Sicherheit + Datenschutz 31. Januar 2020 5 Min Lesezeit

Patienten-Daten im Blickpunkt von Datenschützern und Datendieben

Geschrieben von
Roger Klein
data privacy

Bei hochsensiblen Patienten- und Gesundheitsdaten, ihrer digitalen Verarbeitung und Verbreitung sind besondere Sorgfalt und Vorsicht oberste Pflicht. So legt es das Datenschutzgesetz fest.

Diese Daten müssen zu jeder Zeit und an jedem Punkt innerhalb des Verarbeitungsprozesses sicher geschützt sein. Krankenhäuser, Arztpraxen und alle anderen Einrichtungen des Gesundheitswesens unterliegen dabei eng gefassten gesetzlichen Regeln und Vorschriften. Das gilt auch — und insbesondere — für die Einführung der digitalen Patientenakte, die möglichst schnell realisiert werden soll. Sie wird im digitalen Datenverkehr enorme Mengen personalisierter Informationen in Umlauf bringen.

Deshalb stellt sich die Frage, wie es 2020 um die Umsetzung des Datenschutzes und das Recht des Patienten, über die eigenen Daten zu bestimmen, bestellt ist. Sind diese beiden Punkte vonseiten der Gesundheitseinrichtungen wirklich gewährleistet?

Auf der anderen Seite füttert auch der Patient selbst das Netz mit seinen Gesundheitsdaten. Blutzucker- oder Blutdrucktagebücher werden in Gesundheitsapps am PC eingegeben. Immer mehr Freizeit- und Reha-Sportler nutzen Fitnessuhren oder Smartphones, um Kilometer, Pulsfrequenz, Kalorien- und Energiewerte oder den Schlafrhythmus aufzuzeichnen.

All diese Akteure und die entsprechenden digitalen Systeme müssen ausreichend auf den Schutz der Daten vorbereitet sein. Für alle gilt es, neue Regeln, Richtlinien und Verhaltensweisen zu lernen und umzusetzen — wenn der Schutz der Daten effektiv und nachhaltig sein soll.

Die digitale Patientenakte – Nutzen und Gefahren

Das Gesundheitswesen soll so schnell wie möglich stärker digitalisiert werden. So der Plan von Bundesgesundheitsminister Jens Spahn, der sich besonders von der elektronischen Patientenakte eine Menge verspricht. Neben dem Patienten sollen alle Ärzte, Therapeuten und Apotheker auf die gespeicherten Informationen zugreifen können, die für sie und die entsprechende Behandlung relevant sind.

Ziel ist es, dem Patienten auch in Notfällen eine schnelle Diagnose und Versorgung zu sichern, die seinem Gesundheitszustand und eventuellen Vorerkrankungen entspricht. Bei einem Arztwechsel oder bei der Weiterbehandlung durch einen Facharzt stehen alle relevanten Informationen sofort zur Verfügung — aufwendige Doppeluntersuchungen könnten damit vermieden werden. Für den Patienten wäre das Ende der Zettelwirtschaft in Sicht: keine Kopien von Befunden und Laborergebnissen in Papierform mehr.

Prinzipiell also eine Neuerung, die im Gesundheitswesen Zeit und Kosten spart und gefährliche Missverständnisse vermeiden kann. Die Idee der Patientenakte ist durchaus im Sinne des Patienten — besonders bei chronisch Kranken kann sie eine aufschlussreiche Informationsquelle sein. Nicht nur Gesundheitsparameter werden transparent, auch die aktuelle Medikation lässt sich bruchlos weiterführen.

Da noch viele Detailfragen offen sind — insbesondere was Zugriffsberechtigungen und Sicherheitsmassnahmen betrifft — fehlt es in Krankenhäusern und Praxen derzeit an der entsprechenden Technik. Hinzu kommen grundsätzliche Fragen nach den geeigneten Endgeräten für Verwaltung und Nutzung der Daten. Smartphones und Tablets haben deutliche Schwachstellen, die seit Längerem bekannt sind. Sie sind nahezu prädestiniert für unerlaubten Datenzugriff.

Datenlecks sorgen immer wieder für Zweifel

Auch schlecht gesicherte Server sorgen für Sicherheitslücken. Schon jetzt kursieren im Netz ohne Passwortschutz in grosser Menge Bilder von CTs und MRTs. Völlig frei zugänglich zeigen sie in detaillierter, hoher Auflösung das Innere von Patienten — Bilder von Hüftgelenken, Wirbelsäulen, inneren Organen oder Brustkrebsscreenings. Dokumente, die Verschleiss, Verkalkung, Brüche oder Organerkrankungen offenlegen. Persönlicher geht es kaum. Eine BR-Recherche konnte weltweit digitale Befunde aus insgesamt 50 Staaten identifizieren — darunter Tausende Datensätze aus Deutschland.

