Patientendaten-Sicherheit: Schutz von Gesundheitsdaten in der Praxis

Patientendaten-Sicherheit: Schutz von Gesundheitsdaten in der Praxis

Patientendaten-Sicherheit: Der Praxisleitfaden für Ärzte, Apotheken und Versicherte

Die Patientendaten-Sicherheit ist das Fundament des digitalen Gesundheitswesens. Mit der flächendeckenden Einführung der elektronischen Patientenakte (ePA) und des E-Rezepts rückt der Schutz sensibelster Informationen in den Mittelpunkt. Dieser Leitfaden bietet einen technisch fundierten und praxisorientierten Überblick über die rechtlichen, technischen und organisatorischen Anforderungen. Er richtet sich an Ärztinnen und Ärzte, Apothekerinnen und Apotheker, IT-Verantwortliche sowie an interessierte Versicherte, die ihre Datenhoheit verstehen und wahren möchten.

Inhaltsverzeichnis

Key Facts: Zeitstrahl und zentrale Entwicklungen zur Patientendaten-Sicherheit

Die Digitalisierung im Gesundheitswesen schreitet schnell voran. Die Gewährleistung der Patientendaten-Sicherheit ist dabei ein dynamischer Prozess. Folgende Meilensteine sind für die kommenden Jahre zentral:

  • Ab 2025: Flächendeckende Einführung der elektronischen Patientenakte (ePA) als Opt-out-Lösung. Jeder gesetzlich Versicherte erhält automatisch eine ePA, sofern er nicht aktiv widerspricht. Dies erhöht die Dringlichkeit robuster Sicherheitskonzepte.
  • Ab 2026: Verpflichtende Nutzung des E-Rezepts wird weiter ausgebaut und auf weitere Verordnungsarten erweitert. Die sichere Übermittlung und Einlösung über die Telematikinfrastruktur (TI) ist entscheidend.
  • Ab 2027: Geplante Integration weiterer digitaler Gesundheitsanwendungen (DiGAs) in die ePA und die TI. Die sichere Anbindung von Drittanbieter-Apps über standardisierte Schnittstellen wird zur Kernherausforderung.

Rechtlicher Rahmen und besondere Schutzbedürftigkeit nach Art. 9 DSGVO

Gesundheitsdaten genießen nach der Datenschutz-Grundverordnung (DSGVO (GDPR auf Englisch)) einen besonderen Schutz. Sie fallen unter Artikel 9 DSGVO, der die Verarbeitung “besonderer Kategorien personenbezogener Daten” regelt.

Besondere Schutzbedürftigkeit

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Ausnahme vor. Im Gesundheitswesen sind dies typischerweise:

  • Die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO).
  • Die Erforderlichkeit für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich (Art. 9 Abs. 2 lit. h DSGVO).

Ergänzend zur DSGVO regeln nationale Gesetze wie das Fünfte Buch Sozialgesetzbuch (SGB V) und das Patientendaten-Schutz-Gesetz (PDSG) spezifische Anforderungen an die Patientendaten-Sicherheit in Deutschland. Zentrale Grundsätze sind hierbei immer Zweckbindung, Datenminimierung und Transparenz.

Technik im Fokus: Verschlüsselung, Authentifizierung und Protokollierung

Eine robuste technische Basis ist unerlässlich für die Patientendaten-Sicherheit. Drei Säulen sind hierbei von zentraler Bedeutung.

Verschlüsselung

Daten müssen sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) geschützt werden.

  • Transportverschlüsselung: Sichert die Daten auf dem Weg zwischen Praxis-IT und den Servern der Telematikinfrastruktur (z.B. via TLS 1.3).
  • Ende-zu-Ende-Verschlüsselung: Stellt sicher, dass nur Sender und autorisierter Empfänger die Daten entschlüsseln können. In der ePA bedeutet dies, dass die Daten auf dem zentralen Speicher verschlüsselt liegen und nur mit dem Schlüssel des Versicherten (auf seiner Gesundheitskarte oder in seiner App) lesbar gemacht werden können.

Authentifizierung

Es muss zweifelsfrei sichergestellt werden, wer auf Daten zugreift. Dies geschieht durch starke Authentifizierungsverfahren.

  • Zwei-Faktor-Authentifizierung (2FA): Eine Kombination aus Besitz (z.B. elektronischer Heilberufsausweis (eHBA), elektronische Gesundheitskarte (eGK)) und Wissen (PIN).
  • Starke Authentifizierung für Patienten: Zugriff auf die ePA erfolgt über die eGK mit PIN am Kartenterminal oder über eine dedizierte App auf dem Smartphone des Versicherten, die ebenfalls durch mindestens zwei Faktoren gesichert ist.

