17.06.16 | Autor / Redakteur: Dr.-Ing. Christian Scharff* / Stephan Augsten
Gerade im Healthcare-Bereich liegen die Kompetenzen an anderen Stellen, als beim potenziellen Abfluss von Informationen. (Bild: Archiv)
Datenschutz zählt zweifelsohne nicht zu den Kernkompetenzen von Kliniken oder Pflegeheimen. Dabei sind es gerade medizinische Einrichtungen, die besonders sensible Informationen digital verwalten.
Die Digitalisierung macht auch vor dem Gesundheitswesen nicht Halt. Patientenakten werden digitalisiert, um Ärzten und Pflegepersonal jederzeit Zugriff auf wichtige Patientendaten zu ermöglichen, ohne dass die Papierakte von A nach B transportiert werden muss. Pflegeheime und Kliniken vernetzen sich mit dem Medizinischen Dienst und Krankenkassen, um zum Beispiel Befunde zu übermitteln.
Das Problem ist, dass Cyber-Kriminelle immer wieder versuchen, Datenbanken zu knacken und sensible Kundeninformationen abzuziehen. Von dieser Entwicklung sind eben auch medizinische Einrichtungen betroffen – und nur wer einen ausreichenden Datenschutz bieten kann, behält das Vertrauen der Patienten, Mitarbeiter und Geschäftspartner.
Damit müssen sich medizinische Einrichtungen unweigerlich dem Thema Datenschutz stellen. Dass sie es nur unzureichend tun, belegt die Studie „European Hospital Survey – Benchmarking Deployment of eHealth Services“ des Beratungsunternehmens PricewaterhouseCoopers aus dem Jahr 2014. Seinerzeit nutzten nur 40 Prozent der deutschen Krankenhäuser eine Verschlüsselung zur Sicherung der Patientendaten. Nur eines von fünf Krankenhäusern verfügte über ein ausreichendes Datensicherungssystem. Jede dritte deutsche Klinik braucht mindestens 24 Stunden, um nach einem Systemausfall die Daten wiederherzustellen.
Mangelnder Datenschutz und fehlende Datensicherheit sind das eine, die stetig wachsenden Anforderungen durch den Gesetzgeber das andere. Zusätzlich zum Bundesdatenschutzgesetz (BDSG) ist seit dem Sommer 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, IT-SiG) in Kraft getreten, unter das auch Krankenhäuser fallen. Es stellt technische und organisatorische Anforderungen an die Betreiber sogenannter kritischer Infrastrukturen, also solchen Infrastrukturen, die für das Gemeinwesen von zentraler Bedeutung sind.
Das IT-Sicherheitsgesetz sieht nicht nur vor, dass Ausfälle oder Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen. Vielmehr muss die Einhaltung der gesetzlichen Vorschriften auch alle zwei Jahre durch geeignete Audits oder Zertifizierungen überprüft werden. Verstöße werden mit Bußgeldern von bis zu 100.000 Euro geahndet.
Gesetzgeber macht Druck
Allein durch das Inkrafttreten des IT-Sicherheitsgesetzes und dessen zeitliche Vorgaben zur Erfüllung der rechtlichen Anforderungen entsteht bei medizinischen Einrichtungen ein hoher Handlungsbedarf in Sachen Datenschutz und Datensicherheit.
Hinzu kommt, dass auch die Öffentlichkeit immer mehr für diese Themen sensibilisiert wird. Datenschutzpannen, gerade im Gesundheitswesen, werden von in der Öffentlichkeit oftmals hochgepuscht. So kann der Vertrauensverlust weit größeren Schaden nach sich ziehen als monetäre Strafen, die durch etwaige Aufsichtsbehörden verhängt werden.
Wer im Falle eines Haftungsschadens infolge eines Datenlecks oder -diebstahls die Verantwortung trägt, steht außer Frage: Die Leitung bzw. die Geschäftsführung der medizinischen Einrichtung. Sollten sogar grob fahrlässige Verstöße festgestellt werden, zum Beispiel bei einer Scheinbestellung eines betrieblichen Datenschutzbeauftragten, kann die persönliche Haftung eines Geschäftsführers nicht mehr ausgeschlossen werden.
