Patientendaten-Schutz-Gesetz – Informationssicherheit im Krankenhaus

Patientendaten im Krankenhaus

Beim Blick auf das Patientendaten-Schutz-Gesetz und Informationssicherheit und Datenschutz im Krankenhaus gilt zunächst einmal: In Deutschland regelt die Datenschutz-Grundverordnung (DS-GVO) den Umgang mit personenbezogenen Daten. Artikel 9 der DS-GVO widmet sich dem Umgang mit Patientendaten und Patienteninformationen, deren Schutz einen besonders hohen Stellenwert hat. Dies kommt auch durch die ärztliche Verschwiegenheitspflicht und die möglichen strafrechtlichen Konsequenzen bei einer Verletzung zum Ausdruck. Dabei geht es vor allem um Sicherheitsziele beim Zugriff auf und darüber hinaus um die Verarbeitung von Patientendaten. Hierzu zählt auch deren Weitergabe.

Ohne die Zustimmung des Patienten ist zum Beispiel die Nutzung und Weitergabe seiner Daten an Dritte praktisch nicht möglich. Ausnahmen sind gesetzlich geregelt und beschränken sich auf notwendige Behandlungen oder Forschungszwecke. Letzteres jedoch grundsätzlich anonymisiert.

Elektronische Patientenakte: Telematik-Infrastruktur vernetzt Akteure 

Aber auch wenn Patientendaten und Patienteninformationen nicht jenseits medizinisch notwendiger Zwecke genutzt werden: Sie müssen zu Behandlungszwecken erhoben, gespeichert und innerhalb der Telematik-Infrastruktur (TI) weitergegeben werden, beispielsweise von oder an ein Krankenhaus. Die Telematik-Infrastruktur nach § 291a SGB V vernetzt alle am Gesundheitswesen beteiligten Gruppen. Zu diesen gehören Krankenkassen, Krankenhäuser, Ärzte, Apotheken etc.

In diesem Zusammenhang spielt die geplante elektronische Patientenakte (ePA) eine wesentliche Rolle. Denn Krankenhäuser müssen die Einführung der ePA, die sich seit Anfang 2021 in der Testphase befindet, bereits jetzt unterstützen. Ab Anfang 2022 müssen sie die notwendigen Voraussetzungen für ihre Nutzung in ihrer Einrichtung geschaffen haben, ansonsten drohen rechtliche Sanktionen. Auch hier ist also das Zusammenspiel Patientendaten-Schutz-Gesetz (PDSG) und Informationssicherheit gefragt.

IT-Sicherheitsgesetz 2.0 – die wichtigsten Fragen und Antworten zur neuen Version

Das im Jahr 2015 veröffentlichte IT-Sicherheitsgesetz (IT-SiG) zum Schutz Kritischer Infrastrukturen wurde weiterentwickelt und in der Version IT-SiG 2.0 am 23.04.2021 durch den Bundestag beschlossen. Wie sehen die Veränderungen aus, wo gab es Anpassungen? Ein Überblick über das IT-SiG 2.0.

Patientendaten-Schutz-Gesetz und Informationssicherheit: wirksamer Schutz von Patientendaten ab 2022 Vorschrift

Zu den notwendigen Voraussetzungen für die Nutzung der ePA gehört neben technischen Aspekten auch der Schutz der in der Akte enthaltenen Patientendaten. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) wurde deshalb der Paragraf 75c neu in das Sozialgesetzbuch (SGB) V aufgenommen.

Demzufolge sind Krankenhäuser seit dem 1. Januar 2022 verpflichtet, die Schutzziele ihrer Informationen (Vertraulichkeit, Integrität und Verfügbarkeit), also auch der in einer ePA sowie die Sicherheit der dazugehörigen IT und ihrer Prozesse zu gewährleisten. Dazu müssen in puncto Datenschutz technische und organisatorische Maßnahmen auf den Weg gebracht werden. Diese sollen auf dem aktuellen Wissensstand basieren, was alle zwei Jahre behördlich überprüft werden soll.

Wie wichtig Datenschutz und Informationssicherheit im Krankenhaus sind, zeigt eine Auflistung von Patientendaten, die in die elektronische Patientenakte aufgenommen werden sollen (Auszug):

• Medizinische Informationen über den Versicherten, wie Befunde, Diagnosen, Therapien und Früherkennungsuntersuchungen, Medikationspläne, Arztbriefe etc.
• Medizinische Informationsobjekte wie elektronische Impfpässe, Mutterpässe, Kinderuntersuchungshefte, Zahnbonushefte, Organspendeausweise etc.
• Versicherten-Daten für die Krankenkassen zum Beispiel über in Anspruch genommene Leistungen und solche, die der Versicherte selbst zur Verfügung stellt
• Daten zur pflegerischen Versorgung von Versicherten inklusive Heim- und Hauspflege
• Elektronische Arbeitsunfähigkeitsbescheinigungen

Patientendaten: Kritik an Gestaltung der Zugriffsrechte

Unabhängig von technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten wird von verschiedenen Stellen wie zum Beispiel der Datenschutzkonferenz bemängelt, dass die Zugriffsrechte innerhalb der Telematikinfrastruktur zum Zeitpunkt der Einführung (noch) nicht klar geregelt sein werden. Jeder angeschlossene Akteur wird zunächst Zugriff auf alle Patientendaten haben. Das hat zur Folge, dass beispielsweise ein Facharzt in einem orthopädischen Krankenhaus auch Einsicht in sensible Daten aus einer psychiatrischen Behandlung eines Patienten erhält – und zwar ganz legal.

