Patienten ohne Geheimnisse

DATENSCHUTZ Elektronische Patientenakten gehören zum Klinikalltag. Mit dem Fortschritt wächst auch der Missbrauch dieser Daten. Der Datenschutzbeauftragte ist besorgt

VON UTA GENSICHEN

Es ist erst drei Monate her, da beklagte sich eine prominente Patientin am Universitätsklinikum Eppendorf (UKE) über die fehlende Diskretion des medizinischen Personals. Zuvor waren Details ihrer Krankengeschichte in der Öffentlichkeit aufgetaucht. Das Leck war ihre eigene, elektronische Patientenakte. Jeder Mitarbeiter, der eine technische Zugangsberechtigung besaß, konnte diese Akte lesen, kopieren und weiterleiten.

Trotz dieser Datenpanne teilte das UKE damals mit, dass „dem potentiellen Missbrauch technisch in umfänglicher Weise Einhalten geboten“ sei. Die Klinikleitung stellte sich damit hinter das neu eingeführte System Soarian, das die elektronische Patientenakte erst ermöglicht. Seitdem hat der Hamburger Datenschutzbeauftragte im UKE und in den Asklepios-Kliniken geprüft, wie sicher die Daten der Patienten wirklich sind. Das Ergebnis sei besorgniserregend, sagte der stellvertretender Leiter der Behörde, Hans-Joachim Menzel, am Dienstag.

Vor allem die Akteneinsicht durch nicht dazu berechtigte Mitarbeiter könne kaum kontrolliert werden. Technisch hätten demnach bis zu 80 Personen die Möglichkeit, im internen Krankenhausinformationssystem die Daten eines bestimmten Patienten einzusehen. Das sind nicht nur alle Mitarbeiter der betreffenden Abteilung, sondern auch hinzugezogene Spezialisten sowie klinikübergreifende Fachkräfte wie zum Beispiel Physiotherapeuten oder Sozialdienste. Nicht zuletzt haben das Personal der EDV-Abteilung und die Techniker des Software-Herstellers freien Zugriff auf das System.

„Es gibt eine große Lücke zwischen dem, was der einzelne Mitarbeiter darf und was er kann“, sagt Menzel. Viel zu oft werde ihm zufolge damit gegen das Hamburger Krankenhausgesetz verstoßen, das die Privatsphäre des Patienten zu schützen versucht. Die Idee, Zugriffe auf die persönlichen Fallakten künftig zu protokollieren und damit allzu neugierige Mitarbeiter abzuschrecken, lehnt der Datenschutzbeauftragte ab. „Das wäre wiederum datenschutzrechtlich schwierig“, sagt er. Außerdem entstünde den Kliniken dadurch ein riesiger Datenwust.

Gegen das Einrichten einer elektronischen Akte könne sich der Patient nur selten wehren. Oft ist es ihm gar nicht bewusst, dass er der Speicherung seiner Daten im Krankenhausnetz zugestimmt hat. Das geschieht in der Regel kurz nach der Ankunft im Krankenhaus. Um stationär aufgenommen zu werden, muss der Betroffene nicht nur seine persönlichen Daten und den Namen der Krankenkasse angeben, sondern auch einen Behandlungsvertrag unterschreiben. Das UKE weist seine Patienten zwar darauf hin, dass mit dieser Unterschrift in den personengebundenen Datenaustausch zwischen den an der Behandlung beteiligten Personen eingewilligt werde.

Dass dadurch aber gleich unzählig vielen Menschen der Einblick in die private Krankengeschichte gestattet wird, geht aus dieser Information nicht hervor. „Wenn ein Patient einen Behandlungsvertrag unterschreibt, denkt der doch dabei an seine behandelnden Ärzte und nicht an die elektronische Fallakte“, kritisiert Menzel. Der Bereich der Freiwilligkeit sei hier sehr dünn.

Die Hamburger Datenschutzbehörde fordert deshalb, die Hersteller solcher Datensysteme und die Krankenhäuser für die Privatsphäre der Patienten zu sensibilisieren. „Denn nur weil jemand die technische Zugriffsberechtigung besitzt, heißt das nicht, dass dieser Zugriff berechtigt ist“, sagt Menzel. Der technische Fortschritt in Kliniken – von der Papierakte zum virtuellen Krankenblatt – müsse zudem vom Gesetzgeber berücksichtigt werden. So stamme die Regelung des Hamburger Krankenhausgesetzes zum Schutz der Patientendaten aus einer Zeit vor der elektronischen Fallakte. Weil der Missbrauch hier leichter als bei der Papierakte sei, müsse der Patient besser geschützt werden.