Patienten-Daten im Blickpunkt von Datenschützern und Datendieben

  • in der Kategorie Datenschutz
  • veröffentlicht.
data privacy

Bei hochsensiblen Patienten- und Gesundheitsdaten, ihrer digitalen Verarbeitung und Verbreitung sind besondere Sorgfalt und Vorsicht oberste Pflicht. So legt es das Datenschutzgesetz fest.

Sie müssen zu jeder Zeit und an jedem Punkt innerhalb des Verarbeitungsprozesses sicher geschützt sein. Krankenhäuser, Arztpraxen und alle anderen Einrichtungen des Gesundheitswesens unterliegen dabei eng gefassten gesetzlichen Regeln und Vorschriften. Das gilt auch oder insbesondere für die Einführung der digitalen Patientenakte, die möglichst schnell realisiert werden soll. Sie wird im digitalen Datenverkehr enorme Mengen personalisierter Informationen in Umlauf bringen.

Deshalb stellt sich die Frage, wie es 2020 um die Umsetzung des Datenschutzes und das Recht des Patienten, über die Daten selbst zu bestimmen, bestellt ist. Sind diese beiden Punkte vonseiten der Gesundheitseinrichtungen wirklich gewährleistet?

Auf der anderen Seite füttert auch der „Patient“ selbst das Netz mit seinen Gesundheitsdaten. Blutzucker oder Blutdrucktagebücher werden in Gesundheitsapps am PC eingegeben. Immer mehr Freizeit- und Reha-Sportler nutzen Fitnessuhren oder Smartphone, um Kilometer, Pulsfrequenz, Kalorien- und Energiewerte oder den Schlafrhythmus aufzuzeichnen.

All diese Akteure und die entsprechenden digitalen Systeme müssen ausreichend für den Schutz der Daten vorbereitet sein. Für alle gilt es neue Regeln, Richtlinien und Verhaltensweisen zu lernen und auszuführen, wenn der Schutz der Daten effektiv und nachhaltig sein soll.

Die digitale Patientenakte – Nutzen und Gefahren

Das Gesundheitswesen soll so schnell wie möglich stärker digitalisiert werden. So der Plan von Bundesgesundheitsminister Jens Spahn, der sich besonders von der elektronischen Patientenakte eine Menge verspricht. Neben dem Patienten sollen alle Ärzte, Therapeuten und Apotheker auf die hier gespeicherten Informationen zugreifen können, die für sie und die entsprechende Behandlungsmethode wichtig sind.

Ziel ist es, dem Patienten auch in Notfällen eine schnelle Diagnose und Versorgung zu sichern, die seinem Gesundheitszustand und eventuellen Vorerkrankungen entspricht. Bei einem Arztwechsel oder die Weiterbehandlung durch einen Facharzt stehen alle relevanten Informationen sofort zur Verfügung und kurz aufeinanderfolgende, aufwendige Doppel-Untersuchungen könnten vermieden werden. Für den Patienten wäre das Ende der „Zettelwirtschaft“ in Sicht, er müsste keine Kopien seiner Befunde und Laborergebnisse in Papierform mehr weitergeben.

Prinzipiell also eine Neuerung, die im Gesundheitswesen Zeit und Kosten sparen und gefährliche Missverständnisse vermeiden kann. Die Idee der Patientenakte ist durchaus im Sinne des Patienten. Sie kann besonders bei chronisch Kranken eine aufschlussreiche Informationsquelle sein, mit deren Hilfe nicht nur Gesundheitsparameter transparent sind, sondern auch die aktuelle Medikation bruchlos weitergeführt werden kann.

Da noch viele Detailfragen offen sind, insbesondere was die Zugriffsberechtigungen und die damit verbundenen Sicherheitsmaßnahmen betrifft, fehlt es in Krankenhäusern und Praxen derzeit aber an der entsprechenden Technik. Hinzu kommen grundsätzliche Fragen wie die nach den geeigneten Endgeräten für die Verwaltung und Nutzung der Daten. Smartphones und Tabletts haben deutliche Schwachstellen, die seit Längerem bekannt sind. Sie sind nahezu prädestiniert für den unerlaubten Datenzugriff.

Datenlecks sorgen immer wieder für Zweifel

Auch schlecht gesicherte Server sorgen für Sicherheitslücken. Schon jetzt kursieren im Netz ohne Passwortschutz in großer Menge Bilder von CTs und MRTs. Völlig frei zugänglich zeigen sie in detaillierter, hoher Auflösung das Innere von Patienten. Bilder von Hüftgelenken, Wirbelsäulen, inneren Organen oder Brustkrebsscreenings. Dokumente, die Verschleiß, Verkalkung, Brüche oder Organerkrankungen offen legen. Persönlicher geht es kaum. Eine BR-Recherche konnte weltweit digitale Befunde aus insgesamt 50 Staaten identifizieren. Darunter auch Tausende Datensätze aus Deutschland.

Für Bundesgesundheitsministerium und das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dieser Vorfall ein Zeichen für den immer noch mangelhaften Umgang mit dem Datenschutz. Ein Grund liegt in den IT-Systemen, die grundlegende Sicherheitsmaßnahmen nicht erfüllt haben. Die gesetzliche Anforderung dafür sind in Deutschland jedoch klar definiert: Wer Gesundheitsinformationen oder Patienten-Daten auf einem PC oder einem Server speichert, muss den Schutz der Daten auf höchstem Niveau sicherstellen.

