Formel-1-Legende Michael Schumacher kommt nicht zur Ruhe: Ein Verbrecher mit dem Decknamen „Schatten des Kriegers“ hat Behandlungsunterlagen aus der französischen Klinik entwendet. Doch wie sicher sind Patientendaten bei uns? Während Kliniken hohe Standards einhalten, haben Krankenversicherungen Lücken im System.
Ein Skiunfall mit Folgen: Der ehemalige Formel-1-Pilot Michael Schumacher erlitt am 29. Dezember 2013 ein schweres Schädel-Hirn-Trauma. Nach Monaten im Koma besserte sich sein Zustand Mitte Juni, und der Patient wurde vom Uniklinikum Grenoble zur Reha in das Uniklinikum Lausanne verlegt. Zeitgleich gelang es einem Unbekannten, elf bis zwölf Seiten aus Schumachers Patientenakte zu entwenden. Unter dem Pseudonym „Kagemusha“ („Der Schatten des Kriegers“) versucht der Kriminelle jetzt, entsprechende Unterlagen gewinnbringend an die Presse zu verkaufen. Laut Staatsanwalt Jean-Yves Coquillat aus Grenoble handelt es sich um eine Zusammenfassung von Schumachers Therapie. Sollten Coquillats Ermittlungen Früchte tragen, hat nicht nur „Kagemusha“ mit gewaltigem Ärger zu rechnen. Auch für das Krankenhaus sind zivilrechtliche Folgen denkbar. Vom Medienecho aufgerüttelt, sorgen sich Deutschlands Bürger ebenfalls um ihre Behandlungsdaten – zu Recht?
Details zur Datenerhebung, Datenverarbeitung und Datennutzung regelt bei uns das Bundesdatenschutzgesetz (BDSG) – wobei sich „Daten“ auf analoge und digitale Varianten bezieht. Besonders schützenswert sind gemäß Paragraph 3 Absatz 9 BDSG „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“. Erfasst eine Firma personenbezogene Informationen, gelten besondere strenge Regelungen. Der Zutritt Unbefugter ist zu vermeiden („Zutrittskontrolle“). Datenverarbeitungssysteme selbst dürfen nur von Berechtigten genutzt werden („Zugangskontrolle“). Anwender wiederum haben nur die Möglichkeit, Daten gemäß ihrer Berechtigungsstufe zu bearbeiten („Zugriffskontrolle“), während Systeme jede Änderung protokollieren („Eingabekontrolle“). Als besonders sensibel gelten externe Prozesse. Das beginnt schon mit der Datenübertragung sowie dem Transport von Datenträgern – hier müssen Maßnahmen der Weitergabekontrolle getroffen werden. Personenbezogene Informationen dürfen außerhalb einer Firma nur gemäß den Weisungen des Auftraggebers verarbeitet werden („Auftragskontrolle“). Darüber hinaus sind Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt zu verarbeiten.
Diese komplexe Materie hat Konsequenzen: Privatwirtschaftliche Unternehmen mit zehn oder mehr Beschäftigen, dazu gehören viele Kliniken, müssen gemäß Paragraph 4f BDSG einen Datenschutzbeauftragten bestellen. Auf seinen Schultern lastet viel Verantwortung, schließlich haben Verstöße schwerwiegende Folgen: „Rechtlich gesehen sind Patientendaten neben dem Bayerischen Krankhausgesetz, datenschutzrechtlichen und berufsrechtlichen Vorschriften insbesondere durch das Strafgesetzbuch geschützt“, erklärt Raphael Diecke von den Städtischen Kliniken München gegenüber DocCheck. Entsprechende Krankenhausgesetze sind Ländersache. Damit nicht genug: „Paragraph 203 des Strafgesetzbuchs (StGB) stellt den Bruch der ärztlichen Schweigepflicht, und Paragraph 202 a StGB stellt das Ausspähen von (Patienten-) Daten unter Strafe.“ Um dies zu vermeiden, sind Kliniken und Firmen gleichermaßen in der Pflicht.
