Patientendaten-Schutz-Gesetz – Informationssicherheit im Krankenhaus

Patientendaten im Krankenhaus

Beim Blick auf das Patientendaten-Schutz-Gesetz und Informationssicherheit bzw. Datenschutz im Krankenhaus gilt zunächst einmal: In Deutschland regelt die Datenschutz-Grundverordnung (DS-GVO) den Umgang mit personenbezogenen Daten. Artikel 9 der DS-GVO widmet sich dem Umgang mit Patientendaten und Patienteninformationen, deren Schutz einen besonders hohen Stellenwert hat. Dies kommt auch durch die ärztliche Verschwiegenheitspflicht und die möglichen strafrechtlichen Konsequenzen bei einer Verletzung zum Ausdruck. Dabei geht es vor allem um Sicherheitsziele beim Zugriff auf und darüber hinaus um die Verarbeitung von Patientendaten. Hierzu zählt auch deren Weitergabe.

Ohne die Zustimmung des Patienten ist zum Beispiel die Nutzung und Weitergabe seiner Daten an Dritte praktisch nicht möglich. Ausnahmen sind gesetzlich geregelt und beschränken sich auf notwendige Behandlungen oder Forschungszwecke. Letzteres jedoch grundsätzlich anonymisiert.

Elektronische Patientenakte: Telematik-Infrastruktur vernetzt Akteure 

Aber auch wenn Patientendaten und Patienteninformationen nicht jenseits medizinisch notwendiger Zwecke genutzt werden: Sie müssen zu Behandlungszwecken erhoben, gespeichert und innerhalb der Telematik-Infrastruktur (TI) weitergegeben werden, beispielsweise von oder an ein Krankenhaus. Die Telematik-Infrastruktur nach § 291a SGB V vernetzt alle am Gesundheitswesen beteiligten Gruppen. Zu diesen gehören Krankenkassen, Krankenhäuser, Ärzte, Apotheken etc.

In diesem Zusammenhang spielt die geplante elektronische Patientenakte (ePA) eine wesentliche Rolle. Denn Krankenhäuser müssen die Einführung der ePA, die sich seit Anfang 2021 in der Testphase befindet, bereits jetzt unterstützen. Ab Anfang 2022 müssen sie die notwendigen Voraussetzungen für ihre Nutzung in ihrer Einrichtung geschaffen haben, ansonsten drohen rechtliche Sanktionen. Auch hier ist also das Zusammenspiel Patientendaten-Schutz-Gesetz (PDSG) und Informationssicherheit gefragt.

IT-Sicherheitsgesetz 2.0 – die wichtigsten Fragen und Antworten zur neuen Version

Das im Jahr 2015 veröffentlichte IT-Sicherheitsgesetz (IT-SiG) zum Schutz Kritischer Infrastrukturen wurde weiterentwickelt und in der Version IT-SiG 2.0 am 23.04.2021 durch den Bundestag beschlossen. Wie sehen die Veränderungen aus, wo gab es Anpassungen? Ein Überblick über das IT-SiG 2.0.

Patientendaten-Schutz-Gesetz und Informationssicherheit: wirksamer Schutz von Patientendaten ab 2022 Vorschrift

Zu den notwendigen Voraussetzungen für die Nutzung der ePA gehört neben technischen Aspekten auch der Schutz der in der Akte enthaltenen Patientendaten. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) wurde deshalb der Paragraf 75c neu in das Sozialgesetzbuch (SGB) V aufgenommen.

Demzufolge sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen (also auch der in einer ePA) sowie die Sicherheit der dazugehörigen IT und ihrer Prozesse zu gewährleisten. Dazu müssen in puncto Datenschutz technische und organisatorische Maßnahmen auf den Weg gebracht werden. Diese sollen auf dem aktuellen Wissensstand basieren, was alle zwei Jahre behördlich überprüft werden soll.

