Version 1.0
Eltville & Bamberg, 08.11.2021, 12 Uhr
Das Unternehmen wurde Mitte vergangener Woche Ziel eines Cyber-Angriffs, bei dem wichtige Teile des internen IT-Systems verschlüsselt wurden. Infolgedessen sind die Erreichbarkeit sowie der gesamte Unternehmensbetrieb derzeit stark beeinträchtigt.
7. September 2021 – Mit einem Telefaxgerät Patienteninformationen oder andere Gesundheitsdaten zu übermitteln, ist rechtswidrig. Darauf weist die Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen hin. Außerdem sei „zur Übertragung besonderer Kategorien personenbezogener Daten […] die Nutzung von Fax-Diensten unzulässig.“ Die Aufsichtsbehörde begründet ihren Hinweis mit dem mangelnden Schutzniveau von Faxsendungen beim Empfang, das dem Postkartenversand entspreche.
Die Verbraucherzentrale Hamburg begrüßt das neue „Gesetz zur Weiterentwicklung der Gesundheitsversorgung“. Es setzt den Krankenkassen unter anderem engere Grenzen, in denen sie persönlichen Daten von Krankengeldbezieherinnen und -beziehern erheben dürfen. Dennoch sind die Verbraucherschützer skeptisch, dass die Krankenkassen in der Praxis den neuen Bestimmungen in Gänze folgen werden.
„Unter dem Deckmantel der Mitwirkungspflicht haben die Krankenkassen in der Vergangenheit immer wieder Druck ausgeübt und Menschen, die Krankengeld beziehen, zur Preisgabe von sensiblen Patientendaten bewegt“, so Dr. Jochen Sunken von der Verbraucherzentrale Hamburg. „Ob die Kassen diese Praxis von heute auf morgen ändern werden, bleibt abzuwarten. Schließlich konnten sie durch das sogenannte Krankengeldfallmanagement viel Geld sparen.“
In der Antwort auf eine aktuelle Anfrage der FDP-Bundestags-fraktion teilt das Bundes-gesundheitsministerium mit: Für die Telematikinfrastruktur (TI) gebe es bisher keine Daten-schutzfolgenabschätzung. Die Freie Ärzteschaft fordert aus diesem Anlass erneut und entschieden, die Einführung der TI zu stoppen und die Pflicht der Ärzte sowie Psychotherapeuten zum Anschluss an die TI zurückzunehmen. „Jede Verarbeitung von sensiblen persönlichen Daten erfordert vorab eine Datenschutz-folgenabschätzung, und das verpflichtend“, sagte FÄ-Vize Dr. Silke Lüder mit Verweis auf die Datenschutzgrundverordnung (DSGVO) am Montag in Hamburg.
Das gelte vor allem, wenn „bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ bestehe, wie es in dem Gesetz heißt. Lüder betont: „Das ist bei der Telematikinfrastruktur sicher der Fall. Immerhin sollen in dem Netz medizinische Daten von 70 Millionen gesetzlich versicherten Bundesbürger gespeichert werden.“ Diese Datenschutzfolgenabschätzung hätte vor Einführung der TI und vor der gesetzlichen Verpflichtung der Arzt- und Psychotherapiepraxen zum Anschluss an die TI durchgeführt werden müssen – dies hätten auch der Bundesdatenschutzbeauftragte sowie die Kassenärztliche Bundesvereinigung mehrfach eingefordert. „Geschehen ist allerdings nicht – und das ist ein Skandal“, macht die FÄ-Vize klar. „Gelten die Datenschutzgesetze für Bundesgesundheitsminister Jens Spahn etwa nicht?“
Die Sicherheit der Patientendaten in der TI ist ohnehin äußerst zweifelhaft. „Nachdem beim Chaos Communication Congress kürzlich öffentlich wurde, dass sich Unbefugte ohne Probleme Praxis-, Arzt- und Patientenausweise als Zugangsschlüssel zur TI besorgen konnten, ist klar, dass wichtige Datensicherheitskriterien wie Vertraulichkeit und Integrität nicht erfüllt sind“, berichtet Lüder. Deshalb sei inzwischen sogar die Ausgabe von Praxis- und Arztausweisen gestoppt worden. Verstöße gegen den Datenschutz könnten seit Mai 2018 laut DSGVO mit Strafen in Millionenhöhe geahndet werden.
