Zu den wohl größten datenschutzrechtlichen Risiken im Krankenhaus zählt freilich ein fehlerhaftes oder gänzlich nicht vorhandenes Berechtigungskonzept. Über dieses wird definiert, wer wann welche Informationen über Patienten einsehen und verarbeiten darf. Erst kürzlich wurde das größte Krankenhaus in Den Haag, das Haga Hospital, wegen eines Verstoßes gegen die DSGVO mit einem Bußgeld in Höhe von 460.000 Euro belegt. Die niederländische Aufsichtsbehörde hat einen nicht ausreichenden Schutz der Patientendaten bemängelt und darin eine Verletzung von Art. 32 DSGVO gesehen.

Zugriff durch 197 Unbefugte auf sensible Gesundheitsdaten eines Prominenten

Hintergrund des Vorfalls war, dass sich während des Aufenthaltes eines niederländischen Reality-TV Sternchens Mitarbeiter des Haga Hospitals unberechtigten Zugang zu den Patientendaten verschafft haben. Es ist von rund 197 Krankenhausangehörigen die Rede, die wiederum Einblick in die Krankheitsgeschichte der Frau nahmen. Eine aus Anlass dieses Vorfalls durchgeführte Prüfung der Aufsichtsbehörde ergab, dass die Klinik unzureichende Sicherheitsmaßnahmen in Bezug auf die Authentifizierung und die Kontrolle von Zugriffen auf einzelne Patientenakten verfügte. Kritik wurde auch an einer nicht vorhandenen Zwei-Faktor-Authentifizierung geübt, was nach Auffassung der niederländischen Datenschutzbehörde in Bezug auf Patientenakten der Fall sein sollte.

Sechs Stichprobenkontrollen pro Jahr

Als mangelhaft erwies sich ferner das interne Kontrollsystem, welches nur ungenügend unbefugte Zugriffe auf Patientendaten aufzudecken vermochte. Nach Auffassung der Aufsichtsbehörde erfülle eine bloß sechs Stichproben umfassende oder anlassbezogene Kontrolle, nicht die Anforderungen einer sichereren Datenverarbeitung die an ein Krankenhaus dieser Größe gesetzt werden. Vielmehr müsse nach Ansicht der Behörde zur Gewährleistung eines datenschutzkonformen Schutzniveaus, ein systematisches und konsistentes Kontrollinstrument implementiert und gelebt werden.

Ähnlicher Fall in Portugal

Zu einem vergleichbaren Vorfall ist es bereits kurz nach dem Inkrafttreten der DSGVO im Mai 2018 in einem portugiesischen Krankenhaus gekommen. Das Hospital wurde mit einem Bußgeld von 400.000 Euro belegt (wir haben berichtet). Den Verantwortlichen wurden ebenfalls ein unzureichendes Berechtigungskonzept und ein mangelhaftes Sicherheitskonzept vorgeworfen. Eine Überprüfung der Aufsichtsbehörde ergab, dass Krankenhausmitarbeiter mit dem Profil „Techniker“ in den IT-Systemen auf Patientendaten zugreifen konnten, die sonst nur den Ärzten vorbehalten waren. Darüber hinaus hätten sich unter dem Account-Namen „Arzt“ knapp 1.000 Benutzer registriert, obwohl das Krankenhaus zum Zeitpunkt des Vorfalls nur 296 Ärztinnen und Ärzte beschäftigte.

Need-to-know-Prinzip und gelebtes Berechtigungsmanagement

Patienteninformationen sind Gesundheitsdaten und unterliegen einem besonders hohen Schutz (Art. 9 Abs. 1 DSGVO). Aus diesem Grund ist der Verantwortliche nach Art. 32 DSGVO umso mehr gehalten, ein angemessenes Schutzniveau für die Patientenakten zu gewährleisten. Dies ist gerade im Hinblick auf Digitalisierung der krankenhausinternen Vorgänge und der Einführung einer elektronischen Patientenakte, zweifellos eine organisatorische Herausforderung.

Damit ein Krankenhaus in diesem Bereich datenschutzrechtlich gut aufgestellt ist, sind vordergründig zwei Punkte zu beachten. Zum einen die Etablierung und regelmäßige Kontrolle des Berechtigungsmanagements. Zum anderen ist erforderlich, dass das Krankenhaus eine an den IT-Sicherheitsstandards orientierte Infrastruktur samt Kontrollmechanismen verfügt.

