Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
E-Health

Gesundheitswesen: Drohende Millionenbußen bei Datenschutzverstößen

A&W Redaktion
Foto: peterschreiber.media - fotolia.com

Das digitale Zeitalter unterwirft nahezu alle Lebensbereiche einer radikalen Umgestaltung – auch im Gesundheitswesen. Der immerzu voranschreitende Stand der Technik ebnet den Weg nicht nur für neuartige Therapiemaßnahmen, darüber hinaus lassen sich sämtliche, im Rahmen der Behandlung zu erhebende und verarbeitende Patientendaten digital erfassen. Hierbei gelangen verstärkt Cloud-Technologien in den Fokus der Aufmerksamkeit. Ab Mai dieses Jahres werden jedoch die Regelungen der neuen EU-Datenschutzgrundverordnung (DSGVO) verbindlich – bei Nichteinhaltung drohen Millionenbußen.

 Gläserner Patient?

Der Gedanke an die sich aus der Digitalisierung ergebenden strukturellen Neuerungen im Gesundheitssystem löst beim betroffenen Patienten nicht selten ein ungutes Gefühl aus: Die Furcht vor dem „gläsernen Patienten“ wächst. Trotz aller evidenten Vorteile – etwa die Beschleunigung und Vereinfachung von Arbeitsprozessen sowie das Ersparnispotential –, die mit der Digitalisierung einhergehen, sind Unsicherheiten diesbezüglich durchaus nachvollziehbar. Das Netz kann immerhin als „Lebensraum“ der Hacker betrachtet werden.

Außerordentlicher Schutzstatus: Patientendaten

Da es sich bei Patientendaten um eine besondere Form personenbezogener Daten handelt, gelten diese als hochgradig schützenswert. Sie dürfen daher nur in ganz bestimmten Ausnahmefällen einer Speicherung, Nutzung oder Verarbeitung unterzogen werden. Grundsätzlich ist die Rechtmäßigkeit des Sicherns von Patientendaten nur dann zu bejahen, wenn der Patient dem zuvor eingewilligt hat und dieser Prozess der Förderung seiner Gesundheit im Rahmen von Prävention, Diagnose oder Behandlungsverfahren dient. Darüber hinaus müssen die Daten, auf die verfolgten Absichten bezogen, vernünftig sein. Eine Datenerhebung zu Forschungszwecken bedarf im Regelfall einer Anonymisierung bzw. Pseudonymisierung.

Die Patientenakte und die darin enthaltenen Daten müssen des Weiteren vor Zugriffen Unbefugter behütet werden. Patientendaten und sämtliche andere Informationen, die Mediziner über Ihre Patienten zusammentragen, unterliegen dem Arztgeheimnis und somit einer Verschwiegenheitspflicht. Die Weiterleitung solcher Daten stellt also ohne entsprechende Genehmigung hierzu durch den Betroffenen eine datenschutzrechtliche Zuwiderhandlung dar. Selbst mit Einverständnis bedarf es einer Aufklärung des Patienten über den verfolgten Zweck der Datenweitergabe. Auch eine Schweigepflichtsentbindung – etwa wenn seitens des Gerichts ein Gutachten erstellt werden soll – bleibt möglich.

In einer Arztpraxis also muss dafür Sorge getragen werden, dass ein Einsehen derartiger Informationen durch Nicht-Autorisierte ausgeschlossen ist. Die mittlerweile überholte, immer schon platzfressende, analoge Patientenakte lässt sich wegsperren; wie aber verhält es sich beim Cloud-Computing und anderen digitalen Prozessen? Und wie lassen sich Unbefugte vom entsprechenden Zugriff ausschließen?

§ 203 StGB ahndet die unbefugte Preisgabe von einem Berufsgeheimnis unterworfenen Daten mit einer finanziellen Sanktion oder einer Gefängnisstrafe von bis zu einem Jahr.

Was sind Cloud-Technologien?

Beim sogenannten „Cloud-Computing“ handelt es sich um eine Auslagerung von Daten in ein Online-Netz. Cloud-Technologien finden branchenübergreifend Anwendung und werden daneben auch zu privaten Zwecken verwendet. Rechtlich gesehen verkörpert das Hochladen von Daten in eine Cloud eine Auftragsdatenverarbeitung (ADV). Bei einer solchen wird ein externer Dienstleister (im Falle der Cloud-Technologie der jeweilige Anbieter) mit der Verwaltung der Nutzerdaten beauftragt. § 11 BDSG verpflichtet in einem derartigen Fall den User zur Gewährleistung eines adäquaten Datenschutzes und zur Einhaltung entsprechender Vorschriften. Kommt es also zu datenschutzrechtlichen Zuwiderhandlungen, so haftet diesbezüglich der Nutzer der Cloud, nicht der Anbieter. Allein deshalb sollte die Auswahl eines Cloud-Providers wohl überlegt sein. Die Haftung aber liegt nicht beim User, sondern beim Provider, sofern das Zertifikat der Cloud eine Erklärung über die Einhaltung der Datenschutz- und Datensicherheitsbestimmungen beinhaltet. Aus diesem Grund rief das Bundesministerium für Wirtschaft und Energie in Kooperation mit der Stiftung Datenschutz das Zertifikat „Trusted Cloud“ ins Leben. Bevor ein solches Zertifikat vergeben wird, findet eine Überprüfung dahingehend statt, ob die Cloud auch wirklich allen datenschutzrechtlichen Erfordernissen genügt.

Im Falle von Softwareprogrammen, welche im Gesundheitswesen eingesetzt werden, gilt es zudem, die Vorgaben des Medizinprodukterechts in der Medical Device Directive – kurz MDD – zu wahren. Die MMD stellt dabei u.a. fundamentale Erfordernisse an die Sicherheit (beispielsweise auf das Risikomanagement bezogen) auf. Auch die Medizinprodukte-Betreiberordnung ist zu beachten.

Adäquater Datenschutz?

Was den Schutz vor äußerlichen Einwirkungen betrifft, so scheint die Cloud gut aufgestellt zu sein: Im Gegensatz zur analogen Lagerung können die digital gespeicherten Daten beispielsweise keinen Wasserschaden nehmen und nicht durch einen Brand zerstört werden. Diesbezüglich ist eine gesteigerte Sicherheit gegeben. Auch Handlangern, so könnte man argumentieren, ist der direkte materielle Zugriff auf Cloud-Daten nicht möglich. Dennoch ergibt sich stattdessen ein anderes Risiko: Der Datendiebstahl mittels Cyber-Angriffen. Nicht zu vergessen ist aber, dass Cloud-Computing-Technologien von einer Vielzahl von Anti-Viren-Programmen unterstützt werden. Wichtig ist letztlich das Vorhandensein einer End-to-End-Datenverschlüsselung in der Cloud. Bereits vor der Aufnahme der Daten in die Cloud werden diese codiert und in eine kryptografische Form überführt.

Schwierigkeiten können sich ergeben, sofern die Daten in einem ausländischen Rechenzentrum gelagert werden, da im Rahmen ihres Abspeicherns nationales, also deutsches Recht Anwendung findet. Befindet sich das jeweilige Rechenzentrum in den USA, so muss der Provider der Cloud den Ämtern auf Verlangen einen Zutritt zu den dort gespeicherten Daten verschaffen. Ein solches Vorgehen ist in Deutschland untersagt. Um zumindest eine EU-einheitliche datenschutzrechtliche Regelung zu schaffen, tritt die neue DSGVO im Mai 2018 in Kraft. Sie bringt einige Vorschriften mit sich, die auch für den Datenschutz im Gesundheitsbereich relevant sind. So sind die verschärfteren Neuerungen im Bereich der Einwilligung des Betroffenen in die Nutzung dessen Daten zu nennen – diesbezüglich wird die Obliegenheit zur nachweispflichtigen Protokollierung der Erlaubniserteilung aufgestellt. Zudem soll die DSGVO für mehr Durchsichtigkeit aus Sicht des Betroffenen sorgen. So muss diesem die zeitliche Dauer der Speicherung seiner Daten bewusst sein. Hinsichtlich der obig genannten ADV kommt es auch zu Änderungen: Zukünftig können  nicht nur den Auftraggeber, sondern auch den Auftragnehmer, sprich, den Cloud-Anbieter, Haftungspflichten treffen. Mögliche Schadensersatzansprüche sind aktuell noch nach dem Bundesdatenschutzgesetz (BDSG) nur gegenüber dem Auftraggeber zu stellen; mit der DSGVO kann indes auch der Auftragverarbeiter, also der Provider, zur Haftung gezogen werden.

Fazit

Grundsätzlich gilt: Ein Programm ist nur so gut wie dessen Programmierer. Insgesamt steigt jedoch der Digitalisierungsdruck in nahezu allen Branchen, angespornt von Grundgedanken des Wettbewerbs, der Kostenersparnis und der Effizienz. Auch  der Gesundheitssektor wird diese Umstellung miterleben. Dem fortschreitenden Stand der Technik hinkt der Gesetzgeber stets ein wenig hinterher. Mit der DSGVO wird diesbezüglich der nächste Schritt getätigt. Für alle, die mit personenbezogenen Daten hantieren, wird eine Einhaltung dieser neuen Vorschriften unabdingbar – andernfalls kann dies schnell eine finanzielle Hiobsbotschaft nach sich ziehen.

Weitere Informationen zum Thema „Datenschutz im Gesundheitswesen“ finden Sie unter https://www.datenschutz.org/gesundheitswesen/.

Die Autorin: Jenna Eatough studierte an der Universität Regensburg zunächst Rechtswissenschaften mit Abschluss der juristischen Zwischenprüfung und dann Medienwissenschaften (BA). Heute lebt sie in Berlin und ist unter anderem als freie Journalistin für verschiedene Verbände tätig.