Maja Smoltczyk, die Berliner Beauftragte für den Datenschutz, hat zwei große Krankenhausunternehmen in Berlin daraufhin geprüft, ob sie dem Schutz der Patientendaten auch bei der Wartung ihrer Informations- und Medizintechnik ausreichend Gewicht beimessen und die gesetzlichen Anforderungen einhalten.
TYPISCHES SZENARIO – FERNWARTUNG IM KRANKENHAUS
Normalerweise besitzen selbst große Krankenhäuser mit substanziellen IT-Abteilungen nicht die Kompetenz, Wartungsaufgaben ihrer komplexen Informationstechnik selbst zu übernehmen und für eine Wartung vor Ort durch externe Spezialisten stehen vielfach die finanziellen Mittel nicht zur Verfügung. So wird der größte Teil der Informations- und der Medizintechnik durch Dritte aus der Ferne gewartet. Aus diesem Grund hat der Gesetzgeber Krankenhäusern die Wartung von Datenverarbeitungssystemen durch Dritte ausdrücklich gestattet, auch wenn den Dienstleistern dabei Patientendaten offenbart werden.
ANFORDERUNGEN AN FERNWARTUNG IM KRANKENHAUS
Zum Schutz der Patientendaten hat der Gesetzgeber hier klare Anforderungen an die Wartung gestellt:
- das Krankenhaus muss die volle Kontrolle über die eigene IT behalten.
- Wartungsvorgänge dürfen nur mit Wissen und Wollen der verantwortlichen Beschäftigten erfolgen und
- müssen während der Durchführung und im Nachhinein kontrolliert werden können.
- weder Namen der Patienten noch Angaben über ihren Gesundheitszustand dürfen von den Dienstleistern eingesehen werden, wenn dies nicht unabweislich notwendig ist.
- die externe Wartung die Sicherheit der im Krankenhaus gespeicherten Daten nicht gefährden.
- der Zugriff darf nur über einen verschlüsselten Kanal erfolgen; dieser Kanal muss im Bedarfsfall durch das Krankenhaus selbst oder auf dessen Initiative hin aufgebaut werden.
- jeder autorisierte Beschäftigte des Dienstleisters muss seine Identität beim Zugriff auf die Krankenhaus-IT nachweisen.
- die Zugriffswege müssen so gestaltet werden, dass sie nicht von Dritten missbraucht werden können.
- und auch die Wartungsdienstleister selbst sind in ihrer Zugangsberechtigung auf die Systeme zu beschränken, für die sie zuständig sind.
Für den Fall einer Offenlegung der Daten an einen Dienstleister ist dieser zur Geheimhaltung zu verpflichten. Auch bei ihm dürfen Daten, die in seine Verfügung gelangen und im Krankenhaus der Schweigepflicht unterlegen haben, nicht beschlagnahmt werden. Dennoch bleibt es bei dem Widerspruch, dass eine Offenbarung von Patientengeheimnissen durch eigenes Personal der Kliniken strafbar ist, fremdes Personal dieser Strafandrohung trotz Geheimhaltungsverpflichtung jedoch nicht unterliegt. Die Datenschutzaufsichtsbehörden verlangen daher schon seit langem die Ausdehnung der Strafbarkeit auf externe IT-Dienstleister von Berufsgeheimnisträgern.
LÜCKENHAFTE UMSETZUNG
In den kontrollierten Krankenhäusern fanden die Mitarbeiter der berliner Behörde eine lückenhafte Umsetzung. Wie es im Jahresbericht heißt: „Vorgaben, sowohl der mit den Dienstleistern eingegangenen Verträge, als auch interner Handlungsanweisungen wurden nicht umgesetzt. Der Schutz der Übertragungskanäle gegen das Mitlesen Dritter entsprach häufig nicht dem Stand der Technik. Verfahren wurden eingesetzt, die mittlerweile als kompromittierbar eingeschätzt werden. Oft hängt die Sicherheit des Krankenhausnetzwerks von einer einzigen Schutztechnik ab, obwohl bei hoch schutzwürdigen Systemen empfohlen wird, eine zweite Schutzlinie aufzubauen. Man spricht hier von einer ‚Verteidigung in der Tiefe‘ und setzt u. a. auf mehrfache Verschlüsselung und die Aufteilung des Netzes der Institution in mehrere Teilbereiche, die voneinander getrennt werden.“
ERSCHRECKENDE TATSACHE
Was die Berliner Datenschutzbeauftragte aber als gravierendsten Patzer empfand, ist die Tatsache, dass Krankenhäuser bewusst in Kauf nehmen, die Hoheit über ihre Informationstechnik in Teilen zu verlieren, und sie vollständig in die Hände der Dienstleister geben. Es wird kein Sinn mehr darin gesehen, Kontrolle über die Dienstleister auszuüben, da ein Nachvollzug des Handelns dieser Dritten außerhalb der eigenen Kompetenz liegt. Die Tore zur Krankenhaus-IT stehen ständig offen, eine Protokollierung der Wartungsvorgänge erfolgt nur bruchstückhaft. Die Grenzen zu einem vollständigen Outsourcing von Teilen der Krankenhaus-IT verschwimmen.