Diese Gemengelage bringe Arztpraxen in eine derzeit unlösbare Situation. „Wer sich an die TI angeschlossen hat oder anschließt“, erläutert die FÄ-Vizevorsitzende, „riskiert eindeutig Verstöße gegen die Datenschutzgesetze, weil die verpflichtende Datenschutzfolgenabschätzung fehlt. Wer sich nicht anschließt, wird mit Honorarabzug bestraft. Da derzeit keine Praxis- und Arztausweise ausgegeben werden, könne man sich selbst dann nicht an die TI anschließen, wenn man wollte – trotzdem gebe es hohe finanzielle Strafen. „Die Sanktionen von Herrn Spahn kann man unter den gegebenen Umständen nur als rechtswidrige Erpressung bezeichnen. Der Minister trägt Verantwortung sowohl für die Sanktionen gegen die Praxen als auch für die fehlende Datenschutzfolgenabschätzung – ein Skandal. Die einzige Antwort darauf kann nur sein: Stopp der TI und des Anschlusszwangs.“
Sehr geehrte Abgeordnete des Deutschen Bundestags,
Sie werden am 7. November 2019 im Bundestag über das Digitale-Versorgung-Gesetz abstimmen. Wir möchten Sie eindringlich davor warnen, mit diesem Gesetz der zentralen Massenspeicherung von sensiblen Gesundheitsdaten den Weg zu bereiten.
Bereits seit 2014 werden Routinedaten der Krankenkassen über das Informationssystem Versorgungsdaten (Datentransparenzverfahren auf Basis der §§ 303a bis 303e SozialgesetzbuchV) aufbereitet. Nun sollen in einem Forschungsdatenzentrum nach § 303d die Gesundheitsdaten aller Versicherten gespeichert, ausgewertet und einer langen Liste von Nutzungsberechtigten zur Verfügung gestellt werden. Die Daten werden im Forschungszentrum lediglich pseudonymisiert gespeichert.
Die Sicherheit einer solchen zentralisierten Speicherung von Gesundheitsdaten aller Versicherten ist weder technisch noch organisatorisch zu gewährleisten, wie Nachrichten über Datenlecks und Forschungen zur Re-Identifizierung von Betroffenen in Datensätzen zeigen.
Eine Zentralisierung von Gesundheitsdaten widerspricht dem Grundrecht auf Datenschutz und informationelle Selbstbestimmung und damit den Prinzipien der Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9 Absatz 1 DSGVO grundsätzlich untersagt und darf nur in engen Grenzen erfolgen. Eine solche Zentralisierung der Gesundheitsdaten ist weder geeignet, erforderlich noch
verhältnismäßig. Nicht zuletzt ist fraglich, ob die komplexen Regelungen zur Zusammenführung, Auswertung und Weitergabe von Gesundheitsdaten für die Betroffenen nachvollziehbar sein können.
Eine zentrale Datei von Gesundheitsdaten öffnet der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor. Der politische und wirtschaftliche Missbrauch solcher Daten muss immer befürchtet und mitbedacht werden.
Die meisten von uns haben weitere Kritik an dem Gesetz. Angesichts der bestehenden Probleme mit der Telematik-Infrastruktur, die bisher allenfalls in der Theorie die Sicherung der Gesundheitsdaten gewährleisten kann, und der Tragweite der vom DVG vorgesehenen Veränderungen fordern wir Sie auf, dem DVG nicht zuzustimmen und stattdessen ein Moratorium in der Digitalisierung des Gesundheitswesens zu beschließen.
Probleme in der Digitalisierung des Gesundheitsbereichs sind weder mithilfe immer neuer Gesetze noch mit Druck auf die in den Heilberufen Tätigen zu lösen. Dringend geboten ist es, das Konzept der Digitalisierung im Gesundheitswesen insgesamt zu überarbeiten.
(1) Zentrale Datensammlungen von Gesundheitsdaten der Bürger und Bürgerinnen sind extrem anfällig für Missbrauch und Sicherheitslücken. Gesundheitsdaten müssen grundsätzlich dezentral und nach Zwecken getrennt verarbeitet werden.
