Neue Datenschutzempfehlungen

Update für die Sicherheit

Vertrauliche Patientendaten vor Zugriffen durch Dritte zu schützen, gehört zu den obersten Pflichten eines Arztes. Früher half dabei ein gut gesicherter Aktenschrank. Im elektronischen Zeitalter reichen Schloss und Riegel längst nicht mehr aus. Ein frisch aktualisierter Empfehlungskatalog der Ärzteverbände zeigt, wie Datenschutz heute funktioniert.

Mediziner sind verpflichtet, über das, was „ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekannt geworden ist – auch über den Tod des Patienten hinaus – zu schweigen“, postuliert Paragraf 203 des SGB. Die 1996 zum ersten Mal veröffentlichten und jetzt überarbeiteten „Empfehlungen zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung in der Arztpraxis“ von Bundesärztekammer (BÄK) und Kassenärztlicher Bundesvereinigung (KBV) sollen helfen, dieses Gebot in Zeiten des Internets und kabelloser Netzwerke zu wahren. Setzten 1996 etwa 60 Prozent der niedergelassenen Ärzte und Psychotherapeuten auf EDV, sind es heute mehr als 90 Prozent, schätzt die KBV. Die Zeit also, die Empfehlungen zu überarbeiten.

Gar nicht, geht nicht

Ins Internet gehen Ärzte aus vielen Gründen. Zur Recherche, um sich online fortzubilden, zum Versenden von Labordaten oder um per Telematik Patientendaten auszutauschen. Kurz: Das Internet ist aus dem Arbeitsalltag einer ärztlichen und zahnärztlichen Praxis nicht mehr wegzudenken. Die höchste Sicherheit für vertrauliche Daten ist laut BÄK und KBV gegeben, „wenn keine Nutzung von Intra- oder Internet in der Arztpraxis besteht.“ Das aber liegt praktisch außerhalb des Umsetzbaren – und wird von den Verbänden auch nicht gefordert. Sie betonen aber, dass Praxiscomputer, auf denen Patientendaten gespeichert werden, sehr hohen Sicherheitsstandards genügen müssen.

Eine Schutzmaßnahme, die weniger mit Technik als mit gesundem Menschenverstand zusammenhängt, nennt der Katalog immer wieder: Der Zugang zu Rechnern mit Patientendaten sollte so restriktiv wie möglich gehandhabt werden. Dazu gehört, dass der betreffende PC an einem Ort steht, der für Nicht-Praxismitarbeiter unzugänglich ist, und nur autorisierte User eine Zugangsberechtigung bekommen.

Um Hackern und Viren das Leben schwer zu machen, sollten Rechner mit Patientendaten niemals ohne entsprechende Sicherheitsvorkehrungen mit Inter- und Intranet verbunden sein, schreiben BÄK und KBV. Für das online-Surfen empfehlen sie dedizierte PCs. Das sind Computer, die zur Abwicklung spezieller Aufgaben – in dem Fall: Ausflüge ins Netz – vorgesehen sind und nicht mit dem Praxisnetzwerk verbunden werden. An so einem Rechner erledigt man zum Beispiel Downloads und Recherchen. Die Infos werden dann via USB-Stick oder anderer Datenträger im Netzwerk verteilt. Dabei wird zum Live-Betrieb geraten: Das heißt, das PC-Betriebssystem wird nicht von einer integrierten Festplatte, sondern einem portablen Speichermedium, wie CD, DVD oder USB-Stick, gestartet. Viren und Hacker können so keinen dauerhaften Schaden anrichten.

Virenschutzprogramme und Firewalls sind Pflicht auf Praxisrechnern. Sie müssen regelmäßig aktualisiert werden, damit auftretende Sicherheitslücken schnell geschlossen werden. Für sicherheitsrelevante Computer empfiehlt der Katalog einen Router mit Network Address Translation (NAT): „Grund dafür ist, dass ein direkt verbundener Rechner mit offizieller IP-Adresse direkten Angriffen ausgesetzt ist. Wird dagegen NAT verwendet, werden nur IP-Pakete dem Rechner zugestellt, die er selbst angefordert hat.“

In der Beweispflicht

Ärzte, die ihre Dokumentation nicht mehr in Papierform, sondern elektronisch erledigen, müssen für die Echtheit der Daten garantieren können. Seit 2001 regelt das „Gesetz über Rahmenbedingungen für elektronische Signaturen“, kurz: Signaturgesetz, die Voraussetzungen dafür. Elektronische Signaturen machen Manipulationen an einem Originaldokument mittels kryptographischer Schlüssel sofort erkennbar. Es gibt einfache, fortgeschrittene und qualifizierte elektronische Signaturen. Letztere bieten die höchste Sicherheitsstufe. Sie ordnen ihrem Urheber ein qualifiziertes Zertifikat zu, das von einem Zertifizierungsdiensteanbieter (ZDA) signiert wird. Der ZDA garantiert, dass der verwendete Signaturprüfschlüssel mit der Identität des Schlüsselinhabers übereinstimmt. Ausführliche Infos über das Verfahren stehen auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Problematisch ist die Übertragung schriftlicher Dokumente in die elektronische Dokumentation. Beispiel Arztbriefe. BÄK und KBV empfehlen, externe Dokumente einzuscannen. Um ihre Echtheit zu beweisen, müssen allerdings die Originalpapiere aufbewahrt werden. Können Ärzte also doch nicht auf Karteikarten verzichten?

Die Lösung kann darin bestehen, dass das elektronische Dokument mit einem Vermerk versehen wird, wann und durch wen das Original in eine elektronische Form übertragen worden ist, und dass die Wiedergabe auf dem Bildschirm und damit auch in der elektronischen Datei mit dem Originaldokument inhaltlich und bildlich übereinstimmt, heißt es in den Richtlinien dazu. Die IT-Spezialisten der Ärzteverbände legen Praxisinhabern aber dringend ans Herz, die Originale in besonders schadensträchtigen Fällen aufzubewahren.

Von WLAN bis VoIP

Auf WLAN sollten Ärzte verzichten. Falls das aus baulichen Gründen nicht möglich ist, muss das Netz nach den aktuellen Regeln der Kunst verschlüsselt werden. Die Richtlinien favorisieren derzeit eine Absicherung durch WPA oder WPA2.

Auch die Internettelefonie (VoIP) erfordert danach besondere Vorsicht, denn über herkömmliche Internetverbindungen seien Gespräche leicht abzuhören. Ärzte, die trotzdem voipen wollen, sollten sich nach Anbietern umschauen, die für Internettelefonie besonders abgesicherte IP-Netze vorhalten.

Zum Thema Fernwartung empfehlen BÄK und KBV, externen Technikern nur mithilfe eines Passworts Zugriff auf das System zu gewähren und das Passwort danach sofort zu ändern. Die Wartung sollte nach Möglichkeit mit fiktiven Testdaten vorgenommen werden und am Bildschirm von einem Mitarbeiter der Praxis überwacht werden.

Susanne Theisen
Freie Journalistin in Köln
SusanneTheisen@gmx.net

zm-Surftipps

Die Richtlinien im Netz

KBV und BÄK haben ihre Empfehlungen inklusive technischer Anlage zum Download bereitgestellt:

www.kbv.de/rechtsquellen/11958.html.de Bei der Konzeption haben sich die Ärzteverbände an den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik orientiert:

www.bsi.bund.de