Datenschutz

Was versteht man unter Datenschutz?

Unter Datenschutz versteht man technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor missbräuchlicher Verwendung. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Diese Definition bezieht sich ausdrücklich auf Personen und nicht auf Firmen oder andere Einrichtungen. Welche Angaben schützenswert sind, ergibt sich aus dem Zusammenhang.

Beispiel: Ein Straftäter steht vor Gericht und in der Zeitung wird darüber berichtet. Dann muss der Name als Kürzel erscheinen, denn über den vollen Namen wäre die Person bestimmbar.

Der Schutz personenbezogener Daten spielt in der Medizin eine besondere Rolle. Dieser Schutz ist bereits durch die ärztliche Schweigepflicht im täglichen ärztlichen Handeln fest verankert. In der Berufsordnung heißt es dazu in §3: "Der Arzt hat über das, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist, zu schweigen. Dazu gehören auch schriftliche Mitteilungen des Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde."

Der Datenschutz ist darüber hinaus durch eine Reihe von Gesetzen festgeschrieben. In der Verfassung der Bundesrepublik Deutschland heißt es: "Der Mensch ist frei und darf nicht zu einer Handlung, Unterlassung oder Duldung gezwungen werden, zu der ihn das Gesetz nicht verpflichtet. Jeder hat Anspruch auf Schutz seiner personenbezogenen Daten. Eingriffe sind nur im überwiegenden Interesse der Allgemeinheit auf Grund eines Gesetzes zulässig." Dieses Grundrecht wird durch Datenschutzgesetze (Bundesdatenschutzgesetz und Landesdatenschutzgesetze) ergänzt. Aufgabe dieser Gesetze ist es, den einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten durch öffentliche Stellen, in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Dieses Recht bezeichnet man als informationelles Selbstbestimmungsrecht.

Schweigepflicht und Datenschutz sind zwei gleichrangige, aber voneinander unabhängige Rechtsprinzipien (sog. Zwei-Schranken-Prinzip).

Datenverarbeitung im Sinne der Datenschutzgesetze ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Die Vorgänge im einzelnen werden folgendermaßen definiert:

• Erheben ist das Beschaffen von Daten über eine Person.
• Speichern ist das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung (Datenträger bedeutet nicht nur elektronische Datenträger).
• Verändern ist das inhaltliche Umgestalten gespeicherter Daten.
• Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten.
• Unter Sperren versteht man das Kennzeichnen gespeicherter Daten, um die weitere Verarbeitung einzuschränken.
• Löschen ist das Unkenntlichmachen gespeicherter Daten.
• Nutzen bedeutet jede sonstige Verwendung der Daten, ungeachtet der dabei angewendeten Verfahren.

Datenschutz im Krankenhaus           

Weitere Vorschriften zum Datenschutz in der Medizin sind in den landesspezifischen Krankenhausgesetzen (z.B. Saarländisches Krankenhausgesetz) festgelegt. Die personenbezogenen Daten im Krankenhaus bezeichnet man auch als Patientendaten. Sie unterliegen unabhängig von der Art der Verarbeitung grundsätzlich dem Datenschutz. Sie dürfen im Krankenhaus nur für die Durchführung der Behandlung, die Leistungsabrechnung, die Erfüllung der klinischen Dokumentationspflicht und die Erfüllung gesetzlicher Erhebungen genutzt werden. Dafür sind die Aufklärung des Patienten und seine schriftliche Einwilligung im Rahmen des Behandlungsvertrages erforderlich.

Patientendaten dürfen innerhalb des Krankenhauses an eine andere Fachabteilung nur dann übermittelt werden, wenn es für die Behandlung des Patienten notwendig ist. Auch im Rahmen der Weiterbildung von Ärzten und anderem medizinischem Personal ist zu gewährleisten, dass auf Patientendaten nur zurückgegriffen wird, wenn der Zweck der Ausbildung nicht mit anonymisierten Daten erreicht werden kann.

Die Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, wenn der Patient eingewilligt hat oder eine Rechtsvorschrift die Übermittlung erlaubt. Sie kann erforderlich sein für:

• die Durchführung der Behandlung, Mit- oder Nachbehandlung,
• die Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- und Mitteilungspflicht,
• zur Abwehr einer Gefahr für Leben und Gesundheit oder persönliche Freiheit des Patienten oder eines Dritten,
• zur Erfüllung der gesetzlichen Aufgaben der Kostenträger,
• zur gerichtlichen Durchsetzung von Ansprüchen aus dem Behandlungsverhältnis,
• zur Unterrichtung von Angehörigen oder
• zum Zwecke der Rechnungsprüfung durch den Krankenhausträger oder den Rechnungshof.

Die Verwendung der Patientendaten durch andere Personen und Stellen, die diese Daten erhalten haben, ist zweckgebunden. Die Datenschutzbestimmungen sind in demselben Umfang einzuhalten wie im Krankenhaus.

Patientendaten sind zu löschen, wenn sie nicht mehr benötigt werden. Dabei sind jedoch Fristen, die durch Rechtsvorschriften festgelegt worden sind, einzuhalten. Falls die Patientendaten mit automatisierten Verfahren, d.h. mit Hilfe von Computern verarbeitet und gespeichert werden, sind sie unmittelbar nach Abschluss der Behandlung zu archivieren und zu löschen. Es darf nur ein sogenannter Restdatensatz gespeichert bleiben, der für das Auffinden der archivierten Krankenakte erforderlich ist.

Patientendaten dürfen von Personen und Stellen außerhalb des Krankenhauses im Auftrag verarbeitet werden ("Outsourcing"). Dabei ist sicherzustellen, dass auch dort das Patientengeheimnis gewahrt bleibt.

Der Patient kann jederzeit kostenfreie Auskunft über die zu seiner Person gespeicherten Daten und Einsicht in die Behandlungsdokumentation verlangen. Das Auskunftsrecht erstreckt sich auch auf Angaben über Personen und Stellen, an die Daten übermittelt wurden. Daher muss die Weitergabe von Patientendaten dokumentiert werden. Die Auskunft und die Gewährung der Einsichtnahme hat unter Verantwortung des behandelnden Arztes zu erfolgen, d. h. der Arzt kann aus therapeutischen Gründen die Auskunft oder Einsicht einschränken. Ein Recht auf Auskunft oder Einsichtnahme steht dem Patienten nicht zu, falls Geheimhaltungsinteressen des Arztes oder anderer Personen dem entgegenstehen.

Jedes Krankenhaus muss einen Datenschutzbeauftragten bestellen, der für die Einhaltung der Datenschutzvorschriften im Krankenhaus verantwortlich ist.

Klinische Register, die sowohl der Patientenbehandlung als auch der Forschung dienen können, dürfen (im Saarland) nur mit Genehmigung des zuständigen Ministers und nach Anhörung des Landesbeauftragten für Datenschutz eingerichtet werden. Die Zweckbestimmung, die Art der zu speichernden Daten und der Kreis der Betroffenen ist genau festzulegen. Personenbezogene Daten dürfen in dem Register nur gespeichert werden, wenn der Betroffene über den Zweck des Registers unterrichtet wurde und einer Speicherung nicht widersprochen hat.

Ärzte dürfen die innerhalb ihrer Fachabteilung zu Behandlungszwecken aufgezeichneten Patientendaten für die medizinische, wissenschaftliche Forschung nutzen, wenn der Zweck der Forschung auf andere Weise (d. h. ohne Patientenbezug) nicht erreicht werden kann. Der Patient ist dabei über Art, Umfang und Zweck des Forschungsvorhabens aufzuklären und muss einer Einbeziehung zustimmen. Schutzwürdige Belange dürfen nicht beeinträchtigt werden. Der Patient hat die Möglichkeit, nachträglich Widerspruch einzulegen. Auch einer Weitergabe dieser Daten muss der Patient ausdrücklich zustimmen. Sobald wie möglich sind die Daten zu anonymisieren, d. h. alle Merkmale, mit denen der Patient als Person identifiziert werden kann, sind aus dem Datensatz zu löschen. Die Veröffentlichung von Forschungsergebnissen darf keinen Personenbezug erkennen lassen.

Technische und organisatorische Maßnahmen       

Unter anonymisieren versteht man das Verändern personenbezogener Daten so, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großem Aufwand an Zeit, Kosten, Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Im Datenschutzgesetz wird der Begriff Datei nicht nur DV-technisch definiert. Eine Datei ist eine Sammlung von Daten, die ohne Rücksicht auf die Art der Speicherung durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht automatisierte Datei).

Die Stelle, die personenbezogene Daten verarbeitet, ist verpflichtet, folgende Angaben in einer sogenannten Dateibeschreibung schriftlich festzulegen:

• die Bezeichnung der Datei und ihre Zweckbestimmung,
• die Art der gespeicherten, personenbezogenen Daten,
• die Rechtsgrundlage ihrer Verarbeitung,
• den Kreis der Betroffenen,
• die Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Herkunft,
• Fristen für die Sperrung und Löschung der Daten,
• die getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz und
• bei automatisierten Dateien, die Betriebsart des Verfahrens und die Art der verwendeten Geräte.

Der Datenschutz im Krankenhaus ist durch gezielte organisatorische und technische Maßnahmen sicherzustellen. Der Aufwand muss allerdings in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.

Im einzelnen sind folgende Kontrollen vorzusehen:

• Unbefugten ist der Zugang zu den Datenverarbeitungsanlagen zu verwehren (Zugangskontrolle).
• Es ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle).
• Die unbefugte Eingabe in den Speicher, sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten ist zu verhindern (Speicherkontrolle).
• Es ist zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle).
• Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle).
• Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem an wen durch Einrichtungen zur Datenübertragung übermittelt wurden (Übermittlungskontrolle).
• Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit, von wem in Datenverarbeitungssysteme eingegeben wurden (Eingabekontrolle).
• Es ist zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
• Es ist zu gewährleisten, dass bei der Übertragung der Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle).
• Die Organisation muss so gestaltet werden, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Auch wenn personenbezogene Daten in nicht automatisierten Verfahren verarbeitet werden, sind Maßnahmen zu treffen, um den Zugriff Unbefugter bei der Verarbeitung, der Aufbewahrung, dem Transport und der Vernichtung von Daten zu verhindern. Damit unterliegen alle Krankenakten in der herkömmlichen Form dem Datenschutz und die oben genannten Maßnahmen sind durchzuführen.

Besondere Maßnahmen sind zu treffen, wenn die Verarbeitung personenbezogener Daten mit Hilfe von Computern erfolgt (automatisierte Verarbeitung). Der unberechtigte Zugriff und Missbrauch von Daten ist in diesem Fall leichter, weil unter Umständen komplette Datenbestände auf Diskette oder mit Hilfe der Datenfernübertragung kopiert werden können oder ein kompletter Computer gestohlen werden kann.

Die Zugangskontrolle kann theoretisch erreicht werden, indem die Computer mit den peripheren Geräten in Räumen aufgestellt werden, die einer ständigen Kontrolle unterliegen. Das ist z.B. im praktischen Stationsbetrieb oft nicht möglich, weil damit der Zugriff auf die Computer stark erschwert würde. Die Benutzerkontrolle wird durch die Vergabe von Benutzerkennungen und Passwörtern zur Anmeldung am Computer sichergestellt. Die Passwörter unterliegen gewissen Vorschriften, z.B. dass sie mindestens 8 Stellen lang sein müssen oder nicht nur aus Buchstaben bestehen dürfen. Die Computer kann man so konfigurieren, dass bei mehrmaliger falscher Eingabe des Passwortes die Benutzernummer gesperrt wird oder die Wartezeit bis zu einer erneuten Anmeldung kontinuierlich verlängert wird.

Moderne Datenbanksysteme erlauben heute eine Zugriffskontrolle der Daten bis auf Feldebene, d.h. man kann für jedes einzelne Feld festlegen, welcher Benutzer das Feld lesen darf, welcher Benutzer das Feld beschreiben darf und welcher Benutzer beide Operationen durchführen darf. Damit wird erreicht, dass jeder Benutzer nur den für ihn gültigen Ausschnitt der Daten sieht und bearbeiten kann. Ein weiterer Kontrollmechanismus besteht darin, dass man bei jedem zu speichernden Datum einen Zeit- und Benutzerstempel mitführt, d.h. es wird der genaue Zeitpunkt, bestehend aus Datum und Uhrzeit, und der Name des Benutzers, der die Operation durchgeführt hat, mitgespeichert.

Im Zeitalter vernetzter Computer ist besonders auf Übermittlungs- und Transportkontrolle zu achten. Das bedeutet zunächst, dass der Zugriff auf einen Rechner im Netz nur durch die Eingabe von Passwörtern möglich ist. Um sicherzugehen, dass bei der Übermittlung das Netz nicht angezapft wird und damit Daten unberechtigt gelesen oder manipuliert werden können, werden die Daten verschlüsselt, d.h. in eine nicht unmittelbar lesbare Form übertragen. Dafür gibt es heute außerordentlich raffinierte Algorithmen, die sicherstellen, dass nur der berechtigte Empfänger die Daten wieder dechiffrieren kann. Diese Technik wird aber aus Nachlässigkeit oft nicht konsequent angewendet.

Die digitale Signatur dient dazu, die Verbindlichkeit, d.h. den Nachweis der Identität des Urhebers von elektronisch gespeicherten und übermittelten Daten, zu garantieren. Damit lassen sich viele Vorgänge, bei denen eine Unterschrift notwendig ist, verbindlich über Computernetze ausführen. Beispielsweise können damit Arztbriefe zwischen Praxen versandt werden. In Deutschland legt das "Gesetz über Rahmenbedingungen für elektronische Signaturen", das im Februar 2001 verabschiedet wurde, die rechtlichen Grundlagen dafür fest.

Die folgende Abbildung zeigt schematisch den Vorgang der Verschlüsselung.

Wenn beide Schlüssel gleich sind, spricht man von einem symmetrischen Verfahren. Wenn die Schlüssel ungleich sind, aber trotzdem "passen", handelt es sich um ein asymmetrisches Verfahren. Das am häufigsten angewendete asymmetrische Verfahren ist das RSA-Verfahren, das nach den Namen seiner Erfinder Rivest, Shamir und Adleman benannt ist. Dabei ist ein Schlüssel geheim ("private"), d.h. nur dem Empfänger oder Sender bekannt, und ein Schlüssel öffentlich ("public"). Bei einer Verschlüsselung zur Transportkontrolle hat der Sender den öffentlichen und der Empfänger den geheimen Schlüssel. Das asymmetrische Verfahren hat im Gegensatz zum symmetrischen Verfahren den Vorteil, dass der geheime Schlüssel nicht zwischen den Partnern ausgetauscht werden muss.

Um die Verbindlichkeit im Rahmen der digitalen Signatur sicherzustellen (Authentifizierung), hat der Sender den geheimen und der Empfänger den öffentlichen Schlüssel. In der folgenden Abbildung ist das Prinzip der digitalen Signatur zusammen mit der Verschlüsselung zur Transportkontrolle dargestellt.

Der zu übertragende Text wird vom Sender mit einem frei gewählten Schlüssel verschlüsselt und übermittelt (symmetrisches Verfahren). Um diesen Schlüssel selbst wieder dem Empfänger mitzuteilen, wird er mit dem Schlüssel S1 verschlüsselt und übertragen. Aus dem Text wird mit Hilfe einer sog. Hash-Funktion ein eindeutiges Komprimat (Hashwert, "Prüfziffer") berechnet, das wiederum mit Schlüssel S2 verschlüsselt und gesendet wird. Der Empfänger entschlüsselt zunächst mit dem Schlüssel E1 den Schlüssel für die Transportkontrolle und damit den eigentlichen Text. Danach entschlüsselt er mit dem Schlüssel E2 die Prüfziffer und vergleicht das Ergebnis mit dem Hashwert, das er aus dem Text mit der Hash-Funktion berechnet hat. Wenn die beiden Werte übereinstimmen, kann er sicher sein, dass der Text von dem "wahren" Sender gesendet wurde (Authentifizierung).

Für die digitale Signatur sind also zwei Schlüsselpaare (S1, E1) und (S2, E2) erforderlich. Wenn der Datenaustausch mit mehreren Partnern auf diese Weise erfolgen soll, müssen die Schlüssel von einer Zertifizierungsstelle ("Trusted Third Party") vergeben und verwaltet werden (für das Gesundheitswesen z.B. Deutsche Krankenhaus TrustCenter). Als Identitätsnachweis soll die Health Professional Card (HPC) als Chipkarte eingeführt werden, die von der Zertifizierungsstelle erstellt wird und die notwendigen Schlüssel enthält. Die Aktivierung erfolgt dann am Rechner wie bei Scheckkarten über einen PIN-Code. Im nächsten Schritt ist die Verwendung von biometrischen Verfahren (Fingerabdruck, Untersuchung der Iris oder Retina u.a.) geplant.

Jedes automatisierte Datenverarbeitungsverfahren muss Schritt für Schritt im Hinblick auf den Datenschutz geprüft werden. Nur so sind mögliche Lücken zu erkennen (Risikoanalyse). Ein Verfahren darf nur mit der Freigabe durch den Datenschutzbeauftragten in der Routine eingesetzt werden. Es sollte aber auch im Routinebetrieb regelmäßig kontrolliert werden (Sicherheitsmonitoring).