Wie wichtig Datenschutz und Informationssicherheit im Krankenhaus sind, zeigt eine Auflistung von Patientendaten, die in die elektronische Patientenakte aufgenommen werden sollen (Auszug):

• Medizinische Informationen über den Versicherten, wie Befunde, Diagnosen, Therapien und Früherkennungsuntersuchungen, Medikationspläne, Arztbriefe etc.
• Medizinische Informationsobjekte wie elektronische Impfpässe, Mutterpässe, Kinderuntersuchungshefte, Zahnbonushefte, Organspendeausweise etc.
• Versicherten-Daten für die Krankenkassen zum Beispiel über in Anspruch genommene Leistungen und solche, die der Versicherte selbst zur Verfügung stellt
• Daten zur pflegerischen Versorgung von Versicherten inklusive Heim- und Hauspflege
• Elektronische Arbeitsunfähigkeitsbescheinigungen

Patientendaten: Kritik an Gestaltung der Zugriffsrechte

Unabhängig von technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten wird von verschiedenen Stellen wie zum Beispiel der Datenschutzkonferenz bemängelt, dass die Zugriffsrechte innerhalb der Telematikinfrastruktur zum Zeitpunkt der Einführung (noch) nicht klar geregelt sein werden. Jeder angeschlossene Akteur wird zunächst Zugriff auf alle Patientendaten haben. Das hat zur Folge, dass beispielsweise ein Facharzt in einem orthopädischen Krankenhaus auch Einsicht in sensible Daten aus einer psychiatrischen Behandlung eines Patienten erhält – und zwar ganz legal.

ISO 27701 – Privacy Information Management System (PIMS)

Ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 schützt Daten und Informationen. Zugleich ist es ein wesentlicher Beitrag zur Umsetzung datenschutzrechtlicher Anforderungen. In Sachen Zertifizierung ergänzt die ISO-Norm ISO 27701 künftig ISO 27001. Sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt.

Informationssicherheit: Form der Patienten-Zustimmung für Teilnahme an EPA umstritten

Nach dem aktuellen Stand der Einführung der ePA soll die Teilnahme von Patienten zunächst nicht automatisch erfolgen. Das bedeutet, dass Patienten ihrer Teilnahme und weiteren Vorgängen auf Anfrage aktiv zustimmen müssen (Opt-in-Zustimmung). Die Empfehlungen des „Sachverständigenrats zur Begutachtung der Entwicklung im Gesundheitswesen“ aus dem im März 2021 veröffentlichten Gutachten „Digitalisierung für Gesundheit – Ziele und Rahmenbedingungen eines dynamisch lernenden Gesundheitssystems“ gehen jedoch in Richtung Opt-out-Zustimmung. Dieses trifft auch mit Blick auf Lösungen in anderen EU-Ländern zu (sinngemäße Aussage in Abschnitt 734):

Der Rat hält die geplante Form der Zustimmung des Nutzers zu Einrichtung und Betrieb einer ePA für ein konzeptionell umständliches und realitätsfernes Konzept. Es handele sich um ein Konzept, das „Datenschutz nicht als Teil von Patientenschutz umsetzt, sondern eine optimale Gesundheitsversorgung auf der Höhe der Möglichkeiten zum Schaden der Patientinnen und Patienten verhindert oder zumindest beeinträchtigt“.

Patientendaten-Schutz-Gesetz: Opt-In-Verfahren zu komplex

Der Sachverständigenrat beurteilt das vierfach anzuwendende Opt-in-Verfahren (Zustimmung zur Einrichtung, Befüllung, Einsichtsgewährung und Forschungsnutzung) als zu komplex. Die nur für eine Woche gültigen Zustimmungen, die für jeden einzelnen weiteren Dateneintrag und jede Dateneinsicht durch einen Leistungserbringer immer wieder erneuert werden müssten, würden „die Nutzung im Alltag stark einschränken und den Nutzen für die Patientinnen und Patienten mindern“.

Sollten diese Empfehlungen nachträglich noch umgesetzt werden, was auch von der politischen Durchsetzbarkeit abhängt, wird die ePA in naher Zukunft eine riesige Sammlung von Patientendaten jeglicher Art sein. Deren Schutz vor unbefugtem Zugriff stellt eine äußerst anspruchsvolle Aufgabe dar – auch ohne Patientendaten-Schutz-Gesetz (PDSG). Sie sollte deshalb auf der Basis eines geeigneten Managementsystems implementiert werden.

Patientendaten-Schutz-Gesetz und Informationssicherheit: wirksame Managementsysteme sind notwendig

Was bedeutet das für Krankenhäuser? Einrichtungen, die aufgrund ihrer Patientenzahlen zu den kritischen Infrastrukturen zählen, also mehr als 30.000 stationäre Patienten pro Jahr versorgen, verfügen bereits über ein Informationssicherheits-Managementsystem (ISMS). In der Regel haben sie den Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus zugrunde gelegt. Sie erfüllen damit die Anforderungen des Patientendaten-Schutz-Gesetzes (PDSG) hinsichtlich Informations- und IT-Sicherheit vollumfänglich.

Alle anderen Krankenhäuser haben, was die Einführung „technischer und organisatorischer Maßnahmen“ zum Schutz der Patientendaten anbelangt, prinzipiell die Wahl, ebenfalls den „B3S Krankenhaus“ oder die vergleichbaren Normanforderungen von ISO 27001 zu implementieren. Alternativ können sie auch ein eigenes Managementsystem entwickeln.

Patientendaten-Schutz-Gesetz und Informationssicherheit: Zertifizierung als Nachweis

Während die ersten beiden Varianten die Möglichkeit einer entsprechenden Auditierung und Zertifizierung durch unabhängige Dritte als Nachweis bieten, könnte Letzteres ohne eine entsprechende Managementsystembasis einen vergleichsweise größeren Aufwand, aber auch ein größeres Risiko darstellen. Dieses Risiko ist vor allem mit Blick auf die Wirksamkeit der Maßnahmen und damit auch auf den Ausgang der alle zwei Jahre erfolgenden behördlichen Überprüfungen zu sehen.

Was ist „B3S Krankenhaus“?

Der Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (kurz: B3S Krankenhaus) ist eine Orientierungshilfe für Informationssicherheit. Der Standard wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt und im Oktober 2019 herausgegeben. Der Leitfaden zielte ursprünglich auf die unter die KRITIS-Verordnung fallenden Krankenhäuser mit mehr als 30.000 vollstationären Patientenversorgungen im Jahr.

Diese sollten bereits ein Sicherheitskonzept zum Schutz vor Angriffen auf ihre IT-Systeme und IT-Prozesse sowie die dort hinterlegten Patientendaten implementieren und aufrechterhalten. Der B3S Krankenhaus wurde jedoch erst im Jahr 2019 vorgestellt, womit das IT-Sicherheitsgesetz von 2015 entsprechend verspätet umgesetzt wurde.

Patientendaten-Schutz-Gesetz: Anhang A von ISO 27001 mit wertvollen Hilfestellungen

Der B3S enthält unter anderem Anforderungen an Informationssicherheitsprozesse und ein entsprechendes Risikomanagement. Der Standard orientiert sich in Teilen an der Norm ISO 27799, die sich auf medizinische Informatik bezieht. Er beschreibt außerdem – für den Umgang mit Patientendaten im Klinikalltag unabdingbar – 168 verbindliche Maßnahmen. Diese muss das Krankenhaus verbindlich, jeweils einrichtungsspezifisch umsetzen.

Die Maßnahmen orientieren sich stark an den Maßnahmen, die ISO 27001 im Anhang A aufführt. Die Umsetzung kann unter Berücksichtigung der Vorgaben des BSI-Gesetzes und entlang des B3S Krankenhaus auditiert bzw. zertifiziert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ausdrücklich die Umsetzung des B3S Krankenhaus zur Erfüllung des PDSG ausdrücklich, eine entsprechende Forderung existiert jedoch nicht.

Die DQS – der richtige Partner an Ihrer Seite

Patientendaten-Schutz-Gesetz und Informationssicherheit im Krankenhaus: Als KRITIS-Betreiber zählt die Benennung einer jederzeit erreichbaren Kontaktstelle und die Meldung erheblicher Störungen an das BSI zu Ihren Pflichten. Aber nicht nur das: Sie stehen auch vor der Aufgabe, die gesetzlichen Vorgaben in zuverlässige und sichere Prozesse zu integrieren und dem BSI gegenüber nachzuweisen. Nachweise der Umsetzung können durch Sicherheitsaudits, KRITIS-Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen zugelassen, zum Beispiel ISO 27001, oder der vom BSI anerkannte Branchenspezifische Sicherheitsstandard.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Krankenhauses. Als vom BSI zugelassene Prüfstelle stellen wir Ihnen gerne alle geforderten Kompetenzen für einen BSI-konformen Nachweis zur Verfügung:

• spezielle Prüfverfahrenskompetenz
• Auditkompetenz
• IT-Sicherheitskompetenz
• Branchenkompetenz

Auch kleinere, vom § 75c SGB V betroffene Krankenhäuser sollten sich am B3S orientieren. Nutzen Sie für eine gezielte Kurzanalyse die Kompetenz der DQS: Unser Quick Check bietet Ihnen einen geeigneten Einstieg in das Thema.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.