Chronik/Österreich

Sorgloser Umgang mit Patientendaten

Sie ist eines der umstrittensten Gesundheitsprojekte der vergangenen Jahre: Die elektronische Gesundheitsakte ELGA, die seit einigen Monaten in Spitälern in Wien und der Steiermark bereits im Einsatz ist. Kritiker befürchten, dass durch das neue System die Sicherheit sensibler Patientendaten nicht mehr gegeben ist. Wohl mit ein Grund dafür, dass sich bis dato rund 246.000 Österreicher von ELGA abgemeldet haben.

Schon jetzt sind manche Spitäler nicht in der Lage, dafür zu sorgen, dass die in den bestehenden internen EDV-System gespeicherten Patientendaten nicht in die falschen Hände gelangen können. So ist es etwa möglich, dass Spitalspersonal, das mit der Behandlung des Patienten gar nichts zu tun hat, auf seine Daten zugreifen kann. Das zeigt der Fall eines Bezirkskrankenhauses, den zuletzt die Datenschutzbehörde behandelt hat. Auslöser war eine Beschwerde einer dort tätigen Krankenschwester, die 2012 selbst in dem Spital operiert wurde. Danach fand sie heraus, dass der Träger des Spitals unzulässigerweise Einsicht in ihre Daten genommen hatte.

Neugier

Daraufhin schlug sie bei der Behörde Alarm: Das Patientenverwaltungssystem weise Lücken auf. Während eines Spitalsaufenthalts seien die Daten ungeschützt und könnten von rund 1000 Anwendern des betroffenen EDV-Systems aufgerufen werden – unabhängig davon, ob ein Anwender auftragsgebunden sei oder aus persönlicher Neugier in diesen Daten herumsurfe. Weiters seien laut der Krankenschwester individuelle Zugangsdaten zum EDV-System hausintern weitergegeben worden. Zudem fänden keine Zugriffskontrollen statt.

Deshalb empfiehlt die Datenschutzbehörde jetzt die Sicherstellung einer effektiven Zugriffskontrolle. Bereits umgesetzt ist die Empfehlung, die Zugriffsberechtigung so zu gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind.

"Es entspricht dem Amtswissen der Datenschutzbehörde, dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt", heißt es in einer weiteren Stellungnahme der Behörde, im Zusammenhang mit einer Prüfung im Burgenland. Derartige Zugriffe träten oft dann auf, wenn etwa eigene Mitarbeiter oder öffentlich bekannte Personen sich einer Behandlung in der Krankenanstalt unterziehen.

Ausspioniert

Von ähnlichen Fällen weiß auch Niederösterreichs Patientenanwalt Gerald Bachinger zu berichten. Auch hier war eine Spitalsmitarbeiterin betroffen, die ebenfalls im eigenen Spital behandelt wurde. Als sie von Kollegen auf ihre Krankheit angesprochen wurde, war klar, dass sich jemand ihre Akte angeschaut hatte. Der Fall endete mit einer dienstrechtlichen Sanktion. Dabei handelte es sich um den Zugriff auf einen Patientenakt, der nicht elektronisch, sondern noch in Papierform vorgelegen war. "Hier hat man das Problem, dass man viel schwerer nachvollziehen kann, wer auf die Daten zugreift", sagt Bachinger.

Auf der anderen Seite steht der viel größere Personenkreis, der auf elektronisch gespeicherte Daten potenziell zugreifen kann. Dieses Problem sieht Andreas Krisch vom Forum Datenschutz auch bei ELGA. "Das Problem ist auch: ELGA unterscheidet nicht, bei welchem Arzt ich gerade in Behandlung bin. So kann zum Beispiel mein Augenarzt auf die Informationen zu meinem Beinbruch zugreifen."