≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 07.02.2017

Anbindung externer Partner an Krankenhäuser, Zuweiser-/ Einweiserportale, elektronische Fall-/ Patientenakten

1. Einleitung

Die Vernetzung der Beteiligten im Gesundheitswesen und die umfassende Bereitstellung von medizinischen Informationen spielt eine zunehmende Rolle, sowohl zwischen verschiedenen Behandlern als auch mit Nachsorgeeinrichtungen wie Reha-Zentren oder Pflegeheimen und nicht zuletzt auch in der Kommunikation mit dem Patienten.

Ist für einen Patienten ein Krankenhausaufenthalt nötig, ist er in der Regel schon vorab bei seinem Hausarzt und möglicherweise diversen Fachärzten in Behandlung. Hierbei entstehen medizinische Unterlagen wie Arztbriefe, Radiologiedaten, Laborbefunde etc., die für alle Behandler von Interesse sind. Spätestens bei der Aufnahme des Patienten im Krankenhaus ist zumindest ein Teil der Daten auch dort erforderlich. Soll der Hausarzt nach der Entlassung die Behandlung des Patienten nahtlos fortsetzen, benötigt er wiederum rechtzeitig Zugriff auf die im Krankenhaus entstandenen Daten. Auch der Patient will häufig selbst seine Daten erhalten, um sie im Bedarfsfall anderen Ärzten etc. vorlegen zu können. Bei komplizierteren oder chronischen Erkrankungen können sich diese Abläufe wiederholen und gerade hier ist es wichtig, dass Informationen rechtzeitig und vollständig vorliegen.

Bei dem heutigen Umfang von Daten (etwa CT-/MRT-Daten) erscheint einzig der elektronische Austausch von Daten zukunftsträchtig. Deswegen gibt es seit vielen Jahren die Bestrebung, gemeinsam mit der elektronischen Gesundheitskarte auch eine Telematikinfrastruktur einzuführen, die allen Beteiligten des Gesundheitswesens eine sichere Kommunikationsinfrastruktur bieten soll. Solange diese jedoch nicht vollständig zur Verfügung steht, müssen andere Vernetzungsansätze genutzt werden.

In einfachen Ansätzen werden hierbei per E-Mail Arztbriefe ausgetauscht. In umfassenderen Ansätzen errichten Krankenhäuser Einweiser- / Zuweiserportale für die niedergelassenen Ärzte und weiterbehandelnden Einrichtungen oder es wird eine gemeinsame elektronische Behandlungsdokumentation geführt - bekannt beispielsweise unter den Namen elektronische Fallakte oder elektronische Patientenakte.

Da medizinische Daten der ärztlichen Schweigepflicht und aufgrund ihrer Sensibilität auch aus Datenschutzsicht einem besonderen Schutz unterliegen, sind bei der Einrichtung derartiger Systeme besondere rechtliche und technisch-organisatorische Anforderungen zu berücksichtigen.

2. Anwendungsszenarios

Neue technische Möglichkeiten bringen auch im Gesundheitsbereich vielfältige neue Anwendungsszenarios mit sich. Dabei ist jedoch zu beachten, dass sich durch diese Möglichkeiten nicht automatisch die rechtlichen Rahmenbedingungen ändern. Grundsätzlich wird für jede Datenübermittlung eine Rechtsgrundlage oder die Einwilligung des Patienten benötigt.

In dieser Orientierungshilfe werden vor allem Kooperationsformen betrachtet, bei denen mehrere organisatorisch voneinander unabhängige Partner bei der Behandlung von Patienten kooperieren und hierfür neue Kommunikationsformen verwenden wollen.

2.1. E-Mail-Versand zwischen Krankenhaus und weiteren Behandlern beziehungsweise dem Patienten

Sollen nur einzelne Dokumente wie beispielsweise Arztbriefe in geringer Häufigkeit ausgetauscht werden, erscheint zunächst ein naheliegender Ansatz der elektronische Versand per E-Mail zu sein. Der Ersteller eines Arztbriefes verschickt diesen per E-Mail an den nächsten Behandler. Die technische Ausrüstung zum E-Mail-Versand ist sowohl in Arztpraxen als auch in Krankenhäusern vorhanden.

