Datenschutz im Krankenhaus: Daten schรผtzen nach DSGVO und BSI-Vorgaben

In Krankenhรคusern werden Leben gerettet. Und in Krankenhรคusern werdenย personenbezogene Daten gesammelt. Es ist unmรถglich, diese beiden Bereiche voneinander zu trennen. Denn um dieย bestmรถgliche medizinische Behandlungย zu gewรคhrleisten, MUSS ein Krankenhausย umfangreiche Gesundheitsdatenย zu jedem Patient erheben.

Aus diesem Grund ist der Datenschutz im Krankenhaus auch auf besondere Weise sowohl in der DSGVO als auch im Patientendaten-Schutz-Gesetz und im Sicherheitsstandard B3S des BSI verankert. Wir schauen uns an, wie der Schutz der Patientendaten gesetzlich reguliert ist, und welche MaรŸnahmen Krankenhรคuser umsetzen mรผssen, um die spezifischen Vorgaben der DSGVO, des PDSG und des BSI zu erfรผllen.

Datenschutz im Krankenhaus nach DSGVO

Der Schutz der Patientendaten in Krankenhรคusern und anderen Gesundheitseinrichtungen ist durch verschiedene Institutionen vorgeschrieben. Zum Tragen kommen hier neben landes- und bereichsspezifischen Spezialgesetzen in erster Linie Artikel 9 der Datenschutz-Grundverordnung und (fรผr Deutschland) ยง 203 StGB. ยง 203 StGB betrifft die Verletzung von Privatgeheimnissen durch ร„rzte (รคrztliche Schweigepflicht).

Artikel 9 untersagt dem Krankenhaus die Verarbeitung von Gesundheitsdaten, sofern die Verarbeitung nicht im Rahmen von Behandlungsvertrรคgen stattfindet. Die Vorschriften der DSGVO gelten grundsรคtzlich fรผr die Verarbeitung von personenbezogenen Daten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind laut Definition der WKO alle Informationen, die โ€œsich auf eine identifizierte oder identifizierbare natรผrliche Person [โ€ฆ] beziehen. Als identifizierbar wird eine natรผrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen [โ€ฆ] oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der [โ€ฆ] Identitรคt dieser natรผrlichen Person sindโ€œ.

Patientenakte mit Stethoskop; Datenschutz im Krankenhaus.
Wo viele Daten erhoben und gespeichert werden, braucht es eine gute IT-Security. Adobe Stock, (c) Valerie Potapova

VerstoรŸ gegen Datenschutz im Krankenhaus

Wenn Daten, die sich auf die kรถrperliche und/oder geistige Gesundheit einer Person beziehen, oder die auf andere Weise im Zusammenhang mit dem Behandlungsverhรคltnis stehen, ohne gesetzliche Erlaubnis (dies betrรคfe z.B. Ausnahmen im Sinne von ยง 22 Abs. (1) BDSG) verarbeitet und/oder weitergegeben werden, sind empfindliche Strafen die Folge. Im Falle der Weitergabe an Dritte drohen Haftstrafen von bis zu drei Jahren.

Fรคlle, bei denen die Patientendaten im Netzwerk des Krankenhauses nicht ausreichend geschรผtzt sind, weil es z.B. kein geregeltes Berechtigungskonzept gibt, werden hรคufig mit hohen BuรŸgeldern geahndet.

Prominente Beispiele sind der Datenmissbrauch in einem Den Haager Krankenhaus 2018 und der Datendiebstahl in der Desjardins-Bank 2019. Bei beiden Vorfรคllen handelte es sich um Datenmissbrauch bzw. Datendiebstahl durch Mitarbeiter.

Was ist ein Datenschutzvorfall?

In Art. 4 DSGVO ist ein Datenschutzvorfall definiert als โ€œVerletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Verรคnderung [โ€ฆ] oder zur unbefugten Offenlegung von [โ€ฆ] personenbezogenen Daten fรผhrt, die รผbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurdenโ€œ. Ob dies beabsichtig oder unbeabsichtigt geschieht, spielt fรผr die Strafbarkeit des Vorfalls keine Rolle. Detaillierte Informationen finden Sie hier.

Welche Pflichten hat ein Krankenhaus in Sachen Datenschutz?

Der Datenschutz im Krankenhaus ist durch konkrete Pflichten geregelt, welche die Einrichtung im Sinne der Compliance zu erfรผllen hat. Diese sind u.a.:

  • Setzen von dem Risiko angemessenenย technischen und organisatorischen MaรŸnahmen, um personenbezogene Daten zu schรผtzen.

  • Sรคmtlicheย Verarbeitungstรคtigkeitenย sind nachย Art. 30 DSGVOย zuย dokumentieren.

  • Dieย Patientenย sind (im Umfang der Vorschriften nachย Art. 13 DSGVO) รผber bestimmte Umstรคnde der Datenerhebung und -verarbeitungย zu informieren.

  • Dasย Krankenhaus unterliegtย im Falle eines Datenschutzvorfalls derย Meldepflichtย an die Aufsichtsbehรถrde (Artikel 33ย undย Artikel 34ย DSGVO).

  • Nachย Art. 35 DSGVOย ist eineย Datenschutz-Folgenabschรคtzungย zu veranlassen, wann immerย neue Systemeย (z.B. neue telemedizintechnische Systeme) oderย Verarbeitungstรคtigkeitenย eingefรผhrt werden.

Finger eines Mannes, der auf der Tastatur die Taste mit der Aufschrift Patienten Akte drรผckt. Steht fรผr Datenschutz im Krankenhaus.
Datenschutz im Krankenhaus: Wie muss ein Krankenhaus personenbezogene Daten schรผtzen? Adobe Stock, (c) momius

Datenschutz im Krankenhaus โ€“ interner Zugriff auf Patientendaten

Wir neigen dazu, ein Krankenhaus als organisatorische Einheit zu betrachten. In gewisser Weise stimmt das auch, denn jedes Rรคdchen im groรŸen Krankenhaus-Getriebe hat das gleiche Ziel: die optimale Versorgung des Patienten. Die Wege zu diesem Ziel sind jedoch sehr unterschiedlich โ€“ genau wie die jeweils benรถtigten Daten.

Eine Oberรคrztin benรถtigt beispielsweise umfassendere personenbezogene Daten, um einen Patienten zu behandeln, als der Krankenpfleger. Der IT-Administrator muss also einen Weg finden, die Zugriffsrechte entsprechend granular zu gestalten.

Das klingt zunรคchst nicht sehr kompliziert. Bedenken Sie jedoch, dass ein โ€œzu vielโ€ an Zugriffsrechten, und seien sie in den Augen des Administrators auch noch so unbedeutend, bereits einen VerstoรŸ im Sinne des Datenschutzes darstellt. Und dieses โ€œzu vielโ€ ist schnell passiert, wie das Beispiel eines portugiesischen Krankenhauses zeigt.

Das Krankenhaus Barreiro Montijo wurde 2018 wegen VerstoรŸes gegen die EU-DSGVO zu einer Geldstrafe von โ‚ฌ 400.000 verurteilt.

Wie Identity und Access Management Gesundheitseinrichtungen vor teuren DatenschutzverstรถรŸen wie diesen schรผtzen kann, erfahren Sie in unserem รœberblicksartikel zum Thema IAM im Gesundheitswesen.

Hรคndische Administration fรผhrt zu Sicherheitslรผcken

Neben anderen Fehlern hatte das Krankenhaus in Portugal zugelassen, dass im System insgesamt 985 aktive Benutzer als โ€žArztโ€œ registriert waren, obwohl zum fraglichen Zeitpunkt nur 296 Mediziner in dem Krankenhaus arbeiteten. Die Administratoren hatten fรผr neue Mitarbeiter, die keine Mediziner waren, also einfach vorhandene ร„rzte-Profile kopiert โ€“ inklusive sรคmtlicher Zugriffsrechte auf sensible personenbezogene Daten.

Nun ist der Vorfall in Portugal natรผrlich ein sehr krasses Beispiel. Doch diese Praxis des รœbertragens/Kopierens von Profilen kann auch in kleinerem Rahmen massive Probleme verursachen. Warum das so ist, erfahren Sie in unserem Beitrag Referenz User โ€“ die unterschรคtzte Gefahr.

ร„rztin die Patientendaten auf einem Krankenhaus-Computer bearbeitet.
Nicht jeder darf fรผr alles Zugriffsrechte haben: So entstehen Sicherheitslรผcken! Adobe Stock, (c) auremar

Hรคndische Administration ist fehleranfรคllig

Gesundheitsorganisationen sind verpflichtet, die persรถnlich identifizierenden Informationen (PII), die sie erheben und speichern, zu schรผtzen und nur jenen Mitarbeitern Zugriff zu gewรคhren, die diesen wirklich benรถtigen. In Krankenhรคusern, in denen die Administration hรคndisch erfolgt, wird zu diesem Zweck hรคufig mit dem Protokollieren von Benutzeraktivitรคten, dem Abfragen komplexer Kennwรถrter und dem Wechseln zwischen gemeinsam genutzten und individuellen Konten gearbeitet.

Diese DatenschutzmaรŸnahmen sind, sofern sie lรผckenlos und fehlerfrei angewendet werden, durchaus effektiv. Doch genau hier liegt das Problem: Hรคndische Administration ist immer fehleranfรคllig.

Und was bereits in einem einzelnen Krankenhaus problematisch werden kann, ist im Falle eines Krankenhausverbundes, in dem mehrere verschiedene Einrichtungen unter einem Trรคger (oder sogar unter verschiedenen Trรคgern) zusammengefasst sind, kaum mehr zu bewรคltigen.

Datenschutz gewรคhrleisten durch IAM

Damit ein Krankenhaus den Datenschutz gewรคhrleisten kann, bedarf es eines umfassenden IT-Security-Konzeptes. Das Management der internen Zugriffsrechte ist ein wichtiger Baustein eines solchen Konzeptes. Um Fehler und Sicherheitslรผcken zu vermeiden, die durch hรคndische Verwaltung entstehen, kรถnnen Gesundheitseinrichtungen eine Software fรผr Identity und Access Management (IAM) einsetzen.

Eine Software fรผr IAM bzw. Berechtigungsmanagement sichert Informationen innerhalb des Krankenhaus-Netzwerks und teilt die Zugriffsrechte nach einem Profilsystem zu. Diese Berechtigungsprofile mรผssen nur einmal zu Beginn definiert werden. Bei der Berechtigungsmanagement-Software tenfold ist es darรผber hinaus mรถglich, kritische branchenspezifische Anwendungssysteme wie das Krankenhausinformationssystem ORBIS zu integrieren.

Berechtigungsmanagement bringt Ordnung ins Chaos

Ein weiterer Vorteil einer IAM-Lรถsung im Krankenhaus liegt darin, dass die Software nach der Implementierung automatisch die existierenden Standardberechtigungen in der gesamten Einrichtung mit den Profilen abgleicht und entsprechend aktualisiert. tenfold entfernt also alle Berechtigungen, die es laut Datenschutz-Richtlinien nicht geben darf.

Zusรคtzliche IT-Sicherheit bietet die sog. Rezertifizierung. Dieser Prozess โ€œzwingtโ€ den Dateneigentรผmer in regelmรครŸigen Abstรคnden dazu, sรคmtliche Berechtigungen in seinem Bereich zu prรผfen und diese entweder zu bestรคtigen oder sie zu entfernen.

Datenschutz-Vorschriften des BSI

Krankenhรคuser, die zu den Kritischen Infrastrukturen zรคhlen, mรผssen zusรคtzlich zur den Datenschutz-Vorschriften der DSGVO auch jene des Bundesamtes fรผr Sicherheit in der Informationstechnik (BSI) berรผcksichtigen. Der IT-System-Schutz der Kritischen Infrastrukturen ist im sogenannten IT-Sicherheitsgesetz geregelt.

KRITIS-Krankenhรคuser mรผssen ihre IT-SicherheitsmaรŸnahmen an einem branchenspezifischer Sicherheitsstandard (B3S) ausrichten und die Umsetzung regelmรครŸig nachweisen.

Achtung!

Durch dasย Patientendatenschutzgesetz (PDSG)ย sind seit dem 01.01.2022ย alle Krankenhรคuser in Deutschland, unabhรคngig ihrer GrรถรŸe, dazu verpflichtet dieย SicherheitsmaรŸnahmen des B3Sย oder einesย vergleichbaren Standardsย wieย ISO 27001ย umzusetzen. Dadurch soll die Sicherheit medizinischer Daten trotz des Ausbausย digitaler Gesundheitsangeboteย und derย Telematik-Infrastrukturย gewรคhrleistet werden.

Fรถrderungen fรผr IT-Sicherheit im Krankenhaus

Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, kรถnnen in der Fรถrderperiode 2019-2024 in besonderer Weise vom sog. Krankenhausstrukturfonds profitieren.

Kleinere Einrichtungen hatten im Rahmen des Krankenhauszukunftsgesetzes die Mรถglichkeit, Fรถrdermittel fรผr die Digitalisierung und die Verbesserung ihrer IT-Sicherheit zu beantragen. Der Antragszeitraum ist allerdings mit Dezember 2021 ausgelaufen.

Absicherung des KIS nach Sicherheitsstandard B3S

Das zentrale Steuerungs- und Dokumentationssystem fรผr die stationรคre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Die hier gespeicherten Daten mรผssen gemรครŸ dem Sicherheitsstandard einerseits jederzeit verfรผgbar sein und andererseits vor unbefugten Zugriffen geschรผtzt werden.

Der Sicherheitsstandard B3S fรผr Krankenhรคuser definiert im Abschnitt โ€žIdentitรคts- und Rechtemanagementโ€œ fixe Vorgaben fรผr die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zรคhlen u.a.:

  • Die Prozesse zur Benutzeranlage, ร„nderung und Deaktivierung mรผssenย festgelegt,ย dokumentiertย undย eingehaltenย werden.

  • Benutzerdaten sollten aus einerย zentralen Identity-Quelleย kommen, aus welcher auch andere IT-Systeme (z.B.ย Active Directory) gespeist werden kรถnnen.

  • Antrรคge und die Vergabe von Zugriffsrechten mรผssenย klar geregeltย sein.

  • Die Zuordnung von Zugriffsrechten mussย nachvollziehbar dokumentiertย undย lรผckenlos zu extrahierenย sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfรผllen diese Anforderung NICHT vollumfรคnglich, da die notwendigen Datenstrukturen fรผr ein brauchbares Reporting fehlen.

  • Die Zugriffsrechte mรผssen einem regelmรครŸigenย Rezertifizierungsprozessย unterzogen werden.

  • Verlรคsst ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-Systemย zuverlรคssig deaktiviertย werden.

Es ist darรผber hinaus empfehlenswert, die Zugriffsberechtigungen im KIS รผber ein globales Rollensystem zu steuern. Dieses Vorgehen ist auch als Role-Based Access Control bekannt. Mittels RBAC kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der โ€“ wesentliche komplexere โ€“ Fall eines Abteilungs- oder Positionswechsels.

Das Rollenmanagement sorgt dann automatisch dafรผr, dass nicht mehr benรถtigte Berechtigungen entzogen, und fรผr die neue Position zusรคtzlich erforderliche Zugriffsrechte zugeordnet werden

Weitergabe von Patientendaten an Dritte

Eine andere Herausforderung in Sachen Datenschutz besteht fรผr Krankenhausbetriebe darin, dass Patientendaten im Zuge des Behandlungsprozesses an diverse externe Stellen (z.B. Hausรคrzte, Krankenversicherungen, Behรถrden, Besucher oder Angehรถrige) weitergegeben werden mรผssen.

Hier ist fรผr jeden einzelnen Vorgang zu รผberprรผfen, ob die Offenlegung zulรคssig ist, und, wenn ja, in welchem Umfang sie zulรคssig ist. AuรŸerdem ist zu รผberprรผfen, ob die Einwilligung des betroffenen Patienten fรผr die Weitergabe erforderlich ist, und in welcher Form diese vorliegen muss.

tenfold webinar

Identity & Access Management im Krankenhausbetrieb

Datenschutz im Krankenhaus und Auskunft an Angehรถrige

Wann immer es um Datenschutz im Krankenhaus geht, steht natรผrlich auch die Frage der Auskunftspflicht gegenรผber Angehรถrigen im Raum. Hier ist die rechtliche Lage eindeutig: Das Krankenhauspersonal darf Angehรถrige ohne Einwilligung des Patienten NICHT รผber dessen Gesundheitszustand und/oder Genesungsfortschritt informieren.

Eine Ausnahme von dieser Regel besteht nur dann, wenn die Einwilligung aufgrund des gesundheitlichen Zustandes des Patienten nicht eingeholt werden kann und es keinen Grund zu der Annahme gibt, dass die Auskunft an die Angehรถrigen dem Willen des Patienten entgegensteht.

Patienten haben Recht auf Auskunft

Patienten haben gemรครŸ Artikel 15 DSGVO das Recht, vom Krankenhaus Auskunft รผber die zu ihnen gespeicherten Daten zu verlangen. Das Krankenhaus wiederum darf diese Auskunft gemรครŸ Art 9 Abs. (4) DSGVO in Verbindung mit ยง 630g BGB verweigern, wenn objektive Einwรคnde gegen die Einsichtnahme sprechen.

Ein solcher objektiver Grund kรถnnen u.a. therapeutische Bedenken sein. Dies wรคre beispielsweise der Fall, wenn die Befรผrchtung besteht, dass die Einsichtnahme eine Gesundheitsschรคdigung (z.B. einen Suizid-Versuch) zur Folge haben kรถnnte.

Datenschutz-Herausforderung durch Health-Apps

Gehst du noch zum Arzt oder hast du schon einen Fitness-Tracker? Health-Apps und die damit verbundene elektronische รœbermittlung von Gesundheitsdaten stellen den Datenschutz im Krankenhaus schon heute vor neue Herausforderungen. Immerhin ist Deutschland das erste Land, das Gesundheits-Apps auf Rezept eingefรผhrt hat.

Das Problem: Die Wearables sammeln kritische personenbezogene Daten (Zahlungs-, Nutzer- und auch Gesundheitsdaten) und werden daher immer mehr zum beliebten Angriffsziel. Welche datenschutzrechtlichen Anforderungen die Nutzung von Health- und Fitness-Apps an den Gesundheitssektor stellt, erfahren Sie detailliert in diesem Artikel.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin fรผr Conversion-Content und Suchmaschinenoptimierung. AuรŸerdem ist sie Bรผcherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositรคtensammlerin.