In Krankenhäusern und anderen Gesundheitseinrichtungen werden täglich große Mengen an verschiedenen personenbezogenen Daten verarbeitet. Den größten Anteil haben hierbei Gesundheitsdaten, die als hochsensible Daten unter Art. 9 DS-GVO fallen und damit besonders geschützt werden müssen. Die Verarbeitung von Informationen zum Gesundheitszustand von Patientinnen und Patienten birgt insbesondere bei mangelnden Schutzmaßnahmen ein mitunter enormes Risiko für die betroffenen Personen, weshalb dem Datenschutz und der (IT-)Sicherheit im Gesundheitssektor eine wichtige Bedeutung zukommt.
Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf. Zusätzlich steigt die Gefahr von außen, denn die Zahl an (erfolgreichen) Cyberangriffen auf Unternehmen im Gesundheitssektor nimmt stetig zu. Dieser Blogartikel fasst deshalb einerseits zusammen, welche besonderen gesetzlichen Vorgaben Krankenhäuser und Arztpraxen neben der DS-GVO in puncto Datensicherheit erfüllen müssen. Anderseits gibt er einen Überblick über besonders interessante und lehrreiche Datenpannen – von einem sechststelligen Bußgeld für Defizite im Patientenmanagement bis hin zu einem vierstelligen gerichtlichen Vergleich über ein Schmerzensgeld für ein fehlerhaft verschlüsseltes Deckblatt.
Besondere Anforderungen an die IT-Sicherheit von Gesundheitseinrichtungen
Abhängig von der Anzahl an stationären Fällen pro Jahr bzw. der Anzahl an Personen, die ständig mit der Datenverarbeitung betraut sind, müssen Krankenhäuser und Praxen besondere technische und organisatorische Maßnahmen (TOMs) umsetzen, um die IT-Sicherheit zu gewährleisten. Hierbei müssen verschiedene Vorgaben in Gesetzen, Richtlinien sowie Branchenstandards beachtet werden, die je nach der einschlägigen Norm bereits umgesetzt sein oder ab 2022 umgesetzt werden müssen.
Datenpannen in Krankenhäusern und Praxen
Diese hohen Schutzanforderungen bei der Informationstechnik sowie in allen anderen Bereichen umzusetzen, ist in vielen Krankhäusern und Praxen allerdings noch nicht gelungen. Immer wieder werden Fälle bekannt, bei denen unzureichende technische und organisatorische Maßnahmen zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten („Datenpannen“) nach Art. 33 DS-GVO geführt haben. Die anschließenden Ermittlungen der deutschen Datenschutzaufsichtsbehörden endeten bereits mehrfach mit der Verhängung von Bußgeldern, teilweise machten Betroffene auch gerichtlich Schadensersatzansprüche nach Art. 82 DS-GVO geltend. Häufig waren die Datenpannen nicht auf Fehler in Einzelfällen zurückzuführen, sondern auf strukturelle Defizite bei den technischen und organisatorischen Schutzmaßnahmen.
Unzureichende Datensicherheit im Gesundheitssektor
Datenschutzprüfung der niedersächsischen Aufsichtsbehörde in Krankenhäusern
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen prüfte im Jahr 2019 mithilfe eines Fragebogens die Umsetzung des Datenschutzes in drei zufällig ausgewählten Krankenhäusern. Die 15 Fragen umfassten allgemeines Datenschutzrecht, Betroffenenrechte und die Orientierungshilfe Krankenhausinformationssysteme (OH KIS). Bei den Fragen zum allgemeinen Datenschutzrecht wie Bestellung eines Datenschutzbeauftragten, regelmäßige Mitarbeiterschulungen, Verzeichnis der Verarbeitungstätigkeiten und Prozesse für die Meldung von Datenpannen sowie bei der Erfüllung von Betroffenenrechten ergaben sich kaum Beanstandungen der LfD Niedersachsen. Anders allerdings bei der Umsetzung der OH KIS – in diesem Punkt wurde noch Verbesserungspotenzial festgestellt. Mängel ergaben sich insbesondere bei der Umsetzung von Rollen- und Berechtigungskonzepten, der regelmäßigen Protokollierung und anlassunabhängigen Auswertung der Zugriffe auf Patientenakten sowie der Einschränkung der Verarbeitung bei abgeschlossenen Fällen. Die LfD Niedersachsen hat, wie angekündigt, im Jahr 2020 begonnen, weitere Krankenhäuser zu prüfen. Die Ergebnisse werden allerdings erst im Tätigkeitsbericht für das Jahr 2021 vorgestellt, da den Krankenhausverwaltungen aufgrund der Auslastung durch die Coronapandemie eine längere Frist für die Beantwortung der Fragen gewährt wurde.
Zahlreiche Beschwerden bei der LDI NRW wegen mangelhafter TOMs in Arztpraxen
Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) gingen im Jahr 2019 zahlreiche Beschwerden betroffener Personen wegen mangelhafter technischer und organisatorischer Maßnahmen (TOMs) in Arztpraxen ein. Wiederholt wurde im Bereich der Anmeldung die Vertraulichkeit nicht beachtet, da aufgrund baulicher Gegebenheiten keine Trennung zwischen Anmelde- und Wartebereich gegeben war und andere Patienten mithören sowie teilweise sogar die Bildschirminhalte an den PCs einsehen konnten. In anderen Fällen standen die Aktenschränke in der Nähe von Warteplätzen und wurden im Alltagsgeschäft nicht immer abgeschlossen. Mängel bei der Vertraulichkeit wurden auch in Behandlungszimmern beanstandet, da Patienten, die allein in den Räumen warteten, offen daliegende Notizen und Akten einsehen oder aktiv auf das IT-System zugreifen konnten. Letzteres stellt nicht nur eine Verletzung der Vertraulichkeit dar, sondern birgt auch die Gefahr, dass die Systeme kompromittiert werden. Ein weiterer Grund für Beschwerden war die fehlende TLS-Verschlüsselung auf Internetseiten der Praxen, über die auch eine Kontaktaufnahme zur Terminvereinbarung oder zu Behandlungszwecken möglich war.
Recherche von Journalisten deckt Datenleck durch ungeschützte PACS-Server auf
Eine gemeinsame Recherche des Bayerischen Rundfunks (BR) und der US-Investigativplattform ProPublica deckte auf, dass millionenfach hochsensible Gesundheitsdaten auf ungesicherte Server geladen werden und ungeschützt im Netz stehen. Nach den Ergebnissen sind allein in Deutschland über 13.000 Datensätze von Patienten von der Sicherheitslücke betroffen, die von mindestens fünf Standorten stammen. Werden Patienten in einem MRT, einem Röntgengerät oder einem Computertomographen untersucht, schickt das Gerät die Bilder jeweils an spezielle Server für die Bildarchivierung (sog. „Picture Archiving and Communication System“ (PACS)). Diese sind häufig allerdings nicht ausreichend geschützt, weshalb Dritte mit wenig Aufwand in Echtzeit auf die Daten zugreifen können. Die Sicherheitsproblematik bei PACS-Servern war bereits mehrere Jahre vor dieser Recherche bekannt, die Studie eines Professors für Radiologie an der Harvard Medical School identifizierte 2700 offene Systeme. Da Millionen Datensätze noch immer ungesichert im Netz stehen, wurden die Ergebnisse der Studie allerdings wohl nicht ernst genommen.
Datenrisiko-Report eines amerikanischen IT-Sicherheitsanbieters
Neben den Sicherheitsrisiken, die sich durch interne Schwachstellen ergeben, nimmt auch die Zahl von Cyberangriffen auf Krankenhäuser, Biotech- und Pharmaunternehmen immer mehr zu. Da im Gesundheitssektor neben Forschungsergebnissen häufig auch hochsensible Gesundheitsdaten nach Art. 9 DS-GVO betroffen sind, bergen Hackerangriffe hier ein besonders hohes Risiko für betroffene Personen. Dass eine Vielzahl dieser Angriffe auf Gesundheitsdienstleister erfolgreich ist, kann unter anderem auf mangelhafte Schutzmaßnahmen zurückgeführt werden. Ein Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems, bei dem Unternehmen aus dem Gesundheitssektor verschiedener Länder – darunter Deutschland – analysiert wurden, zeigt enorme Lücken bei der Datensicherheit.
Die Untersuchungen zeigten, dass jeder Mitarbeiter im Schnitt Zugriff auf 11 Millionen Dateien hat, was rund 20 Prozent des gesamten Datenbestandes entspricht. Besonders kritisch ist dabei, dass jeder Mitarbeiter durchschnittlich Zugriff auf 12 Prozent der sensiblen Daten hat, bei kleineren Gesundheitsdienstleistern (bis zu 500 Mitarbeiter) sind es sogar 22 Prozent. Insgesamt wurden verschiedene Problemfelder analysiert, insbesondere bei Passwörtern, Zugriffsrechten und veralteten Nutzerkonten. Von den untersuchten Krankenhäusern verfügten 77 Prozent über mehr als 500 unbefristete Nutzer-Passwörter. Zudem sind die Zugriffsrechte häufig zu weit gefasst, was zur Folge hat, dass jeder Mitarbeiter im Schnitt auf 31.000 sensible Daten zugreifen kann. Durchschnittlich werden 69 Prozent der Dateien in den Einrichtungen nicht mehr genutzt, bieten für Kriminelle allerdings noch ein interessantes Angriffsziel. Ein weiteres Problem sind nicht mehr genutzte, aber aktive Nutzerkonten, die es Cyberkriminellen ermöglichen, sich unbemerkt im System zu bewegen. Von den analysierten Unternehmen haben 79 Prozent mehr als 1000 veraltete Nutzerkonten.
Dringender Handlungsbedarf bei Sicherheitsmaßnahmen in Gesundheitseinrichtungen
Sowohl die bekannt gewordenen Datenschutzverletzungen als auch die Ergebnisse der Studien von Aufsichtsbehörden und Journalisten zeigen deutlich, dass in einer Vielzahl von Gesundheitseinrichtungen dringender Handlungsbedarf in puncto Datensicherheit besteht. Dies betrifft die IT-Sicherheit sowie weitere (organisatorische) Maßnahmen im Praxisalltag. Hierfür gilt es nicht nur, die verschiedenen Vorgaben zur Sicherheit in der Informationstechnik und die allgemeinen Datenschutzanforderungen umzusetzen. Um potenzielle Gefahrenquellen identifizieren zu können, ist es unerlässlich, alle Prozesse und Abläufe genau zu analysieren und herauszufinden, an welchen Stellen Daten verarbeitet werden, wie sensibel diese Informationen sind und welche Datenverarbeitungen tatsächlich erforderlich sind. Oftmals können Datenschutzrisiken bereits durch kleinere Anpassungen von Abläufen erheblich reduziert werden.