Datenschutz im Krankenhaus: Daten schützen nach DSGVO und BSI-Vorgaben

In Krankenhäusern werden Leben gerettet. Und in Krankenhäusern werden personenbezogene Daten gesammelt. Es ist unmöglich, diese beiden Bereiche voneinander zu trennen. Denn um die bestmögliche medizinische Behandlung zu gewährleisten, MUSS ein Krankenhaus umfangreiche Gesundheitsdaten zu jedem Patient erheben.

Aus diesem Grund ist der Datenschutz im Krankenhaus auch auf besondere Weise sowohl in der DSGVO als auch im Patientendaten-Schutz-Gesetz und im Sicherheitsstandard B3S des BSI verankert. Wir schauen uns an, wie der Schutz der Patientendaten gesetzlich reguliert ist, und welche Maßnahmen Krankenhäuser umsetzen müssen, um die spezifischen Vorgaben der DSGVO, des PDSG und des BSI zu erfüllen.

Datenschutz im Krankenhaus nach DSGVO

Der Schutz der Patientendaten in Krankenhäusern und anderen Gesundheitseinrichtungen ist durch verschiedene Institutionen vorgeschrieben. Zum Tragen kommen hier neben landes- und bereichsspezifischen Spezialgesetzen in erster Linie Artikel 9 der Datenschutz-Grundverordnung und (für Deutschland) § 203 StGB. § 203 StGB betrifft die Verletzung von Privatgeheimnissen durch Ärzte (ärztliche Schweigepflicht).

Artikel 9 untersagt dem Krankenhaus die Verarbeitung von Gesundheitsdaten, sofern die Verarbeitung nicht im Rahmen von Behandlungsverträgen stattfindet. Die Vorschriften der DSGVO gelten grundsätzlich für die Verarbeitung von personenbezogenen Daten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind laut Definition der WKO alle Informationen, die “sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen […] oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der […] Identität dieser natürlichen Person sind“.

Patientenakte mit Stethoskop; Datenschutz im Krankenhaus.
Wo viele Daten erhoben und gespeichert werden, braucht es eine gute IT-Security. Adobe Stock, (c) Valerie Potapova

Verstoß gegen Datenschutz im Krankenhaus

Wenn Daten, die sich auf die körperliche und/oder geistige Gesundheit einer Person beziehen, oder die auf andere Weise im Zusammenhang mit dem Behandlungsverhältnis stehen, ohne gesetzliche Erlaubnis (dies beträfe z.B. Ausnahmen im Sinne von § 22 Abs. (1) BDSG) verarbeitet und/oder weitergegeben werden, sind empfindliche Strafen die Folge. Im Falle der Weitergabe an Dritte drohen Haftstrafen von bis zu drei Jahren.

Fälle, bei denen die Patientendaten im Netzwerk des Krankenhauses nicht ausreichend geschützt sind, weil es z.B. kein geregeltes Berechtigungskonzept gibt, werden häufig mit hohen Bußgeldern geahndet.

Prominente Beispiele sind der Datenmissbrauch in einem Den Haager Krankenhaus 2018 und der Datendiebstahl in der Desjardins-Bank 2019. Bei beiden Vorfällen handelte es sich um Datenmissbrauch bzw. Datendiebstahl durch Mitarbeiter.

Was ist ein Datenschutzvorfall?

In Art. 4 DSGVO ist ein Datenschutzvorfall definiert als “Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung […] oder zur unbefugten Offenlegung von […] personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Ob dies beabsichtig oder unbeabsichtigt geschieht, spielt für die Strafbarkeit des Vorfalls keine Rolle. Detaillierte Informationen finden Sie hier.

Welche Pflichten hat ein Krankenhaus in Sachen Datenschutz?

Der Datenschutz im Krankenhaus ist durch konkrete Pflichten geregelt, welche die Einrichtung im Sinne der Compliance zu erfüllen hat. Diese sind u.a.:

  • Setzen von dem Risiko angemessenen technischen und organisatorischen Maßnahmen, um personenbezogene Daten zu schützen.

  • Sämtliche Verarbeitungstätigkeiten sind nach Art. 30 DSGVO zu dokumentieren.

  • Die Patienten sind (im Umfang der Vorschriften nach Art. 13 DSGVO) über bestimmte Umstände der Datenerhebung und -verarbeitung zu informieren.

