Unternehmen sind durch das Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (ASiG) verpflichtet, einen Betriebsarzt zu bestellen. Nach § 3 ASiG unterstützt der Betriebsarzt den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes. Im Rahmen dieser Tätigkeit nehmen Betriebsärzte arbeitsmedizinische Untersuchungen, Beurteilungen und Beratungen vor, erfassen Untersuchungsergebnisse und bewerten sie. Über die gemachten Feststellungen und die getroffenen Maßnahmen muss der Betriebsarzt als Gedächtnisstütze für sich selbst und um der Verpflichtung zu einer ordnungsgemäßen Dokumentation nachzukommen, entsprechende Aufzeichnungen in den ärztlichen Unterlagen machen. Diese Informationen unterliegen der ärztlichen Schweigepflicht.
Ausnahmen von der ärztlichen Schweigepflicht gelten nach § 4 Abs. 1 BDSG nur, wenn der Patient ausdrücklich und schriftlich seine Einwilligung zur Weitergabe der Informationen gegeben hat oder gesetzliche Vorschriften dem Arzt eine Pflicht oder ein Recht zur Offenlegung dieser Daten einräumen. Das ist zum Beispiel bei der Weiterleitung von Informationen an die gesetzliche Unfallversicherung (§§ 201 ff. SGB VII) der Fall.
Informationssicherheit – für das Gesundheitswesen ein kritischer Faktor
Personenbezogene Daten werden sowohl von Betriebsärzten, aber auch von den Kollegen im Gesundheitswesen meist digital gespeichert. Zur Wahrung der ärztlichen Schweigepflicht muss daher sichergestellt sein, dass kein Unbefugter Zugang zu diesem System und den gespeicherten gesundheitsbezogenen Daten erhält. Doch die Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der Daten ist eine vielschichtige Aufgabe, für die Praxisinhaber sowie Klinik- und Krankenhausbetreiber gleichwohl verantwortlich sind. Neben interner IT-Kompetenz ist oftmals die Unterstützung durch externe Experten für integrierte Informationssicherheit unverzichtbar.
Denn mit Maßnahmen nach dem „Gießkannenprinzip“ ist es beim Schutz sensibler personenbezogener Daten nicht getan. In Krankenhäusern und Praxen nimmt die Vernetzung von IT-Systemen stetig zu – und damit auch die Zahl möglicher Schnittstellen und offener Flanken, über die Angreifer in die IT-Infrastruktur eindringen könnten: Nicht nur die Patientenakten, sondern immer mehr Arbeitsprozesse in medizinischen Einrichtungen werden elektronisch gesteuert, immer größere Datenmengen werden digital gespeichert, verarbeitet und über Netze sowohl intern als auch extern übermittelt. Hinzu kommt die zunehmende Anbindung externer Standorte, sekundärer Leistungsträger, Kooperationspartner, medizinischer Geräte- und IT-Lieferanten sowie der Heimarbeitsplatz für den Hintergrund- oder Wochenenddienst. Angesichts der vielfältigen und wachsenden Gefährdungspotenziale aus dem Netz und der steigenden Abhängigkeit wird Informationssicherheit im Gesundheitswesen zu einem kritischen Faktor. Darüber hinaus zählen Kliniken und Krankenhäuser zu den kritischen Infrastrukturen, die nach dem neuen IT-Sicherheitsgesetz bestimmte Mindeststandards in punkto Informationssicherheit nachweisen müssen.
Wer Datenschutz und Datensicherheit ernst nimmt, sollte Informationssicherheit grundlegend und systematisch managen. Dabei geht es nicht um isolierte Einzelmaßnahmen, sondern um eine ganze Reihe ineinander greifender Maßnahmen: Die Installation einer aktuellen Antivirensoftware sollte selbstverständlich sein. Angesichts der dynamischen Bedrohungslage ist es wichtig, regelmäßig die neuesten Updates einzuspielen.
Weitere sinnvolle Mindeststandards sind
- ein systematisches Password-Management,
- kontinuierliches Einspielen von Sicherheits-Updates für Betriebssysteme und Anwendungen,
- der Verzicht auf Betriebssysteme und Anwendungen, für die Hersteller keine Sicherheits-Updates mehr anbieten.
Wichtig sind auch
- ein strukturierter Plan für die Abwehr eines Angriffs, um den Schaden für Patienten und Personal so gering wie möglich zu halten (Security Incident Response) und
- ein detaillierter Notfallplan, damit die Organisation nach einer Cyber-Attacke so schnell wie möglich wieder normal arbeiten kann.
Im unmittelbaren Zusammenhang mit der Wahrung der ärztlichen Schweigepflicht und dem Schutz personenbezogener Daten kommt vor allem einem professionellen Identitäten- und Berechtigungsmanagement (Identity- und Access-Management – IAM) eine wichtige Schlüsselfunktion zu, regelt das IAM doch genau, wer welche Zugriffe auf bestimmte Daten erhält. So lässt sich am ehesten verhindern, dass unbefugte Dritte Einblick in elektronische Patientenakten erhalten, diese manipulieren oder unbrauchbar machen können. Sich auf die Funktion der Veränderungskennzeichnung von Praxisverwaltungssystemen zurückzuziehen, reicht allein nicht. Hier handelt es sich nicht um die Prävention unerlaubter Zugriffe, sondern lediglich um eine Lösung, die im Zusammenhang mit einer späteren forensischen Untersuchung hilfreich sein kann.
Schutz vor unberechtigtem Zugriff von außen
Die Anbindung der Praxisrechner an das Internet ist für viele Anwendungen eine Voraussetzung. Ebenso gängig sind die Vernetzung der in der Praxis genutzten Rechner untereinander und die Einbindung weiterer medizinischer Geräte in das IT-Netzwerk von Praxis, Klinik oder Krankenhaus. Zur Wahrung der Schweigepflicht und um einen unerwünschten Datenabfluss zu vermeiden, muss die IT-Infrastruktur gegen unberechtigte Zugriffe von außen geschützt sein. Eine saubere Trennung von Office- und Medizin-IT und deren individuelle Absicherung bringen hier bereits einen deutlichen Gewinn an Sicherheit. Sofern möglich, sollten Rechner mit sensiblen Daten nicht unmittelbar mit dem Internet verbunden sein. Falls sich das nicht umgehen lässt, sollte die Online-Anbindung mindestens über eine, am besten gleich mehrere Firewalls abgesichert sein. Antivirenschutzprogramme prüfen idealerweise nicht nur die extern eingehenden Daten bzw. Verbindungen, sondern unterziehen auch die internen Datenströme einem regelmäßigen Scan.
Auch Daten, die ein Patient auf einem eigenen Datenträger mitbringt oder per E-Mail oder App übermittelt, können ein Sicherheitsrisiko darstellen. Daher sollten externe Datenträger und übermittelte Daten vor dem Kontakt mit dem Praxissystem doppelt auf Schadsoftware geprüft werden. Um das Praxisnetzwerk zuverlässig zu schützen, findet die Überprüfung am besten an einem Rechner statt, der nicht direkt ins Praxisnetzwerk eingebunden ist.
Datenschutz im Team
Die ärztliche Schweigepflicht gilt auch gegenüber Kollegen, wenn diese nicht an der Behandlung des Patienten beteiligt sind. Werden gesundheitsbezogene Daten an einen anderen Arzt weitergegeben, muss eine entsprechende Schweigepflichtentbindung durch den Patienten vorliegen. Werden die Befunde und Informationen elektronisch weitergeleitet, muss sich der Betriebsarzt davon überzeugen, dass in der empfangenden Praxis die Datenschutzrichtlinien eingehalten werden. Als Nachweis kann hier ein entsprechendes Zertifikat dienen.
Da eine Übermittlung über das Internet öffentlich und damit prinzipiell unsicher ist, müssen die Daten verschlüsselt übertragen werden, z. B. über eine gesicherte VPN-Verbindung (Virtual Privat Network). Je nach Verschlüsselungsprogramm werden Daten und der entsprechende Schlüssel getrennt an den Empfänger übermittelt. Ein höheres Sicherheitsniveau wird durch die Nutzung eines gesicherten Datennetzes erreicht. Solche Netze sind meist nur dann relevant, wenn regelmäßig Daten ausgetauscht werden, beispielsweise in einem Praxis- oder Klinikverbund. Das Bereitstellen der Daten zum Abruf durch eine andere Behandlungseinrichtung ist hingegen nicht erlaubt.
Teilen sich in einer Praxisgemeinschaft mehrere Ärzte die Praxisräume, müssen die Patientendaten und Dokumentationen eindeutig nur einem Arzt zugeordnet werden. Dies geschieht durch Führung eigener Datenbestände, beispielsweise durch die Nutzung eines mandantenfähigen EDV-Systems.
Sicherheit bei mobilen Endgeräten
Tablet-PC und Notebooks sind aus dem Arbeitsalltag nicht mehr wegzudenken. Darüber hinaus werden auch immer öfter Smartphones genutzt, um Informationen abzurufen oder Daten elektronisch zu erfassen. Bei der Nutzung mobiler Geräte muss sichergestellt sein, dass kein unberechtigter Zugriff auf die gespeicherten Daten möglich ist. Dazu sind die Geräte mit einem komplexen Passwort (das sich z. B. aus Buchstaben, Ziffern und Sonderzeichen zusammensetzt) zu schützen und die Speichermedien, gegebenenfalls auch die Patientendaten, zu verschlüsseln. Optimal ist der Einsatz eines professionellen Mobile-Device-Managements, mit dem sich Identitäten und Berechtigungen sowie IT-Richtlinien über die komplette Organisation hinweg zentral verwalten lassen. Bei Verlust können je nach Systemanbieter auch alle sensiblen Daten auf dem Gerät per Fernwartung gelöscht werden.
Für den Datenaustausch bieten mobile Geräte verschiedene Möglichkeiten: Innerhalb eines Gebäudekomplexes kommt häufig WiFi, der Funkstandard für WLAN-Funknetze, zum Einsatz. Dazu müssen entsprechende Zugänge (Access Points) eingerichtet und ausreichend gegen unberechtigte Nutzung gesichert werden, beispielsweise durch eine entsprechende Verschlüsselung.
Für die Übermittlung von Daten über größere Distanzen ist eine Mobilfunkverbindung nötig. Ein Fernzugriff auf das Praxisnetzwerk zum Abrufen und zur Dokumentation darf nur über eine Virtual Privat Network (VPN)-Lösung erfolgen, die durch eine Firewall abgesichert wird. Zusätzlich muss auf eine Benutzer-Authentisierung und eine verschlüsselte Datenübermittlung geachtet werden. Die Installation des VPN und der Sicherheitskomponenten sollte durch IT-Fachpersonal erfolgen, um Sicherheitslücken auszuschließen. Nach der Installation ist es notwendig, die Passworte zu ändern. Diese Anforderung muss an das IT-Fachpersonal gestellt werden, damit eine entsprechende Unterweisung zum Handling der Passwortänderungen erfolgen kann und somit kompetentes internes Personal zur Verfügung steht.
Grundsätzlich ist wirksame IT-Sicherheit eine iterative Aufgabe. Aufgrund der hohen technologischen Dynamik und der sich schnell wandelnden Cyber-Bedrohungen sollten sich Unternehmen der Gesundheitsbranche regelmäßig einer IT-Sicherheitsanalyse oder einem Penetrationstest unterziehen. Nur so können Schwachstellen in der IT-Infrastruktur gefunden und geschlossen werden, bevor ein Angreifer sie ausnutzen kann. Wichtig ist dabei, nicht nur externe Bedrohungsszenarien durchzuspielen, sondern auch die Möglichkeit eines Angriffs interner Mitarbeiter in Betracht zu ziehen.
Wer haftet, wenn es doch passiert?
Patientendaten sind besondere personenbezogene Daten und unterliegen dem Bundesdatenschutzgesetz (BDSG). Gemäß BDSG bzw. bereichsspezifischer Regelungen haftet im Falle eines unerwünschten Datenabflusses immer die verantwortliche Stelle, im Falle niedergelassener Ärzte diese selbst, im Falle des Betriebsarztes die Geschäftsführung des Unternehmens, bei Krankenhäusern die Krankenhausleitung. Bei Letzteren gibt es noch weitere gesetzliche, bereichsspezifische Regelungen auf Landesebene bzw. auf kirchlicher Ebene, wenn der Träger eine kirchliche Einrichtung ist.
Externe Datenverarbeitung
Wird ein Dienstleister im Zuge der Auftragsdatenverarbeitung, z. B. zur Archivierung, für eine Praxis oder ein Krankenhaus tätig, muss auch diesem Unternehmen gegenüber die Schweigepflicht eingehalten werden. Eine Weitergabe der Patientendaten an das Unternehmen ist ohne die Einwilligung des Patienten nicht erlaubt. Bei Krankenhäusern muss zudem das jeweilige Landeskrankenhausgesetz berücksichtigt werden.
Möglich wird eine Weitergabe ohne Einwilligung des Patienten nur, wenn ausreichende technische Maßnahmen getroffen werden, um zu verhindern, dass unbefugte Dritte die Daten einsehen können. Geeignete Sicherheitsmaßnahmen sind zum Beispiel Konzepte zur digitalen externen Archivierung, bei denen eine Verschlüsselung aller Informationen vorgesehen ist. Das Beschlagnahmeverbot nach § 97 Abs. 2 Satz 2 StPO erstreckt sich in diesem Zusammenhang auch auf ärztliche Unterlagen, die sich bei einem Auftragnehmer befinden. Die Daten sind vom Dienstleister so zu archivieren, dass dem Beschlagnahmeverbot Rechnung getragen wird.
Schweigepflicht gegenüber dem Arbeitgeber
Erhält der Betriebsarzt zur Ausführung seiner Aufgaben personenbezogene Datensätze vom Unternehmen, liegt keine zustimmungspflichtige Übermittlung von Daten vor.
Der Betriebsarzt nimmt nach § 8 Abs. 1 ASiG eine gegenüber dem Arbeitgeber unabhängige Stellung ein und unterliegt der ärztlichen Schweigepflicht. Gesundheitsdaten der Arbeitnehmer dürfen vom Betriebsarzt nur an den Arbeitgeber weitergegeben werden, wenn der Arbeitnehmer dies ausdrücklich erlaubt hat. Ergibt sich aus einer Untersuchung oder den Kenntnissen der Arbeitsplatzverhältnisse (s. AMR 3.1) ein Vorschlag für eine Arbeitsschutzmaßnahme, hat der Arzt dies dem Arbeitgeber mitzuteilen. Eine Zustimmung des Arbeitnehmers ist dazu laut Arbeitsmedizinischer Regel (AMR) 6.4 nicht erforderlich. Kommt es zu einem Vorschlag des Tätigkeitswechsels, ist die Einwilligung des Beschäftigten Voraussetzung für die Mitteilung an den Arbeitgeber. Daher muss der Betriebsarzt dafür sorgen, dass der Arbeitgeber keinen Zugriff auf die gesundheitsbezogenen Daten der Arbeitnehmer hat (§ 3 Abs. 7 BDSG). Sind diese Informationen auf einem Rechner gespeichert, gelten die Sicherheitsvorkehrungen wie in allen Arztpraxen. Es darf keine Zugriffsmöglichkeit über das Firmennetzwerk vorhanden sein.
Wechselt der Betriebsarzt, so muss sichergestellt sein, dass die Patientendaten nicht vom Unternehmen eingesehen werden können und an den Nachfolger weitergegeben werden. Dieser darf die Datensätze nur einsehen, wenn die betroffenen Arbeitnehmer nicht widersprechen. Daher sind die Arbeitnehmer über den Wechsel des Betriebsarztes vorab zu informieren.
Weitere Infos
Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis
www.bundesaerztekammer.de/richtlinien/empfehlungenstellungnahmen/schweigepflichtdatenschutz/
Autoren
Dr.-Ing. Daniel Hamburg
Head of Security Engineering
TÜV Rheinland
Harald Riebold
IT Business Manager, Produktmanager Datenschutz und Externer Datenschutzbeauftragter
TÜV Rheinland