eHealth & Patientensicherheit: Wie geht Datenschutz im Gesundheitswesen?

Wenn von eHealth und Digitalisierung die Rede ist, geht es längst nicht mehr nur um die elektronische Patientenakte!

Digitale Gesundheitsangebote drängen auf den Markt, Smartwatches und Fitnesstracker bestimmen den Alltag vieler Deutscher. Die dazugehörigen Health-Apps erheben und verwerten sensible Daten, meistens mit Personenbezug. Allerdings tun sich einige Anbieter bei der Umsetzung der gesetzlich geforderten Datenschutzrichtlinien schwer. Und mit dem Patientendaten-Implantationsregister steht bereits das nächste Projekt in den Startlöchern, bei dem Datenschutz-Probleme vorprogrammiert sein dürften.

Datenschutz und Schweigepflicht

Während Ärzte der Verschwiegenheitspflicht nach §203 StGB unterliegen, gelten für Server-Betreiber, App-Anbieter und Dienstleister häufig andere Regeln. Zwar gibt es strenge Anforderungen für den Umgang mit personenbezogenen Daten, die vor allem in der EU-Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. In der Praxis zeigt sich allerdings, dass sich organisatorische Schutzmaßnahmen (vgl. Art. 32 DSGVO) wie beispielsweise Rechte- und Rollenkonzepte verhältnismäßig leicht umgehen lassen. Cyberkriminelle könnten privilegierte Zugänge ausnutzen, sich Zugang zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Da jedoch bereits eine mögliche Kenntnisnahme sensibler Informationen einen Verstoß gegen die Schweigepflicht darstellt, muss diese von vornherein ausgeschlossen sein.

IT-Sicherheit schafft Patientensicherheit

Um Patientendaten vor Verlust, Manipulation oder Kenntnisnahme zu schützen, braucht es eine rein technische, manipulationssichere und präventive Lösung, die jeglichen Zugriff – auch privilegierten – zuverlässig verhindert. Allerdings tun sich viele Public-Cloud-Angebote und sogar einige Business Clouds damit schwer. Denn die meisten Server-Infrastrukturen sehen privilegierte Admin-Zugänge zu Wartungs- oder Monitoring-Zwecken vor.

Versiegelte Infrastrukturen verfolgen einen gänzlich anderen Ansatz: Hier wurden die organisatorischen Schutzmaßnahmen vollständig durch technische Maßnahmen ersetzt. Diese lassen sich auch mit hohem Aufwand nicht umgehen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen. Eine mögliche Kenntnisnahme vertraulicher Daten ist damit ebenso ausgeschlossen wie Diebstahl und Manipulation.

„Gesundheitsminister Spahn fordert mehr Patientensicherheit. Langfristig werden wir diese nur durch bessere IT-Sicherheit realisieren können – und dazu muss sich IT-Sicherheit wie auch vom Gesetzgeber gefordert am Stand der Technik orientieren“, sagt Dr. Hubert Jäger, IT-Security-Experte und CTO der Münchner TÜV SÜD-Tochter uniscon GmbH.

Als Beispiele für versiegelte Infrastrukturen nennt Jäger neben der Versiegelten Cloud der Deutschen Telekom auch ucloud des Aachener TK-Providers regio iT sowie idgard® und die sealed platform der uniscon – eine Cloud-Plattform, auf der sich selbst Anwendungen mit höchsten Ansprüchen an IT-Sicherheit betreiben lassen.