  • Das Krankenhaus unterliegt im Falle eines Datenschutzvorfalls der Meldepflicht an die Aufsichtsbehörde (Artikel 33 und Artikel 34 DSGVO).

  • Nach Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung zu veranlassen, wann immer neue Systeme (z.B. neue telemedizintechnische Systeme) oder Verarbeitungstätigkeiten eingeführt werden.

Finger eines Mannes, der auf der Tastatur die Taste mit der Aufschrift Patienten Akte drückt. Steht für Datenschutz im Krankenhaus.
Datenschutz im Krankenhaus: Wie muss ein Krankenhaus personenbezogene Daten schützen? Adobe Stock, (c) momius

Datenschutz im Krankenhaus – interner Zugriff auf Patientendaten

Wir neigen dazu, ein Krankenhaus als organisatorische Einheit zu betrachten. In gewisser Weise stimmt das auch, denn jedes Rädchen im großen Krankenhaus-Getriebe hat das gleiche Ziel: die optimale Versorgung des Patienten. Die Wege zu diesem Ziel sind jedoch sehr unterschiedlich – genau wie die jeweils benötigten Daten.

Eine Oberärztin benötigt beispielsweise umfassendere personenbezogene Daten, um einen Patienten zu behandeln, als der Krankenpfleger. Der IT-Administrator muss also einen Weg finden, die Zugriffsrechte entsprechend granular zu gestalten.

Das klingt zunächst nicht sehr kompliziert. Bedenken Sie jedoch, dass ein “zu viel” an Zugriffsrechten, und seien sie in den Augen des Administrators auch noch so unbedeutend, bereits einen Verstoß im Sinne des Datenschutzes darstellt. Und dieses “zu viel” ist schnell passiert, wie das Beispiel eines portugiesischen Krankenhauses zeigt.

Das Krankenhaus Barreiro Montijo wurde 2018 wegen Verstoßes gegen die EU-DSGVO zu einer Geldstrafe von € 400.000 verurteilt.

Wie Identity und Access Management Gesundheitseinrichtungen vor teuren Datenschutzverstößen wie diesen schützen kann, erfahren Sie in unserem Überblicksartikel zum Thema IAM im Gesundheitswesen.

Händische Administration führt zu Sicherheitslücken

Neben anderen Fehlern hatte das Krankenhaus in Portugal zugelassen, dass im System insgesamt 985 aktive Benutzer als „Arzt“ registriert waren, obwohl zum fraglichen Zeitpunkt nur 296 Mediziner in dem Krankenhaus arbeiteten. Die Administratoren hatten für neue Mitarbeiter, die keine Mediziner waren, also einfach vorhandene Ärzte-Profile kopiert – inklusive sämtlicher Zugriffsrechte auf sensible personenbezogene Daten.

Nun ist der Vorfall in Portugal natürlich ein sehr krasses Beispiel. Doch diese Praxis des Übertragens/Kopierens von Profilen kann auch in kleinerem Rahmen massive Probleme verursachen. Warum das so ist, erfahren Sie in unserem Beitrag Referenz User – die unterschätzte Gefahr.

Ärztin die Patientendaten auf einem Krankenhaus-Computer bearbeitet.
Nicht jeder darf für alles Zugriffsrechte haben: So entstehen Sicherheitslücken! Adobe Stock, (c) auremar

Händische Administration ist fehleranfällig

Gesundheitsorganisationen sind verpflichtet, die persönlich identifizierenden Informationen (PII), die sie erheben und speichern, zu schützen und nur jenen Mitarbeitern Zugriff zu gewähren, die diesen wirklich benötigen. In Krankenhäusern, in denen die Administration händisch erfolgt, wird zu diesem Zweck häufig mit dem Protokollieren von Benutzeraktivitäten, dem Abfragen komplexer Kennwörter und dem Wechseln zwischen gemeinsam genutzten und individuellen Konten gearbeitet.

Diese Datenschutzmaßnahmen sind, sofern sie lückenlos und fehlerfrei angewendet werden, durchaus effektiv. Doch genau hier liegt das Problem: Händische Administration ist immer fehleranfällig.

Und was bereits in einem einzelnen Krankenhaus problematisch werden kann, ist im Falle eines Krankenhausverbundes, in dem mehrere verschiedene Einrichtungen unter einem Träger (oder sogar unter verschiedenen Trägern) zusammengefasst sind, kaum mehr zu bewältigen.

Datenschutz gewährleisten durch IAM

Damit ein Krankenhaus den Datenschutz gewährleisten kann, bedarf es eines umfassenden IT-Security-Konzeptes. Das Management der internen Zugriffsrechte ist ein wichtiger Baustein eines solchen Konzeptes. Um Fehler und Sicherheitslücken zu vermeiden, die durch händische Verwaltung entstehen, können Gesundheitseinrichtungen eine Software für Identity und Access Management (IAM) einsetzen.

Eine Software für IAM bzw. Berechtigungsmanagement sichert Informationen innerhalb des Krankenhaus-Netzwerks und teilt die Zugriffsrechte nach einem Profilsystem zu. Diese Berechtigungsprofile müssen nur einmal zu Beginn definiert werden.

Anschließend teilt die Software die wichtigsten Standardrechte aufgrund von Abteilungszugehörigkeit und anderen Attributen vollautomatisch und quer durch alle Systeme (Active Directory®, SAP ERP® usw.) zu und entzieht sie wieder, wenn z.B. jemand das Unternehmen verlässt (User Lifecycle Plugin).

Bei der Berechtigungsmanagement-Software tenfold ist es darüber hinaus möglich, kritische branchenspezifische Anwendungssysteme wie das Krankenhausinformationssystem ORBIS zu integrieren.

Berechtigungsmanagement bringt Ordnung ins Chaos

Ein weiterer Vorteil einer IAM-Lösung im Krankenhaus liegt darin, dass die Software nach der Implementierung automatisch die existierenden Standardberechtigungen in der gesamten Einrichtung mit den Profilen abgleicht und entsprechend aktualisiert. tenfold entfernt also alle Berechtigungen, die es laut Datenschutz-Richtlinien nicht geben darf.

Zusätzliche IT-Sicherheit bietet die sog. Rezertifizierung. Dieser Prozess “zwingt” den Dateneigentümer in regelmäßigen Abständen dazu, sämtliche Berechtigungen in seinem Bereich zu prüfen und diese entweder zu bestätigen oder sie zu entfernen.

Datenschutz-Vorschriften des BSI

Krankenhäuser, die zu den Kritischen Infrastrukturen zählen, müssen zusätzlich zur den Datenschutz-Vorschriften der DSGVO auch jene des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berücksichtigen. Der IT-System-Schutz der Kritischen Infrastrukturen ist im sogenannten IT-Sicherheitsgesetz geregelt.

KRITIS-Krankenhäuser müssen ihre IT-Sicherheitsmaßnahmen an einem branchenspezifischer Sicherheitsstandard (B3S) ausrichten und die Umsetzung regelmäßig nachweisen.

Achtung!

Durch das Patientendatenschutzgesetz (PDSG) sind seit dem 01.01.2022 alle Krankenhäuser in Deutschland, unabhängig ihrer Größe, dazu verpflichtet die Sicherheitsmaßnahmen des B3S oder eines vergleichbaren Standards wie ISO 27001 umzusetzen. Dadurch soll die Sicherheit medizinischer Daten trotz des Ausbaus digitaler Gesundheitsangebote und der Telematik-Infrastruktur gewährleistet werden.

Förderungen für IT-Sicherheit im Krankenhaus

Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, können in der Förderperiode 2019-2024 in besonderer Weise vom sog. Krankenhausstrukturfonds profitieren.

Kleinere Einrichtungen hatten im Rahmen des Krankenhauszukunftsgesetzes die Möglichkeit, Fördermittel für die Digitalisierung und die Verbesserung ihrer IT-Sicherheit zu beantragen. Der Antragszeitraum ist allerdings mit Dezember 2021 ausgelaufen.

Absicherung des KIS nach Sicherheitsstandard B3S

Das zentrale Steuerungs- und Dokumentationssystem für die stationäre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Die hier gespeicherten Daten müssen gemäß dem Sicherheitsstandard einerseits jederzeit verfügbar sein und andererseits vor unbefugten Zugriffen geschützt werden.

Der Sicherheitsstandard B3S für Krankenhäuser definiert im Abschnitt „Identitäts- und Rechtemanagement“ fixe Vorgaben für die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zählen u.a.:

  • Die Prozesse zur Benutzeranlage, Änderung und Deaktivierung müssen festgelegtdokumentiert und eingehalten werden.

  • Benutzerdaten sollten aus einer zentralen Identity-Quelle kommen, aus welcher auch andere IT-Systeme (z.B. Active Directory) gespeist werden können.

  • Anträge und die Vergabe von Zugriffsrechten müssen klar geregelt sein.

  • Die Zuordnung von Zugriffsrechten muss nachvollziehbar dokumentiert und lückenlos zu extrahieren sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfüllen diese Anforderung NICHT vollumfänglich, da die notwendigen Datenstrukturen für ein brauchbares Reporting fehlen.

  • Die Zugriffsrechte müssen einem regelmäßigen Rezertifizierungsprozess unterzogen werden.

  • Verlässt ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-System zuverlässig deaktiviert werden.

Es ist darüber hinaus empfehlenswert, die Zugriffsberechtigungen im KIS über ein globales Rollensystem zu steuern. Dieses Vorgehen ist auch als Role-Based Access Control bekannt. Mittels RBAC kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der – wesentliche komplexere – Fall eines Abteilungs- oder Positionswechsels.

Das Rollenmanagement sorgt dann automatisch dafür, dass nicht mehr benötigte Berechtigungen entzogen, und für die neue Position zusätzlich erforderliche Zugriffsrechte zugeordnet werden

Weitergabe von Patientendaten an Dritte

Eine andere Herausforderung in Sachen Datenschutz besteht für Krankenhausbetriebe darin, dass Patientendaten im Zuge des Behandlungsprozesses an diverse externe Stellen (z.B. Hausärzte, Krankenversicherungen, Behörden, Besucher oder Angehörige) weitergegeben werden müssen.

Hier ist für jeden einzelnen Vorgang zu überprüfen, ob die Offenlegung zulässig ist, und, wenn ja, in welchem Umfang sie zulässig ist. Außerdem ist zu überprüfen, ob die Einwilligung des betroffenen Patienten für die Weitergabe erforderlich ist, und in welcher Form diese vorliegen muss.

tenfold webinar

Identity & Access Management im Krankenhausbetrieb

Datenschutz im Krankenhaus und Auskunft an Angehörige

Wann immer es um Datenschutz im Krankenhaus geht, steht natürlich auch die Frage der Auskunftspflicht gegenüber Angehörigen im Raum. Hier ist die rechtliche Lage eindeutig: Das Krankenhauspersonal darf Angehörige ohne Einwilligung des Patienten NICHT über dessen Gesundheitszustand und/oder Genesungsfortschritt informieren.

Eine Ausnahme von dieser Regel besteht nur dann, wenn die Einwilligung aufgrund des gesundheitlichen Zustandes des Patienten nicht eingeholt werden kann und es keinen Grund zu der Annahme gibt, dass die Auskunft an die Angehörigen dem Willen des Patienten entgegensteht.

Patienten haben Recht auf Auskunft

Patienten haben gemäß Artikel 15 DSGVO das Recht, vom Krankenhaus Auskunft über die zu ihnen gespeicherten Daten zu verlangen. Das Krankenhaus wiederum darf diese Auskunft gemäß Art 9 Abs. (4) DSGVO in Verbindung mit § 630g BGB verweigern, wenn objektive Einwände gegen die Einsichtnahme sprechen.

Ein solcher objektiver Grund können u.a. therapeutische Bedenken sein. Dies wäre beispielsweise der Fall, wenn die Befürchtung besteht, dass die Einsichtnahme eine Gesundheitsschädigung (z.B. einen Suizid-Versuch) zur Folge haben könnte.

Datenschutz-Herausforderung durch Health-Apps

Gehst du noch zum Arzt oder hast du schon einen Fitness-Tracker? Health-Apps und die damit verbundene elektronische Übermittlung von Gesundheitsdaten stellen den Datenschutz im Krankenhaus schon heute vor neue Herausforderungen. Immerhin ist Deutschland das erste Land, das Gesundheits-Apps auf Rezept eingeführt hat.

Das Problem: Die Wearables sammeln kritische personenbezogene Daten (Zahlungs-, Nutzer- und auch Gesundheitsdaten) und werden daher immer mehr zum beliebten Angriffsziel. Welche datenschutzrechtlichen Anforderungen die Nutzung von Health- und Fitness-Apps an den Gesundheitssektor stellt, erfahren Sie detailliert in diesem Artikel.

Whitepaper

Identity & Access Management im Krankenhausbetrieb

Dieses Whitepaper liefert einen Überblick über die Anforderungen an das Identitäts- und Rechtemanagement laut B3S für Gesundheitseinrichtungen und bietet Maßnahmenempfehlungen zur einfachen Umsetzung.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.