Nie ohne Einwilligung des Patienten

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO), die seit 25.5.2018 europaweit in gilt, ist die rechtmäßige Erhebung und Verarbeitung von Patienten-Daten eindeutig geregelt. Nur der Patient selbst kann über seine Daten bestimmen. Das ist einer der Kernsätze und legt die Verhaltensregeln im täglichen Gebrauch fest. Krankenhäuser, Arztpraxen und alle weiteren medizinischen Einrichtungen und Dienstleistern im Gesundheitswesen müssen ihre Patienten über den Zweck von Datenerhebung, Speicherung und Weiterleitung informieren. Auch über seine Rechte in Bezug auf Datenschutz muss der Patient aufgeklärt werden. Zudem dürfen keine Patientenakten von anderen Patienten oder Besuchern einsehbar sein. In der Folge muss jeder Patient in jedem Krankenhaus, jeder Praxis oder medizinischen Einrichtung die jeweiligen Formulare und Verträge unterschreiben, um seine Einwilligung nachweislich zu erteilen.

Smartphone als Mitarbeiterüberwachung – rechtliche Regelungen für Arbeitgeber

Smartphones oder Fitnessuhren, auch bekannt als Wearables, sind nicht nur trendy. Arbeitgeber haben Sie als interessante Informationsquelle zum Verhalten ihrer Mitarbeiter als Kontrollinstrument für sich entdeckt.

Über entsprechende Applikationen können die Wearables in Alltag und Sport nahezu alles aufzeichnen. Ernährungs-, Schlaf- oder Bewegungsverhalten, Blutzuckerspiegel, Pulsfrequenz und Kalorienverbrauch sind beispielsweise solche Parameter. Zunehmend mehr Menschen setzen Wearables ein, um ihr persönliches Gesundheits- und Fitnessziel zu erreichen.

Diese Daten sind auch für Arbeitgeber von Interesse. Ihm ermöglichen sie Kontrolle. Außendienstmitarbeiter können zum Beispiel jederzeit lokalisiert werden, die Pulsfrequenz lässt Rückschlüsse über die ausgeführte Tätigkeit zu. Einmal erfasst, können die Daten analysiert werden und geben einen Einblick in das allgemeine Verhalten und den Arbeitsrhythmus des Mitarbeiters.

Da damit laut Datenschutzgesetz eine datenschutzrechtliche Verarbeitung vorliegt, gibt es wie im Gesundheitswesen genaue Regelungen. Auch hier gilt: Der Betroffene, also der Mitarbeiter, bestimmt über seine Daten. Es bedarf einer nachweislichen Einwilligung. Es muss klar definiert sein, welche Daten konkret durch den Arbeitgeber erhoben und gespeichert. Auch die Dauer der Datenspeicherung muss geklärt sein.

Weil Gesundheitsdaten außerdem als besonders schutzbedürftig gelten, sollten Unternehmen im Vorfeld genau überlegen, welche Daten sie wie erheben und speichern und mit welchen Technologien sie den Datenschutz garantieren können. Denn schlussendlich unterliegen sie in diesem Fall den gleichen Regeln wie das Gesundheitswesen.

Patienten-Datenschutz als Herausforderung annehmen und gemeinsam lösen

Realistisch betrachtet ist die geplante Patientenakte für Datendiebe bares Geld wert. Viele der Informationen sind auf dem Schwarzmarkt eine lukrative Handelsware. Gesundheitsdaten, von denen Menschen aus unterschiedlichen Gründen nicht wollen, dass sie öffentlich bekannt werden. Sozialversicherungsdaten und Versicherungsnummern könnten ebenfalls missbraucht werden.

Erfolgreicher und nachhaltiger Schutz der Gesundheitsdaten wird letztlich nur durch die Zusammenarbeit aller am Erhebungs- und Speicherprozess beteiligten umsetzbar. Das beginnt in den Köpfen. Allen muss klar sein, wie sensibel die Daten sind, mit denen sie da täglich umgehen. Hinzu kommt der Bedarf an neuester Technologie, die präzise formulierte Anforderungen nach modernsten Aspekten erfüllen.

Um den Datenschutz der hochsensiblen persönlichen Patienten-Daten in aller Konsequenz umzusetzen, benötigen Krankenhäuser und Praxen neben konkreten Handlungsleitlinien eine zuverlässig funktionierende IT-Systeme. Auch das entsprechende Know-how und genügend Personal sind entscheidende Aspekte, diese zusätzlichen Aufgaben fachgerecht zu bewältigen. Das erfordert intensive Schulungen und in verschiedenen Bereichen ist die Aufstockung von Mitarbeitern dringend erforderlich. Kurz: Auf allen Handlungsebenen muss Professionalität Priorität erhalten.

1. April 2025Webseite

Warum deine Webseite 2025 fit für die Zukunft sein muss

Im Jahr 2025 entscheidet deine Webseite darüber, ob du online erfolgreich bist – gerade in der Schweiz, wo hohe Standards

31. März 2025SEO

Wenn organischer Traffic zurückgeht: 10 Gründe und was zu tun ist

Organischer Traffic ist das Herzstück einer erfolgreichen SEO-Strategie. Wenn die Zugriffszahlen plötzlich einbrechen, kann das viele verschiedene Ursachen haben. Hier

Weiterlesen
25. März 2025Security

Cybermobbing im Visier: Wie die Schweiz auf digitale Belästigung reagieren will

Cybermobbing – eine Form der digitalen Belästigung, die immer mehr Menschen betrifft. Nicht nur in der Schweiz ist es zu

Weiterlesen
12. März 2025KI

Scam Anrufe? Nicht mit Daisy – Wie die KI-Oma von O2 Betrügern die Zeit stiehlt

Wer kennt sie nicht, die nervigen Scam Anrufe, bei denen vermeintliche Banken oder Behörden versuchen, uns mit leeren Versprechungen, Vorwänden

Weiterlesen
Zum Inhalt springen