„Bei der Digitalisierung von Patientendaten auf Basis von Krankenhausinformationssystemen und elektronischen Archiven hat Datensicherheit höchste Priorität“, erklärt Matthias Krämer von Siemens Healthcare gegenüber DocCheck. Technische Lösungen beinhalteten „ein differenziertes Rechte- und Zugriffsberechtigungskonzept“. Auf Basis dessen lassen sich Zugriffsprofile erstellen, sodass nur befugte Mitarbeiter Einsicht in Daten erhalten. Zudem kann der Systemadministrator Auskunftssperren für VIPs und Mitarbeiter eines Krankenhauses einrichten. Krämer: „Wer welche Rolle und Berechtigungen besitzt, liegt alleine in der Verantwortung des jeweiligen Klinikums.“
Dieser Aufgabe stellen sich Krankenhäuser. Laut Raphael Diecke arbeitet das Städtische Klinikum München „mit technischen und organisatorischen Maßnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten“. Diecke: „Der Datenschutzbeauftragte im Unternehmen beteiligt sich unter anderem an wiederkehrende Mitarbeiterschulungen sowie an regelmäßigen Überprüfungen der gelebten Praxis durch interne Kontrollen.“ Beschäftigte würden zur großen Sorgfalt im Umgang mit vertraulichen Daten sensibilisiert, „zu welcher alle Mitarbeiterinnen und Mitarbeiter des Klinikums verpflichtet sind“. Patientendaten in Computersystemen stünden nur berechtigten Benutzern zur Verfügung. Und Patientenakten in Papierform würden für Fremde unzugänglich archiviert. Achim Struchholz informiert aus Sicht der Rhön-Klinikum AG: „Patientenunterlagen werden in unseren Häusern stets verschlossen aufbewahrt und sind auch intern nur denjenigen Mitarbeitern zugänglich, die diese Akte im Rahmen der Patientenbehandlung benötigen.“ Elektronische Patientenakten würden über Passwörter gesichert. Struchholz weiter: „Die Passwortvorgaben entsprechen den üblichen Sicherheitsstandards. Es ist ferner nicht möglich, Akten per E-Mail zu versenden oder mittels Datenträger auszulesen.“ Abrufe von Patientenakten würden protokolliert, auch hier sei ein Zugriff nur berechtigten Mitarbeitern möglich. In Zeiten, in denen man mit dem Smartphone ohne Probleme seitenweise Bildschirminhalte abfotografieren kann, bleiben hier allerdings einige Fragen offen. Auch die, ob die wichtigste Sicherheitslücke - der Mensch - durch IT-Systeme wirklich zuverlässig geschlossen werden kann.
In der Tat ist in Deutschland nicht alles eitel Sonnenschein. Kürzlich berichtete die „Rheinische Post“ von spektakulären Schwachstellen: Einem Redaktionsmitglied gelang es, Informationen über den Kollegen auszuspähen: Medikamente, Arztbesuche und Behandlungsdetails, von der Wunde am Finger bis zur Zahnsteinentfernung. Er benötigte nur leicht zu beschaffende Informationen wie Namen und Versichertennummer. Nach einem Telefonat und einem Brief an die fernmündlich gemeldete, falsche Adresse hatte der Tester Zugriff auf fremde Patienteninformationen – laut Barmer GEK ein „Einzelfall“. Politiker sind dennoch alarmiert. „Bei so sensiblen Daten darf Betrug nicht so einfach gemacht werden", sagt Jens Spahn, gesundheitspolitischer Sprecher der Unionsfraktion. „Die Kassen, die online Informationen anbieten, müssen dringend die Sicherheit erhöhen. Beispielsweise durch Einführung eines Pin/Tan-Verfahrens analog zum Online-Banking.“ Schwarze Schafe hätten auch in Deutschland gute Chancen, Behandlungsdetails von Prominenten abzugreifen: bequem am heimischen Computer.