ELGA: "Datenmissbrauch im Spital passiert aus Neugier"

Klaus Schindelwig ist Datenschutzbauftragter der Tiroler Landeskrankenanstalten GmbH (TILAK), die als Rechtsträger mehrerer Krankenhäuser wie z.B. das Universitätsklinikum Innsbruck in Tirol fungiert. In den Spitälern soll die elektronische Gesundheitsakte (ELGA) als Erstes - nämlich Anfang 2015 - eingeführt werden. In Tirol gab es dazu ein Pilotprojekt. Doch wie vorbereitet sind die Krankenhäuser darauf? Wie werden die Daten geschützt? Und wie wappnet man sich gegen Missbrauch?

futurezone: Ab 2015 müssen Krankenhäuser an ELGA teilnehmen. Halten Sie diesen Zeitplan für Sie realistisch?
Klaus Schindelwig: Unter gewissen Prämissen ist die fristgerechte Einführung möglich. Das heißt, dass die Leute, die ELGA realisieren sollen, sich mit Nachdruck hinter dieses Thema klemmen müssen. Man diskutiert bei ELGA nämlich immer sehr viel über die technischen Möglichkeiten, aber die Prozessabläufe, die dahinterstecken, werden zu wenig beachtet. Die Fragen was passiert, wenn der Patient zu uns ins Krankenhaus kommt, von wem wird er aufgeklärt, wohin kann er sich bei einem Widerspruch wenden, sind aufwendige Prozesse. Das wird oft unterschätzt.

Haben Sie bei der TILAK schon mit der Aufklärung des Personals begonnen?
In der TILAK haben wir das Gesundheitsnetzwerk Tirol als Vorprojekt zu ELGA durchgeführt. Da haben sich mehrere Krankenhäuser zusammengeschlossen, um Daten zwischen den Krankenhäusern mit einer Einzelzustimmung des Patienten auszutauschen. Wenn der Patient wünscht, dass über ihn Daten aus einem anderen Krankenhaus zur Verfügung gestellt werden, erklärt er dies. Da hat es auch schon ein paar schöne Beispiele gegeben, dass wir dadurch Leben retten konnten.

Bei der Einführung hat man aber auch gesehen, dass es sehr viel an Information und Nachhaltigkeit bedarf, die Ärzte darauf hinzuweisen, dieses System auch zu verwenden. Es macht einen Unterschied ob ich einen Button habe in meinem klinischen Informationssystem, oder ob ich ihn tatsächlich verwende. Das wird auch bei ELGA so sein.

Sie haben Angst, dass die Ärzte ELGA nicht verwenden werden?
Für die Nutzung von ELGA ist es wichtig, dass ein entsprechender Füllstand an Dokumenten vorhanden ist. Wenn diese Erwartung mehrere Male enttäuscht wird, dann ist es meistens so, dass man nicht mehr reinschaut. Das wird die ersten Jahre eine richtige Hürde sein, denn wir dürfen erst ab 1.1.2015 Daten einspielen. Bis es dann zu einem akzeptablen Füllstand kommen wird, werden zwei bis drei Jahre vergehen.

Am Anfang gibt es also kein Big Data, sondern gar keine Daten…
Man macht keine historische Nacherfassung der Daten. Daher kommen Daten erst sukzessive hinzu. Wenn Patienten 2015 ins System reinschauen werden, um rauszufinden, was über sie schon gespeichert ist, dann werden sie am Anfang wenig finden. Das muss man gut kommunizieren, weil sonst wird da gleich eine gewisse Enttäuschung da sein.

Gab es bei der TILAK Fälle, wo Daten von Patienten missbraucht worden sind?
Wo Menschen zusammenarbeiten und Menschen neugierig sind, kommt das vor. Wir dürfen nicht davon ausgehen, dass alle Leute vertrauenswürdig sind. Wenn man eine große Institution hernimmt – und wir haben über 7000 Mitarbeiter - dann gibt es immer welche, die willentlich oder aus Neugier Daten einsehen. Die Neugier ist dabei eine Triebfeder, die viele Leute nicht immer zu 100 Prozent unter Kontrolle haben. Deswegen ist es wichtig, dass man Kontrollmechanismen schafft, um Missbrauchsfälle aufdecken zu können.

