“Mangelhafter Datenschutz in der Gesundheitsbranche”, so lautete der Titel eines Berichts der “Welt” vom 14.12.2012. Neben den in dem Bericht eher allgemein gehaltenen Hinweisen zu datenschutzrechtlich besonders kritischen Schwachstellen in Gesundheitseinrichtungen lassen sich in den Medienberichten der letzten Zeit besonders häufig Beispiele finden für Datenschutzskandale, die verdeutlichen, welch unheilvolle Verbindung zwischen unsicherer Technik und menschlichem Fehlverhalten viele Patientendaten illegal offenlegen können.
Beispiele: Die Krankenakte von Michael Schumacher wurde aus der ihn behandelnden Klinik gestohlen; Deutsche Bahn führte illegal Krankenakten; Mitarbeiter lesen illegal die Krankenakte im Fall Tugce; Englische Gesundheitsbehörde verliert 8 Mio. Patientendaten; Patientenakten in verlassenem Krankenhaus.
Cyber-Angriffe auf Krankenhäuser nehmen zu, sogar Erpressungsversuche sind damit verbunden. Besonderes Aufsehen erregte im Februar 2016 die Pressemeldung, dass ein Computervirus die gesamte IT eines Krankenhauses in Neuss lahmgelegt hatte. Es mussten u.a. 15% der geplanten Operationen ausfallen.
Diese Sammlung muss alle aufschrecken, die in medizinischen Betrieben für die Sicherheit der Patientendaten Verantwortung tragen, insbesondere dort, wo sie manuell oder automatisiert verarbeitet werden. Dies sind insbesondere: Arztpraxen, medizinische Versorgungszentren, Kliniken, medizinische Labore, Pflegeheime usw.
Normen und Regelwerke als Rahmen datenschutzrechtlich korrekter Abläufe
Intensiviert und ausgeweitet haben sich aber die Probleme des Datenschutzes und insbesondere der Datensicherheit für medizinische Einrichtungen durch den rapide zunehmenden Einsatz der IT.
Daher haben die zuständigen Fach- und Datenschutzbehörden seit ca. 2 Jahren eine Fülle von neuen Regelwerken publiziert, deren sorgsame Umsetzung diese Risiken nachhaltig reduzieren können.
Zum Beispiel „Die Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der BÄK vom April 2014, ergänzt durch eine neue Fassung der sog. “Technischen Anlage von 2008”.
Ergänzend zu solchen eher abstrakten Regelwerken haben die Fachbehörden inzwischen auch Umsetzungshilfen erarbeitet, die einzelne datenschutzrechtliche Problembereiche in der Verwaltung medizinischer Einrichtungen betreffen.
Sehr viele von ihnen müssen externe Dienstleister einschalten, wie z.B. bei der Fernwartung der internen IT. Dieser Schritt löst allerdings zahlreiche Datenschutzprobleme aus. Deshalb hat eine Arbeitsgruppe von Fachleuten am 28.1.2015 einen sog. kommentierten Muster-ADV-Vertrag für die Gesundheitswirtschaft publiziert, der helfen soll, die Anforderungen des § 11 BDSG für den Sonderfall sensibler medizinscher Daten einzulösen.
Für die datenschutzrechtliche Diskussion interessant ist die Entwicklung in der Kooperation von Kliniken und niedergelassenen Ärzten, Patientendaten über Plattformen auszutauschen. Dies ist unter dem Gesichtspunkt der kontrollierten Zugriffsberechtigung eine besondere Herausforderung an eine datenschutzkonforme Software.
Die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) hat inzwischen eine Dokumentation publiziert, welche Einzelfragen dabei zu prüfen sind und wie die Antworten lauten können.
In den Medien diskutiert werden auch immer häufiger die Schattenseiten von medizinischen apps. Insbesondere Wellness-Nutzungen, verbunden mit entsprechenden Uhren, haben einen Siegeszug in den Verkaufszahlen angetreten. Doch der App-Nutzer verdrängt allzu schnell, welche Unsicherheiten damit verbunden sind. Studien belegen in der Zwischenzeit, dass der Fluss der verschiedenen, erfassten Bio-Daten meist undurchschaubar ist und oft bei den App-Anbietern landet, die die Daten ohne Wissen des App-Nutzers auswerten und weitergeben können. Krankenversicherungen wissen sehr wohl, dass der Mensch käuflich ist: Prämiensenkungen werden versprochen gegen Übermittlung der Bio-Daten.
Die für Regelwerke und Vorschriften zuständigen Gremien und Stellen haben also nun einen klaren und zeitgemäßen Rahmen geschaffen für die datenschutzkonforme Gestaltung des medizinischen Alltags. Es bleibt zu hoffen, dass diese Vorgaben langsam in das Bewusstsein der Verantwortlichen rücken und umgesetzt werden.
Nicht einfacher, sondern im Gegenteil noch komplexer wird die Lage des medizinischen Datenschutzrechts nun mit der EU-Datenschutz-Grund-Verordnung, die vom EU-Parlament am 14.4.2016 beschlossen wurde und Mitte 2018 in Kraft treten wird. Dieses Regelwerk gestaltet das Datenschutzrecht in den Mitgliedstaaten vollkommen neu. Zentrale Gesetze wie das BDSG verlieren dann ihre Gültigkeit. Zu klären ist in den nächsten Monaten mit Hochdruck von den Gesetzgebern in Bund und Ländern, welche der zahlreichen Datenschutz-Sonderregelungen für Gesundheitsbetriebe wie die Landesdatenschutzgesetze, Krankenhausgesetze u.ä. überhaupt noch bestehen bleiben oder zumindest der EU-GVO angepasst werden müssen, ehe die Bundestagswahl kommt und dann die parlamentarische Arbeit länger ruht.
Weitere Informationen finden sie unter UpDate! BDSG, Tagungsreihe Datenschutz in der Medizin.
Manfred Weitz war als Jurist über 17 Jahre Mitarbeiter des hessischen Datenschutzbeauftragten und Dozent an Universitäten und Fachhochschulen in Wiesbaden und Frankfurt. 2009 gründete er das Unternehmen UpDate! BDSG, das mit seinen Tagungsreihen Datenschutzpraktikern, vor allem betrieblichen Datenschutzbeauftragten, möglichst konkrete Handlungshilfen in aktuellen und komplexen Problemkreisen vermitteln soll, wie etwa dem Beschäftigtendatenschutz, Datenschutz in der Medizin u.ä.. Die aktuelle Tagungsreihe “Datenschutz in der Medizin” freift mit Fachvorträgen die brennendsten Problembereiche auf und bietet praktische Lösungen. Die nächste Tagung findet am 9.6.2016 in München statt.