Die Patientenversorgung soll digitaler werden - und damit patientenfreundlicher und besser. So formulierte es Bundesgesundheitsminister Jens Spahn. Die Digitalisierung in der Medizin bietet dabei auch für Ärzte und Krankenhäuser erhebliche Vorteile, wenn es um Effizienzsteigerung und mehr Wirtschaftlichkeit geht. Doch was passiert, wenn Patientendaten im Netz landen?
Patientendaten für Jedermann
Der Bayerische Rundfunk hat im September 2019 in Zusammenarbeit mit ProPublica, einer amerikanischen Nachrichtenagentur für investigativen Journalismus, ein Datenleck aufgedeckt. Sie fanden Daten von mehreren Millionen Patienten aus aller Welt offen im Netz, darunter auch circa 13.000 Datensätze aus Deutschland, wobei ungefähr die Hälfte davon auch Bilder (zum Beispiel Röntgenbilder) enthielten.
Die Daten lagen offen und ungeschützt auf einem sogenannten "Picture Archiving and Communication System". Dabei handelt es sich um Server, die für die Bildarchivierung von Röntgen-, MRT- und CT-Aufnahmen genutzt werden. Der Zugriff auf die Daten stand nicht nur kriminellen Hackern offen, sondern im Prinzip jedem mit ein bisschen Computeraffinität und der richtigen (kostenfreien) Software. Die deutschen Server sind mittlerweile offline.
Digital Healthcare braucht besonderen Datenschutz
Dabei sind Gesundheitsdaten besonders sensible Daten. Sie betreffen in der Regel einen intimen Lebensbereich, den die Betroffenen nicht der Öffentlichkeit offenlegen - die Gesundheit. Sie bergen zudem eine besondere Diskriminierungs- und Stigmatisierungsgefahr und fallen unter das Arztgeheimnis. Dementsprechend stellt die Datenschutzgrundverordnung (DSGVO) an die Rechtmäßigkeit der Verarbeitung solcher Daten besonders hohe Anforderungen.
Insbesondere sind Sie durch technische und organisatorische Maßnahmen gegen den unbefugten Zugriff Dritter zu schützen. Grundlegende Sicherheitsmaßnahmen stellen dabei die Zugriffskontrolle mittels Nutzername und Passwort sowie Verschlüsselung dar. Selbst diese leicht umzusetzenden Maßnahmen wurden aber bei den offengelegten Gesundheitsdaten nicht angewendet. Das Datenleck wäre also mit Leichtigkeit vermeidbar gewesen. Dies ist gerade deshalb besonders brisant, weil der Gesetzgeber für Krankenhäuser und Ärzte besonders hohe Sicherheitsstandards im Umgang mit personenbezogenen Daten vorsieht.
Sicherheitsstandards für die Medizin
Krankenhäuser können zu den kritischen Infrastrukturen im Sinne des IT-Sicherheitsgesetzes zählen und damit der Verpflichtung unterliegen, sich gegen Cyberattacken und Systemausfälle in besonderem Maße zu schützen. Hierzu befindet sich momentan ein branchenspezifischer Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG) in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Leitfaden soll erst für Krankenhäuser ab einer vollstationären Fallzahl von 30.000 pro Jahr gelten, kann aber auch für kleinere Kliniken eine Hilfestellung für die Gewährleistung der Informationssicherheit bieten. Er beschreibt 168 Maßnahmen zum Schutz der Informationstechnik und Gewährleistung der Patientenversorgung, die vom Stromausfall über Hackerangriffe bis hin zu menschlichen Fehlern eine Vielzahl von Szenarien abbilden.
Ziel ist die Gewährleistung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme. Gerade auch im Hinblick auf die Einführung der elektronischen Patientenakte und der fortschreitenden Digitalisierung im Gesundheitssektor allgemein ist es auch für kleinere Kliniken und Arztpraxen unumgänglich, sich mit diesen Themen zu befassen und geeignete Schutzmaßnahmen zu implementieren.
Die Bundesregierung hat kürzlich einen Gesetzesentwurf für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz - DVG) verabschiedet. Dieser sieht für die Kassenärztlichen Bundesvereinigungen die Aufgabe vor, die IT-Sicherheitsanforderungen in der vertragsärztlichen und vertragszahnärztlichen Versorgung in einer Richtlinie bis zum 31. März 2020 festzulegen. Die Richtlinie soll für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich sein.
Die in der Richtlinie aufgestellten Anforderungen sollen abhängig vom Gefährdungspotenzial geeignet sein, Störungen der Informationssicherheit zu vermeiden. Sie müssen dem Stand der Technik entsprechen.
Smart Hospital - das Krankenhaus der Zukunft
Der Begriff Smart Home ist mittlerweile weit verbreitet und bezeichnet die Vernetzung verschiedener Haushaltsgeräte zur Verbesserung der Lebensqualität. Zur Verbesserung der Patientenversorgung streben viele Krankenhäuser das Smart Hospital an. In einer Krankenhausstudie von Roland Berger aus dem Jahre 2018, bei der die 500 größten Krankenhäuser befragt wurden, gaben 93 Prozent der befragten Krankenhaus-Manager an, eine Digitalisierungsstrategie zu verfolgen. Dabei endet die Vision nicht schon bei der Vernetzung der Systeme. Die Digitalisierung soll vielmehr sämtliche Bereiche der Patientenversorgung umfassen - von der Auswertung der Untersuchungsergebnisse über die Diagnose bis zur Kommunikation mit dem Arzt. Dabei sollen auch neue Technologien wie Künstliche Intelligenz und 3D-Druck zum Einsatz kommen.
Das Universitätsklinikum Essen nimmt hier eine Vorreiterrolle ein. Es arbeitet an der Verwirklichung des Smart Hospitals mit dem Ziel, innovative medizinische Verfahren und Anwendungen im Klinikalltag einzusetzen. Dazu testet es eine auf Künstlicher Intelligenz basierende Software, den AI Pathway Companion von Siemens Healthineers, der zum Beispiel auch Vorschläge für weitere Therapieschritte macht. Auch im Operationssaal wird mit der DaVinci-Methode innovative und minimal-invasive Robotertechnik genutzt.
Handlungsbedarf
Der jetzt bekanntgewordene Fall zeigt, dass gerade in den Sektoren, in denen besonders kritische Daten verarbeitet werden, diese Daten oft nur ungenügend geschützt sind. Bis zu einem gewissen Grad ist das verständlich - geht es doch häufig um den Schutz von Leben. Mit Blick auf die Compliance greift dieser Einwand jedoch nicht. Je digitaler und smarter die medizinische Versorgung wird, umso wichtiger ist es, dass sich die Beteiligten damit beschäftigen, wie sie Patientendaten sachgerecht schützen können.