Patientendaten: Probleme beim Datenschutz in Praxen und Kliniken

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten. Damit fallen sie durch die EU-Datenschutzgrundverordnung (DSGVO) zu den besonders besonders schützenswerten Informationen über natürliche Personen. Doch gerade im Umgang mit Patientendaten scheint es an vielen Stellen noch Nachholbedarf in Sachen Datenschutz zu geben. In den ersten zwei Jahren der DSGVO nämlich erfassten die Landesdatenschutzbeauftragen hunderte von Fällen, in denen die Informationen falsch verschickt wurden. Welche Ursachen können diese Datenschutzverstöße haben?

Menschliches Versagen im Umgang mit Patientendaten
Über rund 850 Fehlsendungen von Patiendaten wurden die Datenschutzbeauftragten der Länder seit Mai 2018 informiert. Spitzenreiter ist Bayern mit 383 gemeldeten Fällen. Die Dunkelziffer dürfte aber wohl höher liegen, denn viele entsprechende Verstöße werden gar nicht erst bei den Aufsichtsbehörden angezeigt.

Als Hauptgrund dafür, dass so oft solch sensible Daten an die falschen Personen übermittelt werden, kann menschliches Versagen gelten. Die Ursachen sind vielfältig: vom latenten Personalmangel im Gesundheitswesen über den enormen Zeitdruck bis hin zu einfachen Schreibfehlern oder unleserlicher Schrift.

Angesichts der andauernden Corona-Krise ist die Lage mit zunehmender Auslastung von Krankenhäusern, Arztpraxen, Pflegeeinrichtungen und Laboren noch prekärer geworden. Neue Abläufe auch in Bezug auf Meldepflichten gegenüber den Gesundheitsämtern, aber auch der Ausfall von immer mehr Personal können zu einer weiteren Steigerung bei den Fehlmeldungen führen.

Ob gerade derzeit die Erhebung von Bußgeldern gegen Krankenhäuser und andere Gesundheitseinrichtungen wirklich eine Verbesserung erzielen können, ist fraglich. Sie können zwar die Aufmerksamkeit für die Problematik bei Ärzten, Pflege- und Praxispersonal verstärken, die grundlegenden Probleme aber behebt das nicht. Sofern sich die Lage des Gesundheitssystems nicht wesentlich verbessert, ist also davon auszugehen, dass es auch zukünftig immer wieder zu unbeabsichtigten Fehlsendungen von Patientendaten kommen wird.

Technische Infrastruktur zu großen Teilen veraltet
Ein weiteres Problem für den Schutz von Patientendaten stellt schon allein die vielerorts veraltete Infrastruktur in Krankenhäusern und Arztpraxen dar. Der Schutz muss schon bei der Digitalisierung der Daten beginnen. Doch noch immer bieten viele Gesundheitseinrichtungen Einfallstore für Hacker.

Im September 2019 wurde etwa bekannt, dass Millionen von Patientendaten lange Zeit frei im Netz abrufbar waren, von Röntgenbildern bis hin zu MRT-Bilder und weiteren sensiblen Patientendaten. Sie waren jahrelang auf ungesicherten Servern abgelegt worden. Betroffen waren zwar überwiegend Daten US-amerikanischer, aber eben auch zirka 13.000 deutscher Patienten.

Datenschutzprobleme auch insgesamt in der Telemedizin
Gesundheitsdaten sind datenschutzrechtlich ohnehin eine besondere Herausforderung, auch für die Politik. Das Vorantreiben der Telemedizin hält nämlich schon von vornherein zahlreiche Tücken bereit. Sie stellt auch enorme Bedingungen an die technischen Voraussetzungen für die digitale Verarbeitung von Patientendaten. Schon die Einführung der elektronischen Gesundheitskarte (eGK) lief nicht reibungslos.

Zuletzt hat die Bundesregierung die Idee der elektronischen Patientenakte vorangetrieben, die ab 2021 eingeführt werden soll. Den Rahmen für die Datenverarbeitung soll das im Bundestag bereits beschlossene Patientendaten-Schutz-Gesetz (PDSG) bilden. Schon kurz nach dem Beschluss warnte der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bereits, dass die elektronische Patientenakte in der bislang geplanten Form gegen die DSGVO verstößt und forderte Nachbesserungen beim PDSG. Kelber warnte:

“Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte.”

Die Schuld also allein auf den Schultern von Ärzten, Pflegern oder Krankenhausleitungen abzuladen, ist zu kurz gedacht. Offenbar hat nämlich selbst die Politik Schwierigkeiten damit, die entsprechenden Grundlagen für einen sicheren Umgang mit Patientendaten zu schaffen.

Ähnliche Beiträge