Es war nur eine Frage der Zeit, bis sich die Datenschützer an den laxen Zugriffskontrollen vieler Klinik-IT-Lösungen stoßen würden. Die Konferenz der Datenschützer hat jetzt zwei Eckpunktepapiere vorgelegt, die in der Branche wenig Begeisterung auslösen.
So kann es gehen in einem Rechtsstaat: Eine finnische Krankenhausmitarbeiterin hatte sich vor einigen Jahren eine HIV-Infektion eingefangen. Diagnostiziert wurde sie in eben jenem Krankenhaus, in dem die Frau arbeitete. Kurz darauf war ihr Beschäftigungsverhältnis nicht verlängert worden – mit Verweis auf HIV. Die Mitarbeiterin ließ sich das nicht gefallen und klagte. Dabei stellte sich heraus, dass nicht vollzogen werden konnte, welcher Verwaltungsmitarbeiter rechtswidrig auf die Daten der Angestellten zugegriffen hatte. Die Sache ging bis zum Europäischen Gerichtshof für Menschenrechte. Und der entschied im Jahr 2009, dass es eine Menschenrechtsverletzung sei, wenn Datenzugriffe durch Mitarbeiter der Einrichtung nicht nachvollziehbar protokollierten.
Klinikarchive: Offen wie Scheunentore?
Diese Geschichte war so etwas wie die Initialzündung für Datenschützer in vielen Ländern, sich mit den Zugriffskontrollen in Klinikinformationssystemen (KIS) auseinanderzusetzen. Es geht dabei wohlgemerkt nicht um Zugriffe von außen, also um Datenklau, sondern um Zugriffe durch Mitarbeiter, die bekanntlich nicht automatisch zugriffsberechtigt auf medizinische Patientendaten einer Einrichtung sind, nur weil sie dort arbeiten. In Deutschland hat sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder mit dem Thema befasst und eine „Unterarbeitsgruppe Krankenhausinformationssysteme“ gebildet.
Die Datenschützer gingen erst einmal ins Feld und besuchten einige Krankenhäuser, um sich mit eigenen Augen von den Zuständen zu überzeugen. Was sie sahen, empfanden sie als hanebüchen: „Wir haben Häuser gefunden, in denen wirklich alles offen steht. Dort können die Mitarbeiter auf sämtliche aktuellen Patienten genauso zugreifen wie auf Daten, die viele Jahre alt sind. Das ist nicht haltbar“, betonte Dr. Ulrich Vollmer aus dem Büro des Berliner Datenschutzbeauftragten. Nach dieser ernüchternden Feldforschung folgte die Klausur. Zwei Jahre lang feilte die Arbeitsgruppe an Empfehlungen für die Zugriffskontrolle in elektronischen Kliniksystemen. Als Ergebnis der Bemühungen wurde jetzt unter dem provokativ bescheidenen Titel „Orientierungshilfe Krankenhausinformationssysteme“ ein Papier vorgelegt, das es in sich hat. Hinter den „Normativen Eckpunkten zur Zulässigkeit von Zugriffen auf elektronische Patientendaten im Krankenhaus“ und den „Technischen Anforderungen an die Gestaltung und den Betrieb von Krankenhausinformationssystemen“ verbirgt sich Sprengstoff.
„Nicht akzeptabel“
Die Eckpunkte und Empfehlungen sind im Detail auf 46 Seiten niedergelegt und können online eingesehen werden. Grob zusammengefasst empfehlen die Datenschützer den Krankenhäusern ein umfassendes Nutzer- und Zugriffsmanagement, bei dem der jeweils auf die Daten zugreifende Mitarbeiter eindeutig identifizierbar ist. Zugreifen sollen auf medizinische Daten generell nur solche Mitarbeiter, die in die Behandlung eines Patienten unmittelbar involviert sind. Das impliziert indirekt, dass simple Passwortlösungen, bei denen das Passwort an einen Monitor oder eine Pinnwand gehängt werden kann, nicht anforderungsgemäß sind. Für erforderlich halten die Datenschützer außerdem ein Zugriffskonzept für ältere Daten. Als Beispiel nannte Vollmer bei der Healthcare-IT-Messe conhIT 2011 in Berlin eine Patientin, die sich mit akuten Beschwerden in einem Klinikum vorstellt, in dem Jahre vorher bei ihr ein Schwangerschaftsabbruch durchgeführt worden war. So eine Information dürfe ohne Einwilligung der Patientin keinesfalls einsehbar sein, betonte Vollmer.
Die Adressaten des „Orientierungshilfe“, also einerseits die Hersteller von IT-Lösungen, andererseits die Deutsche Krankenhaus-Gesellschaft, reagierten teilweise ausgesprochen kritisch. Andreas Lange, Vorsitzender des Vorstands des Bundesverbands Gesundheits-IT, betonte, dass Datenschutz nicht zu Lasten der Patientensicherheit gehen dürfe. „Die Patientensicherheit muss immer wichtiger sein.“ Und Jörg Meister von der Deutschen Krankenhaus-Gesellschaft bemerkte, dass ein Konzept, welches in einem normalen Krankenhaus sechs Benutzerkategorien und 22 Rollen vorsehe, weder unbürokratisch noch kostengünstig sein könne. Vollständige digitale Aktionsprofile der Klinikmitarbeiter hält er zudem aus Gründen des Mitarbeiterdatenschutzes für nicht akzeptabel. Grundsätzlich sei es aber zu begrüßen, dass jetzt über einen einheitlichen Rahmen für den Zugriff auf Patientendaten nachgedacht werde. Man dürfe allerdings nichts übers Knie brechen: Fünf bis zehn Jahre seien schon nötig, um Abhilfe zu schaffen.
Die Geister, die ich rief…
Was diese und andere, ähnliche Reaktionen vor allem zeigen ist, dass es sich da ein ganzer Gesundheitssektor mit angrenzender Industrie über Jahre recht bequem gemacht hat. Dass Klinikinformationssysteme ein Identity- und Access-Management benötigen, das diesen Namen verdient, ist nun wirklich keine sensationelle Entdeckung. Der CIO einer der größten privaten Klinikketten in Deutschland macht darauf schon seit fünf Jahren immer wieder aufmerksam. Und für die Erkenntnis, dass Pinnwandpasswörter einem Klinikbetreiber bei einem möglichen Daten-Prozess um die Ohren fliegen, braucht es auch keinen Hochschulabschluss in Jura. Mit anderen Worten: Das Problem ist bekannt. Aber die, die hätten handeln müssen, haben es in den letzten Jahren aus Bequemlichkeit nicht getan. Dass das früher oder später die Datenschützer auf den Plan rufen würde, kann niemanden wundern. Diesen Geist haben die Krankenhäuser selbst herauf beschworen.