Für das Bundesgesundheitsministerium und das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dieser Vorfall ein Zeichen für den nach wie vor mangelhaften Umgang mit Datenschutz. Ein Grund liegt in IT-Systemen, die grundlegende Sicherheitsmassnahmen nicht erfüllt haben. Die gesetzlichen Anforderungen dafür sind in Deutschland klar definiert: Wer Gesundheitsinformationen oder Patientendaten auf einem PC oder Server speichert, muss den Datenschutz auf höchstem Niveau sicherstellen.

Nie ohne Einwilligung des Patienten

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO), die seit dem 25.5.2018 europaweit gilt, ist die rechtmässige Erhebung und Verarbeitung von Patientendaten eindeutig geregelt. Nur der Patient selbst kann über seine Daten bestimmen. Das ist einer der Kernsätze — und er legt die Verhaltensregeln im täglichen Gebrauch fest. Krankenhäuser, Arztpraxen und alle weiteren medizinischen Einrichtungen und Dienstleister im Gesundheitswesen müssen ihre Patienten über den Zweck von Datenerhebung, Speicherung und Weiterleitung informieren. Auch über seine Rechte in Bezug auf den Datenschutz muss der Patient aufgeklärt werden. Patientenakten dürfen für andere Patienten oder Besucher nicht einsehbar sein. In der Folge muss jeder Patient in jedem Krankenhaus, jeder Praxis oder medizinischen Einrichtung die jeweiligen Formulare und Verträge unterschreiben, um seine Einwilligung nachweislich zu erteilen.

Smartphone als Mitarbeiterüberwachung – rechtliche Regelungen für Arbeitgeber

Smartphones oder Fitnessuhren — auch bekannt als Wearables — sind nicht nur trendy. Arbeitgeber haben sie als Kontrollinstrument entdeckt: als Informationsquelle zum Verhalten ihrer Mitarbeiter.

Über entsprechende Apps können Wearables in Alltag und Sport nahezu alles aufzeichnen: Ernährungs-, Schlaf- oder Bewegungsverhalten, Blutzuckerspiegel, Pulsfrequenz und Kalorienverbrauch. Zunehmend mehr Menschen setzen Wearables ein, um persönliche Gesundheits- und Fitnessziele zu erreichen.

Diese Daten sind auch für Arbeitgeber interessant. Aussendienstmitarbeiter können jederzeit lokalisiert werden, die Pulsfrequenz lässt Rückschlüsse auf die ausgeführte Tätigkeit zu. Einmal erfasst, geben die Daten einen Einblick in Verhalten und Arbeitsrhythmus des Mitarbeiters.

Da damit laut Datenschutzgesetz eine datenschutzrechtliche Verarbeitung vorliegt, gibt es wie im Gesundheitswesen klare Regelungen. Auch hier gilt: Der Betroffene — also der Mitarbeiter — bestimmt über seine Daten. Es bedarf einer nachweislichen Einwilligung. Es muss klar definiert sein, welche Daten konkret erhoben und gespeichert werden. Auch die Dauer der Datenspeicherung muss festgelegt sein.

Weil Gesundheitsdaten als besonders schutzbedürftig gelten, sollten Unternehmen im Vorfeld genau überlegen, welche Daten sie wie erheben und speichern — und mit welchen Technologien sie den Datenschutz garantieren können. Schlussendlich unterliegen sie denselben Regeln wie das Gesundheitswesen.

Patienten-Datenschutz als Herausforderung annehmen und gemeinsam lösen

Realistisch betrachtet ist die geplante Patientenakte für Datendiebe bares Geld wert. Viele der Informationen sind auf dem Schwarzmarkt lukrative Handelsware — Gesundheitsdaten, von denen Menschen aus unterschiedlichen Gründen nicht wollen, dass sie öffentlich bekannt werden. Sozialversicherungsdaten und Versicherungsnummern könnten ebenfalls missbraucht werden.

Erfolgreicher und nachhaltiger Schutz der Gesundheitsdaten wird letztlich nur durch die Zusammenarbeit aller am Erhebungs- und Speicherprozess Beteiligten umsetzbar sein. Das beginnt in den Köpfen: Allen muss klar sein, wie sensibel die Daten sind, mit denen sie täglich umgehen. Hinzu kommt der Bedarf an Technologie, die präzise formulierte Anforderungen nach modernen Massstäben erfüllt.

Um den Datenschutz hochsensibler Patientendaten konsequent umzusetzen, benötigen Krankenhäuser und Praxen neben konkreten Handlungsleitlinien auch zuverlässig funktionierende IT-Systeme. Das entsprechende Know-how und genügend Personal sind ebenso entscheidend. Das erfordert intensive Schulungen — und in verschiedenen Bereichen ist die Aufstockung von Mitarbeitern dringend notwendig. Auf allen Handlungsebenen muss Professionalität Priorität haben.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2026-03-09 QuickLens Version 5.8 kompromittiert: Chrome-Erweiterung wird zur Malware-Schleuder 2020-01-15 Dokumentenarchivierung im Gewerbe 2020-08-28 Studie offenbart häufigste Ursachen für Datenlecks

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG