Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Allgemeine Grundsätze für den Datenschutz in Krankenhausinformationssystemen

Die zunehmende Installation und Erweiterung von Krankenhaus-Informations- und Kommunikationssystemen erfordert besondere Anstrengungen, um den Anforderungen des Datenschutzes gerecht zu werden. Der Patient darf erwarten, dass seine persönlichen Daten im Medizinbetrieb mit äußerster Sorgfalt und Vertraulichkeit behandelt werden. Dieser Anspruch erwächst aus dem Grundrecht auf informationelle Selbstbestimmung und der ärztlichen Schweigepflicht. Vorschriften und Maßnahmen zum Datenschutz im Krankenhaus tragen dazu bei, dass das Vertrauensverhältnis zwischen Patient und Arzt und das Persönlichkeitsrecht des Patienten bei der Datenverarbeitung im Krankenhaus gewahrt bleiben. Ebenso sind die persönlichen Daten der Beteiligten im Gesundheitsprozess entsprechend der Datenschutzgesetzgebung zu schützen. Der Datenschutz muss bereichsspezifisch, insbesondere medizinspezifisch gestaltet werden.

Die Spezifikation des Datenschutzbedarfs muss von der arbeitsteiligen Organisation des Krankenhauses und der ärztlichen Schweigepflicht ausgehen. Der arbeitsteilig organisierte Krankenhausbetrieb kann unter Verweis auf die ärztliche Schweigepflicht und das Zusammenarbeitsgebot der einzelnen Aufgabenträger, unbeschadet seiner rechtlichen Organisationsform und organisatorischen Binnenstruktur, grundsätzlich als „speichernde Stelle bei gemeinsamer Aufgabe“ im Sinne des Datenschutzrechtes definiert werden. Sowohl die ärztliche Schweigepflicht (§ 203 Abs. 1 Nr. 1 StGB) als auch das „Datengeheimnis“ (§ 5 BDSG), das den Beschäftigten im Krankenhaus die Verarbeitung von Patientendaten nur im Rahmen der Zweckbestimmung des Behandlungsvertrages gestattet, verbieten es aber, den Krankenhausbetrieb als eine „informationelle Einheit“ anzusehen, in der uneingeschränkt Patientendaten ausgetauscht und verwendet werden dürfen. Die Entscheidung über die Übertragung von Zugriffsrechten auf die medizinischen Daten eines Patienten oder ihre Verwendung liegt bei der behandelnden Fachabteilung; dies gilt auch für archivierte Daten. Daten werden unter Verantwortung der erhebenden Stelle oder der Stelle ihrer überwiegenden Verwendung gespeichert und nur bei Bedarf nach einem überprüfbaren Verfahren anderen Leistungsstellen offenbart. Die Distribution von Patientendaten innerhalb des Krankenhausbetriebes als „speichernde Stelle“ stellt datenschutzrechtlich keine Übermittlung, wohl aber eine Offenbarung im Sinne Par. 203 StGB dar, die einer Befugnisnorm bedarf (§ 4 BDSG, §9 MBO-Ä). Die Verarbeitung von Patientendaten im Rahmen der Zweckbestimmung des Behandlungsvertrages und das Anerkenntnis des Patienten eines arbeitsteilig strukturierten Krankenhausbetriebes legitimieren unter dem Gebot der Zweckbindung und Erforderlichkeit eine innerbetriebliche Offenbarung von Patientendaten zur Erfüllung des Behandlungsvertrages konkludent, insoweit keine besonderen bereichsspezifischen Rechtsvorschriften als Befugnisnormen gelten. Die Offenbarung ist nur gestattet, wenn sie im Rahmen der Behandlung oder aufgrund rechtlicher Vorschriften nötig ist; nur die erforderlichen Teilinformationen aus der Krankenakte sollen dabei offenbart werden. Auch die Krankenhausverwaltung darf nur zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind. 1)

Patientendaten sind nach dem Stand der Technik zu schützen, wobei aber das Prinzip der Verhältnismäßigkeit zu beachten ist. Insbesondere für medizinische Daten ist wegen ihrer Sensitivität ein hoher Sicherungsaufwand geboten. Durch technische und organisatorische Maßnahmen muss gewährleistet sein, dass nur der zuständige Arzt und, soweit für die Behandlung nötig, mitbehandelnde Ärzte und Pflegepersonal die Patientendaten lesen oder im zulässigen Rahmen weitergeben können. Als technische Absicherung müssen Patientendaten (wie auch andere möglicherweise vertrauliche Daten) per Systemvoreinstellung gegen Einsichtnahme und Übermittlung geschützt sein; die jeweilige Freigabe muss ein bewusster Akt sein und richtet sich nach der im Datenmodell definierten Zugriffsmatrix (Sicherheitsprinzip des geschlossenen Systems 2)).

Die Sicherheitsmaßnahmen sollen die Aufmerksamkeit des Arztes nicht vom Patienten ablenken. Zwar sind Datenschutzmaßnahmen ohne Mitwirkung der Beteiligten nicht zu verwirklichen, aber die Belastung des medizinischen Personals durch organisatorische und technische Verfahren ist zu minimieren. Der sachgerechte Umgang mit den Patientendaten darf durch Schutzmaßnahmen nicht beeinträchtigt werden. Die Verfügbarkeit der Daten, besonders in kritischen Situationen, ist im Interesse des Patienten zu gewährleisten. Technische Datenschutzmaßnahmen sollen den freien Austausch nichtgeschützter Informationen möglichst wenig behindern, z. B. den Zugriff auf externe Informationsdienste wie DIMDI und elektronische Post. Auch die Verwendung der Daten für Forschungszwecke soll, soweit die Datenschutzanforderungen für wissenschaftliche Forschungsvorhaben (§40 BDSG) erfüllt sind, gewährleistet sein.

Die technischen und organisatorischen Datenschutzmaßnahmen in einer Klinik sind nicht nebenbei zu erledigen. Sie erfordern die Schaffung einer entsprechenden Infrastruktur und eine klare Festlegung der Verantwortlichkeiten sowie die Einplanung eines angemessenen finanziellen und personellen Aufwands, insbesondere für einen Sicherheitsverantwortlichen. Auch der Datenschutzbeauftragte der Klinik benötigt für seine Aufgaben ausreichende Mittel und Unterstützung.

Für medizinische Anwendungssysteme aller Arten sind geeignete technische Standards in Anlehnung an die IT-Sicherheitskriterien 3) wünschenswert, die man den Herstellern gegenüber durchsetzen kann und die die Planung und Beurteilung von Systemen erleichtern. Insbesondere ist eine geeignete kryptographische Infrastruktur zu definieren und soweit wie möglich zu schaffen. Datenschutzinhalte und -ziele sowie Sicherheitsanforderungen sind so zu spezifizieren, dass Hersteller genügend genaue Richtlinien in die Hand bekommen. Die technischen Schutzmaßnahmen sollen als Systemleistung konzipiert werden, die vom Benutzer kontrollierbar, aber nicht ohne weiteres abschaltbar ist.

Die Notwendigkeit, aber auch die Möglichkeit, realisierbare Sicherheitskonzepte zu entwickeln, ist gegeben. Die Zeit ist reif, daraus funktionsfähige Systeme zusammenzubauen, anstatt weiterhin auf unwirksame oder schwache vermeintliche Sicherheitsmaßnahmen zu vertrauen.

 

1) Hans-Jürgen Seelos. Informationssysteme und Datenschutz im Krankenhaus. DuD-Fachbeiträge Band 14, Vieweg, Braunschweig, Wiesbaden, 1991, ISBN 3-528-05185-X
2) Klaus Pommerening. Datenschutz und Datensicherheit,4, II.4. BI-Wissenschaftsverlag, Mannheim, Wien, Zürich, 1991, ISBN 3-411-15171-4
3) Zentralstelle für Sicherheit in der Informationstechnik. IT-Sicherheitskriterien. Bundesanzeiger-Verlagsges. mbH, Köln, 1989, ISBN 3-88784-192-1