E-Health Datenschutz und IT-Sicherheit im Gesundheitswesen meistern

Zugehörige Themenseiten:
Datenschutz & Datensicherheit

Der Gesetzgeber hat die Digitalisierung im Gesundheitswesen in den vergangenen Jahren mit großen Schritten vorangetrieben. Wachsende Anforderungen und die Kombination rechtlicher Vorgaben mit Datenschutz und IT-Sicherheit sorgen für Stolpersteine. So gelingt das Zusammenspiel dennoch.

Datenschutz, IT-Sicherheit, Gesundheitswesen
Der Spagat von Datenschutz und IT-Sicherheit gelingt auch im Gesundheitswesen. – © ckstockphoto (pixabay.com)

Mit einer Vielzahl an gesetzlichen Vorgaben hat der Gesetzgeber wichtige Weichen für den Digitalisierungsprozess gestellt und den Rahmen vorgegeben, um die aktuellen Herausforderungen unseres Gesundheitssystems zu lösen und Digitalisierungsprozesse bei Leistungserbringern und -empfängern gleichermaßen aufzubauen. Immer mehr Krankenhäuser, medizinische Versorgungszentren und niedergelassene Arztpraxen sind jedoch mit den wachsenden Compliance-Anforderungen überfordert und bedienen sich externer Dienstleister, um rechtliche Vorgaben, Datenschutz und IT-Sicherheit in Einklang zu bringen.

E-Health als Chance verstehen

Im Zusammenhang mit Digitalisierung im Gesundheitswesen fällt auch immer wieder der Begriff E-Health. Hinter dem Stichwort verbirgt sich ein Sammelbegriff für den Einsatz digitaler Technologien im Gesundheitswesen. Ob Gesundheitsportale, Telemedizin, digitale Arztbriefe, elektronische Medikationspläne, Rezept per App, digitale Patientenakten oder Vitaldatenüberwachung mit Wearables – die modernen Gesundheitskonzepte versprechen u.a. einfachere Diagnosen, eine verbesserte Vorbeugung, effektivere Behandlungen und eine effizientere Verwaltung.

Sowohl Leistungsempfänger als auch Leistungsnehmer profitieren von diesen Weiterentwicklungen eines vernetzten Gesundheitssystems. „Dass dies mitunter jedoch mit erheblichen Anstrengungen für die beteiligten Organisationen verbunden ist, um die hohen Datenschutzanforderungen auch unter IT-Sicherheitsgesichtspunkten zu erfüllen, kommt im öffentlichen Diskurs zum Thema E-Health häufig zu kurz“, weiß Sven-Ove Wähling. „Denn medizinische Gesundheitseinrichtungen bewegen sich in diesem Transformationsprozess in einem ständigen Spannungsfeld zwischen gesetzlichen Vorgaben auf der einen und der Einhaltung von Datenschutz und IT-Sicherheit auf der anderen Seite. Hinzu kommt, dass längst noch nicht alle Bereiche der Einrichtungen das hohe Datenschutzniveau der Datenschutzgrundverordnung ( DSGVO) einhalten können und bestehende Medienbrüche eine sichere elektronische Verarbeitung medizinischer Daten erschweren.“

DSGVO-Compliance im Gesundheitswesen

Die 2016 eingeführte und ab 2018 verpflichtend geltende DSGVO stellt die Verarbeitung von genetischen, biometrischen oder sonstigen Gesundheitsdaten im Artikel 9 unter besonderen Schutz. Relevanz hat zudem das Infektionsschutzgesetz (IfSG) und das daraus erwachsende Meldewesen zum Schutz der Bevölkerung bei einer epidemischen Lage. Bestimmte Klinikbetriebe und Multiversorgungszentren unterliegen darüber hinaus der KRITIS(Kritische Infrastrukturen)-Verordnung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zum Schutz kritischer Infrastrukturen erlassen wurde. „Der Gesetzgeber hat damit die Hürden für den Datenschutz im Gesundheitswesen bewusst sehr hoch angesetzt. Dass der Datenschutz zudem Ländersache ist und Organisationen neben bundeseinheitlichen Regelungen ebenfalls die Anforderungen lokaler Gesundheitsämter und der Aufsichtsbehörden des Landesdatenschutzbeauftragten zu erfüllen haben, schafft eine überaus komplexe Gemengelage“, erklärt Wähling weiter.

Datenschutz nicht ohne IT-Sicherheit und umgekehrt

Wie kann eine Organisation im Gesundheitswesen also sicherstellen, zum einen die strengen Vorgaben zu erfüllen, aber gleichzeitig die elektronische Kommunikation nach außen zu öffnen und dabei ein einheitliches Sicherheitsniveau zu gewährleisten? „Um diesen Spagat zu bewältigen, müssen die Disziplinen Datenschutz und IT-Sicherheit ineinandergreifen“, sagt Wähling. Beispielsweise könne ein Datenschutzbeauftragter einer großen Anwaltskanzlei zwar bestehende Mängel aufzeigen oder auch benötigte Datenschutzdokumente für die Dokumentationspflichten gegenüber Aufsichtsbehörden erstellen, doch blieben technologische Gesichtspunkte und damit ein wichtiger Bestandteil der unternehmerischen Zielstellung dabei weitgehend unberührt.

Es erfordere hier zwingend einen interdisziplinären Ansatz, der etwa auch granulare Berechtigungs- und Löschkonzepte, Absicherung von Netzwerken mit Datenspeichern, Verschlüsselung der Übertragung medizinischer Daten oder die Vermeidung von Schadcodes bei der Anbindung von Gesundheits-Apps sicherstelle. „In vielen medizinischen Einrichtungen existieren zwar beide Kompetenzbereiche, doch interagieren diese aufgrund unterschiedlicher Blickwinkel und Verantwortlichkeiten nicht immer im Sinne des gewünschten Ergebnisses“, führt Wähling weiter aus.

Oberstes Ziel: Schutz von Gesundheitsdaten

Das Standard-Datenschutzmodell (SDM) der Datenschutzaufsichtsbehörden sieht die regelmäßige Erweiterung um neue Bausteine vor, die von den Gesundheitsämtern, Schnittstellenbetreibern und medizinischen Einrichtungen umzusetzen sind. Diese Methode dient schließlich dazu, eine einheitliche Datenschutzberatungs- und Prüfpraxis insbesondere mit Bezug auf die technisch-organisatorischen Maßnahmen (TOM) der DSGVO sicherzustellen. Die Datenschutz-Anforderungen in medizinischen Einrichtungen unterscheiden sich – abseits der KRITIS-Verordnung – im Grundsatz nicht sehr voneinander, da der effektive Schutz von Gesundheitsdaten nicht von Größe und Fokus der Versorgungseinrichtung abhängt.

Da in allen diesen Bereichen sensible Gesundheitsdaten verarbeitet werden und das oberste Ziel der Schutz dieser Daten ist, legt auch Netzlink für seine Kunden aus dem Gesundheitswesen einheitliche Qualitätsstandards an den Datenschutz und die IT-Sicherheit zugrunde, sagt Wähling. Dazu habe das Braunschweiger IT-Systemhaus ein strukturiertes, mit den Aufsichtsbehörden auf Landes- und Bundesebene abgestimmtes Vorgehen entwickelt. „Darin werden die Compliance-Anforderungen auf der einen und die individuellen Organisationsvorgaben auf der anderen Seite berücksichtigt und der Organisation als Komplettpaket für die Realisierung eines bestimmten Datenschutz- und Sicherheitsniveaus angeboten“, erklärt Wähling. Diese umfassen auch die Expertise aus Datenschutz und IT-Sicherheit als eine Einheit.

Kontakt zum Autor:
Sven-Ove Wähling, Geschäftsführer des Braunschweiger IT-Systemhauses Netzlink Informationstechnik GmbH, Kontakt: info@netzlink.com