Erst unlängst veröffentlichte der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) eine Meldung: “Hackerangriffe auf Arztpraxen in der Romandie”. Die Daten wurden von den Angreifern laut mehreren Medienberichten im Dark Web veröffentlicht - ein Schaden, der sich nur schwer beziffern lässt. Ein zentrales Thema, mit dem sich Arztpraxen - nicht zuletzt auch angesichts dieses aktuellen Vorfalls (s.o.) - befassen müssen, ist der Schutz sensibler medizinischer Daten.
Welche Daten als besonders sensibel gelten, welche datenschutzrechtlichen Vorgaben es einzuhalten gilt und welche Faktoren das Risiko minimieren, solchen Verbrechen zum Opfer zu fallen, darüber möchten wir im Folgenden einen Überblick geben, damit Sie sich und Ihre Patienten bestmöglich schützen können.
Es wirkt bereits nahezu selbstverständlich, dass wir über den Schutz von Daten diskutieren, doch vor wem und warum müssen sie geschützt werden? Gesundheitsdaten können für unterschiedliche Parteien aus verschiedenen Gründen interessante Informationen enthalten. Sei es, da sie daraus Schlüsse ziehen können, die zum Nachteil der betroffenen Person sein können oder einfach um Profit mit diesen Daten zu erzielen. Folgende Szenarien umreißen den Wert der Daten für unterschiedliche Akteure im Gesundheitswesen:
Die Interessen sind vielfältig und finanziell oft sehr lukrativ für die Interessenten, doch bergen sie stets den Nachteil für den Einzelnen. Angesichts dessen gelten sensible Daten - und dazu zählen insbesondere auch medizinische - als besonders schützenswert.
Privatsphäre gilt auch im digitalen Bereich
Beim Datenschutz wird grundsätzlich zwischen einfachen Personendaten einerseits und besonders schützenswerten, sogenannten sensiblen Personendaten andererseits unterschieden. Eine klare Abgrenzung für verschiedene Datentypen gibt es dabei zwar nicht, jedoch eine Einteilung, die als Basis zur Einordnung gelten soll. Hier ist für jeden Datensatz gesondert zu bewerten, wie dieser zu qualifizieren ist. Dabei gelten besonders sensible Daten gemäß Artikel 3 des DSG (Datenschutzgesetz) als Informationen über:
Die Gesundheit betreffend sind sämtliche Daten, aus denen sich der vergangene, gegenwärtige oder zukünftige Gesundheitszustand einer betroffenen Person ableiten lassen. Dazu zählen ferner auch Daten zur Anmeldung medizinischer Behandlungen und auch die Arzt-Patienten-Beziehung als solche gilt schon als schützenswert.
Ein Beispiel verdeutlicht, dass die Qualifizierung, ob es sich bei einer Information um sensible Daten handelt oder nicht, häufig vom Kontext abhängig ist.
Beispiel: Wird der Name im Zuge der Anmeldung zu einer Gesundheitsuntersuchung von einer Arztpraxis gespeichert, ist der Patientenname im Zusammenhang mit der geplanten medizinischen Untersuchung ein sensibler und besonders schützenswerter Datensatz hinsichtlich des Gesundheitszustandes der betroffenen Person. Wichtig dabei: der Name alleine für sich betrachtet würde noch keine sensible medizinische Information darstellen - erst der Kontext schafft diese Voraussetzung. 1
Übernimmt die Verwaltung von Anmeldungen zu medizinischen Untersuchungen ein externer Anbieter, unterliegt dieser ebenfalls den strengen Vorschriften des Datenschutzes. Mit ein Grund, wieso auch wir bei medicosearch eine laufende Evaluierung unserer Konformität mit dem Datenschutz vornehmen.
Mit der im Jahr 2020 im Parlament verabschiedeten Revision des Datenschutzgesetzes treten ab 01. September 2023 neue Gesetze in Kraft. Diese schaffen auch eine Veränderung in der Qualifizierung von medizinischen Daten hinsichtlich ihres Status der Sensibilität.
Allgemein erfolgte durch das revDSG eine starke Annäherung an die DSGVO (Datenschutzgrundverordnung) der EU. Dieser Versuch der Vereinheitlichung betrifft natürlich eine Vielzahl an Punkten, besonders relevant ist jedoch auch, die nun in beiden Texten zu findende Qualifikation von genetischen Daten als besonders schützenswerte medizinische Information.
Es ergibt sich also eine Herausforderung für alle Akteure, die an der Erhebung, Verarbeitung und Speicherung von personenbezogenen, medizinischen Daten beteiligt sind.
Für Arztpraxen ergibt sich auf den ersten Blick eine etwas kontroverse Situation. Einerseits liegt die Kernkompetenz im medizinischen Bereich, andererseits zählen die Daten, mit denen sie täglich hantieren, als äußerst sensibel und schützenswert. Die Ressourcen sich mit diesem Thema befassen zu können, sind zwar endlich und doch ist eine laufende Evaluierung in diesem Bereich unumgänglich. Digitale Kompetenzen innerhalb der Praxis aufzubauen, und die Mitarbeiter:innen zu fördern, die sich dieser Herausforderung annehmen, kann dabei sehr entlastend wirken.
Wie gehen Sie als Einrichtung im Gesundheitswesen an diese speziellen Themen heran?
Die DSGVO enthält 5 wesentliche “Grundsätze”, die sich für eine erste Bewertung Ihrer Situation anbieten:
Führen Sie ein eigenes Verzeichnis, in dem dokumentiert ist, welche Daten Sie in welchem System verarbeiten - von der E-Mail Ihrer Patient:innen bis hin zu den Rezepten, die Sie ausstellen. Legen Sie in Ihrer Datenschutzerklärung klar offen, welche Daten Sie warum erheben und in welcher Form sie verarbeitet werden.
Auch die Auslagerung gewisser Prozesse kann von Vorteil sein, wenn die dabei erhobenen Daten und die Verantwortung über Ihren Schutz von Dritten gewährleistet werden muss. Ein Vorteil, den Gesundheitseinrichtungen, die beispielsweise die Patienten-Terminbuchungen über medicosearch nutzen, genießen.
Konsultieren Sie also im Zweigel erforderlichenfalls auch externe Experten, die eine Evaluierung Ihrer eigenen Situation hinsichtlich der Standards des Datenschutzes vornehmen und lassen Sie sich beraten - denn Verstöße gegen das geltende Recht können Betroffene teuer zu stehen kommen.
Gemeinsam für mehr Schutz im Gesundheitsbereich
Oben angeführte Maßnahmen und Herangehensweisen helfen Ihnen dabei, einen Überblick über die Situation innerhalb Ihrer Praxis zu erlangen, aber auch die Komplexität des Themas nicht zu unterschätzen. Bedenken Sie, dass der transparente und sichere Umgang mit den Daten Ihrer Patienten ein hohes Vertrauensgefühl schafft und damit auch eine der Möglichkeiten, die Patientenbindung zu steigern, darstellt. Stellen Sie schon jetzt sicher, dass Ihre Arztpraxis den neuesten Vorgaben ab September 2023 entspricht, damit Sie Ihre wertvollen Ressourcen wieder der Gesundheit Ihrer Patienten widmen können.
Titelbild von Philipp Katzenberger. Weitere Bilder von Jason Dent und Cytonn Photography.