Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.03.2010
Orientierungshilfe
Integrierte Versorgungsansätze finden im Gesundheitswesen zunehmend Verbreitung. Dies beruht einerseits auf gesetzlichen Regelungen wie §§ 73a und 140a ff SGB V, andererseits auf Eigeninitiativen von Leistungserbringern. Neben Zusammenschlüssen von niedergelassenen Ärzten wird vermehrt auch eine Kooperation zwischen Krankenhäusern und niedergelassenen Ärzten angestrebt, um eine sektorübergreifende Versorgung der Patienten zu gewährleisten.
Ist für einen Patienten ein Krankenhausaufenthalt nötig, ist er in der Regel schon vorab bei seinem Hausarzt und möglicherweise diversen Fachärzten in Behandlung. Hierbei entstehen medizinische Unterlagen wie Arztbriefe, Radiologiedaten, Laborbefunde etc., die für alle Behandler von Interesse sind. Spätestens bei der Aufnahme des Patienten im Krankenhaus ist zumindest ein Teil der Daten auch dort erforderlich. Soll der Hausarzt nach der Entlassung die Behandlung des Patienten nahtlos fortsetzen, benötigt er wiederum rechtzeitig Zugriff auf die im Krankenhaus entstandenen Daten. Bei komplizierteren oder chronischen Erkrankungen können sich diese Abläufe wiederholen und gerade hier ist es wichtig, dass Informationen rechtzeitig und vollständig vorliegen.
Grundlage für eine schnelle Kommunikation ist heutzutage der elektronische Austausch von Daten. In einfachen Ansätzen werden hierbei per E-Mail Arztbriefe ausgetauscht, in umfassenderen Ansätzen errichten Krankenhäuser Einweiser- / Zuweiserportale für die niedergelassenen Ärzte oder es wird eine gemeinsame elektronische Behandlungsdokumentation geführt, bekannt beispielsweise unter den Namen elektronische Fallakte oder elektronische Patientenakte.
Da medizinische Daten der ärztlichen Schweigepflicht unterliegen und aufgrund ihrer Sensibilität auch aus Datenschutzsicht einem besonderen Schutz unterliegen, sind bei der Einrichtung derartiger Systeme besondere rechtliche und technisch-organisatorische Anforderungen aus Datenschutzsicht zu berücksichtigen.
Neue technische Möglichkeiten bringen auch im Gesundheitsbereich vielfältige neue Anwendungsszenarios mit sich. Dabei ist jedoch zu beachten, dass sich durch diese Möglichkeiten nicht automatisch die rechtlichen Rahmenbedingungen ändern. Grundsätzlich wird für jede Datenübermittlung eine Rechtsgrundlage oder die Einwilligung des Patienten benötigt.
In dieser Orientierungshilfe werden vor allem Kooperationsformen betrachtet, bei denen mehrere organisatorisch voneinander unabhängige Partner bei der Behandlung von Patienten kooperieren und hierfür neue Kommunikationsformen verwenden wollen.
Sollen nur einzelne Dokumente wie z.B. Arztbriefe in geringer Häufigkeit ausgetauscht werden, ist ein naheliegender Ansatz der elektronische Versand per E-Mail. Der Ersteller eines Arztbriefes verschickt diesen dann per E-Mail an den nächsten Behandler. Die technische Ausrüstung zum E-Mail-Versand ist sowohl in Arztpraxen als auch in Krankenhäusern vorhanden.
Allerdings birgt dies gewisse Risiken: Zum einen muss der Sender sicherstellen, dass er das Dokument nicht versehentlich an eine falsche Adresse verschickt und somit gegen die ärztliche Schweigepflicht verstößt, zum anderen ist mit heutigen E-Mail-Systemen nicht nachkontrollierbar, ob und wann eine E-Mail den Empfänger erreicht hat. Insbesondere bei dringenden Fällen kann dies ein Problem sein. Zudem muss auch die Übertragung über das Internet gegen fremdes Mitlesen gesichert werden, so dass dieser scheinbar einfache Ansatz deutliche Schwierigkeiten mit sich bringt.
Zunehmend bieten Krankenhäuser den niedergelassenen Ärzten Einweiserportale an, über die in beide Richtungen Informationen bereitgestellt werden können. Hierbei erfolgt die Kommunikation in der Regel Arzt zu Krankenhaus und umgekehrt, nicht jedoch zwischen verschiedenen niedergelassenen Ärzten untereinander. Ein Einweiserportal ist technisch gesehen ein webbasiertes Portal, das den Krankenhaussystemen vorgeschaltet ist und über das Daten hoch- und heruntergeladen werden können. Der Arzt hat über seinen Internetzugang Zugang zum Portal, er muss in der Regel keine weitere Software installieren.
