Patientendaten aus deutschen Krankenhäusern im freien Umlauf?

News

Seit Anfang Februar 2018 wurden auf einer Website, die auf den politisch zu Australien gehörenden Kokosinseln registriert ist, regelmäßig Artikel über vermeintliche Missstände in deutschen Krankenhäusern veröffentlicht. Nun ist von millionenfach verschwundenen Patientendaten die Rede. Rollt auf Deutschland ein Datenschutzskandal zu?

Strafanzeige wegen abhanden gekommener Daten

Am 11. April 2018 wurde der Krankenhauszweckverband Rheinland e. V. anonym darüber informiert, dass Aktivisten Datensätze von über 300 Krankenhäusern besitzen.

Mittlerweile wurde bei der Staatsanwaltschaft Köln Strafanzeige erstattet. Die Staatsanwaltschaft gibt an, dass

„nach dem Anzeigeninhalt Daten abhandengekommen sein sollen. Welche Daten wie entwendet worden sind, wird nun ermittelt.“

Vorliegend dürfte ein Tatverdacht hinsichtlich des Ausspähens von Daten (§ 202a StGB), des Verrats von Geschäftsgeheimnissen (§17 UWG) und ein Verstoß gegen das Bundesdatenschutzgesetz (§ 44 BDSG-alt bzw. § 42 BDSG-neu) und möglicherweise auch wegen Datenhehlerei (§ 202 d StGB) in Betracht kommen. Soweit ein Berufsgeheimnisträger, etwa ein Arzt, die Patientendaten offengelegt haben sollte, wäre auch an eine Strafbarkeit wegen Verletzung von Privatgeheimnissen gem. § 203 StGB zu denken.

Datenschutzverletzungen im Gesundheitswesen

Im Gesundheitswesen werden mittlerweile regelmäßig Datenschutzvorfälle publik.

  • Im Februar 2016 wurde das Lukaskrankenhauses in Neuss Opfer eines Verschlüsselungs-Trojaners, der über einen infizierten E-Mail-Anhang eines unachtsamen Mitarbeiters, eingeschleust wurde.
  • Im Mai 2017 konnten in England dutzende Krankenhäuser aufgrund eines Ransomware-Angriffs nicht auf Patientendaten zugreifen.
  • Im Mai 2018 musste die norwegische Gesundheitsbehörde einräumen, dass professionelle Hacker in ihr Netzwerk eingedrungen waren und 3 Millionen Patientendatensätze kopierten.

Die regelmäßigen Angriffe auf Einrichtungen des Gesundheitswesens vermitteln jedoch ein falsches Bild: Insgesamt ereignen sich die meisten Datenschutzvorfälle hier aufgrund Handlungen von Mitarbeitern. Eine Studie aus dem Jahr 2017 kam zu dem Ergebnis, dass im Gesundheitswesen mit einem Anteil von 68% überwiegend interne Akteure für den Verlust von Daten verantwortlich waren. Krankenhaus-Mitarbeiter haben betrieblich bedingt leichten Zugang zu Patientenakten.

Die Stellungnahme der Staatsanwaltschaft deutet dies im vorliegenden Fall ebenfalls an. Auch die Aktivisten geben in ihrem ersten Artikel vom 1. Februar an:

„für diese Analyse wurden etwa 100 Häuser herangezogen, die durchgehend von 2009-2016 Fehlzeitstatistiken „an uns“ geliefert haben.“

Die Aktivisten rühmen sich damit, einen riesigen Datensatz mit Patientendaten aus den letzten 10 Jahren zu besitzen, die pro Fall Angaben enthalten über

„– Diagnosen
– Operationen
– Alter, Geschlecht, PLZ“

Der Datensatz soll angeblich etwa ein Drittel aller Patientendaten in Deutschland umfassen. Theoretisch könnten damit Millionen von Patienten betroffen sein.

Da ist es nur ein schwacher Trost, dass die Aktivisten anscheinend hehre Ziele verfolgen, wie die „Datenanalyse für ein gerechteres Gesundheitssystem“.

Die Krankenhausleitungen der betroffenen Krankenhäuser werden Licht ins Dunkeln bringen müssen, wie die sensiblen Daten über einen längeren Zeitraum entwendet werden konnten und über welche Zeiträume dies geschehen ist. Hier sind IT-Forensiker gefragt.

Unzureichende Zugriffsberechtigungskonzepte

Betroffene Krankenhäuser werden sich Gedanken über ihr Zugriffsrechtekonzept machen müssen. Das vom Krankenhaus zu gewährleistende „angemessene Schutzniveau“ i.S.d. Art. 32 Abs.1 DSGVO orientiert sich an der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten. Patientendaten gehören zur Kategorie der besonderen personenbezogenen Daten gem. Art. 9 DSGVO, da sie Gesundheitsdaten und eventuell auch genetischen und biometrischen Daten enthalten. Das besonders hohe Risiko für die Rechte und Freiheiten des Betroffenen findet auch in Erwägungsgrund 75 Erwähnung, da es sich bei Patientendaten um solche Daten handelt, die unter das Berufsgeheimnis unterfallen. Das Schutzniveau wird entsprechend hoch anzusetzen sein.

Vor diesem Hintergrund zeigen sich die Probleme, die dadurch entstehen, dass Regelungen über Zugriffsberechtigungen zur Gewährleistung der Vertraulichkeit informationstechnischer Systeme offensichtlich fehlen oder nur nachlässig definiert wurden.Hier drohen gem. Art. 83 Abs.4 lit. a DSGVO Bußgelder von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Krankenhäuser sind daher in der Pflicht, technisch-organisatorische Maßnahmen zu treffen, durch die Zugriffsberechtigungen auf Patientendaten auf das notwendige Maß begrenzt werden.

Überlange Aufbewahrung

Zahlreiche Landeskrankenhausgesetze sehen vor, dass Patientendaten zu löschen sind, wenn sie zur Erfüllung der Zwecke nicht mehr erforderlich sind (z.B. § 36 Abs.6 Nr.1 Landeskrankenhausgesetz Rheinland-Pfalz, § 14 Hamburgisches Krankenhausgesetzes, § 19 Landeskrankenhausgesetz Mecklenburg Vorpommern). Dieser Grundsatz findet sich auch in Art. 17 Abs.1 lit.a DSGVO.

Aus den Satzungen der Ärztekammern können sich andere Fristen ergeben, etwa eine 10-jährige Aufbewahrungsfrist der Patientenakte nach Schluss der Behandlung (z.B. § 10 Abs.3 Satzung der Ärztekammer Schleswig-Holstein und Hamburg).

Soweit personenbezogene Daten über 10 Jahre nach der Behandlung hinaus gespeichert werden, sollten Krankenhäuser vor dem Hintergrund der allgegenwärtigen Gefahr von Datenschutzverletzungen überlegen, ob es wirklich Sinn macht, die Patientendaten über diese Zeit hinaus zu speichern. Soweit eine solch langfristige Speicherung nicht stichhaltig begründet werden kann, wäre die in zeitlicher Hinsicht exzessive Speicherung rechtswidrig und nach Art. 83 Abs.5 lit.b DSGVO bußgeldbewährt mit Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Neue Meldepflichten

Der Krankenhauszweckverband Rheinland e.V. wurde erst Mitte April auf die Leaks aufmerksam gemacht. Es kann daher unterstellt werden, dass die betroffenen Krankenhäuser zeitnah informiert wurden.

Nach der DSGVO haben Krankenhäuser ab dem 25.Mai 2018 die Pflicht, ab Kenntnisnahme der Datenschutzverletzung die Aufsichtsbehörden unverzüglich, spätestens jedoch innerhalb von 72 Stunden über den Vorfall zu informieren (Art. 33 DSGVO).

Da hier Patientendaten betroffen sind, liegt auch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vor. Diese wären gem. Art. 34 DSGVO ebenfalls unverzüglich zu informieren.

Verstöße gegen diese Meldepflichten sind ab dem 25.Mai 2018 ebenfalls bußgeldbewehrt gem. Art. 83 Abs.4 lit. a DSGVO mit Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Gesundheitsdatenschutz

Ein Kommentar zu diesem Beitrag

  1. Anhand der Pressemeldungen ist es nicht wahrscheinlich, dass einzelne Kliniken die Quelle der Daten sind, sondern eine nachgelagerte Stelle (Datensammelstellen der Kassen, Qualitätsinstitut…). Dafür spricht der Begriff „P21 Daten“. Die Daten nach §21 SGB sind aggregierte Informationen, die die Kliniken u.a. an diese Organisationen verschicken müssen. Die Übertragung an sich ist verschlüsselt, aber wer weiss wie die Institute damit umgehen. Ein Klinik-bashing ist daher erst mal nicht angebracht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.