ISO 27701 – Privacy Information Management System (PIMS)

Ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 schützt Daten und Informationen. Zugleich ist es ein wesentlicher Beitrag zur Umsetzung datenschutzrechtlicher Anforderungen. In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001. 

Informationssicherheit: Form der Patienten-Zustimmung für Teilnahme an EPA umstritten

Nach dem aktuellen Stand der Einführung der ePA soll die Teilnahme von Patienten zunächst nicht automatisch erfolgen. Das bedeutet, dass Patienten ihrer Teilnahme und weiteren Vorgängen auf Anfrage aktiv zustimmen müssen (Opt-in-Zustimmung). Die Empfehlungen des „Sachverständigenrats zur Begutachtung der Entwicklung im Gesundheitswesen“ aus dem im März 2021 veröffentlichten Gutachten „Digitalisierung für Gesundheit – Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems“ gehen jedoch in Richtung Opt-out-Zustimmung. Dieses trifft auch mit Blick auf Lösungen in anderen EU-Ländern zu (sinngemäße Aussage in Abschnitt 734):

Der Rat hält die geplante Form der Zustimmung des Nutzers zu Einrichtung und Betrieb einer ePA für ein konzeptionell umständliches und realitätsfernes Konzept. Es handele sich um ein Konzept, das „Datenschutz nicht als Teil von Patientenschutz umsetzt, sondern eine optimale Gesundheitsversorgung auf der Höhe der Möglichkeiten zum Schaden der Patientinnen und Patienten verhindert oder zumindest beeinträchtigt“.

Patientendaten-Schutz-Gesetz: Opt-In-Verfahren zu komplex

Der Sachverständigenrat beurteilt das vierfach anzuwendende Opt-in-Verfahren (Zustimmung zur Einrichtung, Befüllung, Einsichtsgewährung und Forschungsnutzung) als zu komplex. Die nur für eine Woche gültigen Zustimmungen, die für jeden einzelnen weiteren Dateneintrag und jede Dateneinsicht durch einen Leistungserbringer immer wieder erneuert werden müssten, würden „die Nutzung im Alltag stark einschränken und den Nutzen für die Patientinnen und Patienten mindern“.

Sollten diese Empfehlungen nachträglich noch umgesetzt werden, was auch von der politischen Durchsetzbarkeit abhängt, wird die ePA in naher Zukunft eine riesige Sammlung von Patientendaten jeglicher Art sein. Deren Schutz vor unbefugtem Zugriff stellt eine äußerst anspruchsvolle Aufgabe dar – auch ohne Patientendaten-Schutz-Gesetz (PDSG). Sie sollte deshalb auf der Basis eines geeigneten Managementsystems implementiert werden.

Patientendaten-Schutz-Gesetz und Informationssicherheit: wirksame Managementsysteme sind notwendig

Was bedeutet das für Krankenhäuser? Einrichtungen, die aufgrund ihrer Patientenzahlen zu den kritischen Infrastrukturen zählen, also mehr als 30.000 stationäre Patienten pro Jahr versorgen, verfügen bereits über ein Informationssicherheits-Managementsystem (ISMS). In der Regel haben sie den Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus zugrunde gelegt. Sie erfüllen damit die Anforderungen des Patientendaten-Schutz-Gesetzes (PDSG) hinsichtlich Informations- und IT-Sicherheit vollumfänglich.

Alle anderen Krankenhäuser haben, was die Einführung „technischer und organisatorischer Maßnahmen“ zum Schutz der Patientendaten anbelangt, prinzipiell die Wahl, ebenfalls den „B3S Krankenhaus“ oder die vergleichbaren Normanforderungen von ISO 27001 zu implementieren. Alternativ können sie auch ein eigenes Managementsystem entwickeln.

Patientendaten-Schutz-Gesetz und Informationssicherheit: Zertifizierung als Nachweis

Während die ersten beiden Varianten die Möglichkeit einer entsprechenden Auditierung und Zertifizierung durch unabhängige Dritte als Nachweis bieten, könnte Letzteres ohne eine entsprechende Managementsystembasis einen vergleichsweise größeren Aufwand, aber auch ein größeres Risiko darstellen. Dieses Risiko ist vor allem mit Blick auf die Wirksamkeit der Maßnahmen und damit auch auf den Ausgang der alle zwei Jahre erfolgenden behördlichen Überprüfungen zu sehen.

Was ist „B3S Krankenhaus“?

Der Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (kurz: B3S Krankenhaus) ist eine Orientierungshilfe für Informationssicherheit. Der Standard wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt und im Oktober 2019 herausgegeben. Der Leitfaden zielte ursprünglich auf die unter die KRITIS-Verordnung fallenden Krankenhäuser (KRITIS im Sektor Gesundheit) mit mehr als 30.000 vollstationären Patientenversorgungen im Jahr.

Diese sollten bereits ein Sicherheitskonzept zum Schutz vor Angriffen auf ihre IT-Systeme und IT-Prozesse sowie die dort hinterlegten Patientendaten implementieren und aufrechterhalten. Der B3S Krankenhaus wurde jedoch erst im Jahr 2019 vorgestellt, womit das IT-Sicherheitsgesetz von 2015 entsprechend verspätet umgesetzt wurde.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.