(2) Nicht zuletzt deshalb muss jede solche Speicherung für alle Versicherten freiwillig bleiben. Es darf keine Gesundheitsdatenspeicherung durch die Hintertür geben, indem die Krankenkassen, denen viele Daten (insbesondere für Abrechnungszwecke) vorliegen, diese für andere Zwecke als die vorgesehenen verwenden.
(3) Grundvoraussetzung für Datenweitergabe und Datenspeicherung muss eine funktionierende Telematik-Infrastruktur sein, die nicht aus Bequemlichkeitsgründen Sicherheits- und Datenschutzlücken akzeptiert.
Mit freundlichen Grüßen
gez. Dr. Elke Steven gez. Jan Kuhlmann
(Digitale Gesellschaft e.V.) (Patientenrechte und Datenschutz e.V.)
Die Digitale Gesellschaft e.V . ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt. Zum Erhalt und zur Fortentwicklung einer offenen digitalen Gesellschaft engagiert sich der Verein gegen den Rückbau von Freiheitsrechten im Netz und für die Realisierung digitaler Potentiale bei Wissenszugang, Transparenz, Partizipation und kreativer Entfaltung. (info@digitalegesellschaft.de)
Der Verein Patientenrechte und Datenschutz e.V. ist ein Zusammenschluss von Versicherten der gesetzlichen Krankenkassen, der sich für die Wahrung der Patientenrechte im Zeitalter der Digitalisierung einsetzt. Dazu analysieren wir die Risiken, die sich aus der elektronischen
Gesundheitskarte in Verbindung mit der geplanten digitalen Vernetzung im Gesundheitswesen (sog. „Telematikinfrastruktur“) sowie anderen Formen der Verarbeitung und Verwendung sensibler Patientendaten ergeben. Hieraus entwickeln wir Ansätze zur Minimierung dieser Risiken
Mehrere tausend Patientendaten sind offen im Internet abrufbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über diesen Sachverhalt von IT-Sicherheitsforschern informiert und hat daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren. Zudem hat das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI liegen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.
Dazu äußert sich BSI-Präsident Arne Schönbohm wie folgt:
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“
Bonn, 17.09.2019
Tatsächlich wurden etwa 39 Prozent der Organisationen in diesem Sektor täglich oder wöchentlich von Hackern angegriffen, und nur 6 Prozent gaben an, noch nie einen Cyberangriff erlebt zu haben.
Die zunehmende Digitalisierung im Gesundheitswesen trägt zur Vergrößerung der Angriffsfläche der Branche bei. Und sie wird durch eine Reihe von Faktoren beschleunigt: die breite Einführung von Electronic Health Records Systems (EHRS), die Integration der IoT-Technologie in Medizinprodukte (softwarebasierte medizinische Geräte wie MRTs, EKGs, Infusionspumpen) und die Migration zu Cloud-Diensten. Tatsächlich macht der zunehmende Einsatz von medizinischen IoT-Geräten Gesundheitsorganisationen anfälliger für DDoS-Angriffe: Hacker nutzen infizierte IoT-Geräte in Botnetzen, um koordinierte Angriffe zu starten.
Accenture schätzt, dass der Verlust von Daten und die damit verbundenen Ausfälle die Gesundheitsunternehmen im Jahr 2020 fast 6 Billionen Dollar bzw. Euro kosten werden, verglichen mit 3 Billionen im Jahr 2017. Cyberkriminalität kann in den nächsten vier bis fünf Jahren verheerende finanzielle Auswirkungen auf den Gesundheitssektor haben.
Laut dem bereits erwähnten Radware-Bericht verzeichneten Gesundheitsorganisationen einen deutlichen Anstieg von Malware- oder Bot-Angriffen, wobei auch Social Engineering und DDoS-Attacken stetig wuchsen. Auch wenn die Zahl der Ransomware-Angriffe insgesamt zurückgegangen ist, treffen Hacker die Gesundheitsbranche mit diesen Angriffen weiterhin am stärksten. Und es steht zu erwarten, dass sie Ransomware-Angriffe weiter verfeinern und wahrscheinlich IoT-Geräte hijacken werden, um Lösegelder zu erpressen. Darüber hinaus nimmt das Kryptomining zu, wobei 44 Prozent der Unternehmen einen Kryptomining oder Ransomware-Angriff erleben. Weitere 14 Prozent erlebten beides. Dabei sind nur wenige Gesundheitsdienstleister auf derartige Angriffe vorbereitet.
