Gefährdete Gesundheitsdaten

03. August 2011 Joachim Jakobs

Die Leistungsfähigkeit der Informationstechnik erleichtert den Missbrauch medizinischer Daten durch die Überforderung von Ärzten und Patienten

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der Schuster trägt bekanntermaßen selbst häufig die schlechtesten Schuhe. So ähnlich könnte man am Gesundheitszustand von so manchem Arzt Zweifel hegen. Jeder zweite soll angeblich bei Facebook ein Profil unterhalten.

Etwa der Hausarzt Hans Joachim Schirner aus dem Bayerischen Langenfeld. "Am Anfang", so schreibt die Ärztezeitung, "konnten Patienten nur den 'Gefällt mir'- Button nutzen, dabei bleiben die Patienten anonym, sie müssen sich nicht als 'Freunde' outen." Als ob bei Facebook auch nur ein Piep anonym zu machen wäre!

Ein Beispiel - nehmen wir mal an, Thomas aus Langenfeld ist beim Maschinenbauer Baumüller Holding GmbH & Co. KG in Nürnberg beschäftigt. In seiner Freizeit trainiert er im Fitnesscenter Kronester und vernetzt sich mit Arbeitgeber und Fitness-Studio. Beim Trainieren verletzt er sich und erhält von Hausarzt Schirner nicht nur eine dreitägige Arbeitsunfähigkeits-Bescheinigung, sondern auch eine Salbe verschrieben - er bestellt das Präparat und drückt vor lauter Begeisterung über seine gute Wirkung den "Gefällt mir" Knopf auf dem Profil des Arztes und des Versandhändlers.

Selbst wenn Thomas seine Datenschutz-Einstellungen perfekt wählt - was nach Meinung des Schweizer Fernsehens eine Kunst für sich ist; Facebook weiß in jedem Fall Einiges aus seinem Leben und könnte dieses Wissen - und (hoffentlich richtige) Schlußfolgerungen daraus - an Dritte verkaufen.

Das virtuelle Brennglas

"Fitnesscenter" + "Verletzung" = "Risikosportart" - so könnte zum Beispiel eine solche Schlußfolgerung lauten. Wen das interessiert? Wenn sogar die Bewerber vom künftigen Arbeitgeber unter das virtuelle Brennglas gelegt werden, dann wird doch die Personalabteilung die Durchleuchteten nach dem Unterschreiben des Arbeitsvertrags nicht aus den Augen verlieren?

Und genauso wie der Arbeitgeber den Mitarbeiter im Blick hat, will die Krankenversicherung nicht auf den Kosten sitzen bleiben - schließlich könnte es sich ja um eine "selbst verschuldetete Krankheit" handeln. Und auch die Bank könnte sich für Thomas' Lebenswandel interessieren, wenn er irgendwann mal wegen der Finanzierung für sein neues Auto anklopft.

Bei komplexeren Krankheitsbildern würden sich womöglich weitere interessante Hinweise aus Thomas' Google-Suchhistorie, der Liste seiner bei Libri.de gekauften Bücher und seinem Mail-Postfach ergeben. Die Google-Web-Historie wurde 2010 geknackt; die Buchlisten bei Libri.de wurden 2009 entwendet und "hunderte" Google-Mail-Konten wurden vor wenigen Wochen gefilzt.

Medizinischer Identitätendiebstahl

Wenn sich Unbefugte medizinische Leistungen zu Lasten eines Dritten erschleichen, nennen das Fachleute einen "medizinischen Identitätsdiebstahl". Das Ponemon Institut schätzt, dass seit 2009 1,5 Millionen US-Amerikaner einen medizinischen Identitätendiebstahl erlitten haben. Pro Patientennase entstand dabei ein Schaden in Höhe von 20.000 US-Dollar. Nachteile, die Mitarbeiter, Kunden und Versicherte wegen ihres digitalen Ichs in Kauf zu nehmen haben, kommen da noch oben drauf.

Nun mag der geneigte Leser einwenden: "Es ist doch niemand gezwungen, bei Facebook Mitglied zu werden und Fan von Hausarzt Schirner zu werden!?" Das stimmt. Schirners Kollegen allerdings treffen bereits konsequent Vorsorge, um diesem anonymen Mißstand entschlossen entgegen zu treten und übermitteln ihr ganzes Adressbuch in das Reich des Mark Zuckerberg. Mit Hilfe von Name, Wohnort, Geburtsdatum und weiterer Stammdaten lassen sich allein dadurch spannende Nachforschungen anstellen.

Die Übeltäter sind aber nicht nur unter den Niedergelassenen zu finden: Am 1. Juni wurde bekannt, dass in den letzten zwei Jahren 8 Millionen Patientendatensätze in den USA verloren gegangen sind - viele davon in den Krankenhäusern. David Brailer, früher Coordinator der Gesundheits-Informationstechnik unter dem früheren Präsidenten George W. Bush wirkt ein wenig ratlos:

Wir können die Gesundheitsdaten nicht einfach wegschließen - wir brauchen sie, um Leben zu retten!

Das allerdings beschreibt immer noch nicht die ganze Wahrheit: Man muß noch außerdem dafür Sorge tragen, dass die Daten nicht von Dritten weggeschlossen werden. Denn sonst könnte man Opfer einer Erpressung werden und für das zum Entschlüsseln notwendige Passwort ein Lösegeld in beliebiger Höhe zahlen müssen. Ein solcher Fall wurde vor gut zwei Jahren berichtet.

Krankenhausinformationssysteme (KIS)

Vor dem Hintergrund sind die (kommenden) Krankenhaus-Informationssysteme zu prüfen. Krankenhausinformationssysteme (KIS) sollen Auskunft geben über die Gesamtheit aller informationsverarbeitenden Einheiten zur Bearbeitung medizinischer und administrativer Daten in der Klinik.

Hierzu gehören Computerprogramme, Personen und nicht IT-basierte Informationssysteme - inklusive Chirurgie, Radiologie, Labor und weiterer medizinischer Abteilungen. Zusätzlich sollen die Patienten über ihr Mobiltelefon auf dem Laufenden gehalten werden - etwa über die Veränderung ihres Blutzuckerspiegels.

Solche Informationssysteme gabs vor 50 Jahren auch schon - nur waren die damals noch sehr langsam, tonnenschwer und waren auf analogen Datenträgern gespeichert. Heute geht das alles ein wenig fixer. Die Daten sind ultraleicht zu transportieren und lassen sich beliebig immer wieder neu zu jedem beliebigen Zweck kombinieren.

Kein Wunder, dass die Datenschützer für eine Aktualisierung des Patienten-Datenschutzes trommeln: Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat daher im März 2011 eine 42 seitige "Orientierungshilfe Krankenhausinformationssysteme" vorgestellt. Diese gibt einen Überblick der zu berücksichtigenden Datenschutz-Themen - von der Aufnahme der Patienten bis hin zur Zugriffsprotokollierung.

Sicherheitstechnische Dokumente sind allerdings seit Jahr und Tag haufenweise im Internet zu haben. Beeindruckt haben sie die Götter in Weiß bislang nicht sonderlich. Daher sollte die Politik versuchen, den Ärzten eine Zertifizierung gemäß ISO 27001 schmackhaft zu machen.

Da gibt es auch im Gesundheitswesen positive Beispiele zu nennen: So haben sich die DAK, die Kassenärztliche Bundesvereinigung (KBV und das Klinikum Chemnitz den ordnungsgemäßen Umgang mit personenbezogenen Daten nach dieser Norm bescheinigen lassen.

Um das Zertifikat zu erwerben, wird die Masse der Unternehmen und Praxen auf externe "Auditoren" zurückgreifen müssen. Auch die müssen ihre Qualifikation normiert nachweisen. Eine Liste der nach dieser Norm zertifizierten Auditoren bietet etwa das Bundesamt für die Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite an.