Risiken der vernetzten Welt – Teil 3 Mehr Datenschutz im Healthcare-Bereich

Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Daten werden in allen Lebensbereichen gesammelt. Meist greift dabei die informationelle Selbstbestimmung, nicht aber im Gesundheitswesen. Patientendaten liegen in der Obhut von Ärzten und Krankenkassen. Reichen angesichts der aktuellen IT-Entwicklungen strengere Datenschutz-Regularien aus?

Anbieter zum Thema

Als Patient muss man darauf vertrauen können, dass Krankenakten und -daten nicht in die falschen Hände geraten.
Als Patient muss man darauf vertrauen können, dass Krankenakten und -daten nicht in die falschen Hände geraten.
(Bild: Archiv)

Im vorigen Teil unseres Artikels zur IT-Sicherheit im Gesundheitswesen hatten wir über das „Big Data“-Unternehmen Datarella berichtet. Dieses fordert eine gesetzliche Regulierung, um die Patienten vor gefährlichen Schlussfolgerungen zu schützen. Die Analysen selbst müssten erlaubt sein. Es verwundert wohl kaum, dass ein „Big Data“ Unternehmen für die Möglichkeit von Datenanalysen wirbt.

Leider wird der Aspekt der Datenkriminalität dabei schnell übersehen. Paul Ohm, Associate Professor der University of Colorado Law School, schreibt im Aufsatz ‚Gebrochene Versprechen der Privatsphäre‘: „Nahezu jeder Person in der industrialisierten Welt lässt sich mindestens ein Umstand aus einer Datenbank zuweisen, die Angreifer zur Erpressung, Diskriminierung, Schikane, Raub oder Identitätsdiebstahl nutzen können.“

Die IT vereinfacht vieles, auch im Gesundheitswesen: Krebsexperten des Klinikums Nürnberg kommunizieren mit den Kollegen des Krankenhauses Lauf per Videokonferenz über eine Standleitung. Derweil teletherapiert die „Bayerische TeleMedAllianz“ sprach- und sprechgestörte Parkinson-Patienten mithilfe einer Smartphone-basierten Telemedizin-Plattform.

Diese eigentlich nützlichen Entwicklungen bergen aber leider auch Risiken. Es ist kein Geheimnis mehr, dass sich prinzipiell auch Standleitungen abhören lassen; und das Smartphone ist auch nicht gerade bekannt für hohe Ansprüche an Informationssicherheit und Datenschutz.

Mangelndes Bewusstsein

Im Jahr 2012 sind im Kreiskrankenhaus Rastatt hunderttausende Patientendaten auf einer Sicherungskopie verschwunden. Ein paar Wochen später war im Fürst-Stirum-Klinik Bruchsal von gestohlenen Röntgenunterlagen aktueller und ehemaliger Patienten die Rede. Michael Klose, Sprecher der Staatsanwaltschaft, sagte seinerzeit: „Wir können uns keinen Reim darauf machen, wer Interesse an solchen Daten haben könnte.“ Ein Diebstahl sei „eher unwahrscheinlich“.

Doch solche Daten sind für Kriminelle durchaus nützlich, weiß Carsten Maple, Professor der Universität Warwick und Berater der Britischen Regierung: Wer sich etwa mit dem HI-Virus infiziert habe, kämpfe einen stillen Kampf, um nicht stigmatisiert zu werden. Zu den Opfern zählten laut Maple regelmäßig die Reichen und Mächtigen, denen die Kriminellen zutrauen „am meisten zu verlieren zu haben“.

Insbesondere die Online-Erpressung sei in die Höhe geschossen. Seit dem vergangenen Jahr werden eine ganze Reihe von belgischen und niederländischen Firmen von einer oder mehreren Personen erpresst, die sich „Rex Mundi“ (lat: „König der Welt“) nennen. Falls nicht gezahlt werde, würden Patientendaten veröffentlicht.

Wie ist es aber um die Datensicherheit in deutschen Kliniken bestellt? Diesen stellt die Unternehmensberatung PricewaterhouseCoopers (PwC) ein deutlich schlechteres Zeugnis aus, als jenen in Großbritannien, Finnland oder Rumänien. Nur jedes vierte Krankenhaus signiere hierzulande Patientendaten elektronisch, nur jedes fünfte verfüge über ein IT-Sicherheitskonzept.

Weitere Angriffspunkte im Gesundheitssektor

Für 2015 erwartet Carl Leonard, Principal Security Analyst des Sicherheitsanbieters Websense einen „substanziellen Anstieg“ beim Datendiebstahl. Wobei geklaute Daten nicht nur genutzt werden können, um den Patienten zu erpressen. 2012 wurden die Patientendatensätze eines Chirurgs in den USA kryptographisch verschlüsselt und der Arzt um ein Lösegeld erpresst. Die Angreifer könnten womöglich auch Patientendaten manipulieren.

Bedroht sind weiterhin die medizinischen Geräte. So lassen sich Infusionspumpen zur Abgabe von Medikamenten, Defibrillatoren mit Bluetooth-Anschluss und Röntgengeräte aus der Ferne manipulierten. Dieses Ergebnis eines Sicherheitstests bestätigte selbst das National Institute of Standards and Technology (NIST).

