Daten-Archivierung
Das Problem mit dem "Verfallsdatum"?
Die Datenschützer schauen medizinischen Einrichtungen, die mit digitalen Patientendaten hantieren, immer genauer auf die Finger. Besonders schwierig ist das Löschen von Daten am Ende der Aufbewahrungsfrist.
Veröffentlicht:
Digitale Gesundheitsdaten werden an verschiedenen Orten gespeichert - Löschen ist daher aufwändig.
© lucadp / fotolia.com
BERLIN. Einfacher gesagt als getan - auch digitale Patientenakten müssen löschbar sein. Wenn bei Patientenakten aus Papier die Aufbewahrungsfristen abgelaufen sind, dürfen und müssen Krankenhäuser diese Akten vernichten. Schwieriger wird es bei digital erzeugten Patientendaten.
Beispiel Krankenhaus: "Daten werden dort oft in spezialisierten Anwendungen an unterschiedlichen Stellen gespeichert. Sie müssen dann in der richtigen Reihenfolge gelöscht werden.
Auch kann das Löschen bestimmter Daten eines Systems andere Systeme mit noch laufenden Bearbeitungen beeinträchtigen", erläuterte Ekkehard Mittelstaedt, Geschäftsführer des Bundesverbands Gesundheits-IT (bvitg e.V.).
Trotzdem bestehen Datenschützer darauf, dass auch digitale Daten gelöscht werden. Niedergelegt ist das in der Orientierungshilfe Krankenhausinformationssysteme ("OH KIS") der Datenschutzbeauftragten des Bundes und der Länder.
Sie legt dar, was Krankenhäuser zu beachten haben, wenn sie bei Prüfungen nicht durchfallen wollen. Diese Prüfungen werden schärfer: Lange Zeit hatten sie eher beratenden Charakter. Jetzt gibt es auch finanzielle Sanktionen.
Menschen müssen entscheiden
Nun könnte man sagen, die IT-Hersteller müssen eben dafür sorgen, dass die Anforderungen erfüllt werden. So einfach ist es aber nicht: "Datenschutz hat eine technische und eine organisatorische Dimension. Als Hersteller müssen wir die technischen Voraussetzungen dafür schaffen, dass die Vorgaben umsetzbar sind. Umgekehrt müssen die Krankenhäuser dafür Sorge tragen, dass die organisatorischen Voraussetzungen gegeben sind", sagte Mittelstaedt.
Am Beispiel des Löschens von Patientendaten, das der bvitg zum Gegenstand einer Stellungnahme gemacht hat (wir berichteten kurz), wird das deutlich: Die Aufbewahrungsfristen sind unterschiedlich lang.
Auch können Fristen sich verlängern, wenn die Behandlung wieder aufgenommen wird: "So etwas kann ein Algorithmus nicht allein entscheiden. Es braucht eine verantwortliche Stelle, die festlegt, was wann gelöscht wird. IT-Systeme können allenfalls Vorschlagslisten generieren", so Mittelstaedt.
Nun ist das Löschen aber auch technisch nicht ganz ohne. Zwar betont der bvitg, dass die Systeme seiner Mitgliedsunternehmen die Anforderungen der OH KIS grundsätzlich erfüllen.
Der Teufel sitzt freilich im Detail: Denn die gängige Technik mit ihren Schnittstellen wie HL7, DICOM und IHE lässt eine übergreifende Löschung ganzer Akten nicht zu, sodass letztlich doch in jedem einzelnen IT-System gelöscht werden muss. Das ist sehr aufwändig.
Aufwändiges Procedere
Der bvitg empfiehlt deswegen den Krankenhäusern, sich zunächst auf das Sperren von Daten zu konzentrieren. Beim Sperren werden die Daten lediglich dem Zugriff entzogen. Dieser Vorgang ist besser automatisierbar, weil die Daten bei einem Fehler nicht unrettbar verloren sind.
"Auf Dauer muss aber natürlich auch eine technische Löschung der Daten möglich sein. Um das zu erleichtern, müssen wir unter anderem die Kommunikationsschnittstellen weiter entwickeln", so Mittelstaedt.
Dr. Ulrich Vollmer vom Berliner Beauftragen für Datenschutz und Informationssicherheit betonte gegenüber der "Ärzte Zeitung", dass die Sperrung von Daten grundsätzlich nicht die Löschung ersetzen könne: "Es ist richtig, dass die Krankenhäuser derzeit oft nicht die technischen Mittel und auch nicht die organisatorischen Konzepte haben, um Daten definitiv zu löschen. In diesem Fall ist es besser, zu sperren, als nichts zu tun. Aber eine Rechtskonformität wird dadurch nicht erreicht."
Vollmer sagte allerdings auch, dass bei den Prüfungen das Thema Löschen noch nicht im Vordergrund steht. "Die meisten digitalen Systeme sind ja noch keine 30 Jahre alt.
Insofern gibt es da einen gewissen zeitlichen Spielraum. Dieser Spielraum muss jetzt aber auch genutzt werden. Hersteller und Anwender müssen gemeinsam zu Lösungen kommen."
Beschwerden auch über Praxen
Derzeit schauen die Datenschützer vor allem auf die Sicherung gegen Angriffe von außen. Hier haben viele Krankenhäuser Fortschritte gemacht. Ein zweiter Schwerpunkt ist die penible Dokumentation von Zugriffen. Auch die Sperrung von Patientendaten ist schon ein Thema.
"In Berlin schreibt das Krankenhausgesetz vor, dass der Direktzugriff auf Patientendaten spätestens ein Jahr nach dem Krankenhausaufenthalt gesperrt werden muss. Darauf achten wir sehr genau und würden bei einem Haus, dass diese Vorgabe ignoriert, auch Sanktionen aussprechen", so Vollmer.
Wie sieht es in den Praxen aus? Grundsätzlich ähnlich: "Auch niedergelassene Ärzte müssen dafür sorgen, dass sie Patientendaten nicht gefährden, etwa indem sie auf ihrem Praxisrechner ungeschützt im Internet herumgondeln. Es laufen derzeit aber keine Prüfkampagnen. Wenn Beschwerden an uns herangetragen werden, gehen wir denen nach. Das ist konkret in Berlin auch schon vorgekommen", so Vollmer.
Was das Löschen am Ende der Aufbewahrungsfrist angeht, haben es niedergelassene Ärzte leichter als Kliniken: Sie haben in der Regel ein führendes IT-System, das ein konsistentes Löschen kompletter Datensätze erlaubt.
Interessanter wird es in Ärztenetzen und großen MVZ. Aber die haben ihren 30. Geburtstag meist auch noch vor sich.
