Geht es um den Schutz von Patientendaten, kommt man beim besten Willen nicht um die Hippokrates nachgesagte Eidesformel herum: "Über alles, was ich während oder außerhalb der Behandlung im Leben der Menschen sehe oder höre und das man nicht nach draußen tragen darf, werde ich schweigen und es geheim halten", wird sie auf der Website der Uni Heidelberg zitiert. Auch wenn die Informationsgesellschaft inzwischen andere Herausforderungen an Mediziner und Kliniken stellt, ist klar: Der Schutz sensibler Patientendaten war bereits vor 2.400 Jahren ein wichtiges Thema, das in den Leitlinien eines Berufsstandes explizit berücksichtigt worden ist.
Ein Konvolut an Gesetzen
Angesichts der heutigen Arbeitsteilung in Kliniken, der zunehmenden elektronischen Vernetzung mit Einweisern und externen Dienstleistern sowie der Herausforderung, traditionelle IT und Medizintechnik zu automatisieren und sicher zu verknüpfen, ist es kaum verwunderlich, dass der Datenschutz von einem einzelnen Satz zu einem Konvolut von Gesetzen, Verordnungen und Anweisungen angewachsen ist. Es geht um das wichtigste nicht-materielle Gut der Medizin: Das Vertrauen der Patienten, ohne das es keine leistungsfähige Gesundheitsfürsorge geben kann.
An diesen Paragraphen kommen Sie nicht vorbei
Medizinisches Standesrecht, das Arzt-/Patientengeheimnis im Strafgesetzbuch, Krankenhausverträge sowie das Bundesdatenschutzgesetz (private Träger von Krankenhäusern und öffentlich-rechtliche Träger auf Bundesebene), die Landesdatenschutzgesetze (Uni-Kliniken und Krankenhäuser von Gemeinden und Kreisen) beziehungsweise kirchliche Bestimmungen sollen sicherstellen, dass Mediziner und ihre "berufsmäßig tätigen Gehilfen" aus IT und Verwaltung den Vertrauensvorschuss nicht verspielen. Diverse Sozialgesetzbücher, die Röntgenverordnung und das Infektionsschutzgesetz, das Transplantationsgesetz und das Krebsregistergesetz ziehen neben einer Vielzahl anderer Vorschriften und den Krankenhausgesetzen der Bundesländer einen Rahmen um das Minenfeld, in dem sich IT-Leiter, Ärzte und Klinikverwaltungen bewegen. "Wenn Daten verloren gehen, werden die Menschen im Krankenhaus an den Pranger gestellt und nicht die politischen Entscheidungen oder der permanente Kostendruck", sagt Gartner-Analyst Carsten Casper.
Das darf nicht aufs Spiel gesetzt werden: Für IT-Leiter, Ärzte und Klinikverwaltungen bedeutet das dennoch: Die Manager bewegen sich permanent auf einem Minenfeld von unzähligen Verordnungen - auch und vor allem IT-Manager. "IT-Mitarbeiter und -Manager sind die direkt durchführende Instanz der IT-Versorgung und tragen primär die Verantwortung für die datenschutzkonforme Nutzung der IT-Systeme", sagt dazu der IT-Manager einer Klinikkette, der nicht namentlich genannt werden möchte. Auf den Datenschutzbeauftragten des Hauses lasse sich die Verantwortung nicht abwälzen: "Ich muss technisch und organisatorisch den Datenschutz sicherstellen und auch Initiativen des Unternehmens diesbezüglich kommentieren, um meine fachliche Verantwortung nicht zu verletzen." Dazu zählt beispielsweise, Benutzerrechte einzusetzen, zu überwachen und zu dokumentieren.
Verantwortung lässt sich nicht auf Datenschutzbeauftragten abwälzen
Probleme würden vor allem in zwei Bereichen entstehen: Einerseits durch die "latente Konfliktlage zwischen dem maximalen Nutzungsinteresse von IT und dem Datenschutz", andererseits durch die "ungeschützte Übermittlung von sensiblen Informationen in das Krankenhaus hinein". Ein Beispiel für den ersten Fall wäre die weitergegebene Information von der psychischen Erkrankung eines Patienten an den Chirurgen, der diese Information gerne hätte, aber sie nicht bekommen darf, weil sie für seine Behandlung nicht relevant ist. Im zweiten Fall werden Befunddokumente als E-Mail-Anhang unverschlüsselt und nicht authentisiert in das Krankenhaus geschickt, weil etwa die Zeit drängt. "Das müssen wir unterbinden, auch wenn es mit den Systemen manchmal schwer fällt." Was fehlt, sind etablierte Standards - nicht nur in der komplexen Technologie, sondern auch bei Konzepten und Vorgehensweisen.
Hinzu kommt noch ein Punkt, der zumeist stiefmütterlich behandelt wird - die allgemeine IT-Sicherheit. Firewalls, Virenschutz und Systeme für die Einbruchserkennung sind nur eine Facette: "Jede größere Einrichtung, die Daten austauscht, sollte mit dem Aufbau eines Sicherheits-Managements beginnen", rät Jochen Kaiser, IT-Sicherheitsbeauftragter am Universitätsklinikum Erlangen. So regelt die Norm ISO 27001 beispielsweise die Sicherheit aller Ein- und Ausgänge aus dem Netz einer Organisation.
"Auch Partner, mit denen eine intensive Kommunikation gepflegt wird, müssen ihren Sicherheitsstatus offenlegen, damit beide Seiten die Risiken abschätzen und bearbeiten können", so Kaiser weiter. Dies betrifft unter anderem niedergelassene Ärzte, die sich im Bereich IT und Sicherheit oft den verschiedensten Anforderungen ausgesetzt sehen. "Hier wäre eine bessere Synchronisation der Dachverbände nötig, um den Medizinern doppelte Arbeit abzunehmen", fordert der Erlanger Sicherheitsexperte.
Gartner: Manager stehen nicht mit einem Bein im Gefängnis
Folglich muss ein IT-Leiter im Krankenhaus nicht nur alle Schnittstellen für den Datenaustausch nach außen und innen absichern, sondern auch einen direkten Draht zum Datenschutzbeauftragten herstellen. Es gilt, rechtliche Vorgaben und technische Möglichkeiten in Einklang zu bringen. Und die Risiken für die Beteiligten? Datenschutzverstöße gegen das Strafrecht werden mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Jedoch: Die Datenschutzbehörden sind personell nicht in der Lage, alle Verstöße zu verfolgen. Für den Gartner-Analysten Carsten Casper stehen IT-Manager in Kliniken "nicht mit einem Bein im Gefängnis", auch wenn der finanzielle Ruin in der Tat drohen kann. "Sobald ich fahrlässig oder gegenüber den geltenden Bestimmungen ignorant handele, hafte ich persönlich", stimmt der IT-Manager zu. Daher sollte Datenschutz auch im eigenen Interesse von der IT ernst genommen werden.