Warum das Gesundheitswesen?
Die Gesundheitsbranche wird aus verschiedenen Gründen angesprochen. Ein ganz wesentlicher ist das Geld. Die Gesundheitsausgaben machen weltweit einen Anteil von 20 Prozent oder mehr des BIP aus, was die Branche zu einem finanziell attraktiven Ziel für Cyberkriminelle macht. Und laut dem Bericht von Radware werden medizinische Daten im Darknet höher gehandelt als Passwörter und Kreditkartendaten.
„Unabhängig von der Motivation stellen Ransomware- und DDoS-Angriffe eine gefährliche Bedrohung für Patienten und Dienstleister dar“, so Michael Tullius, Regional Director DACH bei Radware. „Viele Krankheiten werden zunehmend mit Hilfe von Cloud-basierten Überwachungsdiensten, Embedded-IoT-Geräten und der Selbst- oder automatisierten Verabreichung von verschreibungspflichtigen Medikamenten behandelt. Cyberangriffe könnten dabei das Leben und Wohlergehen der Menschen ernsthaft gefährden.“
Empfehlungen
Die Sicherung digitaler Assets kann nicht mehr ausschließlich an die IT-Abteilung delegiert werden, sondern wird zunehmend zur Angelegenheit der Führungsspitze von Gesundheitsdienstleistern. Die Experten von Radware empfehlen eine Reihe von Maßnahmen, um Cyberangriffen im Gesundheitswesen proaktiv zu begegnen:
– Kontinuierliche Überwachung und Überprüfung auf gefährdete und kompromittierte IoT-Geräte und im Falle des Falles Durchführung geeigneter Abhilfemaßnahmen
– Erstellung und Implementierung von Richtlinien und Verfahren für die Passwortverwaltung für Geräte und deren Benutzer; Sicherstellung, dass alle Standardpasswörter in sichere Passwörter geändert werden.
– Installation und Wartung von Antivirensoftware und Sicherheitspatches sowie die Aktualisierung von IoT-Geräten mit Sicherheitspatches, sobald Patches verfügbar sind
– Installation und Konfiguration einer Firewall zur Einschränkung des ein- und ausgehenden Datenverkehrs
– Gegebenenfalls Segmentierung von Netzwerken Beschränkung des Zugriffs auf Netzwerksegment
– Deaktivieren des universellen Plug-and-Play auf Routern, es sei denn, es ist unbedingt erforderlich
– Gegebenenfalls Nutzung von Cloud-Diensten spezialisierter Anbieter zur Abwehr von Cyberattacken
Weitere Artikel zum Thema:
Stuttgarter Nachrichten https://www.stuttgarter-nachrichten.de/inhalt.datenschutz-in-krankenhaeusern-cyberattacke-auf-die-klinik.4f2ca0bc-32f8-4511-bf87-9dd176c259c9.html
Rückfragen konnte man stellen, aber zufriedenstellende Antworten gab es nicht. Das ist kein Vorwurf an das Praxispersonal. Hier fehlt einfach das IT-Fachwissen
Ärzte, Krankenhäuser, Therapeuten und andere im Gesundheitswesen tätige Firmen und Personen mussten schon vor Inkrafttreten der DSGVO Patientendaten schützen. Nicht alle haben das auch vorschriftsmäßig getan. So gab es Arztpraxen, die über leicht zugängliche WLAN-Router kommunizierten. Andere wiederum nahmen den billigsten Anbieter zur Wartung ihrer Praxissoftware. Oft mit einer Fernwartungsvereinbarung, aber ohne gesonderte Datenschutzerklärung.
Auch in Krankenhäusern verschwanden Patientendaten. Hier wurden gerne einfache Passwörter benutzt, die von Kriminellen leicht zu knacken waren. Auch die Herausgabe von Patientendaten an Firmen erfolgte da und dort ohne Einwilligung. Arztbriefe wurden ohne Schwärzung der personenbezogenen Daten zum Scannen an externe Dienstleister weitergegeben (wir haben darüber schon berichtet).
Arzthelfer*innen und Mitarbeiter*innen in Krankenhäusern, aber auch Ärzt*innen sind mit der Digitalisierung und der damit verbunden Datenschutzauflagen oft überfordert. Dies ist mit ein Grund, weshalb sie die DSGVO eher widerwillig umsetzen. Das kann man menschlich gesehen zwar verstehen, ändert aber nichts daran, dass die Patient*innen ein Recht auf einen ausreichenden Schutz ihrer Daten haben.
Patient*innen, die nachfragen sind unerwünscht. Wer Auskunft haben will, stört. Man habe dafür keine Zeit, heißt es nicht selten. Das widerspricht natürlich der DSGVO.
Anhang????
Beachten Sie den gelben Punkt auf dem Foto. Wo bitte ist da ein Anhang? Dieser Text ist in Folie geschweißt.
Manche Ärzte wollen den Patienten Newsletter und E-Mails schicken. Dafür wollen Sie natürlich auch die Einwilligung. Leider fehlt da ein Hinweis, dass der E-Mail-Verand verschlüsselt erfolgen soll. Auf Nachfrage erhielt die Patientin die Antwort, dass man das nicht wisse. Man solle einfach unterschreiben, das sei alles in Ordnung.
Nicht alles, was machbar ist, darf auch gemacht werden. Zwar gibt es viel zu wenig Pflegekräfte in Krankenhäusern und Heimen, dennoch darf dieser miserable Zustand nicht als Rechtfertigung für eine ständige Überwachung von Patienten und alten Menschen dienen. Hinzu kommt noch, dass es eine wirklich sichere Datenübertragung nicht gibt und wahrscheinlich auch nicht geben wird. Die neuesten Häckerangriffe haben das sehr deutlich gemacht. Es muss daher sehr genau überlegt werden, welche Art von Überwachung wirklich notwendig ist, um Patienten einen besseren Schutz zu bieten. Je mehr Technik zum Einsatz kommt, desto geringer fällt der Kontakt zu anderen Menschen aus. Bevor Sie für Ihre Angehörigen entscheiden, empfehlen wir Ihnen das Buch „Einsamkeit“ von Manfred Spitzer zu lesen.
Immer mehr Technologien ziehen in den Gesundheitsbereich ein: von der Telemedizin über intelligente Betten bis hin zu Patientenakten in der Cloud. Diesen Fortschritt begünstigen Big Data, Internet of Things und die Telematik. Digitalisierung verspricht Effizienzsteigerung bei mehr Flexibilität und Kostensenkung. Mit dem Einzug neuer Technologien in die Gesundheitsbranche geht meist die kontinuierliche elektronische Dokumentation des Patientenzustandes einher. Das Ziel: die Versorgung grundlegend zu verbessern und Pflegepersonal nachhaltig zu entlasten. Derzeit verhindern noch ethische Bedenken aufgrund der ständigen Überwachung von Patienten sowie gesetzliche Auflagen die flächendeckende Einbindung vieler Technologien, die bereits zu Optimierungen im Krankenhaus- und Pflegealltag führen könnten.
Jeder fünfte Deutsche ist über 65 Jahre alt[1]: Die Auswirkungen des demografischen Wandels machen sich vor allem durch eine wachsende Zahl an Pflegebedürftigen bemerkbar. Im Zuge dessen steigt der Bedarf an digitalen Lösungen für ein selbstbestimmtes Leben. Bereits die Nutzung von alltagsunterstützenden Systemen erleichtert die Eigenständigkeit von Senioren: Wearables heißen die intelligenten Helfer in Form von smarten Endgeräten, die Pflegebedürftige auf Wunsch im Alltag unterstützen. Ein kleines Handy, das mit einem 3-D-Bewegungssensor und einer Zwei-Wege-Kommunikation ausgestattet ist, erkennt und meldet etwa einen Sturz. Daraufhin sendet das Wearable ein Notrufsignal ab. Falls die gestürzte Person keine Auskunft über ihren Standort geben kann, lässt sich mithilfe von GPS-Satelliten oder GMS-Ortung die Position des Sturzdetektors ermitteln. Weitere Haushaltshilfen wie smarte Abschaltsysteme sorgen dafür, dass Herd oder Ofen nicht die Höchsttemperatur oder die einprogrammierte Nutzzeit überschreiten. Die Rund-um-die-Uhr-Beobachtung durch die Wearables dient nur einem Zweck: mehr Sicherheit für Senioren im eigenständigen Alltag. Obwohl die Geräte Tätigkeiten oder Standorte ihrer Besitzer täglich dokumentieren, da sonst eine Unfallprävention sowie rechtzeitige Hilfeleistung nicht gegeben wären, steht der Mehrwert für die Lebensqualität deutlich über den ethischen Bedenken. Die Nutzung der Wearables in den eigenen vier Wänden erfolgt zudem freiwillig, Pflegebedürftige erhalten dadurch wesentlich mehr Selbstständigkeit und verlängern die Zeit zu Hause.
