Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Datenschutz-Schulungen für Krankenhäuser

Die ärztliche Schweigepflicht ist Teil des Hippokratischen Eids – gleichzeitig sind Patientendaten aber unter den Bedingungen moderner Datenverarbeitung zahlreichen Gefährdungen ausgesetzt.

Krankenhäuser riskieren durch einen nachlässigen Umgang mit Datenschutz und Datensicherheit zudem nicht nur Imageschäden und wirtschaftliche Einbußen, sondern auch strafrechtliche Ahndung und langwierige Auseinandersetzungen mit den Datenschutzaufsichtsbehörden.

So stellt die praxistaugliche Gestaltung von Datenschutz im Krankenhaus oftmals eine schwierige Balance zwischen unzureichenden gesetzlichen Vorgaben und neuen technischen Möglichkeiten dar.

Wir haben ein umfangreiches Beratungs- und Seminarpaket mit verschiedenen Modulen entwickelt und zeigen Ihnen auf, wie Sie die unterschiedlichsten Fragestellungen zu Datenschutz und Datensicherheit im Krankenhaus praktisch in den Griff bekommen.

Termine auf Anfrage: Rufen Sie uns gerne an!

Arbeitsbeispiel Krankenhaus

Wenn auf einmal handfeste Datenschutz-Probleme auftauchen

 

Für ein Krankenhaus in einer Kleinstadt in der Mitte von Deutschland* sollte ein Verfahrensverzeichnis inklusive der dazugehörigen technischen und organisatorischen Maßnahmen erstellt werden. Infolge der großen Menge an Verfahren sah sich der interne, Teilzeit-Datenschutzbeauftragte des Krankenhauses nicht in der Lage, diese Aufgabe mit der gebotenen Gründlichkeit zu erledigen, und übergab sie an uns.

In einem Verfahrensverzeichnis werden sämtliche automatisierten Verfahren eines Unternehmens erfasst und ausgewertet, die die Erhebung, Speicherung oder Weiterverarbeitung personenbezogener Daten betreffen. Tauchen hier Fragen oder Unklarheiten auf, sind diese für die Datenschutzbeauftragten ein guter Anknüpfungspunkt der Frage nach der Erlaubnis einer bestimmten Datenverarbeitung nachzugehen.

Aller Anfang ist Recherche: nach Auswertung bestehender Unterlagen und ausführlichem Befragen verschiedener Mitarbeiter insbesondere aus der IT-Abteilung identifizierten wir insgesamt 56 Verfahren, in denen mit Patientendaten gearbeitet wurde.

Neben den üblichen und gängigen Verfahren wie Röntgenbilder oder dem Umgang mit (papiernen) Patientenakten tauchte aber bald ein mysteriöser Posten auf: Der Chefarzt H. der Chirurgie hatte aus seiner Zeit an der Universitätsklinik Bonn eine Software mitgebracht und eingeführt, die jedoch keiner außer ihm selbst nutzen oder bedienen konnte.

Hier gab es also zwei handfeste Datenschutz-Probleme:

1.Haftung: Da keiner außer dem Chefarzt H. wusste, wofür die Software genutzt wurde, und ob damit möglicherweise Patientendaten an Unbefugte übermittelt würden, bestand eine ernstzunehmende Gefahr für das Krankenhaus. Dieses haftet nämlich für sämtliche angewendete Verfahren, auch wenn es gar nicht in die Inhalte eingeweiht ist. Auch der Datenschutzbeauftragte haftet für Schäden mit einem Bußgeld, weshalb er die Leitung des Krankenhauses in einem solchen Fall unbedingt auf die Gefahr dieses nicht-öffentlichen und potenziell unzulässigen Verfahrens hinweisen muss.

2. Verfügbarkeit: Außer dem Chefarzt konnte niemand auf die Software zugreifen und niemand vermochte zu sagen, ob die Daten überhaupt mit in die reguläre Datensicherung des Krankenhauses einflossen. Im Krankheitsfall oder schlimmerem wäre es also keinem anderen aus dem Krankenhaus möglich gewesen, das Verfahren weiter zu betreiben oder auch nur zu prüfen, worum es sich dabei handelte.

Wir wiesen das Krankenhaus mit einem umfassenden Bericht auf dieses und noch verschiedene andere Risiken in Bezug auf den Umgang mit Patientendaten hin. Im Ernstfall hätte ein Bußgeld von bis zu 300.000 Euro auf das Krankenhaus zukommen können, das nicht auf den betreffenden Chefarzt abzuwälzen gewesen wäre.

Das Krankenhaus machte sich daraufhin umgehend daran, das Problem der Chefarztsoftware zu beheben. Der Datenschutzbeauftragte war erfreut, nunmehr über eine umfassende Übersicht über alle Verfahren mit Bezug zu Patientendaten zu verfügen und über mögliche Schwachstellen informiert zu sein.

*Alle Namen und Orte wurden von der Redaktion geändert.

Haben auch Sie Fragen zu den Abläufen in Ihrem Krankenhaus? Wir beraten Sie gerne. Kontakt

Zurück

Zufriedene Kunden sprechen für erfolgreiche Beratung.

Die Liste unserer zufriedenen Auftraggeber ist lang und wird beständig länger: Vom Konzern über mittelständische Unternehmen bis zum Kleinunternehmen, von Nichtregierungsorganisationen (NGO / NPO) bis hin zu Einrichtungen in Medizin- und Gesundheitswesen - für viele Auftraggeber arbeiten wir als Berater und externe Datenschutzbeauftragte bereits seit vielen Jahren.

Darüber erzählen wir auch gerne mehr. Ihnen zum Beispiel! Wir freuen uns darauf, auch Sie persönlich kennen zu lernen und mit Ihnen über erfolgreiche Projekte und Mandate zu sprechen – selbstverständlich immer mit dem Einverständnis unserer Kunden. Vereinbaren Sie gerne einen Termin in unserem Büro in Hamburg, Berlin oder Münster.

PrivCom - vertrauenswürdige Beratung in Fragen des Datenschutzes, der Datensicherheit und Datenschutzanalyse.