Dazu kann es schnell kommen, wenn man sich die Situationen vieler medizinischer Einrichtungen und Kliniken vor Augen führt. Laut BDSG muss ab einer Größe von zehn Mitarbeitern ein Datenschutzbeauftragter bestellt werden. Gerade in kleineren Einrichtungen existieren aber nur ansatzweise Datenschutzkonzepte, wie sie vom Gesetzgeber gefordert werden und wie sie der Datenschutzbeauftragte im Rahmen eines Datenschutzmanagements entwickeln und umsetzen muss.
Zusätzlich obliegt ihm die regelmäßige Kontrolle der getroffenen Sicherheitsmaßnahmen. Doch häufig besitzt der interne Datenschutzbeauftragte nicht die notwendige Fachkenntnis, weil er beispielsweise die Aufgaben rund um den Datenschutz nur nebenbei erfüllt und dementsprechend nicht genügend Zeit dafür aufbringen kann.
Eine solche Situation ist natürlich auch der wirtschaftlichen Lage vieler medizinischer Einrichtungen geschuldet. Datenschutz und Datensicherheit kosten Geld. Das IT-Sicherheitsgesetz sieht etwa die regelmäßige Überprüfung der getroffenen Datenschutzmaßnahmen vor, zum Beispiel durch eine Zertifizierung nach ISO 27001. Jedoch herrscht vielerorts extremer Sparzwang, so dass eine ISO-Zertifizierung nur selten in das ohnehin schmale Budget passt.
Know-how nutzen und Kosten sparen
Daher nutzen viele medizinische Einrichtungen die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Er ist einem internen Beauftragten laut BDSG gleichgestellt, bietet jedoch eine Reihe von Vorteilen. So muss das Know-how, das der externe Datenschutzbeauftrage mitbringt, nicht erst intern zum Beispiel durch die Qualifizierung und Weiterbildung von Mitarbeitern aufgebaut werden.
Der externe Datenschutzbeauftragte steht als qualifizierter und zertifizierter Mitarbeiter sofort zur Verfügung. Da er zudem für mehrere Einrichtungen tätig ist, verfügt er über die notwendige Routine und Erfahrung im Umgang mit datenschutzrelevanten Themen.
Auf diese Weise lässt sich ein Datenschutzkonzept gesetzeskonform in kürzester Zeit umsetzen, ohne dass Kosten für Fortbildungen anfallen. Selbst den Ausfall durch Urlaub oder Krankheit des externen Datenschutzexperten muss die Einrichtung nicht bezahlen. Ebenso gelten für ihn nicht die gleichen Kündigungsschutzklauseln wie für die eigenen Mitarbeiter.
Was der externe Datenschutzbeauftragte leisten sollte
Idealerweise verfügt der Dienstleister hinsichtlich Datenschutz und Datensicherheit im Healthcare-Bereich über mehrere Jahre Erfahrung. Das Know-how des Datenschutzexperten zeigt sich insbesondere durch Zertifizierungen, wie sie IHK und TÜV anbieten. Er sollte sich zudem nicht nur im Bereich des Datenschutzes auskennen, sondern auch die Anforderungen an die Datensicherheit kennen und umzusetzen wissen. Hier gibt es etliche Vorgaben vom BSI, in denen sich der externe Datenschutzbeauftragte quasi zu Hause fühlen muss.
Mithilfe eines Datenschutz-Dienstleisters können selbst kleinere medizinische Einrichtungen ohne große Kostenbelastung die gesetzlich geforderten Maßnahmen hinsichtlich Datenschutz und der -sicherheit realisieren. Außerdem setzen sie nicht das Vertrauen ihrer Patienten und Geschäftspartner aufs Spiel. So sind personenbezogene, sensible Informationen sicher vor illegalen Zugriffen, Diebstahl und Manipulation. Gleichzeitig wappnet sich die medizinische Einrichtung für die Anforderungen des digitalen Zeitalters.
* Dr.-Ing. Christian Scharff ist Vorstand bei der accuris AG und BSI-zertifizierter Informationssicherheits-Revisions- und Beratungsexperte sowie TÜV-zertifizierter Datenschutzauditor.