Startseite > Medizintechnik > E-Health > Umgang mit Patientendaten wird komplexer

Datenschutzgrundverordnung

Umgang mit Patientendaten wird komplexer

27. Juli 2018, 12:00 Uhr | Arved Graf von Stackelberg (Dracoon)

Mit der zunehmenden Digitalisierung steigt auch die Anzahl der Geräte, die auf ein Netzwerk im Healthcare-Bereich zugreifen.

Die Digitalisierung schreitet unaufhaltsam voran und lässt auch den Gesundheitsbereich nicht aus. Längst werden Patientenakten digital aufbewahrt und können bei Bedarf abgerufen werden. Dies bringt großen Nutzen mit sich, birgt aber gleichzeitig einige Risiken.

Diagnose Hackerangriff: Im Frühjahr 2016 legten Erpresser das Computersystem des Lukaskrankenhauses in Neuss lahm – ohne je einen Fuß hineingesetzt zu haben. Stattdessen schleusten sie einen digitalen Trojaner ein. Zunächst bemerkten die Mitarbeiter der Ambulanz, dass etwas nicht stimmte, auch in der Radiologie liefen die Computer auffällig langsam. In anderen medizinischen Abteilungen konnten die Mitarbeiter ebenfalls nicht wie gewohnt arbeiten. Einige Zeit später tauchte auf mehreren Monitoren eine Meldung auf: Die Daten seien verschlüsselt. Man solle eine spezielle E-Mail-Adresse kontaktieren, um wieder Zugriff darauf zu bekommen. Das Krankenhaus reagierte umgehend, fuhr alle Systeme herunter und schaltete um auf »Handbetrieb«.

Betroffen waren im Lukaskrankenhaus am Ende über 800 Endgeräte, befallen waren auch Server und Datenspeicher. Nach wenigen Tagen konnte die Ransomware identifiziert und eine spezielle Antivirensoftware erstellt werden. Nach und nach fuhr man die einzelnen Systeme und ihre Subsysteme wieder hoch – ein Prozess, der sich über Wochen erstreckte. Und auch wenn die Neusser nicht auf die mit der Cyberattacke verbundenen Erpressungsversuche eingegangen waren, teuer war es am Ende doch: Insgesamt entstand ein Schaden von knapp 900.000 Euro. Der Fall zeigt: Die Digitalisierung hat auch ihre Tücken, insbesondere wenn es um den Schutz der Patientendaten geht.

Ohne personenbezogene Daten geht es nicht

Daten im medizinischen Bereich gehören mit zu den sensibelsten und privatesten Informationen überhaupt. Gleichzeitig ist es notwendig, dass diese schnell ausgetauscht werden können. Bis heute sind die meisten Daten wie Patientenakten, Laborergebnisse und MRT-Bilder entweder auf lokalen Servern oder in Cloud-Speichern bekannter Anbieter abgelegt. Letzteres ist besonders problematisch, weil Daten, die beispielsweise in US-amerikanischen Rechenzentren gespeichert wurden, nicht dem Schutz der hiesigen Datenschutzgesetze unterliegen.

Nichtsdestotrotz ist es im medizinischen Bereich unerlässlich, personenbezogene Patientendaten zu erheben und mit ihnen zu arbeiten. Darunter fällt auch der Versand von Daten, die zur weiteren Analyse in Laboren bearbeitet werden. Dieser Schritt ist nicht selten mit einem erheblichen logistischen und finanziellen Aufwand verbunden, da aufgrund der großen Datenmenge eine elektronische Datenübermittlung mist nicht in Frage kommt und so stattdessen kostenintensive Kurierdienste beauftragt werden müssen. Eine intelligente Cloud-Speicher-Lösung kann diesen Problemen entgegenwirken. Eine hohe Datenschutz-Compliance vorausgesetzt, können hiermit Daten sicher gespeichert sowie bei Bedarf einfach und schnell geteilt werden.

Die aktuelle Form der Datennutzung ist in vielen Krankenhäusern problematisch

Während Daten in manchen Gesundheitsbetrieben immer noch in physischer Form verarbeitet werden, setzen die meisten schon auf digitalisierte Daten. Dabei erleichtern digitale Gesundheits- und Patientendaten den Arbeitsalltag für alle im Healthcare-Bereich: Für das Personal bedeuten digitalisierte Daten, dass Akten, MRT-Dateien oder auch Röntgenbilder schnell verfügbar sind. Patienten profitieren von kürzeren Wartezeiten und einer individualisierten Therapie. Aktuell werden solche Daten, wenn sie digital verfügbar sind, häufig auf einer On-Premises-Lösung zentral gespeichert. Wenn die Daten auf einem anderen Gerät benötigt werden, kommen Wechseldatenträger zum Einsatz oder, wenn sie gleichzeitig mehreren zur Verfügung gestellt werden sollen, Cloud-Speicher-Anbieter. Dabei kann es sich im Zweifel auch um die private Cloud eines Mitarbeiters handeln.

Diese Praxis stellt sowohl datenschutzrechtlich als auch im Hinblick auf den Workflow ein Problem dar: Zum einen ist es umständlich, Daten bei Bedarf jedes Mal auf Wechseldatenträgern zu speichern und zu teilen; hier besteht außerdem die Gefahr, sie zu verlieren. Wenn dazu noch der private Cloud-Speicher benutzt wird, um sich beispielsweise eine Akte später noch einmal anzusehen, kommen auch datenschutzrechtliche Probleme auf die Nutzer zu. Unlängst wurde bekannt, dass Daten, die auf Servern bekannter Cloud-Anbieter gespeichert sind, nicht sicher vor dem Zugriff unautorisierter Dritter waren. Besonders beliebte US-amerikanische Anbieter von Cloud-Speichern weisen Defizite im Datenschutz auf: Sobald Daten in einem amerikanischen Rechenzentrum gespeichert sind, ist es Behörden möglich, diese auszulesen und zu speichern. Solange hier keine einfache Alternative vorgegeben wird, werden Mitarbeiter weiterhin auf diese Speicher-Lösungen zurückgreifen. Abseits bekannter Strukturen entsteht so eine Schatten-IT, die nicht unter Kontrolle der IT-Administratoren steht.

Zuerst gesehen: Dieser Beitrag stammt aus der Medizin+elektronik Nr. 3 vom 14. Juni 2018.