Datenschutz von Gesundheitsdaten

Die digitalen Technologien machen keinen Halt vor Gesundheitsdaten. Mit der jüngsten Einführung der elektronischen Gesundheitsakte können nun Ärzte bei Bedarf von überall auf die Patientendaten zugreifen. Dies soll eine effizientere und individuellere Behandlung ermöglichen. Mit der Digitalisierung gehen aber immer auch datenschutzrechtliche Fragen einher.

Wie sicher sind unsere Gesundheitsdaten vor Hackern? Kann der Staat auf meine ePa zugreifen? Und was dürfen eigentlich unsere Versicherer?

Die elektronische Gesundheitsakte:

Die Einführung der elektronischen Patientenakte (ePA) für alle Versicherten in Deutschland ab dem 15. Januar 2025 markiert einen bedeutenden Schritt in der Digitalisierung des Gesundheitswesens. Die ePA dient als zentraler Speicherort für sensible Gesundheitsdaten, die detaillierte Informationen über den körperlichen und geistigen Zustand der Patienten enthalten. Dadurch können Ärzte nun schneller auf wichtige Informationen zugreifen, was zu einer schnelleren und effektiveren Behandlung führen kann. Diese Entwicklung wirft aber auch erhebliche datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf den Schutz dieser sensiblen Informationen vor unbefugtem Zugriff durch staatliche Stellen.

Allgemeine datenschutzrechtliche Bedenken

Noch vor Einführung der ePa gab es immer wieder Kritik an den Sicherheitsstandards. Unter anderem könnten unbefugte Dritte durch Schwachstellen im Ausgabeverfahren von Heilberufs- und Praxisausweisen sowie durch Sicherheitslücken in der Spezifikation der ePA Zugriff auf fremde Gesundheitsdaten erlangen.

Insoweit stellt sich auch die Frage der Einhaltung der datenschutzrechtlichen Vorschriften. Gesundheitsdaten zählen zu den besonders geschützten personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO. Sie unterliegen strengen Verarbeitungsregeln und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden. Die Verarbeitung dieser Daten erfordert nach Art. 9 Abs. 2 lit. h DSGVO eine ausdrückliche Einwilligung der betroffenen Person oder muss für medizinische Zwecke erforderlich sein. Nach Art. 24 DSGVO sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten, zum Beispiel durch Authentifizierungsmethoden und Verschlüsselungstechnologien.

Die aufgedeckten Sicherheitslücken deuten darauf hin, dass diese Maßnahmen in der Praxis nicht hinreichend umgesetzt wurden. Wenn die Vergabe von Zugriffsrechten derart fehlerhaft gehandhabt wird, stellt dies einen klaren Verstoß gegen die datenschutzrechtlichen Anforderungen dar und könnte erhebliche Sanktionen nach sich ziehen.

Ein Blick ins Ausland verdeutlicht das Ausmaß solcher Sicherheitslücken. So griffen in Norwegen griffen 2018 Hacker auf die Gesundheitsdaten von rund 3,3 Millionen Norwegern zu. 2020 wurden in einer großen Cyberattacke in Finnland tausende psychotherapeutische Sitzungsprotokolle entwendet und für Erpressungsversuche genutzt.

Schutz vor unbefugtem staatlichen Zugriff

In letzter Zeit werden immer wieder Forderungen nach staatlichen Zugriff auf Gesundheitsdaten laut, um psychisch kranke Gewalttäter die ein Sicherheitsrisiko darstellen frühzeitig identifizieren zu können.

Jedoch gehört der Schutz des Vertrauensverhältnisses zwischen Patienten und Angehörigen der Heilberufe zu den elementaren Grundrechten. So hat das BVerfG bereits früher festgestellt, dass Angaben eines Arztes über die Diagnose, therapeutische Maßnahmen sowie die Beurteilung des Gesundheitszustandes “höchstpersönliche Dinge” des Patienten sind und dem Schutz des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG unterliegen. Dieses Recht schützt den Patienten also vor der Erhebung und Weitergabe dieser Informationen gegenüber dem Zugriff der öffentlichen Gewalt.

Das ärztliche Zeugnisverweigerungsrecht gemäß § 203 StGB dient ebenfalls diesem Schutz des Patienten.

Nun stellt sich jedoch die Frage, wie diese digitalen Gesundheitsdaten, die in der ePa gespeichert sind, vor staatlichem Zugriff geschützt werden können. Während § 97 StPO ein Beschlagnahmeverbot für Gegenstände vorsieht, die sich im Gewahrsam von Personen mit Zeugnisverweigerungsrecht befinden, ist unklar, ob dieses Verbot auch für die ePA gilt. Die ePA befindet sich technisch gesehen im Gewahrsam der Krankenkassen, die jedoch nicht zwingend als zeugnisverweigerungsberechtigt gelten. Zwar betonte die Bundesregierung, dass Krankenkassen als “mitwirkende Personen” im Sinne des § 53a StPO anzusehen seien und so ein Beschlagnahmeschutz auch für die ePA bestehen werde. Dies ist jedoch bisweilen strittig.

Rechtswidriger Datenaustausch unter Versicherern

Jedoch ist die ePa nicht der einzige Schwachpunkt, der die Sicherheit unserer Gesundheitsdaten gefährden kann. Kürzlich gerieten zehn Versicherungsunternehmen aus Nordrhein-Westfalen ins Visier der Datenschutzaufsichtsbehörden, weil sie sensible Gesundheitsdaten ihrer Kunden über einen gemeinsamen E-Mail-Verteiler rechtswidrig ausgetauscht haben sollen. Von dem Austausch betroffen waren insbesondere Daten aus der Auslandsreisekrankenversicherung, darunter medizinische Diagnosen sowie Informationen von Minderjährigen. Ziel soll die Aufdeckung von Versicherungsbetrug gewesen sein. Dieser Austausch soll über einen geschlossenen E-Mail-Verteiler erfolgt sein, für den mehrere Mitarbeiter der Unternehmen registriert waren. Dies erhöhte sich nicht nur das Risiko einer unkontrollierten Weitergabe, sondern verstieß auch gegen datenschutzrechtliche Bestimmungen, insbesondere Art. 9 Abs. 1 DSGVO.

Problematisch erscheint außerdem, dass es für die Versicherungswirtschaft bereits ein etabliertes und datenschutzkonformes System zur Betrugsbekämpfung gibt: das Hinweis- und Informationssystem (HIS). Dieses System wurde in Abstimmung mit den Datenschutzaufsichtsbehörden entwickelt und bietet klare Kriterien für die Speicherung und Abfrage von Daten. Insbesondere sieht das HIS-System Mechanismen vor, die die Betroffenenrechte wahren und Löschfristen festlegen. Gesundheitsdaten dürfen dort jedoch grundsätzlich nicht verarbeitet werden. Dass sich die betroffenen Versicherer dennoch für eine ungesicherte und rechtswidrige Methode des Datenaustausches entschieden haben, verdeutlicht den erheblichen Verstoß gegen Datenschutzbestimmungen.

Nach Aufdeckung haben die Datenschutzaufsichtsbehörden den unrechtmäßigen Austausch gestoppt und eine eingehende Untersuchung eingeleitet. Sollte sich der Verdacht bestätigen, drohen den beteiligten Unternehmen neben erhebliche Bußgelder auch Reputationsschäden.

Fazit

Solange die Sicherheitsprobleme im Gesundheitssektor nicht umfassend gelöst sind, bleibt ein erhebliches Risiko für den Schutz personenbezogener Gesundheitsdaten. Die Politik darf diese Bedrohung nicht unterschätzen, sondern muss mit klaren gesetzlichen Vorgaben und wirksamen Kontrollmechanismen die Datensicherheit im Gesundheitswesen sicherstellen.

Foto von National Cancer Institute auf Unsplash