Erst gestern berichteten wir über den Entwurf des Bürokratieentlastungsgesetzes III, wonach die Arbeitsunfähigkeitsbescheinigung dem Arbeitgeber künftig elektronisch von der Krankenkasse bereitgestellt werden soll. Hierbei wiesen wir u. a. auf die erforderlichen technischen Sicherheitsanforderungen hin. Nun wurde bekannt, dass bereits seit Jahren Patientendaten ungesichert im Netz verfügbar sind.
Der Inhalt im Überblick
Was ist passiert?
Eine gemeinsame Auswertung des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica hat ergeben, dass weltweit ca. 16 Millionen Datensätze in rund 50 Ländern offen im Netz lagen bzw. liegen. Vor allem US-amerikanische Patienten seien betroffen, aber auch mehr als 13.000 Datensätze von deutschen Patienten seien noch bis vergangener Woche zugänglich gewesen.
Es handelt sich u. a. um Aufnahmen von Brustkrebsscreenings, Röntgenaufnahmen o. ä., die fast alle mit personenbezogen Angaben über Geburtsdatum, Vor- und Nachname, Termin der Untersuchung oder Name des behandelnden Arztes versehen sind. Da es sich meist um hochauflösende Bilddateien handelt, können aber auch weitergehende Gesundheitsinformationen, z. B. Herzschrittmacher, Knochenbrüche, entnommen werden.
Wie kamen die Daten ins Netz?
Von einem Patienten wird mit Hilfe einer Magnetresonanztomographie (kurz: MRT-Röhre) oder einer Computertomographie Bilder vom Körperinneren angefertigt. Das Gerät sendet diese Bilder dann direkt an einen Server, welcher für die Archivierung zuständig ist. Es handelt sich dabei um ein sog. „Picture Archiving and Communication System“ (PACS). Dem Patienten selber wird das Untersuchungsergebnis in Form einer CD oder DVD ausgehändigt.
In technischer Hinsicht gibt es unzählige Möglichkeiten, bei welchen Schritt die Daten ins Netz gelangen können. So hat ein Arzt einer radiologischen Praxis nach eigener Prüfung eingeräumt, dass die Daten bei der Erstellung einer speziellen CD über einen Webserver im Netz gelangten, vgl. Berichterstattung der Tagesschau vom gestrigen Tage. Bei einer bayrischen Universitätsklinik wiederum sind die Daten im Rahmen eines Anonymisierungsprozesses ins Netz gelandet, weil diese auf einen nicht hierfür vorgesehenen Rechner gespeichert wurden.
Aber auch die PACS-Server der medizinischen Geräte sind nicht immer hinreichend gesichert. Bereits im Jahre 2016 rügte der Professor für Radiologie an der Harvard Medical School, Herr Oleg Pianykh, in seiner Studie, dass er damals 2700 offene Systeme ausfindig machen konnte. Ein Hacker wird wohl über diese „geringe“ Zahl nur lächeln. Zwar wurde diese Studie zur Kenntnis genommen, ein Handlungsbedarf wurde aber anscheinend nicht gesehen.
Was für Folgen kann dieses Datenleck haben?
Bei den Gesundheitsdaten handelt es sich um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO. Da sie besonders schutzwürdig sind, werden sowohl an die Zulässigkeit der Datenverarbeitung als auch an die zu ergreifenden technischen und organisatorischen Maßnahmen höhere Maßstäbe gestellt.
Wenn diese Daten ungeschützt im Internet verfügbar sind, dann wird der betroffene Patient erheblich in sein Recht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG verletzt. Wir wissen ja: Das Internet vergisst nie. Der Betroffene ist nicht mehr Herr der Verbreitung seiner (gesundheitlichen) Informationen. So ist es denkbar, dass eine Versicherung den Abschluss eines Versicherungsvertrages ablehnt, weil der potentielle Vertragspartner als hohes Kostenrisiko eingestuft wird. Aber auch der eigene oder potentielle Arbeitgeber kann Kenntnisse über einen erlangen, die ihn per se nichts angehen. Dann nützt es nichts, dass die abzugebende Arbeitsunfähigkeitsbescheinigung keine Auskunft über die konkrete Krankheit gibt. Der Chef kann ja einfach schnell im Internet nachschauen, woran der Arbeitnehmer erkrankt sein könnte.
Im gestrigen Interview des Morgenmagazins MOMA der Tagesschau äußerte sich der Bundesdatenschutzbeauftragter, Herr Ulrich Kelber, wie folgt:
„Gesundheitsdaten gehören überhaupt zu den sensibelsten personenbezogenen Daten, die man sich vorstellen kann. Man will nicht, dass diese Daten eventuell irgendwo veröffentlicht werden. (…) Und wir werden immer stärker durchsetzen müssen, auch mit entsprechenden Strafen, dass diese entscheidenden Sicherungsmaßnahmen erfolgen. Weil diese Daten gehören nicht in fremde Händen!“
Wie kann man dies zukünftig vermeiden?
Arztpraxen, Labore und Kliniken kommen nicht daran vorbei, ihre IT-Infrastruktur und Datenverarbeitungsvorgänge kritisch zu hinterfragen. Ein ausführliches Verzeichnis über die Verarbeitungstätigkeiten und Dienstleister kann hierbei helfen, sich möglicher Risiken bewusst zu werden und entgegenzutreten. Bei den bereits bestehenden medizinischen Untersuchungsgeräten muss genau geprüft werden, wie die Datenflüsse sind und ob diese mögliche Datenlecks begründen können. Dies kann auch dann schon zu bejahen sein, wenn das Gerät mit einer veralteten Software oder Betriebssystem ausgestattet ist, die keine Updates (und damit Sicherungen) mehr erhält. Wenn dem so ist, dann müssen entsprechende Gegenmaßnahmen unternommen werden, z. B. die Vornahme einer Verschlüsselung, Passwort-Sicherung oder gar der Austausch des medizinischen Gerätes.
Die Vorgaben der DSGVO hinsichtlich des Sicherheitsstandard sind zwingend zu erfüllen. Wenn einem Arzt die erforderliche Expertise hierzu fehlt, dann muss er diese sich extern „einkaufen“.
Aber auch der Staat kann seinen Beitrag leisten, indem die Aufsichtsbehörden im Gesundheitsbereich (stichprobenartige) Kontrollen ausführen und durch Aufklärung insbesondere kleine Arztpraxen und Labore sensibilisieren. Die Aufklärung wird sich da wohl auch dem Thema Finanzierung widmen müssen, denn gerade medizinische Geräte sind meist sehr kostspielig und daher für ein kleines Labor nicht so leicht austauschbar.
Ein steiniger Weg für die digitale Gesundheitswelt
Ab 2021 soll eine elektronische Patientenakte in Deutschland eingeführt werden. Noch vor der Sommerpause wurde das digitale Versorgungsgesetz (DVG) vom Bundeskabinett verabschiedet, womit eine Digitalisierung des Gesundheitswesens (z. B. durch Gesundheits-Apps oder Online-Sprechstunden) beschleunigt werden soll. Viele Bürger stehen dieser Entwicklung sehr skeptisch gegenüber und solche Schlagzeilen wie gestern scheinen ihnen auf den ersten Blick Recht zu geben.
Die Digitalisierung darf aber nicht im Gesundheitswesen stoppen, da durch sie auch ein Wissensaustausch gefördert und unnötiger Bürokratieaufwand abgebaut wird. Mit Hinblick auf die Sensibilität der Daten ist es umso wichtiger, dass Datenschutz und IT-Sicherheit unabhängig von der Größe einer Arztpraxis einen hohen Stellenwert erfährt. Weil der Datenschutz aber nicht auf die Schließung von Arztpraxen abzielt, ist auch der Staat in Form einer proaktiven Unterstützung bei der Umsetzung gefragt.
Erstaunlich, dass es für die bereits in vielen Praxen in Funktion befindliche Telematikinfrastruktur (Ti) bisher noch keine Datenschutzfolgenabschätzung gibt. Und man „offfline-Praxen“, die bewusst nicht mit ihrem Praxisverwaltungssystem am Internet sind, mit Sanktionen an die Ti anbinden will. Auch Jens Spahns These: „Datenschutz ist was für Gesunde“, die er 2016 in seinem Buch „App vom Arzt“ vehement proklamiert hat, ist doch wenig vertrauensbildend.
Traurig aber Realität ! Der Online Betrug nur ein Beispiel aus meiner Praxis, lässt sich ebenso wenig vermeiden sondern lediglich mindern ! Und bereits beim Thema Computer Sicherheit haben wir ein ungelöstes Datenschutzproblem ! Mehr Computersicherheit = weniger Datenschutz, mehr Datenschutz = weniger Sicherheit und mehr Kompfort durch das Internet der Dinge gleich weniger Sicherheit und Datenschutz ! Denn Software kann aus Sicherheitslücken bestehen. Kein Mensch ist fehlerfrei und dies trifft auch für die Programmierer zu.
Informationssicherheit bzw Datenschutz in Arztpraxen sieht viel zu oft so aus (in den letzten 4 Monaten bei 2 verschiedenen Ärzten): Patient sitzt alleine im Behandlungszimmer und wartet 10 min auf den Arzt. PC ohne Passwortschutz offen, Betriebssystem Windows 2000 (oder XP im 2000 Look), Firefox in der Tastleiste. Ein ganz kleiner Hack und alle Daten gehören mir und der Arzt ist erpressbar.
Da wird es dann interessant als Arzt seine Dienste ganz privat anzubieten – New-age healer geben ja auch keine Details ihrer Klienten in einen Komputer ein. Der vom Patienten gesteuerte Arztbesuch sieht rosigen Zeiten entgegen – natuerlich nur fuer die Kranken, die dafuer das noetige Kleingeld haben. Es lebt sich nicht schlecht in Izmir, auf Jersey oder auf den Malediven.