Da die meisten Portale das Internet als Kommunikationsmedium verwenden, bestehen die üblichen Gefahren wie Viren und Trojaner, Hackerangriffe auf die Systeme des Arztes und des Krankenhauses, Abfangen der Daten durch Unbefugte etc., denen durch eine entsprechende technische Ausgestaltung begegnet werden muss. Zudem muss durch eine Benutzerverwaltung sichergestellt werden, dass jeder Arzt nur auf Daten seiner Patienten und nicht die Daten aller Patienten des Krankenhauses zugreifen kann.
Während Einweiserportale einzelne Dokumente für einen gewissen Zeitraum zur Verfügung stellen, soll über elektronische Fallakten / Patientenakten u.ä. eine vollständige, gemeinsam genutzte elektronische Dokumentation für einen längeren Zeitraum geführt werden. Hierüber kommunizieren die Ärzte mit Krankenhäusern, aber auch verschiedene Arzttypen (Hausarzt, Facharzt) miteinander. Es entsteht somit im Vergleich zum Einweiserportal ein komplizierteres Geflecht. Dabei gibt es mehrere Ansätze:
Zunehmend werden bisher eigenständige Krankenhäuser zu größeren Häusern / Krankenhausketten zusammengeschlossen. Dabei stellt sich die Frage, wie mit den bisher getrennten Datenbeständen umgegangen werden muss. Aus Sicht der Krankenhäuser besteht ein Interesse, die vorhandenen Akten zu einem Patienten in einer konzerninternen Patientenakte zusammenzuführen, um einen umfassenden Einblick für die Behandlung zu erhalten. Dies wirft einige Datenschutzfragen auf, die jedoch in dieser Orientierungshilfe nicht näher betrachtet werden sollen.
Auch nicht betrachtet werden elektronische Gesundheitsakten im Internet, wie sie z.B. von Krankenkassen oder anderen Diensteanbietern angeboten werden und in die der Patienten selbst Daten zu seinem Gesundheitszustand, Ernährungs- und Sportverhalten etc. einträgt.
Eine Vielzahl von Arztpraxen besitzt heute einen Internetzugang (meist per DSL). Ebenso besitzen Krankenhäuser im Normalfall einen Internetzugang. Damit sind grundsätzlich die technischen Voraussetzungen vorhanden, um in scheinbar einfacher Weise Daten elektronisch auszutauschen, so dass mittlerweile die meisten Projekte zur Anbindung externer Partner auf diesem Transportmedium beruhen.
Allerdings ist das Internet ein öffentlich zugängliches Netz, das von einer Vielzahl unterschiedlicher Institutionen und Provider betrieben wird und dessen Nutzer unterschiedliche Zwecke verfolgen. Neben böswilligen Nutzern (Hacker, Spione etc.) werden über das Internet auch vielerlei Arten von Schadenssoftware verbreitet (Viren, Trojaner, Spam). Zudem erfolgt die Übertragung sämtlicher Daten, soweit keine weitergehenden Maßnahmen ergriffen werden, im Klartext. Es besteht somit potenziell für eine Vielzahl von Personen die Möglichkeit, die transportierten Daten mitzulesen, oder auch sie zu löschen und zu verfälschen.
Medizinische Daten unterliegen jedoch einem besonderen Schutz und müssen vor unbefugter Kenntnisnahme geschützt werden. Ebenso wäre eine Verfälschung höchst gefährlich, wenn es hierdurch zu einer falschen Behandlung des Patienten käme. Das Internet kann somit nur mit zusätzlichen Schutzmaßnahmen genutzt werden, da es in seiner Basisfunktionalität nicht die geforderte Vertraulichkeit, Integrität, Authentizität sowie Nichtabstreitbarkeit der Daten gewährleisten kann.
Früher wurde häufig die direkte ISDN-Einwahl als Anbindungsmethode verwendet. Bei einer ISDN-Einwahl muss ein Teilnehmer als Anbieter der Kommunikationsplattform (in den meisten Fällen ein Krankenhaus) einen oder mehrere Einwahlserver mit entsprechender Kapazität zur Verfügung stellen, die von den externen Partnern angewählt werden. Über diese Verbindung werden dann die medizinischen Daten übertragen. Danach wird die Verbindung wieder abgebaut. Eine ISDN-Verbindung ist eine exklusive Verbindung zwischen zwei Stellen über das geschlossene und nach außen abgeschottete Netz eines TK-Providers, was die Gefahren im Vergleich zum Internet reduziert. Dennoch besteht auch hier für den jeweiligen TK-Provider die Möglichkeit zum Abhören der übertragenen Daten.
Die Einwahlknoten des Krankenhauses eröffnen einen weiteren Zugangspunkt zu dessen internem Netz, der Ziel von Angriffen, d.h. unbefugten Einwahlversuchen werden kann. Diesbezüglich sind entsprechende Sicherheitsmaßnahmen erforderlich. Gleiches gilt für die ISDN-Komponenten in der Arztpraxis, die zur Einwahl verwendet werden.
In ähnlicher Weise können auch von den diversen Telekommunikationsanbietern gemietete Standleitungen oder virtuelle Netze zu Anbindung genutzt werden. Aufgrund der Kosten ist dies jedoch eher bei der dauerhaften Vernetzung z.B. verschiedener Häuser einer Klinikkette vorzufinden, als für Projekte zur Anbindung niedergelassener Ärzte, deren Teilnehmerkreis sich dynamisch ändert. Auch hier ist zu beachten, dass die gemieteten (virtuellen) Leitungen zwar gegenüber anderen Teilnehmern abgeschottet sind, nicht jedoch automatisch gegenüber dem TK-Unternehmen selbst.
Es gibt im Gesundheitswesen eine Vielzahl von Bestrebungen, eine gesicherte Kommunikationsinfrastruktur zu schaffen, die Ärzte, Krankenhäuser etc. vernetzt und den Austausch medizinischer Daten unkompliziert ermöglicht. Ein Beispiel ist KV Safenet zur Anbindung der niedergelassenen Ärzte an die Kassenärztlichen Vereinigungen, über das auch D2D-Awendungen (Doctor-to-Doctor) wie der elektronische Arztbrief betrieben werden können. Auch die Bestrebungen zur Schaffung einer Telematikinfrastruktur im Rahmen der elektronischen Gesundheitskarte zielen in diese Richtung. Im Idealfall benötigt der Arzt dann nur noch die VPN-Komponente der gewählten Plattform, die eine verschlüsselte und gegen Angriffe gesicherte Kommunikation mit anderen Teilnehmern ermöglicht. Welche Sicherheitsmaßnahmen die gewählte Infrastrukturplattform bietet und welche weiteren Sicherheitsmaßnahmen erforderlich sind, kann sich jedoch unterscheiden und muss vom Nutzer vor dem Einsatz geprüft werden.
Die Details der technischen Realisierung können sich in den Projekten deutlich unterscheiden, es gibt jedoch aus Datenschutzsicht einige grundlegende Anforderungen, die überall erfüllt sein müssen:
Für alle beschriebenen Anwendungsszenarios sind technische Sicherheitsmaßnahmen auf verschiedenen Ebenen des Systems nötig. Dies betrifft zum einen die Absicherung der Transportverbindung, insbesondere wenn das Internet als Kommunikationsmedium verwendet werden soll. Zum anderen muss aber auch auf Anwendungsebene dafür gesorgt werden, dass nur berechtigte Personen in die medizinischen Daten Einsicht nehmen können.
Solange noch keine gesicherte Infrastruktur existiert, an die alle Teilnehmer des Gesundheitswesens angeschlossen sind, müssen zu jedem Projekt eigene Sicherheitsmaßnahmen ergriffen werden.
Da E-Mails in der Regel über das Internet versandt werden, muss der Internetzugang so gestaltet sein, dass unbefugte Zugriffe auf die krankenhaus- bzw. arztinternen Systeme verhindert werden. Es wird daher eine entsprechend konfigurierte Firewall zur Abschottung gegenüber dem Internet benötigt, die nur die wirklich benötigten Dienste zulässt. Auch der Einsatz von Intrusion Detection / Prevention Systemen ist überlegenswert. Zudem ist ein ausreichender Viren- und Spam-Schutz und das regelmäßige Einspielen von Updates erforderlich.
Erfolgt eine direkte Einwahl der externen Partner über ISDN, sollte auf die von ISDN gebotenen Sicherheitsmechanismen wie geschlossene Benutzergruppe und Call-Back zurückgegriffen werden. Auch eine Rufnummernidentifikation sollte stattfinden, so dass nur die zuvor bekannten Partner eine Verbindung aufbauen können. Die Einwahlknoten des Krankenhauses sollten selbst keine Verbindungen initiieren können, um einen unbefugten Datenexport zu verhindern. Überlegenswert ist, bei den externen Partnern bereits vor Einwahl, d.h. beim Start der hierzu benötigten Anwendung, ein Passwort einzuführen, um Missbrauch zu vermeiden. Um die Daten vor einem unbefugten Mitlesen durch den TK-Provider zu schützen, ist eine zusätzliche Verschlüsselung des Datenstroms erforderlich.