Das heißt, der Datenmissbrauch im Gesundheitsbereich passiert meist aus Neugier?
Wenn es emotionale Verknüpfungen zwischen Patienten und Leuten gibt, die die Daten gerne hätten, gibt es immer ein erhöhtes Gefährdungspotential. Das hat man bei der NSA-Affäre gesehen, wo die Geliebte ausgeforscht worden ist. Missbrauchsfälle im Krankenhaus spielen sich gerne im emotionalen Umfeld ab – aus Neid oder Antipathie möchte man sich die Krankengeschichte anschauen.

Bei ELGA soll jeder Zugriff auf die Patientendaten mitprotokolliert werden. Wie wird das bei der TILAK gehandhabt?
Genauso. Bei uns wird jeder Zugriff auf die Krankengeschichte mitprotokolliert und dem Patienten wird diese Liste zur Verfügung gestellt, wenn er es wünscht. Das machen wir bei uns derzeit bereits im klinischen Informationssystem. Wir haben es als Sensibilisierungsmaßnahme für die Mitarbeiter eingeführt, so dass jeder weiß, wenn er auf Daten zugreift, dann scheint sein Name beim Patienten auf. Das hat eine gewisse abschreckende Wirkung und hat sich recht gut bewährt. Es ist natürlich auch der Anhaltspunkt, um Vorfälle von unrechtmäßigen Zugriffen sofort zu überprüfen.

2007 war ich Projektleiter für das Berechtigungssystem ELGA, dabei haben wir diese Methode diskutiert und für ELGA empfohlen. Wir möchten auch bei ELGA, dass der Name des Zugreifenden dabei steht. Es wäre zu wenig, wenn nur die TILAK aufscheinen würde - bei 7000 Mitarbeitern und 4500 mit Zugriffsberechtigung wird einem Patienten diese Information nicht reichen.

Auch bei ELGA wird der Name des Arztes oder Krankenhausmitarbeiters dabei stehen, der auf die Akte zugegriffen hat?
Im Berechtigungssystem ist vorgesehen, dass der Name des Zugreifers übermittelt werden muss, sodass sich der Patient ein Bild machen kann, wer auf seine Daten zugegriffen hat. Für den Patienten wird das speziell im Krankenhaus aber nicht immer ganz einfach, weil die Behandlungsabläufe im Krankhaus sehr komplex geworden sind. Man glaubt vielleicht nicht, dass auch ein Laborarzt auch auf die Krankengeschichte zugreifen können muss. Das ist für den Befund aber wichtig.

Das heißt, es können durchaus auch Namen auftauchen, die man als Patient nicht sofort zuordnen können wird.
Ja. Die Medizin ist sehr komplex geworden. Wir sehen das auch bei uns, wir müssen uns auch die Zeit nehmen, den Leuten die Zugriffe zu erklären. Dann wird es für sie auch plausibel.

Im Sommer 2013 tauchte der Skandal rund um Verschreibungsdaten von IMS Health auf. 350 heimische Ärzte sollen die Daten verkauft haben. Was war aus Ihrer Sicht als Datenschutzbeauftragter bei dem Fall problematisch?
So wie sich die Sache dargestellt hat, hat sich die Frage gestellt, ob es anonyme Daten oder personenbezogene Daten gewesen sind. Dann wäre es kritisch. In so einem Fall muss sich nämlich der niedergelassene Arzt dafür verantworten, warum er Daten im Rahmen eines Verschwiegenheitsverhältnisses an einen Dritten weitergibt, der nicht in die Behandlung involviert ist. Wenn er da nicht die Zustimmung hat, dann mangelt es ihm an einem Rechtfertigungsgrund. Man wird sehen, ob das zu einem Streitgegenstand vor Gerichten kommt oder nicht.

Kann das mit ELGA-Daten nicht auch passieren?
Wir wollten von Anfang an aus Sicherheitsgründen bei ELGA ein dezentrales System. Das hat den Vorteil, dass nicht das Gesamtsystem in Gefahr ist, wenn eine Stelle geknackt werden sollte. Bei ELGA werden Daten außerdem nur auf Abruf übermittelt.

Das heißt aber: Die Daten liegen beim Arzt.
Ja, oder dessen Dienstleister. Viele Ärzte müssen sich, um die Sicherheitsvorschriften einhalten zu können, einen Dienstleister suchen, der die ELGA-Daten für sie verwaltet. Dabei ist allerdings zu beachten: Wenn dem Dienstleister ein Fehler passiert, dann zählt das so, als ob ihn der Auftraggeber selbst macht.

Gibt es schon genügend IT-Dienstleister in diesem Sektor?
Aus meiner Sicht wird sich ein Wettbewerb entwickeln zwischen Firmen, die bereits auf dem Markt tätig sind. Software-Firmen können das als Zusatz-Service anbieten.

Machen das dann nicht genau die Software-Firmen, die Schnittstellen implementiert haben, mit denen das Absaugen von Daten im IMS Health-Skandal ermöglicht wurde?
Die Software-Firmen werden diese Schnittstellen programmiert haben, weil es eine vertragliche Grundlage gegeben hat zwischen demjenigen, der die Daten haben wollte und dem Arzt. Da gab es ein Kundenbedürfnis. Solange nur die Schnittstelle da ist, wie in jedem anderen Softwarepaket auch, und diese nicht aktiviert wird, würde ich das nicht dem Softwarehersteller zum Vorwurf machen.

Mir fällt bei so etwas immer wieder die Widersprüchlichkeit auf, wie leichtfertig wir Daten hergeben und wie viel Fokus bei den Gesundheitsdaten auf Sicherheit gelegt wird, wenn nicht einmal die Weitergabe von anonymisierten Daten gestattet werden darf. ELGA ist nur ein ganz kleiner Player.

Im Vergleich zu Google oder Facebook mag ELGA ein ganz kleiner Player sein, aber bei Google oder Facebook geben die Nutzer ihre Daten noch immer freiwillig her, während es bei ELGA verpflichtend ist (mit der Möglichkeit zum Opt-Out).
Bei Google stimmt man zu, dass Google alles mit den Daten machen darf. Bei ELGA gibt es eine ganz andere Rechtsgrundlage mit scharfer Abgrenzung und Zweckbindung. Bei Google gibt es gar nichts. Wen klagen Sie denn da? Das große Verfahren Max Schrems vs. Facebook in Irland zeigt doch, dass nichts geändert wird.

Bei den richtig großen Datensammlungen hinken wir extrem hinterher, obwohl die viel interessantere Daten über uns haben als ELGA jemals haben wird. Wenn ich über Jahrzehnte jeden Tag Daten mitloggen kann und anschließend die Daten in einem Profil zusammenführe braucht man sich am Ende nur noch zu fragen: Wer bietet mir Geld für die Daten? Diesen Gedanken unterschätzen die Menschen.

Es gibt ja auch diesen Trend zu Fitness-Apps, bei denen alles über den eigenen Gesundheitszustand aufgezeichnet wird. Steckt in diesen Daten nicht auch großes Potential?
Bei Fitness-Apps wie Runtastic oder Garmin Connect gibt man extrem viele Daten über sich preis, auch wenn die Aufmachung der Apps toll ist. Wenn ich Ihre Laufleistung pro Woche kenne, Ihren Geschwindigkeitsbereich und ich verfolgen kann, wie oft Sie laufen, weiß ich bereits viel. Und was passiert, wenn Sie plötzlich drei Wochen nicht mehr laufen gehen und das Gewicht ansteigt? Wäre ich eine Versicherung, wäre das der erste Datensatz, den ich mir kaufen würde. Dafür wäre ich auch bereit, einiges an Geld zu investieren.

Sind diese Daten dann interessanter als die ELGA-Daten?
Das hängt davon ab, für welchen Zweck ich Sie verwenden will. Für Versicherungen sind die Fitness-Daten sicherlich sehr interessant. Soweit sind wir in ELGA nicht. Viele haben zehn Jahre keinen Krankenhausaufenthalt. Und zehn Jahre keine neuen Daten heißt, dass der Datensatz veraltet und nicht interessant ist.

Das ist das Problem bei Daten, dass man sie nicht spürt. Wir sind uns viel zu wenig der Gefahren bewusst und haben es verabsäumt, dieser Konzentration an Daten Einheit zu bieten. Wir haben keine Ahnung, was die großen Datensammler mit unseren Daten machen und wann sie in Zukunft für oder gegen uns verwendet werden.