Inter­view – Dr. Hans Zeger: Daten­schutz: Schwach­stelle Internet

25.04.2013 | Poli­tik

Wenn Ordi­na­ti­ons­com­pu­ter eine Ver­bin­dung zum Inter­net haben, ist das nach Ansicht des Daten­­schutz-Exper­­ten Hans Zeger ein­deu­tig eine Schwach­stelle. Noch undurch­schau­ba­rer als Com­pu­ter sind jedoch Smart­phone und Tablet, wie das Mit­glied des öster­rei­chi­schen Daten­schutz­ra­tes im Gespräch mit Bar­bara Wakol­bin­ger erklärt.

ÖÄZ: Wor­auf sollte man in einer Ordi­na­tion in Bezug auf Daten­si­cher­heit beson­ders ach­ten?
Zeger: Hier spielt in ers­ter Linie die Größe der Pra­xis eine Rolle. In einer klei­nen Ordi­na­tion kommt es vor allem dar­auf an, nichts her­um­lie­gen zu las­sen und die Geräte kor­rekt abzu­schal­ten und zu ver­sper­ren. Schwie­rig wird es erst bei grö­ße­ren Ordi­na­tio­nen. Das müs­sen noch nicht ein­mal Gemein­schafts­or­di­na­tio­nen sein, wo es ein biss­chen kom­ple­xer aus­sieht. Es gibt hier im Daten­schutz­ge­setz Bestim­mun­gen, die Zutritts- und Zugriffs­be­schrän­kun­gen, Auf­ga­ben­auf­tei­lung und Ähn­li­ches regeln. Das muss ich pla­nen, eine pas­sende Soft­ware anschaf­fen und meine Mit­ar­bei­ter schu­len. Weder darf unge­fragt in Pati­en­ten­da­ten her­um­ge­stö­bert wer­den, noch sollte neu­gie­ri­gen Ver­wand­ten oder sons­ti­gen Per­so­nen per Tele­fon zu schnell Aus­kunft gege­ben werden.

Wie geht man über­haupt mit tele­fo­ni­schen Anfra­gen um?
Das sind typi­sche Fra­gen, die ich lösen muss, bevor sie auf­tau­chen. Ich kann sagen: Ich gebe grund­sätz­lich keine tele­fo­ni­schen Aus­künfte, auch nicht an Pati­en­ten. Oder ich gebe nur Aus­kunft, wenn ein Kenn­wort genannt wird oder indem ich zurück­rufe. Oder auch nur, wenn ich bei lang­jäh­ri­gen Pati­en­ten die Stimme erkenne.

Wel­che Vor­keh­run­gen sind zu tref­fen, wenn die Ordi­na­tion nicht besetzt ist?
Wenn die Ordi­na­tion nicht besetzt ist, muss sie zumin­dest soweit gesi­chert sein, dass man erkennt, wenn ein­ge­bro­chen wurde. Zusätz­lich sollte man sich mit Back­ups absi­chern, um Daten wie­der rekon­stru­ie­ren zu kön­nen. Das Backup darf nicht in den­sel­ben Räum­lich­kei­ten sein wie die Ordi­na­tion. Auch feu­er­feste Wand­tre­sore sind geeig­net. Auf kei­nen Fall sollte man die Daten im Auto die ganze Zeit mit sich führen.

Wie sieht es aus, wenn Ordi­na­ti­ons­com­pu­ter eine Ver­bin­dung zum Inter­net haben?
Das ist ganz klar eine Schwach­stelle. Aber es kommt sehr dar­auf an, wie sich jemand online ver­hält. Auch ein­ge­stellte Fil­ter und Schutz­maß­nah­men wie Fire­walls sind Fak­to­ren. Grund­sätz­lich kann man das schon machen, man sollte sich aber die­ser zusätz­li­chen Schwach­stelle bewusst sein. Am bes­ten wäre es, mit dem IT-Lie­­fe­ran­­ten oder ‑Betreuer dar­über zu spre­chen, wie man das löst.

Wel­che Gefahr stel­len denn Fremd­zu­griffe über das Inter­net dar?
Hacker­an­griffe halte ich für ziem­lich uner­heb­lich. In Wirk­lich­keit inter­es­siert sich nie­mand für ein paar Arzt­da­ten und sollte er sich dafür inter­es­sie­ren, dann ver­sucht er nicht, über Tech­nik zuzu­grei­fen, son­dern über Social Engi­nee­ring. Das heißt, er ruft an und gibt sich beim Fach­arzt als Haus­arzt aus, beruft sich auf den Aus­tausch unter Kol­le­gen oder mel­det sich als Behörde und ver­sucht, einen Assis­ten­ten ein­zu­schüch­tern. Das sind eher Mög­lich­kei­ten, rechts­wid­rig an Pati­en­ten­da­ten her­an­zu­kom­men. Aller­dings haben viele Ärzte auch öffent­li­che Zugänge, etwa Home­pages, auf denen sie ihre Ordi­na­tion und ihre Leis­tun­gen ankün­di­gen. Das sollte vom nor­ma­len Ordi­na­ti­ons­prin­zip völ­lig getrennt sein. Zwar kann man eine Home­page schon sicher betrei­ben, aber der Auf­wand dafür ist sehr hoch. Das geht durch eine Tren­nung einfacher.

Birgt das Faxen von Daten und Befun­den ein Risiko?
Für das Über­tra­gen von Daten gibt es im ELGA-Gesetz rela­tiv umfang­rei­che Sicher­heits­be­stim­mun­gen. Lei­der hat man das Faxen immer noch nicht völ­lig ver­bo­ten. Das trifft jedoch in ers­ter Linie nicht für Ordi­na­tio­nen zu, son­dern für Behör­den, die irgend­wel­che Bef­und­da­ten benö­ti­gen. Das ist eigent­lich abzu­leh­nen, da es eine extrem unsi­chere Methode ist. Es gibt auch noch Ordi­na­tio­nen, die über­haupt kei­nen Com­pu­ter haben, wo Daten oft nicht ein­mal per Fax über­tra­gen, son­dern per Post geschickt wer­den. Zwar muss man diese Sachen abstel­len, sie sind aber kein sys­te­ma­ti­sches Pro­blem. In der nächs­ten Genera­tion wird man das nicht mehr machen. Ich sehe da eher die Gefahr, dass man irgend­wel­che Pati­en­ten­lis­ten erzeugt und dann per E‑Mail hin- und her­schickt. Das ist unzulässig.

Immer mehr Ärzte sind auch mobil unter­wegs. Darf man Pati­en­ten­da­ten auf dem Smart­phone oder Tablet abru­fen?
Einen ein­zel­nen Befund am Smart­phone abzu­ru­fen, anzu­schauen und dann zu löschen, ist rela­tiv unpro­ble­ma­tisch. Seine Pati­en­ten­ver­wal­tung am mobi­len Gerät zu machen, halte ich für fahr­läs­sig. Die Sys­teme sind noch undurch­schau­ba­rer als nor­male Com­pu­ter. Zwar gibt es Mög­lich­kei­ten, über gesi­cherte Ver­bin­dun­gen in die Ordi­na­ti­ons­soft­ware zu kom­men und sich etwas abzu­ru­fen, aber ich würde das nicht am Smart­phone abla­gern. Denn Smart­pho­nes sind auch Geräte, die gerne gestoh­len werden.

