Datenschutz und Gesundheit – Wie angreifbar sind Patientendaten?
9. März 202310. März 2023
5
In Compliance, Fakten

Datenschutz und sensible Daten – Wie angreifbar sind Patientendaten?

Was die Digitalisierung von Patientenakten und die zentrale Speicherung von Gesundheitsdaten für Vorteile mit sich bringt und was bei der Verarbeitung von sensiblen Gesundheitsdaten – speziell in Deutschland – beachtet werden muss.

Die gesetzliche Maßgabe und Basis

Viele Länder sind bei der Digitalisierung des Gesundheitswesens bereits weiter, als Deutschland. Hier herrscht deutlich Aufholbedarf. Doch ohne eine sichere Basis kann die Digitalisierung im Gesundheitswesen nicht erfolgreich umgesetzt werden. Ein Blick auf verschiedene Fälle weltweit verdeutlicht die Bedrohung: So berichtet die Zeitung Daily Record von einem Krebspatienten in Schottland, dessen persönliche Gesundheitsdaten aus der Patientenakte gestohlen wurden. Auch in London hat ein Call-Center-Mitarbeiter unberechtigt Gesundheitsdaten ausgespäht und missbräuchlich verwendet. In Finnland gab es einen Hackerangriff auf ein Psychotherapie-Zentrum, bei dem die Daten von über 22.000 Patienten veröffentlicht wurden. Die betroffenen Opfer stehen vor einem Albtraum, während die Vorfälle rechtlich als Datenschutzverstoß und somit als Straftat gelten.

In den USA gab es den wohl größten Datendiebstahl weltweit, gemessen an der Anzahl von Betroffenen. Das zweitgrößte Krankenversicherungsunternehmen der USA gab im Januar 2015 bekannt, dass es Opfer eines umfassenden Angriffs auf seine Daten geworden war. Die Täter hatten die Electronic Protected Health Information (ePHI) von fast 78,8 Millionen Personen gestohlen. PHI in elektronischer Form werden als ePHI bezeichnet – das kann zum Beispiel eine digitale Kopie eines medizinischen Berichts sein.

Diese Beispiele zeigen, dass die digitale Angreifbarkeit von Patientendaten im Gesundheitswesen ein ernstes Problem darstellt. Es ist daher besonders wichtig, dass Gesundheitsdaten sicher und geschützt sind, um das Vertrauen der Patienten zu erhalten. Die Einhaltung von Sicherheitsrichtlinien wie dem Health Insurance Portability and Accountability Act (HIPAA) ist dabei unerlässlich. Der Datenschutz sollte also bei der Digitalisierung des deutschen Gesundheitswesens oberste Priorität haben und den hier geltenden Verordnungen und Gesetzen entsprechen.

Die elektronische Patientenakte (ePA) als deutsches Pendant zur ePHI

Nach Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) im letzten Jahr, soll nun ein weiterer Meilenstein in Sachen Digitalisierung kommen. Der Gesundheitsminister Karl Lauterbach (SPD) plant, die elektronische Patientenakte (ePA) in Deutschland verbindlich einzuführen und bis 2025 80 Prozent der gesetzlich Versicherten mit Hilfe von E-Akten zu verwalten. Die ePA soll ab Ende 2024 für alle Patienten in Deutschland verbindlich sein und Röntgenaufnahmen auf CD, Papierakten und gefaxte Befunde ersetzen. Patienten, die die ePA nicht möchten, müssen ihr aktiv widersprechen, um zu verhindern, dass eine digitale Akte angelegt wird. Bislang nutzen weniger als ein Prozent der Versicherten die elektronische Akte, obwohl sie bereits seit 2021 zur Verfügung steht und die Nutzung freiwillig ist.

Lauterbach erhofft sich von der Einführung der ePA effizientere Abläufe und eine bessere Versorgung, da eine vollständige Übersicht über Medikamente und die Krankengeschichte eines Patienten helfen können, Wechselwirkungen und Diagnosen zu vermeiden. Patientendaten sollen in pseudonymisierter Form auch der Forschung zur Verfügung stehen, um Deutschland in der pharmazeutischen Forschung wettbewerbsfähig zu halten. Patienten sollen die Möglichkeit haben, den Zugriff auf ihre Gesundheitsdaten selbst zu steuern, um die Kontrolle über ihre Daten zu behalten.

Lauterbach plant weitere Digitalisierungsschritte im Gesundheitssystem wie die Verbindlichkeit des E-Rezepts ab 2024 und die Einführung des „Medical Messengers“ für eine sichere Kommunikation zwischen Ärzten und Patienten.

Sensible Daten müssen besonders geschützt werden

Bei all diesen Bemühungen, die Digitalisierung auch in Deutschland voranzutreiben, sollten die Risiken nicht außer Acht gelassen werden, die die Digitalisierung mit sich bringt: Sensible Gesundheitsdaten müssen vor Cyberangriffen und Datenlecks geschützt werden. Gesundheitsdaten sind im Vergleich zu anderen personenbezogenen Daten wie Kreditkartendaten teurer und können für Betrug, Identitätsdiebstahl und Erpressung verwendet werden. Der Schutz sensibler Gesundheitsdaten muss daher eine übergeordnete Priorität einnehmen. Cyberangriffe können nicht nur direkte Auswirkungen auf die betroffenen Unternehmen und Institutionen haben, sondern auch auf viele Menschen, die von deren Dienstleistungen abhängig sind. Im Gesundheitssektor besteht ein höheres Risiko für Ransomware-Angriffe, bei denen ein Lösegeld gezahlt wird, um den Betrieb aufrechtzuerhalten und so ggf. sogar Menschenleben zu retten. Es wird jedoch davon abgeraten, Lösegeld zu zahlen, da dies die Täter bestärken und das Risiko für Folgeangriffe erhöhen kann. Unternehmen sollten sich gegen Cyberangriffe versichern, um sich vor möglichen Folgen zu schützen. Empfehlenswert ist die Implementierung fester Prozesse zum Schutz von Daten in Unternehmen. Tools, wie ein Internes Kontrollsystem (IKS) für den Datenschutz und die Sicherheit der IT können hier nachhaltig helfen, ein hohes Sicherheitsniveau aufzubauen und zu erhalten.

Wer sind die Angreifer?

Das Bundesinnenministerium warnte bereits in einer Broschüre aus dem Jahr 2021 vor Innentäterschaft, da diese eine erhebliche Gefahr für Unternehmen oder Forschungseinrichtungen darstellt. Der Verfassungsschutz stuft den Innentäter in Unternehmen als größere Bedrohung als den Außentäter ein, wenn es um den Abfluss von Wissen und Daten aus Unternehmen, Forschungseinrichtungen oder anderen Organisationen geht. Dabei ist es unerheblich, durch welche Umstände diese Personen zu Tätern werden – ob durch unbewusstes Verhalten, wie z.B. beim Social Engineering zu beobachten ist oder durch bewusstes Verhalten, wie Datendiebstahl, Sabotage, etc.. Einige Personen werden auch von Angreifern gezielt in Unternehmen positioniert.
Dabei müssen es nicht immer IT-Nutzer und IT-Verantwortliche sein. Auch ehemalige Mitarbeiter, Lieferanten und Kunden – eben alle die, die über ein gewisses Fachwissen, bzw. Interna verfügen. Im Prinzip könnte also jeder Beschäftigte eines Unternehmens – unabhängig von seiner Position – zum Innentäter werden.

In Deutschland gibt es schon jetzt viele Beispiele, bei denen Gesundheitsdaten durch Datenlecks oder Cyberangriffe an die Öffentlichkeit gelangt sind. Es gibt demnach noch viel zu tun, um die IT-Sicherheit und den Datenschutz im Gesundheitswesen zu gewährleisten. Sollte die ePA tatsächlich verbindlich umgesetzt werden, wird die vorherige Implementierung eines entsprechenden, datenschutzkonformen Rahmens unumgänglich sein.

Essenz

  • In Deutschland herrscht noch deutlich Aufholbedarf in Sachen Digitalisierung.
  • Gerade sensible Gesundheitsdaten müssen besonders geschützt werden.
  • Die digitale Angreifbarkeit des Patienten im Gesundheitswesen stellt ein ernstes Problem dar.
  • Innentäter sind eine größere Bedrohung, als Außentäter
  • Bis 2025 sollen 80 Prozent der gesetzlich Versicherten eine elektronische Patientenakte haben.

Übrigens: Wir bei der adverit Markengruppe sind Spezialisten in Sachen Datenschutz. Gerade für Verarbeiter von personenbezogenen Daten besonderer Kategorie ergeben sich besondere Herausforderungen und Verantwortungen. Sie möchten sich individuell beraten lassen, welche Maßnahmen für Sie und Ihr Unternehmen sinnvoll und notwendig sind? Wir stehen Ihnen gern mit Rat und Tat zu Seite.