Healthcare-Bereich

| Autor / Redakteur: Dr.-Ing. Christian Scharff* / Stephan Augsten

Gerade im Healthcare-Bereich liegen die Kompetenzen an anderen Stellen als beim potenziellen Abfluss von Informationen.
Gerade im Healthcare-Bereich liegen die Kompetenzen an anderen Stellen als beim potenziellen Abfluss von Informationen. (Bild: Archiv)

Datenschutz zählt zweifelsohne nicht zu den Kernkompetenzen von Kliniken oder Pflegeheimen. Dabei sind es gerade medizinische Einrichtungen, die besonders sensible Informationen digital verwalten.

Die Digitalisierung macht auch vor dem Gesundheitswesen nicht Halt. Patientenakten werden digitalisiert, um Ärzten und Pflegepersonal jederzeit Zugriff auf wichtige Patientendaten zu ermöglichen, ohne dass die Papierakte von A nach B transportiert werden muss. Pflegeheime und Kliniken vernetzen sich mit dem Medizinischen Dienst und Krankenkassen, um zum Beispiel Befunde zu übermitteln.

Das Problem ist, dass Cyber-Kriminelle immer wieder versuchen, Datenbanken zu knacken und sensible Kundeninformationen abzuziehen. Von dieser Entwicklung sind eben auch medizinische Einrichtungen betroffen – und nur wer einen ausreichenden Datenschutz bieten kann, behält das Vertrauen der Patienten, Mitarbeiter und Geschäftspartner.

Studie

Damit müssen sich medizinische Einrichtungen unweigerlich dem Thema Datenschutz stellen. Dass sie es nur unzureichend tun, belegt die Studie „European Hospital Survey – Benchmarking Deployment of eHealth Services“ des Beratungsunternehmens PricewaterhouseCoopers aus dem Jahr 2014.

Seinerzeit nutzten nur 40 Prozent der deutschen Krankenhäuser eine Verschlüsselung zur Sicherung der Patientendaten. Nur eines von fünf Krankenhäusern verfügte über ein ausreichendes Datensicherungssystem. Jede dritte deutsche Klinik braucht mindestens 24 Stunden, um nach einem Systemausfall die Daten wiederherzustellen.

Gesetze

Mangelnder Datenschutz und fehlende Datensicherheit sind das eine, die stetig wachsenden Anforderungen durch den Gesetzgeber das andere. Zusätzlich zum Bundesdatenschutzgesetz (BDSG) ist seit dem Sommer 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, IT-SiG) in Kraft getreten, unter das auch Krankenhäuser fallen.

Es stellt technische und organisatorische Anforderungen an die Betreiber sogenannter kritischer Infrastrukturen, also solchen Infrastrukturen, die für das Gemeinwesen von zentraler Bedeutung sind.

Das IT-Sicherheitsgesetz sieht nicht nur vor, dass Ausfälle oder Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Vielmehr muss die Einhaltung der gesetzlichen Vorschriften auch alle zwei Jahre durch geeignete Audits oder Zertifizierungen überprüft werden. Verstöße werden mit Bußgeldern von bis zu 100.000 Euro geahndet.

Gesetzgeber macht Druck

Allein durch das Inkrafttreten des IT-Sicherheitsgesetzes und dessen zeitliche Vorgaben zur Erfüllung der rechtlichen Anforderungen entsteht bei medizinischen Einrichtungen ein hoher Handlungsbedarf in Sachen Datenschutz und Datensicherheit.

Hinzu kommt, dass auch die Öffentlichkeit immer mehr für diese Themen sensibilisiert wird. Datenschutzpannen, gerade im Gesundheitswesen, werden von in der Öffentlichkeit oftmals hochgepuscht. So kann der Vertrauensverlust weit größeren Schaden nach sich ziehen als monetäre Strafen, die durch etwaige Aufsichtsbehörden verhängt werden.

Wer im Falle eines Haftungsschadens infolge eines Datenlecks oder -diebstahls die Verantwortung trägt, steht außer Frage: Die Leitung bzw. die Geschäftsführung der medizinischen Einrichtung. Sollten sogar grob fahrlässige Verstöße festgestellt werden, zum Beispiel bei einer Scheinbestellung eines betrieblichen Datenschutzbeauftragten, kann die persönliche Haftung eines Geschäftsführers nicht mehr ausgeschlossen werden.

Lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44114582 / Sicherheit/Datenschutz)