Aktuelles, Experten - geschrieben von am Sonntag, August 16, 2020 12:37 - noch keine Kommentare

Gesundheitswesen: Digitalisierung-Datenschutz-Synergie

Haye Hösel erläutert „1×1 des Datenschutzes“ im Kontext der notwendigen Erhebung besonders sensibler Informationen im Gesundheitswesen

[datensicherheit.de, 16.08.2020] Mit Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 rückte ganz offensichtlich der Datenschutz noch einmal verstärkt in den Fokus von Unternehmen, Behörden und Institutionen. Vor allem die Sicherheit personenbezogener Daten sollten in erhöhtem Maße gestärkt werden – Gesundheitsdaten stuft die DSGVO als besonders schützenswert ein. Die zunehmende Digitalisierung auch des Gesundheitswesens – ab dem 1. Januar 2021 soll das gesamte Gesundheitssystem in Deutschland digitalisiert sein – bietet ganz klar viele Vorteile, birgt indes auch datenschutzrechtliche Risiken: Auf der einen Seite können sich dann die beteiligten Arztpraxen, Krankenhäuser, Krankenkassen, Versicherungen und Apotheken über den Anschluss an die Telematik besser miteinander vernetzen und leichter Patientendaten austauschen. Auf der anderen Seite haben aber auch Hacker durch den regen Austausch vermehrt Chancen, eben auf diese Daten zugreifen zu können. Um die sensiblen Informationen zu schützen, gilt es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken. Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, geht in seine aktuellen Stellungnahme auf diese datenschutzrechtliche Gemengelage ein.

hubit-datenschutz-haye-hoesel

Foto: HUBIT Datenschutz GmbH & Co. KG

Haye Hösel: Zusätzlich zum Artikel 9 DSGVO noch weitere Anforderungen an datenschutzkonforme Handhabung der Gesundheitsdaten

Auf dem CCC-Jahreskongress 2019 Sicherheitslücken im Gesundheitsnetzwerk präsentiert

Beim Jahreskongress des Chaos Computer Clubs Ende Dezember 2019 habe der CCC-Sicherheitsexperte Martin Tschirisch beispielsweise Sicherheitslücken im Gesundheitsnetzwerk präsentiert: Für IT-Sicherheitsexperten und Reporter sei es laut Tschirisch etwa relativ einfach gewesen, im Namen Dritter Gesundheitskarten, elektronische Arztausweise und Praxisausweise zu bestellen und an eine Lieferadresse ihrer Wahl schicken zu lassen.
Hösel warnt: „Und mit den Identitäten konnte ohne Probleme auf Anwendungen der Telematik-Infrastruktur sowie Gesundheitsdaten von Versicherten zugegriffen werden.“ Um die sensiblen Informationen zu schützen, gelte es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken.

Einsatz neuer Technologien sorgt für regen Austausch von Gesundheitsdaten

Die Entwicklung und der Einsatz neuer Technologien wie ärztlicher Untersuchungen im Videochat, Atteste über das Internet oder unterschiedlicher Health-Apps sorgten heutzutage für einen regen Austausch von Gesundheitsdaten. Informationen verblieben also nicht mehr als Papierakte oder digitale Version im Krankenhaus oder in einer Arztpraxis, sondern gelangten auch auf private Endgeräte oder Server. Damit die personenbezogenen Daten nicht ungewollt an die Öffentlichkeit gelangen oder Ärzte beispielsweise auf Basis von gefälschten Patientendaten operieren, stehe der Datenschutz in der Branche im Fokus.
„Gemäß Artikel 6 der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich nur dann erlaubt, wenn Betroffene einwilligen“, unterstreicht Hösel. Für Gesundheitsdaten gebe es außerdem noch Spezialregelungen, „da sie nach Maßgabe des Artikels 9 als besonders schützenswert gelten“. Ihre Verarbeitung sei aufgrund der Sensibilität der Informationen nur nach den engen Maßgaben des Artikels 9 in Verbindung mit Artikel 6 der DSGVO zulässig. Betroffene müssten jederzeit wissen, was mit ihren Daten passiert, und ohne die Einwilligung dürften die Angaben nicht an Dritte, zum Beispiel externe Abrechnungsstellen, weitergegeben werden.

Datenschutz-Folgeabschätzung für Verarbeitung von Gesundheitsdaten

Um die Sicherheit der personenbezogenen Daten zu gewährleisten, gebe es beispielsweise die Datenschutz-Folgeabschätzung (DSFA). Im Grunde handele es sich bei diesem Instrument um eine Erweiterung der früheren „Vorabkontrolle“. Diese sei nach dem deutschen Bundesdatenschutzgesetz (BDSG) immer dann durchzuführen gewesen, „wenn besonders sensible Daten verarbeitet wurden“. Im Vergleich zum BDSG umfasse die DSFA einen größeren Anwendungsbereich: „Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien, wie zum Beispiel Gesundheitsdaten, oder Daten über strafrechtliche Verurteilungen und Straftaten geht.“
Die Gesundheitsdaten definiere das Gesetz als „Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen“. Neben Krankenhäusern, Arztpraxen oder Forschungseinrichtungen müssten deshalb auch Anbieter von Health-Apps oder Wearables eine DSFA leisten, da auch die Aufzeichnung oder Übermittlung von Vitalwerten oder die Verwaltung von Arztterminen als besonders schützenswert gelte.

Kritische Überprüfung, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen

Hösel erläutert: „Im Rahmen der DSFA gilt es zunächst eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung vorzunehmen. Außerdem müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung – also die Zwecke der beabsichtigten Verarbeitung gegenüber den möglichen Gefahren – überprüft werden.“ Da die Speicherung und Nutzung von Gesundheitsdaten der Steigerung des Wohlbefindens beziehungsweise der Genesung der betroffenen Personen dienten, lägen nachvollziehbare Notwendigkeiten vor.
Jedoch sollte stets eine kritische Überprüfung stattfinden, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen. Anschließend erfolge die Bewertung der Risiken für die betroffene Person. Einzelne Schritte der Verarbeitung gelte es daraufhin zu untersuchen, welche Gefahren drohen. Zudem müssten Faktoren wie Transparenz und Möglichkeiten zur Intervenierbarkeit bewertet werden. Nach der Risikobewertung erfolge schließlich die Klärung von spezifischen Gegenmaßnahmen, also dem Einsatz von den technisch-organisatorischen Maßnahmen (TOM).

Technische und organisatorische Maßnahmen im gesamten Gesundheitswesen

Die technischen und organisatorischen Maßnahmen müssten Pharmaunternehmen, Krankenhäuser, Arztpraxen und Forschungseinrichtungen zum Schutz personenbezogener Daten ergreifen. „Es gilt, diese festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie das Abschließen von Schränken, die Patientenakten enthalten. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren“, erklärt Hösel. Die DSGVO gebe vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin mit einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu.
Aber auch laut Artikel 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu könnten etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. „Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte.“ Dadurch sicherten Unternehmen die Prüfung durch einen Dritten, hätten also einen wesentlich unabhängigeren Blick darauf, und vermittelten nach außen etwa gegenüber der Aufsichtsbehörde einen besseren Eindruck.

Anforderungen an Handhabung der Gesundheitsdaten auch durch Landeskrankenhaus- sowie andere Spezialgesetze und ärztliches Berufsgeheimnis geregelt

„Vor allem in Krankenhäusern und Arztpraxen werden viele Daten erhoben, es ist für Ärzte und Pflegepersonal sogar notwendig, um Patienten zu heilen und zu pflegen“, unterstreicht Hösel. Zusätzlich zum Artikel 9 der DSGVO seien die Anforderungen an die Handhabung der Gesundheitsdaten deshalb auch noch durch Landeskrankenhaus- sowie andere Spezialgesetze und durch das im Paragraph 203 StGB sanktionierte ärztliche Berufsgeheimnis geregelt. Die Landeskrankenhausgesetze erlaubten zum Beispiel die Verarbeitung von Patientendaten, insbesondere im Rahmen von Behandlungsverträgen.
Bei Patientendaten handele es sich um „alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patientinnen und Patienten und deren Angehörigen“. Alle Daten seien dabei jedoch vom ärztlichen Berufsgeheimnis geschützt. Die personenbezogenen Daten müssten zur Behandlung zwar häufig geteilt werden, dürften aber nicht innerhalb eines Krankenhauses oder einer Arztpraxis unkontrolliert ausgetauscht werden. Grundsätzlich gelte es streng darauf zu achten, „dass jeder Mitarbeiter nur Zugriff auf Daten hat, die er für die Ausübung der jeweiligen Aufgaben benötigt“.

Ohne Zustimmung des Patienten Angehörige über Gesundheitszustand zu informieren grundsätzlich nicht erlaubt

Auch im Fall der Weitergabe von Patientendaten an Dritte, also Hausärzte, sonstige nachbehandelnde Ärzte, Krankenversicherungen, Behörden, Krankenkassen oder Angehörige, müsse geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe der Informationen erfolgen darf.
Vor allem gelte es zu prüfen, ob für diesen Schritt die Einwilligung des betroffenen Patienten erforderlich ist. „Angehörige über den Gesundheitszustand oder den Genesungszustand zu informieren ist zum Beispiel grundsätzlich nicht erlaubt – außer der Patient hat der Weitergabe zugestimmt“. Dies könne auch erfolgen, wenn der Betroffene aus gesundheitlichen Gründen zu der Einwilligung nicht in der Lage ist und keine Anhaltspunkte für einen entgegengesetzten Willen des Patienten bestünden.

Aufzeichnung von Gesundheitsdaten von Apps und Wearables

„Health-Apps und Fitnesstracker finden immer häufiger Verwendung. Sie funktionieren in der Regel nur in Verbindung mit einer entsprechenden App, die Daten aufzeichnet, speichert und visualisiert. Nutzer müssen sich meist registrieren und ein Profil erstellen, sodass personenbezogene Daten in der Regel auf einem zentralen Server des Anbieters gespeichert werden. Neben Geschlecht, Alter und Gewicht werden häufig Gesundheitsdaten wie Puls oder Herzfrequenz aufgezeichnet – oft aber auch Zahlungsdaten, weshalb die Apps und Wearables zunehmend zum Ziel von Hackern werden.“ Es gelte außerdem, zu bedenken, dass auch die Kombination von einzelnen Daten Rückschlüsse auf den Gesundheitszustand zuließen. Aus dem Gewicht und dem Alter lasse sich etwa der „Body-Mass-Index“ ableiten, „der zum Beispiel zu einer wichtigen Information für Versicherungen werden kann“.
Für diese Apps gebe es jedoch zusätzliche Erlaubnisnormen, die in Bezug auf den Datenschutz greifen könnten. „Liegt beispielsweise im konkreten Einzelfall ein lebenswichtiges Interesse vor – etwa bei einem von einer App angezeigten Herzinfarkt – und der Anwender ist nicht mehr in der Lage, die Einwilligung zur Datenverarbeitung zu geben, dürfen Anbieter trotzdem die Gesundheitsdaten verarbeiten“, so Hösel. Doch dauerhaftes Tracken von Informationen, die vielleicht irgendwann in einer Notsituation helfen könnten, sei nicht zulässig. Auch bei Fällen von sich ausbreitenden Gesundheitsgefahren wie Epidemien könne zur Sicherung der individuellen und öffentlichen Gesundheit auf Daten von Apps zurückgegriffen werden. Hösel stellt abschließend klar: „Für Unternehmen, die solche Apps anbieten, gilt es also alle datenschutzrechtlichen Herausforderungen zu meistern und die oben genannten Maßnahmen zum Schutz der sensiblen Informationen zu ergreifen.“

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht / Anwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten

datensicherheit.de, 19.09.2019
Gesundheitsbranche: Digitalisierung ernste Herausforderung / Medizinische Daten aufgrund ihrer Sensibilität wertvoll



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung