Leitfaden: Datensicherheit bei elektronischen Patientenakten (ePA)
Die Einführung und Nutzung der elektronischen Patientenakte (ePA) markiert einen Meilenstein in der Digitalisierung des deutschen Gesundheitswesens. Sie verspricht eine verbesserte Behandlungsqualität durch lückenlose Dokumentation und schnellen Informationsaustausch. Doch mit den Chancen wächst auch die Verantwortung. Die Datensicherheit bei elektronischen Patientenakten ist der entscheidende Faktor für das Vertrauen von Patientinnen und Patienten sowie die rechtssichere Arbeit in Praxen und Kliniken. Dieser Leitfaden richtet sich an Ärztinnen und Ärzte, Praxismanager und Datenschutzbeauftragte und bietet eine praxisorientierte Hilfestellung, um die komplexen Anforderungen an den Schutz sensibler Gesundheitsdaten zu meistern.
Inhaltsverzeichnis
- Kurzüberblick: Relevante Rechtsgrundlagen
- Rollen und Verantwortlichkeiten
- Technische Grundpfeiler der Datensicherheit
- Authentifizierung und Zugriffskontrolle
- Token- und Kartenlebenszyklus
- Datenminimierung und Pseudonymisierung in der Praxis
- Spezialfall Kinder und Jugendliche
- Vendor Due Diligence: Auswahl und Überprüfung von Dienstleistern
- Interoperabilität und Standards
- Protokollierung und Nachweisführung
- Incident Management ohne Panik
- Muster-DPIA für elektronische Patientenakten
- Praktische Checkliste für die Praxis
- Patientenkommunikation und FAQs
- Weiterführende Ressourcen und Links
Kurzüberblick: Relevante Rechtsgrundlagen
Die Verarbeitung von Gesundheitsdaten unterliegt den höchsten Schutzanforderungen. Die rechtliche Basis für die Datensicherheit bei elektronischen Patientenakten ist vielschichtig und baut auf europäischen und nationalen Vorschriften auf.
Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO) bildet den zentralen rechtlichen Rahmen. Zwei Artikel sind hierbei von besonderer Bedeutung:
- Artikel 9 DSGVO: Gesundheitsdaten gelten als „besondere Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine explizite Ausnahme greift. Für die ePA ist dies in der Regel die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a) oder die Erforderlichkeit für die Gesundheitsversorgung (Art. 9 Abs. 2 lit. h).
- Artikel 6 DSGVO: Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Bei der ePA ist dies primär die Einwilligung des Patienten (Art. 6 Abs. 1 lit. a).
Nationale Vorgaben
Ergänzend zur DSGVO regeln nationale Gesetze die spezifische Umsetzung der ePA in Deutschland. Allen voran das Fünfte Buch Sozialgesetzbuch (SGB V), insbesondere die Paragraphen rund um die Telematikinfrastruktur (§§ 341 ff. SGB V), definieren die technischen und organisatorischen Rahmenbedingungen für die elektronische Patientenakte und die damit verbundene Datensicherheit.
Rollen und Verantwortlichkeiten
Eine klare Zuweisung von Verantwortlichkeiten ist essenziell für eine funktionierende Datensicherheit. Im Ökosystem der ePA sind die Rollen klar verteilt:
- Praxis / Ärztin / Arzt: In der Rolle des Verantwortlichen im Sinne der DSGVO. Sie sind für die Rechtmäßigkeit der Datenverarbeitung im Rahmen der Behandlung und für die Einhaltung der Datenschutzgrundsätze in ihrer Sphäre zuständig.
- Gematik und Betreiber der TI: Stellen die zentrale Infrastruktur bereit und agieren oft als Auftragsverarbeiter oder als Verantwortliche für den sicheren Betrieb der Kerninfrastruktur.
- Datenschutzaufsichtsbehörden: Die Landesdatenschutzbeauftragten und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) überwachen die Einhaltung der gesetzlichen Vorgaben.
Technische Grundpfeiler der Datensicherheit
Die theoretischen Rechtsvorgaben müssen durch robuste technische Maßnahmen untermauert werden. Die Sicherheit der ePA stützt sich auf drei zentrale Säulen.
Verschlüsselung
Alle in der ePA gespeicherten Daten müssen sowohl während der Übertragung (in transit) als auch im Ruhezustand (at rest) stark verschlüsselt sein. Es muss eine konsequente Ende-zu-Ende-Verschlüsselung umgesetzt werden, bei der nur der Patient und die von ihm autorisierten Leistungserbringer die Daten entschlüsseln können.
Schlüsselmanagement
Die kryptografischen Schlüssel sind das Herzstück der Verschlüsselung. Ein sicheres Schlüsselmanagement stellt sicher, dass die Schlüssel der Patienten auf deren elektronischer Gesundheitskarte (eGK) oder einem sicheren Endgerät gespeichert und verwaltet werden. Nur der Patient hat die Hoheit über seine Schlüssel.
Sicherer Datentransport
Die Kommunikation zwischen Praxissoftware, Konnektor und der zentralen ePA-Infrastruktur muss über gesicherte Kanäle erfolgen. Standards wie TLS (Transport Layer Security) in Version 1.3 oder höher sind hierfür zwingend erforderlich, um Abhör- und Manipulationsversuche zu verhindern.
Authentifizierung und Zugriffskontrolle
Nur berechtigte Personen dürfen auf die hochsensiblen Daten zugreifen. Dies wird durch mehrstufige Verfahren sichergestellt.
- Multi-Faktor-Authentifizierung (MFA): Der Zugriff erfordert die Kombination mehrerer Faktoren. Für Ärztinnen und Ärzte ist dies der Heilberufsausweis (HBA) in Verbindung mit einer PIN. Patienten nutzen ihre elektronische Gesundheitskarte (eGK) und eine PIN.
- Rollenbasiertes Zugriffskonzept (RBAC): Systeme müssen sicherstellen, dass eine medizinische Fachangestellte andere (und geringere) Zugriffsrechte hat als der behandelnde Arzt. Zugriffe müssen auf das für die jeweilige Aufgabe absolut notwendige Maß beschränkt sein (Need-to-Know-Prinzip).
- Session-Handling: Aktive Sitzungen müssen nach einer definierten Zeit der Inaktivität automatisch beendet werden, um unbefugte Zugriffe an unbeaufsichtigten Arbeitsplätzen zu verhindern.
Token- und Kartenlebenszyklus
Die physischen Zugriffsmittel wie der HBA und die eGK durchlaufen einen streng verwalteten Lebenszyklus, um die Datensicherheit bei elektronischen Patientenakten durchgehend zu gewährleisten.
- Ausstellung: Erfolgt durch zertifizierte Vertrauensdiensteanbieter nach strenger Identitätsprüfung.
- Aktivierung: Die Karte muss durch den Nutzer mittels einer PIN aktiviert werden.
- Nutzung: Die Karte wird zur Authentifizierung und Signatur im Praxisalltag verwendet.
- Sperrung: Bei Verlust oder Diebstahl muss eine sofortige Sperrung der Karte möglich sein, um Missbrauch zu verhindern.
- Erneuerung: Vor Ablauf der Gültigkeit wird ein sicherer Erneuerungsprozess eingeleitet.
Datenminimierung und Pseudonymisierung in der Praxis
Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur Daten verarbeitet werden dürfen, die für den Behandlungszweck wirklich erforderlich sind. Praxen sollten ihre Dokumentationsprozesse daraufhin überprüfen, ob alle in die ePA eingestellten Informationen tatsächlich notwendig sind. Wo immer möglich, sollte eine Pseudonymisierung in Betracht gezogen werden, beispielsweise bei der Nutzung von Daten für interne Statistiken oder das Qualitätsmanagement, sofern eine direkte Patientenidentifikation nicht erforderlich ist.
Spezialfall Kinder und Jugendliche
Der Schutz von Kinderdaten hat höchste Priorität. Bei minderjährigen Patienten ist die Einwilligung zur Einrichtung und Nutzung einer ePA durch die Sorgeberechtigten zu erteilen. Es müssen klare Prozesse definiert werden, wie mit dem Erreichen der Volljährigkeit umgegangen wird. Ab diesem Zeitpunkt muss der junge Erwachsene die alleinige Kontrolle über seine ePA erhalten und frühere Zugriffsrechte der Eltern widerrufen können. Praxissysteme müssen diese Übergänge technisch und organisatorisch sauber abbilden.
Vendor Due Diligence: Auswahl und Überprüfung von Dienstleistern
Keine Praxis entwickelt ihre Software selbst. Die Auswahl des Praxisverwaltungssystems (PVS) und anderer Dienstleister ist daher ein kritischer Aspekt der Datensicherheit. Führen Sie eine sorgfältige Prüfung (Due Diligence) durch:
- Vertrag über Auftragsverarbeitung (AVV): Ein rechtssicherer AVV nach Art. 28 DSGVO ist unverzichtbar.
- Zertifizierungen: Prüfen Sie, ob der Anbieter relevante Zertifizierungen vorweisen kann (z.B. nach ISO 27001 oder branchenspezifische Siegel).
- Technische und Organisatorische Maßnahmen (TOMs): Lassen Sie sich die TOMs des Dienstleisters vorlegen und prüfen Sie diese auf Plausibilität und Angemessenheit.
- Auditrechte: Stellen Sie vertraglich sicher, dass Sie das Recht haben, die Einhaltung der Datenschutzvorgaben beim Dienstleister zu überprüfen oder überprüfen zu lassen.
Interoperabilität und Standards
Eine sichere Kommunikation zwischen tausenden verschiedenen Systemen ist nur durch verbindliche Standards möglich. Im Kontext der ePA sind vor allem folgende relevant:
- IHE (Integrating the Healthcare Enterprise): Definiert Integrationsprofile, die beschreiben, wie Systeme in bestimmten klinischen Anwendungsfällen sicher Daten austauschen.
- FHIR (Fast Healthcare Interoperability Resources): Ein moderner Standard (ausgesprochen „Fire“), der als Datenaustauschformat dient und eine flexible und sichere Kommunikation via APIs ermöglicht.
Die Einhaltung dieser Standards durch Ihren Softwareanbieter ist ein wichtiges Qualitätsmerkmal für die Gewährleistung der Datensicherheit bei elektronischen Patientenakten.
Protokollierung und Nachweisführung
Jeder einzelne Zugriff auf die ePA eines Patienten muss lückenlos und manipulationssicher protokolliert werden (Logging). Diese Protokolle müssen mindestens folgende Informationen enthalten: Wer hat wann, von welchem System aus, auf welche Daten zugegriffen und welche Aktion (Lesen, Schreiben, Löschen) wurde durchgeführt. Diese Protokolle dienen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und sind im Falle einer Sicherheitsüberprüfung oder einer Patientenanfrage unerlässlich.
Incident Management ohne Panik
Trotz aller Vorkehrungen kann es zu einem Datenschutzvorfall kommen. Ein strukturierter Incident-Response-Plan hilft, besonnen und korrekt zu handeln.
- Identifizieren und Eindämmen: Was ist passiert? Wie kann der Schaden begrenzt werden?
- Bewerten: Liegt ein Risiko für die Rechte und Freiheiten der betroffenen Person vor?
- Melden: Bei einem Risiko muss der Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.
- Benachrichtigen: Bei einem voraussichtlich hohen Risiko muss auch der betroffene Patient unverzüglich informiert werden.
- Dokumentieren und Lernen: Jeder Vorfall muss intern dokumentiert und analysiert werden, um zukünftige Vorfälle zu vermeiden.
Muster-DSFA für elektronische Patientenakten
Die Einführung der ePA in einer Praxis stellt eine Verarbeitung dar, die ein hohes Risiko für die Rechte der Patienten birgt. Daher ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), gemäß Art. 35 DSGVO verpflichtend. Eine DSFA sollte mindestens folgende Punkte strukturiert behandeln:
- Beschreibung der Verarbeitungsvorgänge: Welche Daten werden zu welchem Zweck wie verarbeitet?
- Notwendigkeit und Verhältnismäßigkeit: Warum ist diese Verarbeitung zur Erreichung des Behandlungsziels notwendig?
- Risikoanalyse: Identifikation und Bewertung der Risiken für die Patienten (z.B. unbefugter Zugriff, Datenverlust).
- Abhilfemaßnahmen: Beschreibung der geplanten technischen und organisatorischen Maßnahmen zur Risikominimierung.
Praktische Checkliste für die Praxis
Die Gewährleistung der Datensicherheit bei elektronischen Patientenakten ist ein fortlaufender Prozess. Diese Checkliste hilft bei der Umsetzung.
Sofortmaßnahmen
- [ ] Alle Mitarbeitenden zum Thema ePA und den spezifischen Sicherheitsanforderungen schulen.
- [ ] Zugriffsrechte im PVS überprüfen und nach dem Minimalprinzip neu vergeben.
- [ ] Den Vertrag zur Auftragsverarbeitung (AVV) mit dem PVS-Anbieter auf Aktualität und Vollständigkeit prüfen.
- [ ] Sicherstellen, dass alle Arbeitsplätze über aktuelle Virenscanner und eine Firewall verfügen.
- [ ] Den Incident-Response-Plan erstellen oder aktualisieren und Verantwortlichkeiten festlegen.
Mittelfristiger Fahrplan (ab 2025)
- [ ] Die Datenschutz-Folgenabschätzung (DSFA) für die ePA durchführen und dokumentieren.
- [ ] Einen Prozess für die regelmäßige Überprüfung der Zugriffsprotokolle etablieren.
- [ ] Jährliche Datenschutz-Schulungen für das gesamte Team fest im Kalender verankern.
- [ ] Die physische Sicherheit der IT-Infrastruktur (z.B. Serverraum) überprüfen.
Patientenkommunikation und FAQs
Transparenz schafft Vertrauen. Bereiten Sie sich darauf vor, Fragen Ihrer Patienten zur ePA kompetent zu beantworten.
- Was passiert mit meinen Daten? Erklären Sie das Prinzip der Ende-zu-Ende-Verschlüsselung und dass nur der Patient die Hoheit hat.
- Wer kann meine Akte einsehen? Machen Sie deutlich, dass der Patient jeden Zugriff einzeln freigeben muss.
- Kann ich meine Einwilligung widerrufen? Informieren Sie über das jederzeitige Recht zum Widerruf und die Konsequenzen (z.B. Löschung der Akte).
- Wie bekomme ich Auskunft über meine Daten? Weisen Sie auf das Auskunftsrecht nach Art. 15 DSGVO und die Protokollierungsfunktion der ePA hin.
Weiterführende Ressourcen und Links
Für vertiefende Informationen und rechtliche Details empfehlen wir die Webseiten der offiziellen Stellen:
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Bietet Orientierungshilfen und Tätigkeitsberichte zum Thema Gesundheit und Datenschutz.
- Bundesministerium für Gesundheit: Stellt Informationen zur gesetzlichen Ausgestaltung und Einführung der ePA bereit.
- Volltext der DSGVO: Die offizielle Quelle für alle rechtlichen Fragestellungen zur Datenschutz-Grundverordnung.
Die erfolgreiche und sichere Implementierung der ePA ist eine Gemeinschaftsaufgabe. Ein fundiertes Verständnis der Anforderungen an die Datensicherheit bei elektronischen Patientenakten schützt nicht nur die Daten Ihrer Patienten, sondern auch Ihre Praxis vor rechtlichen und reputativen Risiken.