Allerdings birgt dies gewisse Risiken: Die Übertragung von E-Mails über das Internet erfolgt, wenn keine weiteren Maßnahmen ergriffen werden, offen, d.h. die Daten können an verschiedenen Stellen von unberechtigten Dritten mitgelesen werden. Dies entspricht weder den Anforderungen an die ärztliche Schweigepflicht noch den Vorgaben des technisch-organisatorischen Datenschutzes. Ein unverschlüsselter Versand medizinischer Informationen darf somit nicht erfolgen. Des Weiteren muss der Sender sicherstellen, dass er das Dokument nicht versehentlich an eine falsche Adresse verschickt und somit gegen die ärztliche Schweigepflicht verstößt. Zum anderen ist mit heutigen E-Mail-Systemen nicht nachkontrollierbar, ob und wann eine E-Mail den Empfänger erreicht hat. Insbesondere bei dringenden Fällen kann dies ein Problem sein.

2.2. Standard-Cloud-Lösungen

Insbesondere Patienten versuchen häufiger, mit dem Krankenhaus über am Markt verfügbare Cloud-Lösungen wie Dropbox, Google Drive, Amazon Cloud o.ä. zu kommunizieren, sowohl um selbst Daten zur Verfügung zu stellen als auch um Daten vom Krankenhaus zu erhalten. Diese Dienste bieten in der Standard-Form oft keine ausreichenden Sicherheitsmaßnahmen, um medizinische Daten zuverlässig zu schützen. So haben die Anbieter häufig Einsichtsmöglichkeiten in die Daten, weil diese unverschlüsselt gespeichert oder temporär entschlüsselt werden beziehungsweise die Verschlüsselungsschlüssel beim Anbieter liegen. Zudem handelt es sich bei den Anbietern häufig um US-Firmen, was die Problematik des dortigen Datenschutzniveaus und die Diskussion um das Privacy Shield aufwirft.

Ein Patient kann grundsätzlich selbst entscheiden, wie er medizinische Daten über sich selbst, die er selbst im Besitz hat, übermittelt. Allerdings darf ein Krankenhaus als Übermittler von Daten nur datenschutzkonforme Übertragungswege nutzen. Das Krankenhaus muss dabei die Möglichkeiten prüfen und für den Versand von Daten sichere Kommunikationswege wählen.

2.3. Messenger, WhatsApp

In ähnlicher Weise werden zunehmend Messenger-Dienste wie insbesondere WhatsApp populär. Auch hier ist zu beachten, dass nicht immer sichergestellt ist, dass die Diensteanbieter keine Einsicht in die Daten nehmen können und angemessene Sicherheitsmaßnahmen umsetzen. Überdies handelt es sich bei den Diensteanbietern in vielen Fällen um US-Firmen, deren Angebote für eine Nutzung im Privatbereich mit geringeren rechtlichen Anforderungen konzipiert wurden.

2.4. Portale

Zunehmend bieten Krankenhäuser den niedergelassenen Ärzten Einweiser- / Zuweiserportale an, über die in beide Richtungen Informationen bereitgestellt werden können. Hierbei erfolgt die Kommunikation derzeit in der Regel von Arzt zu Krankenhaus und umgekehrt, nicht jedoch zwischen verschiedenen niedergelassenen Ärzten oder anderen Stellen untereinander. Ein Einweiser- / Zuweiserportal ist technisch gesehen ein webbasiertes Portal, das den Krankenhaussystemen vorgeschaltet ist und über das Daten hoch- und heruntergeladen werden können. Der Arzt hat über seinen Internetzugang Zugang zum Portal, er muss in der Regel keine weitere Software installieren.

Da die meisten Portale das Internet als Kommunikationsmedium verwenden, bestehen die üblichen Gefahren wie beispielsweise Viren und Trojaner, Hackerangriffe auf die Systeme des Arztes und des Krankenhauses, Abfangen der Daten durch Unbefugte. Diesen Gefahren muss durch eine entsprechende technische Ausgestaltung begegnet werden. Zudem muss ein verschlüsselter Zugriff auf das Portal erfolgen und durch eine geeignete Benutzerverwaltung sichergestellt werden, dass jeder Arzt nur auf Daten seiner Patienten und nicht auf die Daten aller Patienten des Krankenhauses zugreifen kann.

2.5. Fallakten, Patientenakten

Während Einweiserportale einzelne Dokumente für einen gewissen Zeitraum zur Verfügung stellen, soll über elektronische Fallakten / Patientenakten eine vollständige, gemeinsam genutzte elektronische Dokumentation für einen längeren Zeitraum geführt werden. Hierüber kommunizieren die Ärzte mit Krankenhäusern, aber auch verschiedene Arztgruppen (Hausarzt, Facharzt) miteinander. Es entsteht somit im Vergleich zum Einweiser- / Zuweiserportal ein komplizierteres Geflecht. Dabei gibt es mehrere Ansätze:

  • Elektronische Fallakte: Es wird eine gemeinsame Behandlungsdokumentation für eine spezielle Erkrankung (im medizinischen Bereich meist "Fall" genannt) geführt. Auf diese Fallakte haben alle Behandler dieser Erkrankung des Patienten Zugriff und sie wird nach Abschluss der Behandlung wieder geschlossen. Hat der Patient mehrere Erkrankungen, bestehen mehrere Fallakten mit verschiedenen Zugriffsberechtigten. Für mehrere Behandlungen oder gar lebenslang relevante Dokumente müssten diese in alle Fallakten aufgenommen werden.
  • Elektronische Patientenakte: In lebenslangen Patientenakten sollen die Daten zu allen schwerwiegenden oder chronischen Erkrankungen eines Patienten aufgenommen werden. In der Regel hat der Patient damit eine Akte, die verschiedene Erkrankungen enthält und die ihn maximal sein gesamtes Leben begleitet. Dadurch entsteht eine umfassende Sammlung hochsensibler Daten, die gegen unbefugte Zugriffe geschützt werden muss. Dies betrifft insbesondere auch die Zugriffe durch Ärzte, da nicht unbedingt jeder zugreifende Arzt auch alle Daten der Akte für die akute Behandlung benötigt, so dass Möglichkeiten zur Einschränkung des Zugriffs vorhanden sein müssen (differenziertes Berechtigungskonzept).

3. Nicht betrachtete Themenfelder

3.1. Zusammenlegung von Häusern, konzerninterne Patientenakten

Zunehmend werden bisher eigenständige Krankenhäuser zu größeren Häusern / Krankenhausketten zusammengeschlossen. Dabei stellt sich die Frage, wie mit den bisher getrennten Datenbeständen umgegangen werden muss. Aus Sicht der Krankenhäuser besteht ein Interesse, die vorhandenen Akten zu einem Patienten in einer konzerninternen Patientenakte zusammenzuführen, um einen umfassenden Einblick für die Behandlung zu erhalten. Dies wirft einige Datenschutzfragen auf, die jedoch in dieser Orientierungshilfe nicht näher betrachtet werden sollen.

3.2. Elektronische Gesundheitsakten

Auch nicht betrachtet werden elektronische Gesundheitsakten im Internet, wie sie beispielsweise von Krankenkassen oder anderen Diensteanbietern angeboten werden und in die der Patienten selbst Daten etwa zu seinem Gesundheitszustand oder Ernährungs- und Sportverhalten einträgt.

4. Technische Möglichkeiten der Anbindung

4.1. Internet

In den meisten Fällen wird derzeit für Vernetzungsprojekte das Internet genutzt. Eine Vielzahl von Arztpraxen besitzt heute einen Internetzugang (meist per DSL). Ebenso besitzen Krankenhäuser im Normalfall einen Internetzugang. Damit sind grundsätzlich die technischen Voraussetzungen vorhanden, um in scheinbar einfacher Weise Daten elektronisch auszutauschen, so dass mittlerweile die meisten Projekte zur Anbindung externer Partner auf diesem Transportmedium beruhen.

Allerdings ist das Internet ein öffentlich zugängliches Netz, das von einer Vielzahl unterschiedlicher Institutionen und Provider betrieben wird und dessen Nutzer unterschiedliche Zwecke verfolgen. Neben böswilligen Nutzern (Hacker, Spione etc.) werden über das Internet auch vielerlei Arten von Schadsoftware verbreitet (Viren, Trojaner, Spam). Zudem erfolgt die Übertragung sämtlicher Daten, soweit keine weitergehenden Maßnahmen ergriffen werden, im Klartext. Es besteht somit potenziell für eine Vielzahl von Personen die Möglichkeit, die transportierten Daten mitzulesen, oder auch sie zu löschen und zu verfälschen.

Medizinische Daten unterliegen jedoch einem besonderen Schutz und müssen vor unbefugter Kenntnisnahme geschützt werden. Ebenso wäre eine Verfälschung höchst gefährlich, wenn es hierdurch zu einer falschen Behandlung des Patienten käme. Das Internet darf somit nur mit zusätzlichen Schutzmaßnahmen genutzt werden, da es in seiner Basisfunktionalität nicht die geforderte Vertraulichkeit, Integrität, Authentizität sowie Nichtabstreitbarkeit der Daten gewährleisten kann.

4.2. Standleitungen, virtuelle Netze, spezielle Infrastrukturen

Es gibt auch Möglichkeiten, nicht das Internet zu nutzen, sondern spezielle Infrastrukturen. Dies können zum einen Standleitungen beziehungsweise virtuelle Leitungen und Netze sein, wie sie Telekommunikationsfirmen anbieten. Aufgrund der Kosten ist dies jedoch eher bei der dauerhaften Vernetzung z.B. verschiedener Häuser einer Klinikkette vorzufinden, als für Projekte zur Anbindung niedergelassener Ärzte, deren Teilnehmerkreis sich dynamisch ändert. Auch hier ist zu beachten, dass die gemieteten (virtuellen) Leitungen zwar gegenüber anderen Teilnehmern abgeschottet sind, nicht jedoch automatisch gegenüber dem TK-Unternehmen (Leitungsanbieter) selbst.

Zudem gibt es im Gesundheitswesen seit längerem gesicherte Kommunikationsinfrastrukturen für Spezialbereiche. Ein Beispiel ist KV Safenet zur Anbindung der niedergelassenen Ärzte an die Kassenärztlichen Vereinigungen, über das auch D2D-Awendungen (Doctor-to-Doctor) wie der elektronische Arztbrief betrieben werden können. Im Idealfall benötigt der Arzt dann nur noch die VPN-Komponente der gewählten Plattform, die eine verschlüsselte und gegen Angriffe gesicherte Kommunikation mit anderen Teilnehmern ermöglicht. Welche Sicherheitsmaßnahmen die gewählte Infrastrukturplattform bietet und welche weiteren Sicherheitsmaßnahmen erforderlich sind, kann sich jedoch unterscheiden und muss vom Nutzer vor dem Einsatz geprüft werden.

4.3. Funknetze, UMTS

Zunehmend werden auch mobile Geräte wie Smartphones oder TabletPCs für den Zugriff auf medizinische Daten verwendet. Diese sind in der Regel über Funkverbindungen wie GSM, UMTS oder WLAN angebunden. Hierbei ist zu beachten, dass Funknetze nicht immer standardmäßig eine starke Verschlüsselung anbieten. Zudem ist für den Benutzer häufig nicht ohne größeren Zusatzaufwand erkennbar, ob und welche Verschlüsselung sein Gerät gerade verwendet. Auch hier sind somit Zusatzmaßnahmen zur Absicherung der sensiblen Daten erforderlich.

5. Grundsätzliche Anforderungen aus Datenschutzsicht

Die Details der technischen Realisierung können sich in den Projekten deutlich unterscheiden, es gibt jedoch aus Datenschutzsicht einige grundlegende Anforderungen, die überall erfüllt sein müssen:

  • Beachtung der ärztlichen Schweigepflicht: Die ärztliche Schweigepflicht muss auch bei einer gemeinsamen Kommunikationsplattform sichergestellt sein. Auch hier gilt, dass jeder teilnehmende Arzt nur die Daten einsehen darf, die er für seine Behandlung benötigt. Dies bedeutet, dass ein Arzt auch in einem Einweiserportal nur auf diejenigen Patienten zugreifen darf, die bei ihm in Behandlung sind. Zudem darf er beispielsweise bei einer lebenslangen Patientenakte nicht beliebig auf die Daten zu anderen Erkrankungen zugreifen, an deren Behandlung er nicht beteiligt ist oder war.
  • Einwilligung des Patienten: Für die Teilnahme eines Patienten insbesondere an Projekten zu Einweiserportalen oder elektronischen Akten ist eine ausdrückliche, informierte und schriftliche Einwilligung des Patienten erforderlich. Zuvor muss er ausführlich informiert werden beispielsweise über gespeicherte Daten, Kommunikationswege, Zugriffsberechtigte und Speicherfristen sowie über seine Rechte und wo er diese geltend machen kann.
  • Beschlagnahmeschutz: Insbesondere bei der Einrichtung einer gemeinsamen elektronischen Akte muss geprüft werden, wo die Daten physisch gespeichert werden und ob sie gegen eine Beschlagnahme geschützt sind. Nur so kann eine Durchbrechung der ärztlichen Schweigepflicht verhindert werden.
  • Datensparsamkeit: Es muss sichergestellt sein, dass nur die wirklich erforderlichen Daten und Dokumente in die elektronische Akte eingestellt beziehungsweise übermittelt werden.

    Zudem sollte auch die Lebensdauer von Akten beziehungsweise Dokumenten geregelt werden, so dass Informationen nach einem gewissen Zeitraum automatisch auf ihre Löschbarkeit hin geprüft werden. Neben einigen lebenslang benötigten Informationen gibt es in der Regel eine Vielzahl von Angaben, die nur während der akuten Behandlung benötigt werden und danach gelöscht werden können. Dabei muss tatsächlich eine physikalische Löschung erfolgen und nicht nur etwa eine Sperrung.
  • Definition der verantwortlichen Stelle: Für alle Vorhaben ist zu klären, wer die Funktion der speichernden Stelle / verantwortlichen Stelle im Sinne des Datenschutzrechts wahrnimmt. Es muss mindestens einen Ansprechpartner für den Patienten geben, der dann die Durchsetzung der Rechte des Patienten für die gesamte konkrete Fallakte ermöglicht. Alternativ könnte im Sinne einer Verbunddatei beziehungsweise eines gemeinsamen Verfahrens auch jeder Teilnehmer als Ansprechpartner fungieren. Dieser leitet dann das Anliegen des Patienten an alle beteiligten Stellen weiter. Hierbei muss sichergestellt sein, dass die anderen Stellen dann auch entsprechende Maßnahmen umsetzen wie beispielsweise eine Löschung von Daten. Eine verteilte Zuständigkeit, bei der der Patient wissen muss, welcher Arzt für welches Dokument verantwortlich ist, ist nicht zulässig.
  • Schutzbedarfsfeststellung medizinischer Daten: Personenbezogene medizinische Daten unterliegen einem hohen bis sehr hohen Schutzbedarf. Welcher Schutzbedarf genau vorliegt, muss bei der Konzeption des Projekts geprüft werden, beispielsweise ob es sich um besonders sensible Erkrankungen handelt oder ob durch eine Pseudonymisierung eine Reduzierung des Schutzbedarfs erreicht werden kann. Nach dem Schutzbedarf richten sich die erforderlichen technischen Sicherheitsmaßnahmen. Zudem besteht die Möglichkeit, dass manche Krankheiten aufgrund ihrer Sensibilität und ihres Ansehens in der Öffentlichkeit gar nicht für eine elektronische Akte geeignet sind, wie etwa psychiatrische Behandlungen.
  • Transparenz: Neben dem Recht auf vertrauliche Behandlung seiner Daten hat der Patient im Rahmen seiner Patientenrechte auch das Recht auf Einsicht in seine Unterlagen, freie Arztwahl, Aufklärung über die Behandlung etc. Dies bedeutet, dass die elektronische Datenverarbeitung und -übermittlung für ihn verständlich sein muss und er das Recht hat, beispielsweise Informationen zurückzuhalten oder sperren zu lassen. Insbesondere muss für ihn ersichtlich sein, welche Ärzte potenziell auf seine Daten zugreifen können, welche Kommunikationswege es gibt und wie er bestimmte Ärzte, Arztgruppen o.ä. von einem Zugriff ausschließen kann. Auch eine einfache Möglichkeit zur Einsicht in seine elektronischen Akten muss gegeben sein.
  • Revisionsfähigkeit: Bei konkreten Zugriffen auf Patientendaten muss feststellbar sein, wer wann auf welche Daten zugegriffen beziehungsweise wer welche Daten eingestellt hat. Dazu ist beispielsweise eine Protokollierung von schreibenden und eventuell auch lesenden Zugriffen notwendig. Zudem muss es Verfahrensregelungen geben, wie, unter welchen Bedingungen und von wem die Protokolle ausgewertet werden.
  • Freigabe nach BayDSG: Nach Art. 26 BayDSG sind automatisierte Verfahren zur Verarbeitung personenbezogener Daten bei bayerischen öffentlichen Stellen durch den behördlichen Datenschutzbeauftragten freizugeben. Für Verfahren, an denen mehrere Stellen als Datenlieferanten und -nutzer beteiligt sind, muss geklärt werden, wie die Freigabe realisiert werden kann.
  • Datenschutz- und Sicherheitskonzept: Die datenschutzrechtliche Freigabe gemäß BayDSG verlangt die Dokumentation der ergriffenen technisch-organisatorischen Sicherheitsmaßnahmen. Zudem ist aufgrund des Schutzbedarfs und der technischen Komplexität derartiger Systeme die Erstellung eines systematischen Datenschutz- und Sicherheitskonzepts sinnvoll. Hilfreich für die Erstellung sind hier insbesondere die Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik), abrufbar unter https://www.bsi.bund.de/ (externer Link) und die damit verbundenen Verfahrensweisen.

6. Erforderliche technisch-organisatorische Sicherheitsmaßnahmen

Für alle beschriebenen Anwendungsszenarios sind technische Sicherheitsmaßnahmen auf verschiedenen Ebenen nötig. Dies betrifft zum einen die Absicherung der Transportverbindung, insbesondere wenn das Internet als Kommunikationsmedium verwendet werden soll. Zum anderen muss aber auch auf Anwendungsebene dafür gesorgt werden, dass nur berechtigte Personen in die medizinischen Daten Einsicht nehmen können.

6.1. Sicherung der Transportverbindung

Solange noch keine gesicherte Infrastruktur existiert, an die alle Teilnehmer des Gesundheitswesens angeschlossen sind, müssen zu jedem Projekt eigene Sicherheitsmaßnahmen ergriffen werden.

6.1.1. E-Mail Versand

Beim Versand von E-Mails erfolgt die Absicherung des Datentransports in der Regel durch die Anwendung selbst. Jedoch muss der Internetzugang so gestaltet sein, dass unbefugte Zugriffe auf die krankenhaus- bzw. arztinternen Systeme verhindert werden. Es wird daher eine entsprechend konfigurierte Firewall zur Abschottung gegenüber dem Internet benötigt, die nur die wirklich benötigten Dienste zulässt. Auch der Einsatz von Intrusion Detection / Prevention Systemen ist überlegenswert. Zudem ist ein ausreichender Viren- und Spam-Schutz und das regelmäßige Einspielen von Updates erforderlich.

6.1.2. Zugang über das Internet

Da im Internet standardmäßig Daten ungeschützt übertragen werden, ist eine verschlüsselte Verbindung zur Sicherstellung der Vertraulichkeit nötig. Dazu werden in der Regel VPNs (Virtual Private Networks) auf Basis von IPSEC oder TLS/SSL eingesetzt. Dabei ist insbesondere bei TLS/SSL darauf zu achten, dass aktuell als sicher geltende Verschlüsselungsverfahren / Cipher-Suites verwendet werden. Hierbei sollten die technischen Richtlinien des BSI beachtet werden.

Im Krankenhaus und bei allen Partnern muss hierzu eine entsprechende Hard- und/oder Software (Kryptobox, VPN-Client) vorhanden sein, die auch angemessen installiert und konfiguriert werden muss. Häufig empfiehlt es sich, ein bestimmtes Produkt auszuwählen und hierfür eine Konfiguration und Nutzungsweise vorzuschreiben, um die Sicherheit des Gesamtsystems zu gewährleisten. Auch sollten die Einstellungen vor unbefugter Änderung geschützt werden.

6.1.3. Zugang über eine gesicherte Infrastruktur

Beim Zugang über einen spezialisierten Provider muss dafür gesorgt werden, dass dieser die übertragenen Daten nicht mitlesen kann. Es wird also eine Ende-zu-Ende-Verschlüsselung benötigt. Da der Provider in der Regel vorkonfigurierte Hard- und Software zur Teilnahme bereitstellt, muss auch hier sichergestellt werden, dass er sich darüber keinen Zugang zu medizinischen Daten verschaffen kann, etwa im Rahmen der Fernwartung.

6.1.4. Zugang über Funknetze beziehungsweise mobile Geräte

Auch hier ist eine Verschlüsselung erforderlich. Soll die Verschlüsselung des Mobilfunkanbieters genutzt werden, beispielsweise bei UMTS, so muss sichergestellt sein, dass ausreichend sichere Verfahren zum Einsatz kommen und die Daten auch durch den Mobilfunkanbieter nicht entschlüsselt werden können (wenn er z.B. im Besitz der Schlüssel ist). Es empfiehl sich daher auch hier, zusätzliche Maßnahmen wie TLS/SSL oder IPSEC zu ergreifen.

6.2. Sicherung auf Anwendungsebene

6.2.1. E-Mail-Versand

Bei der Übermittlung medizinischer Daten sind Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit, Authentizität und Nichtabstreitbarkeit der Datenübermittlung zu treffen.

Für das Konzept des Versands per E-Mail bedeutet dies, dass eine Ende-zu-Ende-Verschlüsselung der E-Mails nötig ist, die sicherstellt, dass nur der berechtigte Empfänger die Daten wieder entschlüsseln kann. Als Verschlüsselungsverfahren können gängige Verfahren zum Einsatz kommen. Auf jeden Fall sollte eine ausreichende Schlüssellänge sichergestellt werden. Zudem muss die gesicherte Aufbewahrung der privaten Schlüssel und eine Verifizierbarkeit der öffentlichen Schlüssel sichergestellt werden. Nur dadurch kann die Authentizität des Senders garantiert werden. Für die Verwaltung und Zertifizierung der öffentlichen Schlüssel werden sogenannte Public Key Infrastructures (PKI) eingesetzt. Diese können zum einen über Mechanismen wie das Web of Trust (PGP) realisiert werden, in dem alle Teilnehmer gegenseitige Vertrauensbeziehungen definieren. Eine andere Möglichkeit sind Zertifizierungshierarchien mit festgelegten Instanzen, die die Gültigkeit und Korrektheit von Schlüsseln überprüfen und garantieren. Als Lösungen speziell für den E-Mail-Versand, die auf den obigen Verschlüsselungsverfahren aufbauen, kommen beispielsweise PGP oder S/MIME in Verbindung mit X.509 in Betracht. Zudem gibt es spezielle Anbieter für verschlüsselte E-Mails. Auch hier muss jedoch sichergestellt sein, dass der Empfänger die Daten auch entschlüsseln kann. Er muss also entsprechende Software nutzen. Zudem muss vor der Nutzung eines Dienstes die Sicherheit des Verfahrens sowie insbesondere die Schlüsselverwaltung geprüft werden.

Für die Nichtabstreitbarkeit ist mindestens eine revisionsfeste Protokollierung der Datenübermittlungen nötig. Die Verwendung der digitalen Signatur von Dokumenten sowie von Zeitstempeln und Quittungen zur Nachweisbarkeit der Kommunikation ist abhängig vom jeweiligen Anwendungsfall, für zeitkritische Datenübermittlungen und die Übermittlung rechtssicherer elektronischer Dokumente jedoch empfehlenswert. Auf jeden Fall ist jedoch erforderlich, dass die Richtigkeit von Empfänger und Absender gewährleistet wird, was bei einem normalen E-Mail-Versand nicht gegeben ist. Es sind somit Maßnahmen zur Identifikation und Authentifikation der Benutzer erforderlich, beispielsweise mittels Chipkarten mit X.509 Zertifikaten (z.B. der im Rahmen der elektronischen Gesundheitskarte geplante Heilberufeausweis (HBA)) oder Einmalpasswort-Verfahren.

6.2.2. Portale

Webbasierte Portale charakterisieren sich vor allem dadurch, dass sich der Benutzer über seinen Webbrowser am Portal anmelden muss, um auf Patientendaten zugreifen zu können. Daher muss im ersten Schritt eine zuverlässige Identifikation und Authentifikation der Benutzer sowie des Portalservers gewährleistet werden. Dazu müssen einerseits für alle Nutzer personenbezogene Benutzerkennungen vergeben werden, andererseits muss das Portalsystem in der Lage sein, differenzierte und feingranulare Benutzerrechte auf die gespeicherten Daten zu vergeben, so dass jeder Benutzer nur auf die Daten seiner Patienten zugreifen kann. Die Benutzerkennungen müssen mindestens durch sichere Passworte, besser noch durch Chipkartensysteme oder andere tokenbasierte Systeme geschützt werden (siehe auch Entschließung "Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze"). Zudem muss über vertragliche Regelungen festgeschrieben werden, wer auf Seiten des Arztes auf die Daten zugreifen darf und welche Benutzerkennungen hierfür verwendet werden. Keinesfalls dürfen alle Mitarbeiter einer Arztpraxis unter einer gemeinsamen Kennung arbeiten, da dann die Revisionsfähigkeit der Datenzugriffe nicht mehr gegeben ist.

Sollen nicht nur Daten zum Abruf durch die niedergelassenen Ärzte, Reha-Einrichtungen, Patienten etc. bereitgestellt (lesender Zugriff), sondern auch Daten durch den niedergelassenen Arzt etc. in das Portal eingestellt werden (schreibender Zugriff), muss einerseits dafür gesorgt werden, dass nachvollziehbar ist, wer welche Daten bereitgestellt hat und damit für den Inhalt verantwortlich ist. Zudem muss geklärt werden, wie fehlerhafte Daten berichtigt beziehungsweise entfernt werden, so dass klar ist, welche Informationen dem Arzt zu welchem Zeitpunkt zur Verfügung standen. Realisiert werden können diese Forderungen etwa durch die elektronische Signatur der eingestellten Informationen, durch eine angemessene Konfiguration der Benutzerrechte im Portal und die Historisierung von Daten beziehungsweise die Protokollierung von Änderungen sowie Zugriffen.

Im Hinblick auf die Datensparsamkeit muss das Portal auch die Löschung von eingestellten Daten nach einem bestimmten Zeitablauf vorsehen, wie etwa eine automatische Löschung der bereitgestellten Daten zu einem festgelegten Zeitpunkt nach der Entlassung aus dem Krankenhaus. Hierbei muss eine physikalische Löschung der Daten erfolgen; eine Sperrung der Daten oder Kennzeichnung als gesperrt ist nicht ausreichend.

Als Standort der Server des Portals empfiehlt sind in der Regel ein Krankenhaus, da hier einerseits der Beschlagnahmeschutz gewährleistet, andererseits auch eine 24-stündige Verfügbarkeit und eine fachkundige Administration der Systeme gegeben ist. Es empfiehlt sich dabei eine Verschlüsselung der gespeicherten Daten, um sie vor einer Einsichtnahme durch die Administratoren zu schützen. Werden externe Provider gewählt, muss sichergestellt werden, dass die Daten verschlüsselt dort abgelegt sind und zwar so, dass der externe Provider keinerlei Kenntnis von den Daten nehmen kann. Dies bedeutet, dass insbesondere die Verschlüsselungsschlüssel nicht im Zugriff des Providers liegen dürfen.

6.2.3. Fall-/Patientenakten

Grundsätzlich gelten die gleichen Anforderungen wie für Portale, da auch elektronische Fall-/Patientenakten in der Regel über Webportale realisiert sind. Da hier jedoch gegenüber den Portalen eine größere Anzahl von Daten über einen längeren Zeitraum gespeichert ist, verschärft sich die Problematik der Lebensdauer / automatischen Löschung.

Es müssen Mechanismen eingeführt werden, wie die Lebensdauer von Dokumenten festgelegt werden kann und die Aktualität der Daten gewährleistet wird. Eine Möglichkeit wäre beispielsweise, dass nach einem gewissen Zeitraum gefragt wird, ob die Informationen noch aktuell sind. Gerade bei größeren elektronischen Akten könnte für diesen Zweck ein Moderator sinnvoll sein, der zum einen den Kreis der Zugriffsberechtigten pflegt und zum anderen die Inhalte festlegt, auf Aktualität prüft und eventuell entfernt.

Hinzu kommt, dass in der Regel nicht nur ein Einweiser auf die Daten seines Patienten zugreifen darf, sondern dass es, wie beispielsweise bei Ansätzen zur integrierten Versorgung üblich, einen größeren Kreis von (potenziellen) Behandlern gibt, also etwa neben dem Hausarzt und dem Krankenhaus auch noch diverse beteiligte Fachärzte. Häufig ist beim Aufsetzen einer Akte noch gar nicht festgelegt, wer den Patienten im Laufe der Zeit wirklich behandeln wird. Zudem handelt es sich meist um schwerere oder chronische Erkrankungen, deren Daten besonders sensibel behandelt werden müssen. Es sind daher zwei Herangehensweisen denkbar um zu verhindern, dass nicht an der Behandlung beteiligte Personen Zugriff auf Daten erhalten:

  • Schon vorab möglichst enge Begrenzung der eingestellten Daten und zugriffsberechtigten Personen:
    Dies ist der Ansatz von Fallakten, die auf eine bestimmte Erkrankung und einen definierten Behandlungszeitraum begrenzt sind. Hierbei muss beim Anlegen einer konkreten Fallakte festgelegt werden, wer als Zugriffsberechtigter eingerichtet wird. Der Patient muss darüber informiert werden und sollte einzelne Ärzte ausschließen können. Alle Berechtigten haben dann (nach erfolgter Identifikation und Authentifikation am System) allerdings Zugriff auf alle Dokumente. Es muss daher vorab festgelegt werden, welche Dokumente eingestellt werden dürfen. Zudem muss die Abgrenzung mehrerer Fallakten eines Patienten voneinander gewährleistet sein.
  • Möglichkeit zur differenzierten Vergabe von Zugriffsrechten:
    Bei lebenslangen Patientenakten, die Informationen zu unterschiedlichen Erkrankungen enthalten, muss die Möglichkeit zur differenzierten Berechtigungsvergabe bestehen. Dies bedeutet, dass der Patient zum einen die technische Möglichkeit haben muss, zu entscheiden, welcher Arzt auf seine Akte zugreifen darf, indem er ihm beispielsweise den Zugriff per PIN-Eingabe oder über einen Zugriffstoken freischaltet. Zum anderen muss er die Möglichkeit haben, festzulegen, welcher Arzt auf welche Dokumente zugreifen darf. Dies kann beispielsweise zusammen mit dem Ersteller eines Dokuments erfolgen oder ohne Beisein des Arztes etwa an einem eKiosk. Das gewählte System zur Realisierung der elektronischen Patientenakte muss somit eine handhabbare und differenzierte Berechtigungsverwaltung enthalten.

    Des Weiteren sollte geprüft werden, ob ein "Verfallsdatum" von Berechtigungen eingeführt werden sollte, bei dessen Ablauf der Patient (automatisch) befragt wird, ob er noch weiterhin in diese Berechtigung für den entsprechenden Arzt einwilligt.