Intelligente Krankenhausbetten können heutzutage den Patientenzustand ununterbrochen dokumentieren: Kleine, smarte Sensoren im vernetzten Bett liefern Messwerte, die mithilfe von Mikroprozessoren mit komplexen Logikeinheiten verarbeitet werden. Die gesammelten Informationen stehen Krankenhaus- oder Pflegepersonal in der Regel flexibel abrufbar zur Verfügung, so lässt sich der Patientenzustand jederzeit von unterschiedlichen Orten überwachen. Eingebaute Wiegesensoren mit Frühwarnsystemen erfassen etwa Bewegungen und erkennen, ob das Bett verlassen wird. Sobald der Patient aufsteht, erhält das Pflegepersonal ein Signal und kann rechtzeitig eingreifen, um Unfälle zu vermeiden. Zudem erkennen smarte Feuchtsensoren in einer Matte unter dem Bettlaken eventuelle Inkontinenz und eine kompatible Ruffunktion sorgt dafür, dass Pfleger sich zeitnah um die Patienten kümmern können. Eine unmittelbare Versorgung stellt in diesen Fällen einen würdevollen Umgang sicher. Die Pflegebetten, die bereits auf dem Markt sind, passen gut in eine Klinik-Umgebung – auf Intensivstationen rettet die ständige elektronische Überwachung eines Patienten bereits Leben. In diesem Fall besteht selten die Möglichkeit, vor der Behandlung eines Patienten dessen Einverständnis zur Überwachung durch das vernetzte Bett einzuholen. Eine Lücke zugunsten der Versorgung, denn Pfleger können bei Patienten mit lebensbedrohlichen Verletzungen jederzeit den Zustand, auch aus der Ferne, abfragen oder werden bei einem Notfall rechtzeitig benachrichtigt. Für Pflegeeinrichtungen eignen sich intelligente Betten ebenso: In Dienstzimmern und Büros findet die Pflegeplanung statt, von dort alle Patienteninformationen unmittelbar abzurufen, ermöglicht mehr Komfort, Privatsphäre und Patientenwürde für Bewohner. Zudem stehen die gesammelten Daten bereit, um daraus Regeln abzuleiten, die sich zu einem Wissen entwickeln, auf dessen Basis der Krankenhaus- und Pflegealltag effizienter geplant werden kann.
Die erfolgreiche Umsetzung von Digitalisierungsstrategien und der Mehrwert für die Patientenbehandlung könnten sich beispielsweise bei der Etablierung einer elektronischen Patientenakte zeigen. Um einen Datenpool zu schaffen, sollte die vollständige Dokumentation einer Patientengeschichte zentralisiert stattfinden. Das ermöglicht Fachkräften bei Therapien, Behandlungen oder Überweisungen auf die gesamte Krankengeschichte zuzugreifen – damit einher geht Transparenz bei den Weiterbehandlungen. Notwendig ist jedoch ein Sicherheitsmanagement: Sobald etwa Pflegedienste von unterwegs per Smartphone oder Tablet auf Klientenmanagement, Pflegedokumentation, Patientenakten und Tourenplanung zugreifen, gilt es verschärfte
Maßnahmen für die Datensicherheit einzurichten. Gleiches gilt für medizinische Versorgungszentren, die durch die wachsende Ambulantisierung von Krankenhäusern ebenfalls von elektronisch gespeicherten und mobil zugänglichen Patientenakten profitieren. IT-Abteilungen sind in der Regel für die Software zuständig, sodass notwendige Systeme einwandfrei laufen. Wichtig dabei: eine sichere Transportverschlüsselung durch SSL oder TLS für das Versenden von internen Informationen. Ziel ist die Prävention vor Cyberangriffen und missbräuchlicher Nutzung der Daten durch Dritte.
Gleichzeitig mit der steigenden Nachfrage nach Pflegeplätzen nehmen auch die Forderungen nach Selbstständigkeit im Alter zu. Um den Wünschen und Bedürfnissen der älteren Generation zu entsprechen, ist ein mentaler Schritt der Gesundheitsbranche notwendig: Eine neue digitale Ära zur Verbesserung der Patientenversorgung steht an. Um Fortentwicklungen in der Gesundheitsbranche zu erzielen, kommt keine Einrichtung mehr an Vernetzung und Digitalisierung vorbei – damit einher geht die Zunahme der elektronischen Überwachung von Patienten. Neben diesen Vorzügen birgt die fortschreitende Digitalisierung aber auch ethische Bedenken bei der ständigen Dokumentation von Patientendaten: Verlieren die Patienten ihre Privatsphäre und die Möglichkeit, völlig frei zu entscheiden? Hierbei kommt es vor allem auf den Umgang mit personenbezogenen Daten an, diese sollten einem strengen Schutz unterliegen und nur für Zwecke genutzt werden, die die Lebensqualität von Senioren steigern. In die ethische Diskussion um die Legitimität der Überwachung von Patienten in Kliniken oder Pflegeeinrichtungen muss daher das große Plus für die Versorgung einfließen. Ein effizientes Wissensmanagement sollte zudem ein weiteres Ziel von Digitalisierungsstrategien sein: Wie können die gesammelten Daten verschiedener Patienten geschützt und zum Vorteil einer besseren Versorgung genutzt werden?
Der Autor:
Karsten Glied ist Geschäftsführer der Techniklotsen GmbH, die sich auf maßgeschneiderte IT- und Technik-Lösungen für die Sozial- und Gesundheitswirtschaft spezialisiert hat. Als studierter Diplom-Betriebswirt entwickelte er schon lange vor dem Megatrend „Digitalisierung“ Strategien für eine bessere Verzahnung von IT mit den fachlichen und wirtschaftlichen Anforderungen eines Unternehmens. Zudem tritt er als Vortragender auf internationalen Konferenzen auf und referiert rund um die Themen Digitalisierung und „IT Business Alignment“. Weiterhin publiziert Karsten Glied Beiträge mit dem Schwerpunkt IT und Digitalisierung
[1] Statistisches Bundesamt 2017: Demografischer Wandel in Deutschland.
Von Prophylaxe bis hin zur Behandlung: Die Profession eines Humanmediziners beruht auf einem Vertrauensverhältnis mit dem Patienten. Fehlt es an diesem, so kann zumeist keine angemessene medizinische Versorgung stattfinden. Von herausragender Bedeutung ist hierbei die strikte Einhaltung datenschutzrechtlicher Vorgaben – gerade mit Hinblick auf das Hantieren mit sensiblen Patienteninformationen. Insbesondere im Lichte der fortschreitenden Technologien ist eine gesteigerte Achtsamkeit geboten. Für den Patienten stellt sich diesbezüglich immer häufiger die Frage: Wer hat Zugriff auf meine Daten? Was ist legitim? Der folgende Text klärt auf.
Diejenigen Informationen, welche die gesundheitliche Verfassung eines Individuums betreffen, werden als Patientendaten bezeichnet. Sie werden unter die besonderen Formen personenbezogener Daten, welchen eine herausragende datenschutzrechtliche Protektion zukommt, subsumiert. Eine Abspeicherung, Verwendung und Verarbeitung dieser ist ausschließlich in vereinzelten Ausnahmefällen möglich, wobei das Bundesdatenschutzgesetz (BDSG) diesbezüglich die notwendigen Voraussetzungen fixiert. Erforderlich ist die Einwilligung des Patienten in das Geschehen und bzw. oder der Umstand, dass die jeweilige Datenerhebung die Gesundheit begünstigende Zielsetzungen verfolgt. Letztgenanntes ist zu bejahen, sofern damit ein überlebenswichtiges Interesse des Patienten einhergeht – dann ist auch eine gesetzliche Grundlage existent. Von höchster Relevanz ist dabei der mit der Datenerhebung angestrebte Zweck. Steht dieser im Zusammenhang mit Erkenntnissen der Forschung, so verlangt die Legitimität des Vorgangs eine Anonymisierung bzw. Pseudonymisierung der Daten. Das alleinige Aushändigen einer Gesundheitskarte genügt den an eine Genehmigung zu stellenden Anforderungen keinesfalls.
Die besondere Schutzposition, welche den im Gesundheitswesen angesiedelten Daten zukommt, macht einen Ausschluss unbefugter Dritter von entsprechenden Zugriffen unerlässlich. Gerade die fortschreitende Digitalisierung verpflichtet diesbezüglich zu einer erhöhten Achtsamkeit: Die digitale Patientenakte sowie innovative Cloud-Technologien rücken die datenschutzrechtliche Diskussion nunmehr immer weiter in den Fokus der Aufmerksamkeit. Empfehlenswert ist daher stets das Hinzuziehen eines qualifizierten Datenschutzbeauftragten in Praxen und Krankenhäusern.
Die Weitergabe von medizinischen Informationen an Dritte ist prinzipiell nicht erlaubt. Grund hierfür stellt mithin die ärztliche Schweigepflicht – das Berufsgeheimnis – dar. Ein Verstoß hiergegen in Form der Übertragung oder Publikation von empfindlichen Patientendaten setzt sich nicht nur über Vorschriften des Datenschutzes, sondern außerdem über geltendes Strafrecht hinweg. Nach § 203 StGB liegt die entsprechende Sanktion in einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe.
Lediglich in einigen wenigen Ausnahmefällen ist eine Weitergabe gestattet. Doch bedarf es hierfür generell der Einholung des Einverständnisses durch den Betroffenen. Im Rahmen eines gerichtlichen Prozesses kann die Offenlegung bestimmter medizinischer Daten einer Einzelperson zum Zwecke der Gutachtenerstellung erforderlich werden. Der Betroffene muss den Mediziner allerdings auch an dieser Stelle von seiner Schweigepflicht entbinden. Bei jedweder Weiterleitung solcher Informationen muss zudem eine Aufklärung des Patienten über sowohl Empfänger der Daten als auch über die mit der Übertragung angestrebte Absicht erfolgen. Letztlich dürfen medizinische Daten einzelfallbedingt nur an die nachfolgenden Institutionen übergeben werden:
Liegt eine übertragbare Erkrankung vor, so ist eine Meldung nach dem Bundesinfektionsschutzgesetzes zwingend erforderlich, wobei sich die Obliegenheit zur Erfragung einer Genehmigung durch den Betroffenen erübrigt. Dennoch kann eine Anonymisierung bzw. Pseudonymisierung notwendig werden.
Dass der Humanmediziner die Angehörigen eines Patienten über dessen gesundheitliche Verfassung aufklären muss, ist ein Irrglaube, denn auch dafür muss eine Freistellung des Doktors von seiner Schweigepflicht stattfinden. Ausnahmsweise ist dies nicht angezeigt, wenn die Verfassung des Patienten eigenverantwortliche Entschlusse sowie die Äußerung von Willenserklärungen entgegensteht. In solchen Fällen ist ein Einzelgespräch des Arztes mit dem Ehepartner oder mit engen Verwandten angebracht. So kann der vermutliche Wille des Kranken leichter bestimmt werden.
Eine Checkliste zum Thema „Datenschutz im Krankenhaus“ finden Sie hier.
Autorin: Jenna Eatough
Kurzvita: Jenna Eatough studierte an der Universität Regensburg zunächst Rechtswissenschaften mit Abschluss der juristischen Zwischenprüfung und dann Medienwissenschaften (BA). Heute lebt sie in Berlin und ist unter anderem als freie Journalistin für verschiedene Verbände tätig.