Wie muss der All­tag in Bezug auf Daten­schutz in einer Gemein­schafts­pra­xis aus­se­hen?
Auch in einer Gemein­schafts­pra­xis gilt die ärzt­li­che Ver­schwie­gen­heits­pflicht. Das ist vie­len Ärz­ten und Mit­ar­bei­tern nicht bewusst. Ich muss daher ent­we­der ent­spre­chend zwi­schen den Pati­en­ten tren­nen oder mich zeit­ge­recht um eine Zustim­mungs­er­klä­rung des Pati­en­ten küm­mern. So kann ich fest­le­gen, dass auch Kol­le­gen Ein­sicht bekom­men. Ansons­ten wäre es ein ziem­li­ches Pro­blem. Dazu gehört eine gewisse Pla­nung: Wenn ein neuer Pati­ent kommt, rede ich mit ihm dar­über und er kann zustim­men oder auch nicht. Wich­tig ist es, daran im Vor­hin­ein zu den­ken. Denn im Nach­hin­ein lässt sich das oft nur noch schwer entwirren.

Wenn man aber einen Fall mit einem Kol­le­gen bespre­chen will?
Unter Kol­le­gen kann man einen Fall auch bespre­chen, ohne Namen zu nen­nen. Das setzt nur eine gewisse Rou­tine vor­aus. Vor noch nicht allzu lan­ger Zeit war es auf Kon­gres­sen üblich, dass Pati­en­ten als Bei­spiel vor­ge­führt und mit vol­lem Namen ange­spro­chen wur­den. Das ist heute kaum mehr der Fall. Genauso muss ich mich heute daran gewöh­nen, nicht über einen Pati­en­ten, son­dern über einen Fall zu reden. Das ist eine Schu­­lungs- und Ein­stel­lungs­sa­che. Jeder hat sein Recht auf Pri­vat­sphäre und auf den Schutz von sen­si­blen Daten. Medi­zi­ni­sche Daten sind sen­si­ble Daten.

In Deutsch­land müs­sen Ordi­na­tio­nen ab zehn Beschäf­tig­ten einen Daten­schutz­be­auf­trag­ten haben. Ist das sinn­voll?
Das wäre sicher zu begrü­ßen. Ein ein­zel­ner Arzt wird sich einen ein­zel­nen Daten­schutz­be­auf­trag­ten nicht leis­ten kön­nen. Aber es wäre sicher sinn­voll etwa im Rah­men der Ärz­te­kam­mer so ein Ser­vice anzu­bie­ten. Ein Daten­schutz­be­auf­trag­ter könnte meh­rere Ärzte gemein­sam betreuen und regel­mä­ßig im Ein­zel­fall auf Ver­trau­lich­keit und Abläufe ach­ten. Das beginnt ja bei Klei­nig­kei­ten: Etwa wenn der Bild­schirm in der Ordi­na­tion so auf­ge­stellt ist, dass die Pati­en­ten mit­le­sen kön­nen. Drehe ich den Schirm um 90 Grad, habe ich schon 50 Pro­zent der Daten­schutz­pro­bleme erle­digt. Pro­ble­ma­tisch ist auch, wenn die Ordi­na­ti­ons­hilfe lau­fend weg­ge­hen muss und das Gerät so steht, dass ein ande­rer schnell etwas ein­tip­pen oder nach­schla­gen kann. Das sind gewisse Risi­ken, die man oft durch kleine tech­ni­sche Maß­nah­men oder Schu­lungs­maß­nah­men besei­ti­gen kann. Das muss man sich im Ein­zel­fall ansehen.

Wo sehen Sie in Öster­reich noch gesetz­li­che Lücken?
Das Haupt­pro­blem ist, dass die Pati­en­ten­da­ten nicht ver­schlüs­selt gespei­chert wer­den. Der reine Pas­s­­wort-Schutz beim Ein­stei­gen in das Sys­tem ist für die Daten­si­cher­heit unge­eig­net. Nur wenn Daten ver­schlüs­selt abge­spei­chert wer­den, wäre das ein aus­rei­chen­der Schutz vor dem unbe­rech­tig­ten Zugriff durch Dritte. Das fehlt in der ELGA-Bestimmung.

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 8 /​25.04.2013