Protokollierung

Jeder Zugriff auf Patientendaten muss lückenlos und manipulationssicher protokolliert werden (Audit Trail). Die Protokolle müssen mindestens erfassen: Wer hat wann auf welche Daten warum und in welcher Form (lesend, schreibend) zugegriffen? Diese Protokolle sind für Patienten in ihrer ePA-App einsehbar und dienen der Nachvollziehbarkeit und Kontrolle.

Interoperabilität und Drittanbieterschnittstellen: Formate, Risiken und Absicherungsoptionen

Damit Daten zwischen verschiedenen Systemen (Praxissoftware, Krankenhaus-IT, Apothekensoftware, Patienten-Apps) sicher ausgetauscht werden können, sind standardisierte Formate und Schnittstellen notwendig.

Formate und Standards

Der international etablierte Standard FHIR (Fast Healthcare Interoperability Resources) setzt sich auch in Deutschland durch. Er ermöglicht einen strukturierten und semantisch eindeutigen Datenaustausch. Eine hohe Datenqualität ist ein integraler Bestandteil der Patientendaten-Sicherheit.

Risiken und Absicherung von Schnittstellen (APIs)

Mit der Öffnung der ePA für Apps von Drittanbietern entstehen neue Risiken. Versicherte können Apps die Erlaubnis geben, auf ihre ePA-Daten zuzugreifen. Die Absicherung erfolgt über:

  • Zulassungsverfahren: Apps müssen ein strenges Sicherheits- und Datenschutz-Prüfverfahren durch die gematik durchlaufen.
  • OAuth 2.0 und OpenID Connect: Diese Protokolle stellen sicher, dass eine App nur auf die Daten zugreifen kann, für die der Nutzer explizit die Freigabe erteilt hat. Der Zugriff ist zudem zeitlich und im Umfang begrenzt (Prinzip der geringsten Rechte).

Datenfluss-Szenarien: Elektronische Patientenakte, E-Rezept, Kassenwechsel

Szenario 1: Befund in die ePA hochladen

  1. Arzt erstellt Befund im Praxisverwaltungssystem (PVS).
  2. Arzt authentifiziert sich mit eHBA und PIN am Konnektor der TI.
  3. Patient gibt den Zugriff auf die ePA via eGK und PIN frei.
  4. Der Befund wird Ende-zu-Ende-verschlüsselt über den TI-Konnektor an den ePA-Aktenserver gesendet.
  5. Der Vorgang wird im PVS, im Konnektor und im ePA-System protokolliert. Der Patient kann den Zugriff in seiner App nachvollziehen.

Szenario 2: E-Rezept einlösen

  1. Arzt erstellt E-Rezept und signiert es digital mit dem eHBA.
  2. Das Rezept wird verschlüsselt auf dem zentralen E-Rezept-Server der TI gespeichert.
  3. Patient öffnet die E-Rezept-App und authentifiziert sich oder steckt seine eGK in der Apotheke ins Terminal.
  4. Die Apotheke ruft das Rezept über ihren TI-Zugang vom Server ab. Der Apotheker authentifiziert sich mit seiner SMC-B-Karte (Praxisausweis).
  5. Nach Abgabe der Medikamente wird das Rezept als eingelöst markiert.

Organisatorische Maßnahmen: Rollen, Verantwortlichkeiten und Dokumentation

Technik allein reicht nicht aus. Die Patientendaten-Sicherheit muss durch klare organisatorische Regelungen im Praxis- und Apothekenalltag verankert werden.

  • Rollen und Verantwortlichkeiten: Es muss klar definiert sein, wer für die IT-Sicherheit verantwortlich ist (z.B. Praxisinhaber, IT-Beauftragter). Ein externer oder interner Datenschutzbeauftragter ist oft gesetzlich vorgeschrieben.
  • Zugriffsberechtigungskonzept: Nicht jeder Mitarbeiter benötigt Zugriff auf alle Daten. Ein rollenbasiertes Konzept stellt sicher, dass z.B. das Empfangspersonal nur administrative Daten, medizinisches Fachpersonal aber die vollständige Akte einsehen kann.
  • Mitarbeiterschulungen: Regelmäßige Schulungen zum Datenschutz und zur IT-Sicherheit sind unerlässlich, um das Bewusstsein für Risiken wie Phishing oder den korrekten Umgang mit Passwörtern zu schärfen.
  • Dokumentation: Alle Maßnahmen, Verantwortlichkeiten und Prozesse müssen im Verzeichnis von Verarbeitungstätigkeiten (VVT) und in den Technisch-Organisatorischen Maßnahmen (TOMs) dokumentiert werden.

Vertragliche Absicherung bei Dienstleistern: Prüfpunkte und Nachweise

Praxen und Apotheken lagern IT-Dienstleistungen oft aus (z.B. Softwarewartung, Cloud-Speicher). Hier ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.

Wichtige Prüfpunkte im AVV

  • Genaue Beschreibung des Auftrags: Welche Daten werden zu welchem Zweck wie lange verarbeitet?
  • Technische und Organisatorische Maßnahmen (TOMs) des Dienstleisters: Der Dienstleister muss nachweisen, dass er ein angemessenes Schutzniveau bietet (z.B. durch Zertifizierungen wie ISO 27001).
  • Standort der Datenverarbeitung: Die Verarbeitung sollte innerhalb der EU/des EWR stattfinden.
  • Weisungsgebundenheit und Kontrollrechte: Sie müssen das Recht haben, die Einhaltung der Maßnahmen zu überprüfen.
  • Regelungen zu Unterauftragnehmern: Der Einsatz weiterer Dienstleister durch Ihren Partner bedarf Ihrer Zustimmung.

Abrechnungsprozesse sicher abbilden: Übersicht und typische Fallstricke

Die Übermittlung von Abrechnungsdaten an die Kassenärztlichen Vereinigungen (KVen) und Krankenkassen ist ein kritischer Prozess. Die Datenübertragung muss zwingend über gesicherte Kanäle wie das KV-SafeNet erfolgen. Typische Fallstricke sind die unsachgemäße Speicherung von Abrechnungsdateien auf ungesicherten lokalen Rechnern oder deren Versand über unverschlüsselte E-Mails. Stellen Sie sicher, dass Abrechnungsdaten nach erfolgreicher Übermittlung nur im PVS archiviert und nicht unkontrolliert auf anderen Geräten verteilt werden.

Kommunikation mit Patientinnen: Sichere Nutzung von E-Mail, SMS und Messengern

Die Kommunikation mit Patienten über digitale Kanäle birgt hohe Risiken für die Patientendaten-Sicherheit.

Kanal Sicherheitsbewertung Empfehlung
Standard-E-Mail Unsicher. Keine Ende-zu-Ende-Verschlüsselung, vergleichbar mit einer Postkarte. Nur für organisatorische Absprachen ohne Gesundheitsdaten (z.B. Terminbestätigung ohne Nennung des Behandlungsgrunds) und nur mit Einwilligung des Patienten.
SMS Unsicher. Keine Verschlüsselung, Metadaten fallen an. Nicht für die Übermittlung von Gesundheitsdaten geeignet. Maximal für Terminerinnerungen.
Standard-Messenger (z.B. WhatsApp) Ungeeignet. Trotz Ende-zu-Ende-Verschlüsselung ist die Verarbeitung von Metadaten und der Datentransfer in die USA (bei US-Anbietern) rechtlich hochproblematisch. Dringend vermeiden.
Sichere Alternativen Sicher. Verschlüsselte Patientenportale, spezielle Gesundheits-Messenger oder Ende-zu-Ende-verschlüsselte E-Mail (z.B. via PGP oder S/MIME). Die bevorzugte Wahl für den Austausch sensibler Informationen.

Praktische Umsetzung: Schritt-für-Schritt-Check für Praxen und Apotheken

  1. Bestandsaufnahme: Welche Patientendaten werden wo und wie verarbeitet? (PVS, Bildarchive, Labor-IT etc.)
  2. IT-Basisschutz prüfen: Ist die Firewall aktiv und aktuell? Ist auf allen Rechnern ein professioneller Virenschutz installiert? Werden regelmäßig Backups erstellt und deren Wiederherstellbarkeit getestet?
  3. Zugriffsrechte definieren: Erstellen Sie ein schriftliches Konzept, welcher Mitarbeiter auf welche Daten zugreifen darf. Setzen Sie dies im PVS um.
  4. Passwortrichtlinie einführen: Erzwingen Sie komplexe Passwörter und regelmäßige Wechsel. Wo immer möglich, 2FA nutzen.
  5. Dienstleisterverträge (AVV) prüfen: Liegen für alle externen IT-Dienstleister gültige AVVs vor?
  6. Mitarbeiter schulen: Führen Sie mindestens einmal jährlich eine Datenschutz- und Sicherheitsschulung durch.
  7. Notfallplan erstellen: Was ist im Falle eines Datenverlusts, Hackerangriffs oder einer Datenschutzpanne zu tun? (Meldewege, Verantwortlichkeiten).

Umsetzungs-Quicklist für Datenschutzbeauftragte und Auditoren

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren: Sind alle neuen Prozesse (ePA, E-Rezept) vollständig und korrekt abgebildet?
  • Datenschutz-Folgenabschätzung (DSFA): Wurde für neue Technologien mit hohem Risiko (z.B. Einführung einer KI-basierten Diagnosesoftware) eine DSFA nach Art. 35 DSGVO durchgeführt?
  • Wirksamkeit der TOMs auditieren: Führen Sie regelmäßige (z.B. jährliche) Überprüfungen der technischen und organisatorischen Maßnahmen durch. Sind die Protokollierungen aktiv und werden sie ausgewertet?
  • AVVs und Dienstleister-Audits: Prüfen Sie die Verträge auf Aktualität und fordern Sie Nachweise (Zertifikate, Auditberichte) von Ihren Dienstleistern an.
  • Incident-Response-Prozess testen: Simulieren Sie eine Datenschutzpanne, um die Wirksamkeit Ihres Notfallplans zu überprüfen.

FAQ: Antworten auf häufige Fragen aus Praxis und Patientenperspektive

Frage: Wer hat die Hoheit über meine Daten in der ePA?

Antwort: Allein der Patient. Sie entscheiden, welche Dokumente in Ihrer ePA gespeichert werden, welche Ärzte, Krankenhäuser oder Apotheken darauf zugreifen dürfen und für wie lange. Jeder Zugriff wird protokolliert und ist für Sie einsehbar.

Frage: Ist die Speicherung von Patientendaten in einer Cloud zulässig?

Antwort: Ja, aber nur unter strengen Voraussetzungen. Der Cloud-Anbieter muss die Anforderungen der DSGVO erfüllen (Serverstandort EU/EWR), ein angemessenes Sicherheitsniveau nachweisen und es muss ein gültiger Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Eine private Cloud-Lösung ohne diese Absicherung ist illegal.

Frage: Was passiert bei einem Verlust meines Smartphones mit der ePA-App?

Antwort: Die Daten selbst sind nicht auf dem Smartphone gespeichert, sondern nur der Schlüssel zum Zugriff. Der Zugriff auf die App ist durch mindestens zwei Sicherheitsmerkmale geschützt (z.B. Passwort und Biometrie). Bei Verlust können Sie den Zugang über Ihre Krankenkasse sperren lassen und auf einem neuen Gerät wiederherstellen.

Vorlagen, Diagramme und weiterführende amtliche Stellen

Für vertiefende Informationen und offizielle Richtlinien sind die folgenden Anlaufstellen maßgeblich:

  • Bundesministerium für Gesundheit (BMG): Bietet grundlegende Informationen und Gesetzesvorhaben wie das Patientendaten-Schutz-Gesetz.
  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Die oberste deutsche Datenschutz-Aufsichtsbehörde mit umfassenden Leitfäden und Tätigkeitsberichten. Webseite: www.bfdi.bund.de
  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Bietet Arbeitshilfen und Fachinformationen für Datenschutzbeauftragte. Webseite: www.gdd.de
  • Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.: Vertritt die Interessen von Datenschutzbeauftragten und bietet ebenfalls Fachinformationen. Webseite: www.bvdnet.de

Auditpfade: Protokolle, Meldewege und Nachweiserfordernisse

Lückenlose Protokollierung (Auditpfade) ist die Grundlage für Transparenz und Aufklärung im Schadensfall. Jedes IT-System, das Patientendaten verarbeitet, muss detaillierte Logs erstellen. Im Falle einer Datenschutzpanne (z.B. Datenverlust, unbefugter Zugriff) greift eine gesetzliche Meldepflicht.

  • Meldung an die Aufsichtsbehörde: Eine Panne muss unverzüglich, möglichst binnen 72 Stunden, an die zuständige Landesdatenschutzbehörde gemeldet werden.
  • Benachrichtigung der Betroffenen: Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Patienten, müssen auch diese unverzüglich informiert werden.

Eine saubere Dokumentation und funktionierende Auditpfade sind entscheidend, um den Aufsichtsbehörden nachweisen zu können, dass angemessene Vorkehrungen für die Patientendaten-Sicherheit getroffen wurden und um den Umfang eines Schadens schnell zu ermitteln.