Im Koalitionsvertrag der Bundesregierung heißt es, dass man die Chancen der Digitalisierung im Healthcare-Bereich nutzen und E-Care-Systeme in Smart-Home-Umgebungen fördern wolle. „Dabei ist ein Höchstmaß an Datenschutz zu gewährleisten. „Wir werden verhindern, dass sensible Patientendaten unkontrolliert an Dritte weitergegeben werden.

Ein weiterer Fokus liege auf der Elektronischen Gesundheitskarte (eGK). „Die eGK soll ausgebaut werden, um den bürokratischen Aufwand für Patientinnen und Patienten zu verringern und die Kommunikation zu verbessern. Höchste Datenschutzstandards sowie eine sichere Verschlüsselung der Daten sind dabei die Grundvoraussetzung [...].“

Gesetzliche Voraussetzungen

Im Dezember 2014 hat die Bundesregierung den Entwurf eines „IT-Sicherheitsgesetzes“ verabschiedet. Damit sollen die Betreiber kritischer Infrastrukturen, etwa in der Energiewirtschaft, zum Nachweis besonders hohen Sicherheitsstandards verpflichtet werden. Im Bereich der Gesundheitswirtschaft werden nur „medizinische Versorgung, Labore, Arzneimittel und Impfstoffe“ zum Kreis derer, die mit dem neuen Gesetz verpflichtet werden sollen.

Für die Telematikinfrastruktur im Gesundheitswesen sollen künftig zwar vergleichbare Anforderungen gelten. Der Sozialwissenschaftler Klaus-Peter Saalbach von der Universität Oldenburg unterstreicht aber: „Da die Ärzte gerade in Notfällen einen einfachen und ungehinderten Zugang benötigen, ist der Schutz kompliziert, so dass die kabellose Kommunikation anfällig für Angriffe ist.“

Letztlich existieren noch keine angemessenen Datenschutzgesetze. Doch auch Heilberufler müssen im Falle eines Datenverlustes Sanktionen fürchten, denn hier greift § 203 des Strafgesetzbuchs, nämlich die Verletzung von Privatgeheimnissen: „Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Arzt […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“

Auch deshalb hat der frühere Bundesdatenschutzbeauftragte Peter Schaar den Kliniken in einem ausführlichen Blogbeitrag ins Gewissen geredet: „IT-Systeme, die nicht einmal die Basisanforderungen an einen differenzierten Zugriffsschutz, an die Protokollierung von Systemaktivitäten und an die Löschung personenbezogener Daten erfüllen, können nicht rechtskonform eingesetzt werden und bilden außerdem ein Geschäftsrisiko.“

Krankenhäuser müssen IT-Systeme härten

Bei den Geschäftsleitungen müsse das Bewusstsein dafür geschärft werden, dass „nachhaltig gute Geschäfte die Berücksichtigung des Datenschutzes voraussetzen“. Eigentlich solle es für Krankenhausleitungen selbstverständlich sein, Datenschutzanforderungen in die Pflichtenhefte für IT-Systeme aufzunehmen.

Der Gesetzgeber verpflichtet datensammelnde Unternehmen zur Kontrolle von Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag und Verfügbarkeit. Außerdem sei „zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können“. So sollen Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten garantiert werden.

Wie aber kann der Arzt einem Richter nachweisen, dass er trotz seiner Sorgfalt unschuldig Opfer von Kriminellen wurde? Zum Beispiel durch Entwicklung eines Praxis-spezifischen Sicherheits- und Notfallkonzepts. Dazu hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) die „IT-Grundschutz-Kataloge“ verfasst.

Datenschutzbeauftragten des Bundes und der Länder haben außerdem eine „Orientierungshilfe Krankenhausinformationssysteme“ veröffentlicht. Im Vorwort der zweiten Fassung vom März 2014 notieren die Autoren allerdings: „Die Orientierungshilfe ist bei den betroffenen Verbänden durchweg auf Interesse gestoßen, hat aber bei einigen Krankenhausbetreibern und Herstellern von Krankenhausinformationssystemen auch Kritik hervorgerufen.“

Neue Sicherheitskultur erforderlich

Claudia Eckert, Leiterin des Fachgebiets „Sicherheit in der Informatik“ an der Technischen Universität München, verlangt im September 2014 gegenüber dem Göttinger Tageblatt nach mehr als nur Technik und Organisationskonzepten – sie meint es sei eine „Kultur der Sicherheit“ notwendig; dazu zählt Eckert auch die Fähigkeit, mit Informationstechnologien umzugehen.

Nach Eckerts Auffassung mangelt es hier „an allen Ecken und Enden.“ Die neue Kultur der Sicherheit müsse nach Meinung der Professorin eine Gestaltungsaufgabe sein, die interdisziplinär erbracht werden müsse. Dann erst sei digitale Souveränität zu erreichen. Um aber Sicherheit messen zu können, müssten erst einmal neue Analyseverfahren geschaffen werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43216289)