Datenhüter fordern Schutzprogramm für Gesundheitsdaten

BREMEN. Umfangreiche Hausaufgaben haben die Datenschutzbeauftragten von Bund und Ländern der neuen Bundesregierung aufgegeben.

Auf ihrer Herbsttagung am 1. und 2. Oktober in Bremen haben sie einen Forderungskatalog vorgelegt, der sich zwar - getrieben durch die aktuellen Ereignisse - vorrangig mit den "anlasslosen und umfassenden internationalen Überwachungsaktivitäten von Nachrichtendiensten" beschäftigt.

Aber ebenso einen gemeinsamen Beschluss zur "Stärkung des Datenschutzes im Sozial- und Gesundheitswesen" enthält. Denn auch die vermeintliche Datensammelwut im Gesundheitswesen ist den Datenschützern ein Dorn im Auge.

Sind die Kassen unersättlich?

Vor dem Hintergrund des sich verschärfenden Wettbewerbs der Beteiligten im Sozial- und Gesundheitswesen würden die Rechte der Patienten und Versicherten immer stärker unter Druck geraten, heißt es in dem Papier.

Dies zeige sich etwa darin, dass eine Reihe von Krankenkassen und anderen Sozialleistungsträgern im Rahmen der Informationsbeschaffung die Empfänger von gesetzlichen Leistungen über ihren Gesundheitszustand "über das erforderliche Maß hinaus befragen".

Zudem monieren die Datenschützer, dass dabei gesetzlich vorgesehene Verfahren, wie zum Beispiel die Einschaltung des Medizinischen Dienstes der Krankenversicherung (MDK), umgangen würden.

Datenschützer: Webanwendungen bergen Gefahren

Aber auch im mittlerweile weitverbreiteten Einsatz von Internetanwendungen sehen die Datenhüter Gefahren für die sensiblen Gesundheitsdaten - und gesetzgeberischen Handlungsbedarf.

Mit der Nutzung von Cloud-Diensten, sozialen Netzwerken und Big-Data-Strukturen, aber ebenso durch die Arbeitsteilung im Medizinbereich und insbesondere die Einschaltung von informationstechnischen Dienstleistern - also dem Outsourcen von Arbeitsbereichen und Datenhaltung - werde die Gefahr von "gläsernen Patienten und Versicherten weiter verstärkt", heißt es.

Drei Maßnahmen sollen Patientendaten schützen

Dem müssten die Regierungen und Parlamente des Bundes und der Länder entgegenwirken. Die Maßnahmen, die die Datenschützer vorschlagen lauten:

1. Privacy by design: Bei der Nutzung neuer technischer Möglichkeiten müsse das Recht auf informationelle Selbstbestimmung als unverzichtbares Grundrecht von vornherein berücksichtigt werden.

Dazu müsse die Entwicklung datenschutzfreundlicher Technologien, zum Beispiel Anonymisierungs- und Verschlüsselungsverfahren nicht nur gefördert werden. Ihr Einsatz nach dem aktuellen Stand der Technik sollte auch gesetzlich abgesichert werden.

2. Telematikinfrastruktur: Die Telematikinfrastruktur - also die Datenautobahn für die elektronische Gesundheitskarte sei umgehend und funktionsfähig so zu realisieren, dass die medizinische Kommunikation zwischen den Beteiligten im Gesundheitsbereich vertraulich und zuverlässig realisiert wird und die Patienten praktisch in die Lage versetzt werden, ihr Recht auf informationelle Selbstbestimmung wahrzunehmen.

Zu diesem Punkt ist zumindest zu sagen, dass nach den derzeitigen Plänen der gematik (der Betreibergesellschaft der Telematikinfrastruktur) Ärzte und andere zugriffsberechtigte Personen immer nur dann auch tatsächlich die Gesundheitsdaten eines Patienten einsehen und bearbeiten können, wenn der Patient ihnen zuvor die Berechtigung dazu erteilt hat.

Und: Die Daten werden immer nur verschlüsselt übermittelt und abgespeichert. Das entspricht bereits einer anderen Forderung der Datenschützer: Dem Einsatz einer End-zu-End-Verschlüsselung - wobei diese insbesondere für alle E-Government-Verfahren eingefordert wird.

Der Vorteil der End-zu-End-Verschlüsselung laut Datenschützer: An keiner Zwischenstation in einem - auch sicheren - Netz könnten so Nachrichten in Klartext unbefugt gelesen und geändert werden.

3. Datenschutzregeln für technische Dienstleister: Hier haben die Datenschützer eine echte Schwachstelle im Gesundheitswesen aufgegriffen.

Denn sie fordern, dass für die zunehmende Einschaltung technischer Dienstleister durch Leistungserbringer, und dabei insbesondere durch niedergelassene Ärzte, angemessene datenschutzgerechte gesetzliche Regelungen verabschiedet werden sollen. Dahinter verbirgt sich keine Gängelei der Ärzte.

Vielmehr könnte eine solche Regelung Praxisinhabern mehr Rechtssicherheit bieten. Denn auch wenn sie die Daten im Rahmen der Auftragsdatenverarbeitung weitergeben, müsste sich der Arzt selbst - und das in regelmäßigen Abständen - davon überzeugen, dass beim Auftragnehmer alle Datenschutzbestimmungen eingehalten werden.

Denn für den Arzt können Verstöße gegen Datenschutzregeln derzeit nicht nur Geldbußen zur Folge haben. Kommen Unbefugte an sensible Patientendaten könnte dies auch als Verstoß gegen Paragraf 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) geahndet werden.