Da im Internet standardmäßig Daten ungeschützt übertragen werden, ist eine verschlüsselte Verbindung zur Sicherstellung der Vertraulichkeit nötig. Dazu werden in der Regel VPNs (Virtual Private Networks) auf Basis von IPSEC oder SSL eingesetzt.
Im Krankenhaus und bei allen Partnern muss hierzu eine entsprechende Hard- und/oder Software (Kryptobox, VPN-Client) vorhanden sein, die auch angemessen installiert und konfiguriert werden muss. Häufig empfiehlt es sich, ein bestimmtes Produkt auszuwählen und hierfür eine Konfiguration und Nutzungsweise vorzuschreiben, um die Sicherheit des Gesamtsystems zu gewährleisten. Auch sollten die Einstellungen vor unbefugter Änderung geschützt werden.
Beim Zugang über einen spezialisierten Provider muss dafür gesorgt werden, dass dieser die übertragenen Daten nicht mitlesen kann. Es wird also eine Ende-zu-Ende-Verschlüsselung benötigt. Da der Provider in der Regel vorkonfigurierte Hard- und Software zur Teilnahme bereitstellt, muss auch hier sichergestellt werden, dass er sich darüber keinen Zugang zu medizinischen Daten verschaffen kann, z.B. im Rahmen der Fernwartung.
Bei der Übermittlung medizinischer Daten sind Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Nichtabstreitbarkeit der Datenübermittlung zu treffen.
Für das Konzept des Versands per E-Mail bedeutet dies, dass eine Ende-zu-Ende-Verschlüsselung der E-Mails nötig ist, die sicherstellt, dass nur der berechtigte Empfänger die Daten wieder entschlüsseln kann. Als Verschlüsselungsverfahren können gängige Verfahren zum Einsatz kommen. Auf jeden Fall sollte eine ausreichende Schlüssellänge sichergestellt werden. Zudem muss die gesicherte Aufbewahrung der privaten Schlüssel und eine Verifizierbarkeit der öffentlichen Schlüssel sichergestellt werden. Nur dadurch kann die Authentizität des Senders garantiert werden. Für die Verwaltung und Zertifizierung der öffentlichen Schlüssel werden sogenannte Public Key Infrastructures (PKI) eingesetzt. Diese können zum einen über Mechanismen wie das Web of Trust (PGP) realisiert werden, in dem alle Teilnehmer gegenseitige Vertrauensbeziehungen definieren. Eine andere Möglichkeit sind Zertifizierungshierarchien mit festgelegten Instanzen, die die Gültigkeit und Korrektheit von Schlüsseln überprüfen und garantieren. Als Lösungen speziell für den E-Mail-Versand, die auf den obigen Verschlüsselungsverfahren aufbauen, kommen beispielsweise PGP oder S/MIME in Verbindung mit X.509 in Betracht.
Für die Nichtabstreitbarkeit ist mindestens eine revisionsfeste Protokollierung der Datenübermittlungen nötig. Die Verwendung der digitalen Signatur von Dokumenten sowie von Zeitstempeln und Quittungen zur Nachweisbarkeit der Kommunikation ist abhängig vom jeweiligen Anwendungsfall, für zeitkritische Datenübermittlungen und die Übermittlung rechtssicherer elektronischer Dokumente jedoch empfehlenswert. Auf jeden Fall ist jedoch erforderlich, dass die Richtigkeit von Empfänger und Absender gewährleistet wird, was bei einem normalen E-Mail-Versand nicht gegeben ist. Es sind somit Maßnahmen zur Identifikation und Authentifikation der Benutzer erforderlich wie z.B. Chipkarten mit X.509 Zertifikaten (z.B. der im Rahmen der elektronischen Gesundheitskarte geplante Heilberufeausweis (HBA)) oder Einmalpasswort-Verfahren.
Webbasierte Portale charakterisieren sich vor allem dadurch, dass sich der Benutzer über seinen Webbrowser am Portal anmelden muss, um auf Patientendaten zugreifen zu können. Daher muss im ersten Schritt eine zuverlässige Identifikation und Authentifikation der Benutzer sowie des Portalservers gewährleistet werden. Dazu müssen einerseits für alle Nutzer personenbezogene Benutzerkennungen vergeben werden, andererseits muss das Portalsystem in der Lage sein, differenzierte und feingranulare Benutzerrechte auf die gespeicherten Daten zu vergeben, so dass jeder Benutzer nur auf die Daten seiner Patienten zugreifen kann. Die Benutzerkennungen müssen mindestens durch sichere Passworte, besser noch durch Chipkartensysteme oder andere tokenbasierte Systeme geschützt werden. Zudem muss z.B. über vertragliche Regelungen festgeschrieben werden, wer auf Seiten des Arztes auf die Daten zugreifen darf und welche Benutzerkennungen hierfür verwendet werden. Keinesfalls dürfen alle Mitarbeiter einer Arztpraxis unter einer gemeinsamen Kennung arbeiten, da dann die Revisionsfähigkeit nicht mehr gegeben ist.
Sollen nicht nur Daten zum Abruf durch die niedergelassenen Ärzte bereitgestellt (lesender Zugriff), sondern auch Daten durch den niedergelassenen Arzt in das Portal eingestellt werden (schreibender Zugriff), muss einerseits dafür gesorgt werden, dass nachvollziehbar ist, wer welche Daten bereitgestellt hat und damit für den Inhalt verantwortlich ist. Zudem muss geklärt werden, wie fehlerhafte Daten berichtigt bzw. entfernt werden, so dass klar ist, welche Informationen dem Arzt zu welchem Zeitpunkt zur Verfügung standen. Realisiert werden können diese Forderungen z.B. durch die elektronische Signatur der eingestellten Informationen, durch eine angemessene Konfiguration der Benutzerrechte im Portal und die Historisierung von Daten bzw. die Protokollierung von Änderungen sowie Zugriffen.
Im Hinblick auf die Datensparsamkeit muss das Portal auch die Löschung von eingestellten Daten nach einem bestimmten Zeitablauf vorsehen, wie z.B. eine automatische Löschung der bereitgestellten Daten zu einem festgelegten Zeitpunkt nach der Entlassung aus dem Krankenhaus.
Als Standort der Server des Portals empfiehlt sind in der Regel ein Krankenhaus, da hier einerseits der Beschlagnahmeschutz gewährleistet, andererseits auch eine 24-stündige Verfügbarkeit und eine fachkundige Administration der Systeme gegeben ist. Es empfiehlt sich dabei eine Verschlüsselung der gespeicherten Daten, um sie vor einer Einsichtnahme durch die Administratoren zu schützen. Werden externe Provider gewählt, muss sichergestellt werden, dass die Daten verschlüsselt dort abgelegt sind und zwar so, dass der externe Provider keinerlei Kenntnis von den Daten nehmen kann. Dies bedeutet, dass u.a. die Verschlüsselungsschlüssel nicht im Zugriff des Providers liegen dürfen.
Grundsätzlich gelten die gleichen Anforderungen wie für Einweiserportale, da auch elektronische Fall-/Patienakten in der Regel über Webportale realisiert sind. Da hier jedoch gegenüber den Einweiserportalen eine größere Anzahl von Daten über einen längeren Zeitraum gespeichert sind, verschärft sich die Problematik der Lebensdauer / automatischen Löschung.
Es müssen Mechanismen eingeführt werden, wie die Lebensdauer von Dokumenten festgelegt werden kann und die Aktualität der Daten gewährleistet wird. Eine Möglichkeit wäre beispielsweise, dass nach einem gewissen Zeitraum gefragt wird, ob die Informationen noch aktuell sind. Gerade bei größeren elektronischen Akten könnte für diesen Zweck ein Moderator sinnvoll sein, der zum einen den Kreis der Zugriffsberechtigten pflegt und zum anderen die Inhalte festlegt, auf Aktualität prüft und eventuell entfernt.
Hinzu kommt, dass in der Regel nicht nur ein Einweiser auf die Daten seines Patienten zugreifen darf, sondern dass es, wie beispielsweise bei Ansätzen zur integrierten Versorgung üblich, einen größeren Kreis von (potenziellen) Behandlern gibt, z.B. neben dem Hausarzt und dem Krankenhaus auch noch diverse beteiligte Fachärzte. Häufig ist beim Aufsetzen einer Akte noch gar nicht festgelegt, wer den Patienten im Laufe der Zeit wirklich behandeln wird. Zudem handelt es sich meist um schwerere oder chronische Erkrankungen, deren Daten besonders sensibel behandelt werden müssen. Es sind daher zwei Herangehensweisen denkbar um zu verhindern, dass nicht an der Behandlung beteiligte Personen Zugriff auf Daten erhalten: