Neben der übergreifenden Security Policy ist ein Rahmendatenschutzkonzept entwickelt worden
Bereits im Jahr 2000 wurden sicherheitstechnische Richtlinien für die IT-Infrastruktur des Kommunikationsverbundes Gesundheitsnetz Bremen im Entwurf einer teilnehmerübergreifenden Security Policy festgelegt. Sie enthält Richtlinien und Vereinbarungen bezüglich der Zugriffs- und Datensicherheit innerhalb des Kommunikationsverbundes.
Dazu gehören u. a. die Festlegung der Sicherheitsziele und des Sicherheitsniveaus sowie die Schaffung einer strukturellen Grundlage durch eine Systematisierung der Kommunkationsbereiche unter Einbeziehung nicht am Kommunikationsverbund beteiligter externer Kommunikationspartner. Darüber hinaus werden besondere Gefährdungspotentiale berücksichtigt und Vorgaben zu Betrieb und Management von Sicherheitskomponenten gemacht. Die übergreifende Security Policy verpflichtet die Teilnehmer am Kommunikationsverbund auch zu Maßnahmen hinsichtlich ihrer eigenen Anwendungen und Infrastruktur.
Neben der übergreifenden Security Policy ist ein Rahmendatenschutzkonzept entwickelt worden. Es enthält u. a. konkrete Systemanforderungen zum Schutz der krankenhausinternen Infrastruktur gegenüber internen und externen Angriffen sowie Systemanforderungen zur Umsetzung technischer und organisatorischer Maßnahmen gem. § 7
Diese für alle am Kommunikationsverbund beteiligten Partner geltenden Dokumente definieren organisatorische Rahmenbedingungen, die sicherstellen, dass
- sich jeder Teilnehmer am Kommunikationsverbund zur Anerkennung und Einhaltung der Regelungen aus den Dokumenten schriftlich verpflichtet,
- alle Teilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um ihre für die Kommunikation eingesetzte Sicherheitstechnologie ständig an das Niveau der aktuellen Bedrohungssituation anzupassen,
- alle Teilnehmer für ihre Organisation interne Security Policies entwickeln, die auf den differenzierten Vorgaben der übergreifenden Security Policy basieren,
- die Verantwortlichkeiten für das Sicherheitsmanagement durch Benennung von Sicherheitsbeauftragten bei jeder teilnehmenden Organisation festgelegt werden,
- jeder Teilnehmer am Kommunikationsverbund in einem Sicherheitsrat mitarbeitet, der u. a. für die regelmäßige Revision der übergreifenden Security Policy zuständig ist und ein feed-back der Sicherheitsstruktur der teilnehmenden Organisation ermöglicht,
- eine Revision bei den einzelnen Netzteilnehmern stattfindet, die sicherstellt, dass Sicherheitsmaßnahmen entsprechend dem Stand der Technik im Verhältnis zum festgestellten aktuellen Bedrohungspotential verändert werden und die missbräuchliche Nutzung der IT-Systeme und der mit ihnen verarbeiteten Daten des Krankenhauses durch die Erstellung aussagefähiger Protokolle und eines darauf aufbauenden Revisionsmechanismus verhindert.
Die Krankenhäuser Bremen-Ost und Links der Weser haben bereits eine interne Security Policy für ihre eigenen Häuser entwickelt, in denen verschiedene Datensicherungsmaßnahmen zur Minimierung des durch die Vernetzung der Häuser und durch die Öffnung zum Internet entstehenden Gefährdungspotentials konkret beschrieben werden.
Das Krankenhaus Links der Weser hat zusätzlich noch einen Strukturentwurf internes Datenschutzkonzept Firewall entwickelt. Da die Wirksamkeit der Sicherheitsmaßnahmen von der Umsetzung in jeder einzelnen Komponente des Systems bei allen Teilnehmern abhängt, habe ich mich über das Firewallsystem dieses Krankenhauses vor Ort informiert. Dabei konnte ich feststellen, dass die technischen Möglichkeiten, die moderne Firewallsysteme aus heutiger Sicht zum Schutz einer IT-Infrastruktur bieten, weitgehend eingesetzt worden sind. Durch den zusätzlichen Einsatz von IDS (Intrusion Detection System) und Virenscanner können Angriffe und Virenverbreitung weitgehend verhindert werden. Die Effektivität der Firewall hängt jedoch letztlich vom zugrundeliegenden Regelwerk ab.
