Thought Leadership
Immer wieder ist davon zu lesen, dass es Hackern gelingt, Datenbanken zu knacken und in den Besitz millionenfacher Kundeninformationen zu kommen. Von dieser Entwicklung sind auch medizinische Einrichtungen betroffen, die sensible Daten digital verwalten.
Nur wer einen ausreichenden Datenschutz bieten kann, behält das Vertrauen der Patienten, Mitarbeiter und Geschäftspartner. Doch der Datenschutz zählt nicht zu den Kernkompetenzen von Kliniken oder Pflegeheimen.
Die Digitalisierung macht auch vor dem Gesundheitswesen nicht Halt. Patientenakten werden digitalisiert, um Ärzten und Pflegepersonal jederzeit Zugriff auf wichtige Patientendaten zu ermöglichen, ohne dass die Papierakte von A nach B transportiert werden muss. Pflegeheime und Kliniken vernetzen sich mit dem Medizinischen Dienst und Krankenkassen, um zum Beispiel Befunde zu übermitteln. Damit müssen sich medizinische Einrichtungen unweigerlich dem Thema Datenschutz stellen. Dass sie es nur unzureichend tun, belegt die Studie „European Hospital Survey – Benchmarking Deployment of eHealth Services“ des Beratungsunternehmens PricewaterhouseCoopers aus dem Jahr 2014. Demnach nutzen nur 40 Prozent der deutschen Krankenhäuser eine Verschlüsselung zur Sicherung der Patientendaten. Nur eines von fünf Krankenhäusern verfügt über ein ausreichendes Datensicherungssystem. Jede dritte deutsche Klinik braucht mindestens 24 Stunden, um nach einem Systemausfall die Daten wiederherzustellen.
Mangelnder Datenschutz und fehlende Datensicherheit sind das eine, die stetig wachsenden Anforderungen durch den Gesetzgeber das andere. Zusätzlich zum Bundesdatenschutzgesetz (BDSG) ist seit dem Sommer 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten, unter das auch Krankenhäuser fallen. Es stellt technische und organisatorische Anforderungen an die Betreiber sogenannter kritischer Infrastrukturen, also solchen Infrastrukturen, die für das Gemeinwesen von zentraler Bedeutung sind. Das IT-Sicherheitsgesetz sieht nicht nur vor, dass Ausfälle oder Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden müssen, sondern auch, dass alle zwei Jahre die Einhaltung der gesetzlichen Vorschriften durch geeignete Audits oder Zertifizierungen überprüft wird. Verstöße werden mit Bußgeldern von bis zu 100.000 Euro geahndet.
Gesetzgeber macht Druck
Allein durch das Inkrafttreten des IT-Sicherheitsgesetzes und dessen zeitliche Vorgaben zur Erfüllung der rechtlichen Anforderungen entsteht bei medizinischen Einrichtungen ein hoher Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Hinzu kommt, dass auch die Öffentlichkeit immer mehr für diese Themen sensibilisiert wird. Datenschutzpannen, gerade im Gesundheitswesen, werden von den Medien oftmals hochgepuscht. So kann der Vertrauensverlust weit größeren Schaden nach sich ziehen als monetäre Strafen, die durch etwaige Aufsichtsbehörden verhängt werden. Wer im Fall eines Haftungsschadens infolge eines Datenlecks oder -diebstahls die Verantwortung trägt, steht außer Frage: Die Leitung bzw. die Geschäftsführung der medizinischen Einrichtung. Sollten sogar grob fahrlässige Verstöße festgestellt werden, zum Beispiel bei einer Scheinbestellung eines betrieblichen Datenschutzbeauftragten, kann die persönliche Haftung eines Geschäftsführers nicht mehr ausgeschlossen werden.
Dazu kann es schnell kommen, wenn man sich die Situationen vieler medizinischer Einrichtungen und Kliniken vor Augen führt. Obwohl laut BDSG ab einer Größe von zehn Mitarbeitern ein Datenschutzbeauftragter bestellt werden muss, existieren gerade in kleineren Einrichtungen nur ansatzweise Datenschutzkonzepte, wie sie vom Gesetzgeber gefordert werden und wie sie der Datenschutzbeauftragte im Rahmen eines Datenschutzmanagements entwickeln und umsetzen muss. Zusätzlich obliegt ihm die regelmäßige Kontrolle der getroffenen Sicherheitsmaßnahmen. Doch häufig besitzt der interne Datenschutzbeauftragte nicht die notwendige Fachkenntnis, weil er beispielsweise die Aufgaben rund um den Datenschutz nur nebenbei erfüllt und dementsprechend nicht genügend Zeit dafür aufbringen kann. Eine solche Situation ist natürlich auch der wirtschaftlichen Lage vieler medizinischer Einrichtungen geschuldet. Datenschutz und Datensicherheit kosten Geld. Das IT-Sicherheitsgesetz sieht etwa die regelmäßige Überprüfung der getroffenen Datenschutzmaßnahmen vor, zum Beispiel durch eine Zertifizierung nach ISO 27001. Jedoch herrscht vielerorts extremer Sparzwang, so dass eine ISO-Zertifizierung nur selten in das ohnehin schmale Budget passt.
Know-how nutzen und Kosten sparen
Daher nutzen viele medizinische Einrichtungen die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Er ist einem internen Beauftragten laut BDSG gleichgestellt, bietet jedoch eine Reihe von Vorteilen. So muss das Know-how, das der externe Datenschutzbeauftrage mitbringt, nicht erst intern zum Beispiel durch die Qualifizierung und Weiterbildung von Mitarbeitern aufgebaut werden. Der externe Datenschutzbeauftragte steht als hochqualifizierter und zertifizierter Mitarbeiter sofort zur Verfügung. Da er zudem für mehrere Einrichtungen tätig ist, verfügt er über die notwendige Routine und Erfahrung im Umgang mit datenschutzrelevanten Themen. Auf diese Weise kann ein Datenschutzkonzept gesetzeskonform in kürzester Zeit umgesetzt werden, ohne das Kosten für Fortbildungen anfallen. Selbst den Ausfall durch Urlaub oder Krankheit des externen Datenschutzexperten muss die Einrichtung nicht bezahlen. Ebenso gelten für ihn nicht die gleichen Kündigungsschutzklauseln wie für die eigenen Mitarbeiter.
Qualitätsmerkmale eines externen Datenschutzbeauftragten
Die accuris AG ist bereits seit mehreren Jahren als Partner für medizinische Einrichtungen in Sachen Datenschutz und Datensicherheit aktiv. Sie weiß, worauf man achten muss und was einen guten Datenschutzbeauftragten ausmacht. Das Know-how des Datenschutzexperten zeigt sich insbesondere durch seine IHK- oder TÜV-Zertifizierung sowie seine jahrelange Erfahrung. Er sollte sich zudem nicht nur im Bereich des Datenschutzes auskennen, sondern auch die Anforderungen an die Datensicherheit kennen und umzusetzen wissen. Hier gibt es etliche Vorgaben vom BSI, in denen sich der externe Datenschutzbeauftragte quasi zu Hause fühlen muss.
Unternehmen wie accuris bieten zudem unterschiedliche Services an, mit denen medizinische Einrichtungen ein Datenschutzkonzept umsetzen können und die sich an die Bedürfnisse der jeweiligen Einrichtung orientieren. So gibt es grundlegende Datenschutzleistungen, die einen Einstieg in alle relevanten Themen bieten. Standardleistungen sehen hingegen eine Bestandsaufnahme der bereits getroffenen Datenschutzmaßnahmen durch einen externen Datenschutzbeauftragten vor sowie die Erstellung eines Umsetzungsplans inklusive Support. Die Komplettleistung besteht letztendlich in der Bereitstellung eines externen Datenschutzbeauftragten, der für die gesetzeskonforme Durchführung und Kontrolle von Sicherheits- und Schutzmaßnahmen verantwortlich ist.
Auf diese Weise können selbst kleinere medizinische Einrichtungen ohne große Kostenbelastung die gesetzlich geforderten Maßnahmen hinsichtlich des Datenschutzes und der Datensicherheit realisieren. Außerdem setzen sie nicht das Vertrauen ihrer Patienten und Geschäftspartner aufs Spiel. So sind personenbezogene, sensible Informationen sicher vor illegalen Zugriffen, Diebstahl und Manipulation. Gleichzeitig wappnet sich die medizinische Einrichtung für die Anforderungen des digitalen Zeitalters.
Dr. Christian Scharff, CISSP, Zertifizierter Informationssicherheits-Revisions- und Beratungsexperte (BSI) und Zertifizierter Datenschutzauditor (TÜV)
