Datenschutz in der Arbeitsmedizin

Mögliche Risiken

Risiken für den Schutz und die Sicherheit von Gesundheitsdaten sind weder neu, noch auf die Nutzung von IT-Dokumentationssysteme beschränkt: So können per Post persönlich/vertraulich versandte Arztbriefe oder Befundmitteilungen fehlgeleitet, versehentlich oder vorsätzlich geöffnet werden, ungeschützt für Unberechtigte einsehbar herumliegen, Aktenablagen könnten unzureichend verschlossen sein usw. Verwechslungen von Patienten mit ähnlichem Namen, telefonische Auskünfte mit vertraulichem Inhalt und ähnliche Arbeitsfehler können Folge unsystematischen Arbeitens, fehlender Festlegungen, Regelungen, Qualitätssicherung oder Schulung sein. Auch der Zugang Dritter zu individuellen Gesundheitsdaten ist nicht neu: So hatten z.B. Abrechnungsstellen und Steuerberater schon immer in begrenztem Umfang Zugang zu individuellen medizinischen Daten. Diese Risiken bleiben auch im Digitalzeitalter aktuell und bedürfen umfassender Vorsorge.

Die Nutzung von IT-Systemen bietet im Vergleich zur „klassischen medizinischen Dokumentation“ zunächst Chancen für einen verbesserten Schutz von Gesundheitsdaten: Was gespeichert ist, liegt nicht einsehbar herum, Daten können verschlüsselt und damit für Unberechtigte selbst im Fall eines physischen Zugangs unlesbar sein, Berechtigungskonzepte, Log-In-Prozesse, „starke Authentifizierung“ und standardisierte sowie fehlerresistent vom System unterstützte Abläufe können ebenfalls wertvolle Beiträge zum Schutz medizinischer Daten leisten.

Andererseits bedingt die technische und organisatorische Komplexität, die Nutzung von Netzwerken, die Anbindung verschiedener medizintechnischer Geräte, ein leistungsfähiger und sicherer Serverbetrieb und die bereits erwähnte Notwendigkeit fortlaufender Kooperation von Medizinern mit Softwareherstellern und IT-Dienstleistern zwangsläufig eine hohe Komplexität der Systeme und eine Reihe von Risiken, denen ein zeitgemäßes Datenschutz- und IT-Sicherheitskonzept in der Arbeitsmedizin gerecht werden muss.

Besondere Risiken bzw. Herausforderungen könnten z.B. sein:

• Mangelnde Standardisierung von Abläufen im betriebsärztlichen Dienst mit Relevanz für Datenschutz und Schweigepflicht
• Mangelnde Anpassung von IT-Sicherheitskonzepten an die steigende Bedrohung durch die Cyberattacken
• Kommunikations- und Kompetenzmängel in komplexen Systemen mit vielen Partnern: „Know-how-Lücken“ zwischen Medizinern und IT-Technikern?
• Unscharf definierte Teilaufgaben und Verantwortlichkeiten, fehlende Übernahme von Risiken durch diese Partner
• Einfache Authentifizierung, z.B. nur über User und Passwort – die grundsätzlich von mehreren Personen genutzt werden könnte, gemeinsamer Zugang für Arbeitsgruppen
• Uneingeschränkte „Remote“-Zugriffsberechtigungen von IT-Dienstleistern oder Softwarefirmen zur Störungsbeseitigung oder zum Software-Update
• Zwischenspeicherung oder ungesicherte Verarbeitung von Daten in angebundenen medizintechnischen Geräten vor ihrer Verschlüsselung
• Zeitweise Inaktivierung von Firewalls zu Servicezwecken, ohne klare Regeln zu Integrität, erneute Aktivierung und Monitoring der Firewall
• Ablage unverschlüsselter Dokumente, z.B. eingescannter Befundberichte, auf grundsätzlich für Dritte zugänglichen Laufwerken
• Speicherung individueller Gesundheitsdaten auf Laufwerken von Einzel-PC, die auch für Internetnutzung und Mailverkehr verwendet werden
• Fehlende IT-Härtetest-/Penetrationstest-Routine
• Fehlendes Qualifikationskonzept und Routine zu IT-Sicherheit und Datenschutz, fehlende Refresher-Routine für alle Mitarbeiterinnen und Mitarbeiter arbeitsmedizinischer Dienste.

Technische Schutzmaßnahmen und IT-Sicherheit

Analog dem Grundprinzip in der Rangfolge von Arbeitsschutzmaßnahmen „Technisch – Organisatorisch – Persönlich“ sind für den Schutz von personenbezogenen Gesundheitsdaten die technisch-organisatorischen Maßnahmen (TOM) festzulegen, umzusetzen und zu überwachen. Die Datenschutzgrundverordnung (DSGVO) bleibt zu den TOM in vielen Punkten vage und benennt vor allem Datenschutzziele. Für individuelle Gesundheitsdaten gelten selbstverständlich auch die höchsten Anforderungen an Datenschutz, Datensicherheit und IT-Sicherheit. Den aktuellen Stand der Technik, wie vom Gesetzgeber gefordert, abzubilden, kann aber gerade selbstständige Betriebsärzte sowie kleinere arbeitsmedizinische Dienste rasch vor große finanzielle Herausforderungen stellen. Daher spricht der Gesetzgeber auch von einer Verhältnismäßigkeit insbesondere bezüglich der Implementierungskosten. Kosten und Risiko müssen in einem angemessenen Verhältnis zueinander stehen. Je höher das Risiko der Verarbeitung, desto höhere Implementierungskosten sind zumutbar. Die Rechtsprechung dürfte aber – im Fall eines unautorisierten Zugangs zu besonders geschützten Daten – einen wirtschaftlich begründeten Verzicht auf Investitionen in den Datenschutz nicht im Sinne einer Entlastung von Verantwortung und Strafverfolgung akzeptieren.

Entscheidender Bedeutung bei der Realisierung von technischen Maßnahmen kommt somit einem von sowohl den medizinischen Anwendern als auch im Gesundheitswesen erfahrenen IT-Experten getragenem Gesamtkonzept zu. Dieses sollte dann laufend überprüft, hinsichtlich neuer Risiken hinterfragt und ggf. aktualisiert werden. Da verbindliche Zertifizierungsstandards nach DSGVO derzeit nicht verfügbar sind, können die Regelungen aus dem Bundesdatenschutzgesetz (BDSG) sowie aus Normen wie z.B. ISO 27001 „Informationssicherheits-Managementsysteme“ und den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als wichtige Orientierungspunkte dienen.

Dementsprechend sollten zur Erstellung eines Datenschutz- und IT-Sicherheitskonzepts unter anderem folgende Aspekte berücksichtigt werden:

• Stand der Technik
• Technologie ist bekannt, auf dem Markt verfügbar, geeignet und wirksam, um damit einen adäquaten Sicherheitsstandard zu gewährleisten
• Physische Zutrittskontrolle
• Bauliche Maßnahmen allgemein (Gestaltung Empfangstresen, Einsehbarkeit von Monitoren, Ablage für Befundeingang per Telefax usw.)
• Sicherung von Türen und Fenstern (z.B. auch Serverräume)
• Alarmanlagen
• Auswahl und Implementierung eines Dokumentationssystems mit hohem IT-Sicherheitsniveau
• Privacy by Design (Datensparsamkeit)
• Privacy by Default (Datenschutzfreundliche Voreinstellungen)
• Regelmäßige Funktions- und Sicherheitsupdates
• Starke Authentifizierung durch zwei Faktoren (z.B. PKI-(Public-Key-Infrastruktur-)Authentifizierung)
• Richtlinien für sichere Passwörter
• Kontrolle von Administrationszugängen
• Gestuftes Berechtigungskonzept
• Mandantenfähigkeit zur Trennung von Daten unterschiedlicher Zwecke
• Vier-Augen-Prinzip softwareseitig bei der Vergabe von Berechtigungen
• Kennzeichnung der Vertraulichkeitsstufe für die Anwender
• Protokollierung der Schreibzugriffe von Anwendern
• Sichere Ablageverschlüsselung für Zugangsdaten auf Authentifizierungsservern
• Transportverschlüsselung
• Datenbankverschlüsselung
• Technische Separierung medizinischer Dokumentationssysteme von den üblichen „Allround-PC“ mit Internetnutzung und E-Mail-Accounts
• Rasche und konsequente Behebung möglicher Beanstandungen nach Penetrationstests durch die jeweils Verantwortlichen und Softwarehersteller
• Aufbau und Betrieb einer sicheren IT-Landschaft
• Professioneller Server- und Datenbankbetrieb
• Firewalls (inklusive Monitoring der Integrität)
• Virenscanner
• Verschlüsselung (auch von mobilen Datenträgern)
• Zugriffskontrolle für Server und Datenbanken
• Streng limitierte und sichere Fernwartungszugänge
• (Datensparsames) Logging
• Absicherung von lokalen Clients gegen unberechtigte Zugriffe (z.B. USB-Buchse)
• Automatische Sperrmechanismen der Clients bei Inaktivität
• Datensicherung zur Sicherstellung der Integrität und Verfügbarkeit
• Backups zur raschen Wiederherstellung der Verfügbarkeit
• Abgesicherte und unterbrechungsfreie Stromanschlüsse (z.B. USV – unterbrechungsfreie Stromversorgung)
• Brandschutz
• Trennung von Produktiv- und Testsystemen
• Gegebenenfalls Einrichtung speziell gesicherter Laufwerke für medizinische oder administrative Dokumente mit individuellen Gesundheitsdaten
• Sicherheitsanalyse und -konzept für angebundene Medizintechnik
• Abschottung von Medizintechnik gegen Remote-Zugriffe
• Konzentration auf wenige Anbieter
• Regelmäßige Updates
• Gestuftes Berechtigungskonzept für technische Zugänge und Anwendungsrollen.

Organisatorische Datenschutzmaßnahmen

Sind technische Maßnahmen meistens kostenintensiv und ggf. aufwändig in der Umsetzung, können hingegen organisatorische Maßnahmen oft mit deutlich geringeren finanziellen Ressourcen etabliert werden. Dennoch sollte der notwendige Zeitaufwand keinesfalls unterschätzt werden, denn gerade hier ist der konsequente Transfer der definierten Maßnahmen in die gelebte Praxis die eigentliche Herausforderung. Um die Prozesstreue in der Umsetzung zu erhöhen, kann z.B. ein Feedback-System zur Einbindung der Anwendererfahrungen hilfreich sein. Dadurch bietet sich die Möglichkeit, die Wünsche und Bedürfnisse aus dem Arbeitsalltag nach den Datenschutzprinzipien zu überprüfen. Diese stete Reevaluation ermöglicht im Idealfall eine tiefe Verankerung von notwendigen Datenschutzmaßnahmen in den Routine-Abläufen.

Organisatorische Maßnahmen können insbesondere sein:

• Klärung, Festlegung und Dokumentation von Aufgaben und (Teil-)Verantwortlichkeiten im arbeitsmedizinischen Datenschutz
• Informationseigentümer
• Datenschutzbeauftragter
• Verantwortung für einzelne Datenschutzrisiken
• Risikoübernahmeerklärungen
• Durchführung einer Datenschutz-Folgenabschätzung
• Mitarbeiter-Datenschutz
• Vertreterregelung
• Dokumentation und fortlaufende Aktualisierung der Festlegungen zum Datenschutz
• Interne Datenschutzrichtlinie
• Datenschutzmanagementsystem (z.B. „Ordner“, Qualitätshandbuch)
• Organisation der Auskünfte nach DSGVO und Patientenrechtegesetz
• Löschkonzept unter Beachtung der normativen Aufbewahrungsfristen
• Regelung zur intervallhaften Stichprobenprüfung und Ahndung von Verstößen
• Vorgehen bei Datenpannen (Meldung bei Datenschutzbeauftragen, ggf. Informationspflicht gegenüber Aufsichtsbehörde und Anzeigepflicht gegenüber Betroffenen)
• Berechtigungskonzept
• Datenklassifizierung
• Verpflichtungserklärung aller Beschäftigten bei möglichem Zugang zu individuellen Gesundheitsdaten
• Zutritts- und Zugriffbeschränkungen (Zugang zu Betriebsräumen, offener Umgang mit vertraulichen Unterlagen)
• Regelungen beim Ausscheiden von Mitarbeitern
• Datenschutzhinweise
• Information der arbeitsmedizinisch betreuten Beschäftigten über die Speicherung, Nutzung und Sicherheit ihrer Gesundheitsdaten
• Datenschutzpassus in Mitarbeiterverträgen
• Datenschutzerklärung für Internet-Webseiten
• Vertragliche Regelungen mit Dienstleistern
• Auftragsverarbeitungsvertrag
• Service-Level-Agreement mit IT-Service-Partnern
• Definiertes Testmanagement bei Änderungen (Updates, Neuinstallationen)
• Regelungen zur Beschaffung/Entsorgung von Hard- und Software
• Gegebenenfalls. Einwilligungserklärungen bei Einbindung von externen Verrechnungsstellen
• Pseudonymisierung (z.B. Laboranforderung ausschließlich per Auftragsnummer)
• Mitarbeiterschulungen und Arbeitsanweisungen
• Regelmäßige Schulung aller Mitarbeiterinnen und Mitarbeiter zu Datenschutz, IT-Sicherheit, aktuelle Angriffsvektoren (wie Phishing und Ransomware)
• Schulungs-/Informationsnachweise
• Arbeitsanweisungen (z.B. Umgang mit fehlerhaften Druckerzeugnissen, Entsorgung von „Datenmüll“, Nutzung von privaten Endgeräten und Messenger)
• Datenschutzkonforme Kommunikation (Besucheranmeldung, Telefonate, E-Mail-Nutzung usw.)
• Notfallplan bei Ausfall der IT-Systeme
• Festlegungen für Ausfall von Teilsystemen, kurzfristigem oder längerfristigem Komplettausfall
• Datenschutz außerhalb des Büros/der Praxis (Home-Office, Geschäftsreise, mobiles Arbeiten)
• Gesicherte IT-Verbindungen (Virtual Private Network – VPN)
• Datenschutzfolien für Endgeräte
• Achtsamkeit mit Papierakten
• Externe Audits v.a. zur dynamischen Qualitätssicherung
• Sicherheits- und Datenschutz-Audits
• IT-Risikoanalyse
• Härteprüfungen / Penetrationstests in festgelegten Intervallen.

Fazit

Der zuverlässige Schutz individueller Gesundheitsdaten, die im Rahmen der arbeitsmedizinischen Betreuung gewonnen und gespeichert werden, ist eine wesentliche Voraussetzung der Rechtskonformität der arbeitsmedizinischen Betreuung und für ein hohes Maß an Vertrauen der Beschäftigten in ihre Betriebsärzte. Zugleich sind eine störungsfreie und schnelle Datenverfügbarkeit für die Mitarbeiterinnen und Mitarbeiter arbeitsmedizinischer Dienste, eine intuitive Bedienbarkeit, digitale Unterstützung von Routineprozessen und die Auswertbarkeit arbeitsmedizinischer Daten entscheidend für die Akzeptanz arbeitsmedizinischer Dokumentationssysteme im Team und für die Effizienz präventiver Arbeit.

In Anbetracht zunehmender Cyberattacken auf medizinische Datenbanken ist die fortlaufende Überprüfung und Weiterentwicklung der arbeitsmedizinischen Datenschutzkonzepte unumgänglich. Betriebsärzte tragen mit ihrer Verantwortung für die Einhaltung der ärztlichen Schweigepflicht auch eine wesentliche Mitverantwortung für den Datenschutz beim Einsatz digitaler Dokumentationssysteme im arbeitsmedizinischen Dienst.

Interessenkonflikt: Die Autoren erklären, dass sie keinem Interessenkonflikt hinsichtlich der behandelten Aspekte dieses Beitrags unterliegen.