Der Betrieb einer wirkungsvollen Firewall in Kombination mit entsprechenden Prüfmechanismen (IDS, Virenscanner) ist eine komplexe Aufgabe (dazu gehören die Einrichtung sinnvoller Transferregeln, deren Konsolidierung, ständige Systempflege, Reaktion auf Warnmeldungen u.v.m). Wie in der übergreifenden Security Policy bereits geplant, wurde die Leistung managed Firewall deshalb an eine Firma vergeben. Ich hatte zunächst gefordert, dass hierbei sichergestellt werden muss, dass die Auftragnehmerin bei der Administration keinen Zugriff auf Patientendaten nehmen dürfe. Da die Administration von Sicherheitskomponenten Systemrechte mit großer Eingriffstiefe erforderlich macht, ist diese Beschränkung auf technischer Ebene nicht möglich. Eine Kenntnisnahme von Patientendaten kann technisch nicht ausgeschlossen werden. Besonders kritisch wird dies, wenn die Administration an eine Fremdfirma vergeben wird. Hier galt es, dass durch die Fremdvergabe verursachte Risiko mit dem Gewinn abzuwägen, der daraus entsteht, dass die Administration mit dem erforderlichen speziellen Fachwissen erfolgt. In der Novellierung des KHDSG (vgl. Ziff. 8.6 dieses Berichts) wird deshalb die Fremdvergabe nicht untersagt, die Krankenhäuser werden jedoch verpflichtet, den Zugriff auf Patientendaten soweit wie möglich auszuschließen.
Auch wenn eine Gefährdung der IT-Infrastruktur des Kommunikationsverbundes Gesundheitsnetz Bremen durch die Nutzung legaler Türen der eingerichteten Policies und bisher unbekannter Viren nicht auszuschließen ist, ist die dargestellte Systematik der Sicherheitskonzeption und deren Inhalte geeignet, dem Gefährdungspotential für Gesundheitsdaten, dass durch die Vernetzung und Öffnung der DV-Systeme der am Kommunikationsverbund Beteiligten entstanden ist, wirksam zu begegnen.
Ich werde die Entwicklung des Netzes weiterhin begleiten. Projekte wie (Integratives Bremer Onko-Hämatologie Netzwerk), dessen Einrichtung die Deputation für Gesundheit im April des Berichtsjahres beschlossen hat, weisen auf zukünftige datenschutzrelevante Themen wie etwa die Autorisierung des Datenzugriffs durch den Patienten selbst mithilfe einer Chipkarte, die Autorisierung der teilnehmenden Ärzte über eine Health Professional Card und Architekturmodelle bezüglich der Form der Datenspeicherung (beispielsweise bei der Entwicklung einer elektronischen Patientenakte) hin.
Fortschreibung des bremischen Krankenhausdatenschutzgesetzes
Mit meiner Berichterstattung über die Probleme der krankenhausinternen Vernetzung (vgl. Ziff. 8.4 dieses Berichts) befasste sich auch der Datenschutzausschuss der Bremischen Bürgerschaft. Ergebnis war ein interfraktioneller Antrag, in dem die Bremische Bürgerschaft den Senat einstimmig aufforderte, einen Entwurf zur Änderung des Krankenhausdatenschutzgesetzes (KHDSG) vorzulegen, der den medizinischen Behandlungsnotwendigkeiten und den Bedingungen der modernen DV-Technik entspricht, der zugleich aber beibehält, dass Patientendaten krankenhausintern weder unbegrenzt noch unbefristet verfügbar sein dürfen.
Am 7. Januar 2003 hat der Senat der Bürgerschaft einen mit mir abgestimmten Entwurf zur Änderung des KHDSG vorgelegt (Bürgerschafts-Drs. 15/1341). Der Entwurf hält daran fest, dass der krankenhausinterne, aber abteilungsübergreifende Austausch bzw. Abruf von Patientendaten nur zu bestimmten im Gesetz aufgeführten Zwecken, insbesondere für eine Mit- oder Nachbehandlung, zulässig ist, erlaubt aber den abteilungsübergreifenden Abruf von Patientendaten im Rahmen des unter Ziff. 8.4 dargestellten dynamischen Behandlungsauftrags. Verbunden damit sind die Gebote, nur Befugten Zugriff auf Patientendaten zu gewähren und Patientendaten nach abgeschlossener Behandlung zu sperren. In der mit mir auch insoweit abgesprochenen Begründung zum Gesetzentwurf heißt es hierzu nunmehr, dass in Absprache mit der Verwaltung und mir Terminpläne und Vorgehensweisen zur Mängelbeseitigung entwickelt werden sollen. Überdies sei es Aufgabe der Krankenhäuser, bei der Beschaffung neuer Systeme die Vorgaben des Datenschutzes in das Verfahren einzubeziehen.
Da nicht nur die interne, sondern auch die externe Vernetzung der Krankenhäuser in Datennetzverbünden mit anderen Krankenhäusern, niedergelassenen Ärzten oder anderen Angehörigen von Heilberufen (Gesundheitsnetz Bremen, im Folgenden Netz genannt) auf der Tagesordnung steht (vgl. Ziff. 8.5 dieses Berichts), bot sich die Gelegenheit an, auch insoweit das KHDSG auf den neuesten Stand von Medizin und Technik zu bringen. Wollen Krankenhäuser Patientendaten zum automatisierten Abruf in einem Netz bereitstellen, so müssen sie sichergestellt haben, dass die einzelnen Abrufe nur mit Einwilligung der betroffenen Patienten erfolgen können, die Abrufe dem Krankenhaus angezeigt und mittels Protokollierung ausgewertet und kontrolliert werden. Will ein Krankenhaus seinerseits Patientendaten aus dem Informationssystem eines Netzpartners abrufen, so hat der Verantwortliche zuvor die Einwilligung des Patienten einzuholen. Die nach wie vor grundsätzlich erforderliche Schriftform kann entfallen, wenn durch technische Maßnahmen sichergestellt ist, dass die Daten nur unter Mitwirkung des Patienten, etwa mit Hilfe eines nur ihm zur Verfügung stehenden Schlüssels, freigegeben werden können.
Mit der Fortschreibung des KHDSG betritt die Bremische Bürgerschaft legislatives Neuland. Sie reagiert damit auf den verstärkten Einsatz der im Gesundheitswesen, auf die mehr und mehr interdisziplinäre Behandlung Kranker und auf die zunehmende Integration stationärer und ambulanter Versorgung. Zugleich versucht sie, ausgehend vom bisher geltenden Recht, den krankenhausinternen Zugriff auf im Informationssystem gespeicherte Patientendaten an den Behandlungsauftrag und den krankenhausübergreifenden Zugriff an die Einwilligung des Patienten zu knüpfen.
Fax-Irrläufer aus Krankenhäusern
In Krankenhäusern werden nicht nur digitale Informationssysteme von hoher Komplexität eingesetzt, in Krankenhäusern passieren auch ganz banale Pannen.
So war ich im Berichtsjahr zweimal damit konfrontiert, dass aus einem der kommunalen Krankenhäuser im Lande Bremen jeweils einem anderen unbeteiligten Dritten, die mich darüber informierten, wichtige, für behandelnde Ärzte bestimmte Patientenunterlagen, zugefaxt worden waren. Ich befürchte, dass dies nur die Spitze eines Eisbergs ist, dass zum einen von Krankenhäusern, aber auch von Arztpraxen aus, täglich eine hohe Zahl sensibler medizinischer Dokumente gefaxt wird und dass zum anderen zu einem geringen Prozentsatz, aber doch immer wieder, die Faxe beim falschen Empfänger landen. Der Grund wird meist eine falsche Fax-Nummer sein, es können aber auch technische oder Bedienungsfehler aufgetreten sein, ein Unbefugter kann das Fax entnommen haben. Wie auch immer, die Folgen können schwerwiegend sein. Ein Unbefugter erhält Kenntnis von den der ärztlichen Schweigepflicht unterliegenden Daten und damit die Möglichkeit, sie für welche Zwecke auch immer zu nutzen. Der eigentliche Adressat hingegen erhält die Daten nicht, dringend gebotene Untersuchungen und Therapien können verzögert werden. All dies ist nicht neu, dafür um so ärgerlicher. Das Faxen medizinischer Dokumente zu verbieten, ist wirklichkeitsfremd, ist es doch gerade die gebotene Schnelligkeit der Kommunikation, die zum Faxen veranlasst.
Gleiches gilt in noch höherem Maße für die Versendung per E-Mail. Die Digitalisierung und Vernetzung der von Behandlungsdokumentationen sowie das verständliche Bestreben, Behandlungsabläufe zu beschleunigen, wird diese Kommunikationsform zur Norm werden lassen. Aber auch sie birgt hohe Risiken. Es gilt, Integrität und Authentizität der Nachricht sowie die Zugriffsberechtigung des Lesers zu garantieren. Hierfür haben Krankenhäuser wie andere öffentliche Stellen ein Sicherheitskonzept zu entwickeln (vgl. Ziff. 8.1 dieses Berichts). Andernfalls dürfen Patientendaten nicht per E-Mail verschickt werden. Unverschlüsselte Übertragungen haben in aller Regel ohnehin zu unterbleiben.
Auf meine Anregung hin hat der Senator für Arbeit, Frauen, Gesundheit, Jugend und Soziales die mir vorgetragenen Pannen zum Anlass genommen, per Rundschreiben die kommunalen Krankenhäuser der Stadtgemeinde Bremen auf die notwendigen technischen und organisatorischen Vorkehrungen bei der Versendung sensibler Daten per Fax und per E-Mail hinzuweisen. Ich habe das Papier auch dem Bremerhavener kommunalen Krankenhaus zugeleitet.
Vertraulichkeit sozialpsychiatrischer Beratung
In bemerkenswerter Weise hat sich erneut ein Konflikt zugespitzt, den ich bereits in verschiedenen Jahresberichten thematisiert habe, so erstmals 1990 (vgl. 13. JB, Ziff. 2.6.3, zuletzt im 17. Jahresbericht unter Ziff. 12.2.1).