  1. Die Einsichtnahme auf Gesundheitsdaten eines Patienten sollte nur bei Bedarf und nur nach einer vorab definierten Berechtigung erfolgen. Der in Art. 5 Abs. 1 lit. f DSGVO verankerte Grundsatz (Integrität und Vertraulichkeit) verlangt, dass eine angemessene Sicherheit der Verarbeitung personenbezogener Daten gerade auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung umfasst.
    Dies geschieht für gewöhnlich in Gestalt eines definierten Berechtigungskonzepts, welches den Zugriff durch die Ärzteschaft und den Zugriff durch den pflegerischen Stationsdienst sowie die Mitarbeiter des Administration am Empfang regelt. Hier gilt das need-to-know-Prinzip: Der Zugriff auf Patientenakten sollte grundsätzlich nur behandelnden Ärztinnen und Ärzte sowie dem betreuenden Stationspersonal vorbehalten sein. Ausnahmen, etwa bei Vertretungen oder in Notfallsituationen, sollten ebenfalls im Rahmen der Konzepterarbeitung auf dem Plan stehen, sodass die Gesundheitsversorgung sprichwörtlich nicht dem Datenschutz zum Opfer fällt, zugleich aber ein angemessenes Datenschutzniveau eingehalten werden kann. Während die Vergabe individueller Zugriffsrechte für Krankenhausmitarbeiter aus anderen Fachabteilungen keine größeren Schwierigkeiten bereitet, dürfte die Einrichtung entsprechender Zugriffsrechte durch Kontakt mit den Patienten in der Praxis regelmäßig anspruchsvoll sein. Dies gilt erst recht, wenn neben der jeweiligen Funktionsstelle bzw. angeforderten Leistung auch das Krankheitsbild des Patienten Auswirkungen auf die jeweilige Rechtevergabe haben soll.

Ein weiterer Aspekt betrifft dem datenschutzkonformen Umgang von Patientenakten prominenten Personen. Mit einer sog. VIP-Regelung können Behandlungsunterlagen prominenter Patienten (VIP) vorab, nur nach einem vorherigen Beantragungsverfahren einem bestimmten Kreis an Krankenhausmitarbeitern vorgehalten werden. Denkbar ist es auch, dem berühmten Patienten krankenhausintern einen Alias-Namen zu geben.

  1. Das beste Berechtigungskonzept kann allerdings nur greifen, wenn es an einer an IT-Sicherheitsstandards ausgerichteten Infrastruktur eingebettet ist. Das bedeutet, dass die Daten im Krankenhausinformationssystem (KIS) einerseits vor Verlust und unbefugten Zugriffen von außen gesichert ist. Andererseits von Seiten der IT-Abteilung die Rechtevergabe und Berechtigungen der Krankenhausangehörigen tatsächlich dokumentiert und kontrolliert werden und missbräuchliches Verhalten aufgedeckt und den zuständigen Stellen gemeldet wird. Hierzu gehört auch, dass anfragende Krankenhausmitarbeiter, die nicht unmittelbar zum behandelnden Personal des jeweiligen Patienten gehören, den Wunsch zur Einsichtnahme begründen müssen.

Fazit

„Wer sich in ärztliche Behandlung begibt, muss und darf erwarten, dass alles was der Arzt im Rahmen seiner Berufsausübung über seine gesundheitliche Verfassung erfährt, geheim bleibt und nicht zur Kenntnis Unbefugter gelangt“, so urteilte das Bundesverfassungsgericht in einer Entscheidung bereits im Jahr 1972. Der Ausspruch gilt in Zeiten der Digitalisierung und elektronischer Patientenakte umso mehr und muss vom Verantwortlichen eingehalten werden. Um dies zu gewährleisten sind Verantwortliche gut beraten, dass alle Fachabteilungen, von der Krankenhausverwaltung, über die jeweiligen Stationen und Ambulanzen, die IT-Abteilung, das QM, die Compliance und den internen Datenschutzbeauftragten, an einem Strang ziehen. Dies setzt voraus, dass ein an der Größe des Krankenhauses und der dort stattfindenden Anzahl an Datenverarbeitungen ausgerichtetes Datenschutzkonzept erarbeitet, eingerichtet und im Hinblick auf die Einhaltung von Datenschutzstandards regelmäßig überprüft wird. Eine Übersicht über die relevanten Punkte gibt etwa die Orientierungshilfe Krankenhausinformationssysteme.

Das Thema Schutz von Patientendaten ist zu Recht in den Fokus der europäischen Aufsichtsbehörden gerückt, Gesundheitsdaten gehören zu den sensibelsten Informationen über einen Menschen. Derweil haben die Verantwortlichen des Haga Hospitals bis zum 2. Oktober Zeit, die aufgedeckten Mängel zu beseitigen und ein neues Sicherheitskonzept vorzulegen. Gelingt dies nicht, wurden bereits jetzt von Seiten der niederländischen Aufsichtsbehörde weitere Bußgelder von je 100.000 Euro pro Woche in Aussicht gestellt.

| | , , | , , , , ,