Patientendaten: Angriff der Schattenkrieger

30. Juni 2014
Teilen

Formel-1-Legende Michael Schumacher kommt nicht zur Ruhe: Ein Verbrecher mit dem Decknamen „Schatten des Kriegers“ hat Behandlungsunterlagen aus der französischen Klinik entwendet. Doch wie sicher sind Patientendaten bei uns? Während Kliniken hohe Standards einhalten, haben Krankenversicherungen Lücken im System.

Ein Skiunfall mit Folgen: Der ehemalige Formel-1-Pilot Michael Schumacher erlitt am 29. Dezember 2013 ein schweres Schädel-Hirn-Trauma. Nach Monaten im Koma besserte sich sein Zustand Mitte Juni, und der Patient wurde vom Uniklinikum Grenoble zur Reha in das Uniklinikum Lausanne verlegt. Zeitgleich gelang es einem Unbekannten, elf bis zwölf Seiten aus Schumachers Patientenakte zu entwenden. Unter dem Pseudonym „Kagemusha“ („Der Schatten des Kriegers“) versucht der Kriminelle jetzt, entsprechende Unterlagen gewinnbringend an die Presse zu verkaufen. Laut Staatsanwalt Jean-Yves Coquillat aus Grenoble handelt es sich um eine Zusammenfassung von Schumachers Therapie. Sollten Coquillats Ermittlungen Früchte tragen, hat nicht nur „Kagemusha“ mit gewaltigem Ärger zu rechnen. Auch für das Krankenhaus sind zivilrechtliche Folgen denkbar. Vom Medienecho aufgerüttelt, sorgen sich Deutschlands Bürger ebenfalls um ihre Behandlungsdaten – zu Recht?

Besonders schützenswert

Details zur Datenerhebung, Datenverarbeitung und Datennutzung regelt bei uns das Bundesdatenschutzgesetz (BDSG) – wobei sich „Daten“ auf analoge und digitale Varianten bezieht. Besonders schützenswert sind gemäß Paragraph 3 Absatz 9 BDSG „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“. Erfasst eine Firma personenbezogene Informationen, gelten besondere strenge Regelungen. Der Zutritt Unbefugter ist zu vermeiden („Zutrittskontrolle“). Datenverarbeitungssysteme selbst dürfen nur von Berechtigten genutzt werden („Zugangskontrolle“). Anwender wiederum haben nur die Möglichkeit, Daten gemäß ihrer Berechtigungsstufe zu bearbeiten („Zugriffskontrolle“), während Systeme jede Änderung protokollieren („Eingabekontrolle“). Als besonders sensibel gelten externe Prozesse. Das beginnt schon mit der Datenübertragung sowie dem Transport von Datenträgern – hier müssen Maßnahmen der Weitergabekontrolle getroffen werden. Personenbezogene Informationen dürfen außerhalb einer Firma nur gemäß den Weisungen des Auftraggebers verarbeitet werden („Auftragskontrolle“). Darüber hinaus sind Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt zu verarbeiten.

Kein Kavaliersdelikt

Diese komplexe Materie hat Konsequenzen: Privatwirtschaftliche Unternehmen mit zehn oder mehr Beschäftigen, dazu gehören viele Kliniken, müssen gemäß Paragraph 4f BDSG einen Datenschutzbeauftragten bestellen. Auf seinen Schultern lastet viel Verantwortung, schließlich haben Verstöße schwerwiegende Folgen: „Rechtlich gesehen sind Patientendaten neben dem Bayerischen Krankhausgesetz, datenschutzrechtlichen und berufsrechtlichen Vorschriften insbesondere durch das Strafgesetzbuch geschützt“, erklärt Raphael Diecke von den Städtischen Kliniken München gegenüber DocCheck. Entsprechende Krankenhausgesetze sind Ländersache. Damit nicht genug: „Paragraph 203 des Strafgesetzbuchs (StGB) stellt den Bruch der ärztlichen Schweigepflicht, und Paragraph 202 a StGB stellt das Ausspähen von (Patienten-) Daten unter Strafe.“ Um dies zu vermeiden, sind Kliniken und Firmen gleichermaßen in der Pflicht.

Ein Blick auf Hersteller…

„Bei der Digitalisierung von Patientendaten auf Basis von Krankenhausinformationssystemen und elektronischen Archiven hat Datensicherheit höchste Priorität“, erklärt Matthias Krämer von Siemens Healthcare gegenüber DocCheck. Technische Lösungen beinhalteten „ein differenziertes Rechte- und Zugriffsberechtigungskonzept“. Auf Basis dessen lassen sich Zugriffsprofile erstellen, sodass nur befugte Mitarbeiter Einsicht in Daten erhalten. Zudem kann der Systemadministrator Auskunftssperren für VIPs und Mitarbeiter eines Krankenhauses einrichten. Krämer: „Wer welche Rolle und Berechtigungen besitzt, liegt alleine in der Verantwortung des jeweiligen Klinikums.“

…und auf Krankenhäuser

Dieser Aufgabe stellen sich Krankenhäuser. Laut Raphael Diecke arbeitet das Städtische Klinikum München „mit technischen und organisatorischen Maßnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten“. Diecke: „Der Datenschutzbeauftragte im Unternehmen beteiligt sich unter anderem an wiederkehrende Mitarbeiterschulungen sowie an regelmäßigen Überprüfungen der gelebten Praxis durch interne Kontrollen.“ Beschäftigte würden zur großen Sorgfalt im Umgang mit vertraulichen Daten sensibilisiert, „zu welcher alle Mitarbeiterinnen und Mitarbeiter des Klinikums verpflichtet sind“. Patientendaten in Computersystemen stünden nur berechtigten Benutzern zur Verfügung. Und Patientenakten in Papierform würden für Fremde unzugänglich archiviert. Achim Struchholz informiert aus Sicht der Rhön-Klinikum AG: „Patientenunterlagen werden in unseren Häusern stets verschlossen aufbewahrt und sind auch intern nur denjenigen Mitarbeitern zugänglich, die diese Akte im Rahmen der Patientenbehandlung benötigen.“ Elektronische Patientenakten würden über Passwörter gesichert. Struchholz weiter: „Die Passwortvorgaben entsprechen den üblichen Sicherheitsstandards. Es ist ferner nicht möglich, Akten per E-Mail zu versenden oder mittels Datenträger auszulesen.“ Abrufe von Patientenakten würden protokolliert, auch hier sei ein Zugriff nur berechtigten Mitarbeitern möglich. In Zeiten, in denen man mit dem Smartphone ohne Probleme seitenweise Bildschirminhalte abfotografieren kann, bleiben hier allerdings einige Fragen offen. Auch die, ob die wichtigste Sicherheitslücke – der Mensch – durch IT-Systeme wirklich zuverlässig geschlossen werden kann.

Krankenversicherung gekapert

In der Tat ist in Deutschland nicht alles eitel Sonnenschein. Kürzlich berichtete die „Rheinische Post“ von spektakulären Schwachstellen: Einem Redaktionsmitglied gelang es, Informationen über den Kollegen auszuspähen: Medikamente, Arztbesuche und Behandlungsdetails, von der Wunde am Finger bis zur Zahnsteinentfernung. Er benötigte nur leicht zu beschaffende Informationen wie Namen und Versichertennummer. Nach einem Telefonat und einem Brief an die fernmündlich gemeldete, falsche Adresse hatte der Tester Zugriff auf fremde Patienteninformationen – laut Barmer GEK ein „Einzelfall“. Politiker sind dennoch alarmiert. „Bei so sensiblen Daten darf Betrug nicht so einfach gemacht werden”, sagt Jens Spahn, gesundheitspolitischer Sprecher der Unionsfraktion. „Die Kassen, die online Informationen anbieten, müssen dringend die Sicherheit erhöhen. Beispielsweise durch Einführung eines Pin/Tan-Verfahrens analog zum Online-Banking.“ Schwarze Schafe hätten auch in Deutschland gute Chancen, Behandlungsdetails von Prominenten abzugreifen: bequem am heimischen Computer.

47 Wertungen (4.34 ø)
Gesundheitspolitik, Medizin

Die Kommentarfunktion ist nicht mehr aktiv.

10 Kommentare:

Gast
Gast

Nachdem wir nun spätestens seit gestern wissen, dass (nicht nur) die NSA eindeutig ALLES “elektronische” abhören, gerade das, was versucht sich zu schützen,
sollte man da nicht wieder auf Papier zurückgreifen? Nicht nur bei Ärzten.
Finanzämter wollen es ja auch nur noch elektronisch.

#10 |
  0
Arzt
Arzt

@Elena Charlotte Haanen, so ein Krankenhaus kenne ich ehrlich ehrlich gesagt nicht
und ich kenne ungewöhnlich viele Krankenhäuser.
Ich kenne nur Kollegen, die mitbehandelnde Ärzte informieren, aber keine Laien.
Das soll bitte der Patient selbst machen, wenn er das möchte.
Die größte Gefahr geht von den Kostenträgern aus, die keine Mediziner sind,
die können ja schon von der Rechnung Diagnose und Therapie ablesen.

#9 |
  0

Lieber Herr Schlesinger,

anfangs 2012 hab ich an den GKV-Spitzenverband einen Brief geschrieben: Wenn mich die Kassen oder die KV zwingen wollen, Patienten-Intima mittels elektronischer Gesundheitskarte an die Kassen oder die KV preiszugeben, dann halte ich es mit dem Hippokratischen Eid und gebe meine Kassenzulassung zurück. Das hat man mir dort natürlich nicht geglaubt, die Drohungen kamen so nach etwa einem Jahr als Reaktion auf meine konsequente e-card-Verweigerung und mein stetes Verlangen gegenüber den Patienten, einen papierenen Ersatzversichertennachweis vorzulegen. Als die KV dann zum ersten Mal “Zulassungsentzug” schriftlich angedroht hat, habe ich zum Erstaunen und Entsetzen der Kassen vor Ort Ernst gemacht und die Zulassung als Neurologe und Psychiater zurückgegeben. Praxis seit 22 Jahren, aber mit 54 noch keinesfalls im Rentenalter, und finanziell auch ganz und gar nicht “wohlsituiert” – aber siehe da: es ging auch ohne Kassenzulassung und nun ohne ethisches Dilemma weiter. Gleiches Einkommen, viel bessere und viel befriedigendere Arbeit, viel weniger Streß, keine Bedrohung durch Regresse mehr, kein Honorarbudget.

Viele Grüße

Christian Nunhofer

#8 |
  0
Elena Charlotte Haanen
Elena Charlotte Haanen

Ich war neulich schon zutiefst entsetzt, wie einfach es doch ist, Patientendaten zu bekommen. Dazu bedarf es keiner Schattenkrieger.Wie ich hörte, bekam eine Person, nachdem sie vorgegeben hatte, mich gut zu kennen, in einem unseren tollen Krankenhäuser meine komplette Patientenakte zu lesen. Mir fehlen die Worte.

#7 |
  0
Wirtschaftswissenschaftler

Die Hürden sprich Sicherheitskontrollen müssen hoch gehalten werden, aber….
es muss praktikabel und bezahlbar bleiben.
Auswüchse das innerhalb der Krankenkassen zwischen zwei Abteilungen keine Daten ausgetausch werden dürfen sind nicht nachvollziehbar und als Auswuchs der Datensicherheit zu werten. Die Weitergabe von Daten zum Wohle des Patienten ist nun mal nicht vermeidbar, vieles können wir aber auch in Social-Media Netzwerken recherchieren.
Der Punkt ist aber das bei all diesen Vorgängen von geklauten Daten, wo, wie auch immer und was auch sonst , handelt es sich aber um einen höchst kriminellen Akt und davor ist man leider nicht gefeit.

#6 |
  0

Viel schlimmer als das Geschilderte ist doch: Wir sollen die ‘Gesundheitskarte’ (welcher Euphemismus, ich behandle meist Kranke)der GKV benutzen. Wiir sollen zwangsweise das ‘KV-Safe.net’ der KBV benutzen.Obwohl jeder weß: Datensicherheit gibt es nicht. Ist’s in der cloud, ist es geklaut. Die KVen und die Kassen wollen 24h Zugriff auf meinen Praxisrechner haben. Und wir sollen das alles auch noch bezahlen. Habe letztes Jahr über 10000 Euronen zahlen müssen für neue Praxis EDV, aus meiner Sicht für nix und wieder nix. Die Hersteller und EDV-Menschen freut’s, mich reut’s. Wo bleibt eigentlich der Aufschrei der sog. Datenschutzbeauftragten in Bund Ländern und KVen, auch von uns bezahlt. Fehlanzeige. Es gibt einen lauen Beschluss mehrerer Ärztetage immerhin, aber wen kümmerts. Der neue inkompetente Gesundheiitsminiister meint, daß wir das jetzt unbedingt bewerkstelliigen müssen, denn es spare ja Kosten. Wo denn? Es kostet nur!
Stinkesauer

#5 |
  0
Ärztin

Nicht nur in Krankenhäusern und bei den Krankenkassen gibt es eklatante Datenschutzlücken. Beim Patiententransport von einem zum nächsten Krankenhaus werden mindestens mehr oder minder ausführliche Verlegungsberichte und sehr häufig Auszüge/Kopien aus der Krankenakte mitgeführt. Auch die Praxis Daten vorab zur Zielklinik zu faxen ist mitnichten Datenschutzgerecht aber meistens erforderlich.
Dem Artikel von Herrn Heuvel entnehme ich, dass im Fall Schumacher der ausführliche Kranken/Verlegungsbericht an die Rehaklinik entwendet und/oder kopiert wurde.
Die Ermittlung wird sich wahrscheinlich auf die entsprechenden datenschutzrechtlichen Schnitt/Schwachpunkte des Vorganges des Krankentransportes beschränken können.

#4 |
  0
Ulrike Reuter
Ulrike Reuter

…und wie ist das mit den externen Firmen die für die Krankenkassen die Heilmittel und Verordnungen überprüfen, hat jemals ein Patient seine Einwilligung dazu gegeben?

#3 |
  0
Ergotherapeut

Hohe Standards würde bedeuten, Patientenakten (gedruckte, physikalisch einsehbare, NICHT digitale) sind unter Verschluss. Aber Dienstkleidung reicht schon: de Facto kann jeder sich einen Arztkittel überwerfen und z.B. in einer übergroßen Klinik bzw. Station, wie es sie mittlerweile oft gibt, ins Stationszimmer an den Wagen mit den Kurven gehen und Einsicht nehmen, oder gar eine mitnehmen. In großen Häusern sind nicht alle Mitarbeiter wachsam und hinterfragen, wer da reinkommt, bei der Fluktuation an Assistenzärzten, Pflegern und Therapeuten, Praktikanten…

#2 |
  0
Hans Baumeister
Hans Baumeister

Kliniken hierzulande halten hohe Standards ein? Da lache ich ja. Bei einem Projekt zur Digitalisierung von Patientenakten wurden wir durch die Katakomben geführt. Hier lagen Kartons mit Patientenakten in den Gängen, da die Lager überfüllt waren. Eine Zugangskontrolle zu diesen Gängen gab es nicht.
Auch aus den Lagern hätten wir – weißer Kittel umgehängt – ohne Probleme aktuelle Patientenakten entwenden können; das hätte niemanden wirklich interessiert.

Bitte nicht nur andere Länder tadeln – auch hierzulande wird viel zu lax mit dem Thema umgegangen.

#1 |
  0


Copyright © 2017 DocCheck Medical Services GmbH
Sprache:
DocCheck folgen: