gms | German Medical Science

Durch den wachsenden Druck auf Ärzte und Pflegepersonal in den Kliniken wächst auch der Bedarf nach einer effizienten IT-Unterstützung. Ein wesentlicher Baustein ist dabei die schnelle, ortsunabhängige und umfassende Verfügbarkeit von Befunden und Bildern. Hierbei übernimmt in den meisten Kliniken ein sogenannter Befundserver eine entscheidende Funktion, die relativ unstrittig zu Versorgungsqualität und Patientensicherheit beiträgt [Ref. 1], [Ref. 2].

Den unbestrittenen Vorteilen steht die Gefahr des Datenmissbrauchs gegenüber. Hierzu gibt es eine Reihe an Gesetzen und Rechtsvorschriften. Dazu gehören unter anderem das Recht auf Informationelle Selbstbestimmung, welches vom Bundesverfassungsgericht als Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt wurde [Ref. 3], das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze, sowie die ärztliche Schweigepflicht [Ref. 4]. Zum Schutz der sensiblen Daten von Patienten sind deswegen geeignete Maßnahmen zum Zugriffsschutz vorzunehmen. Dies geschieht im Regelfall über personenbezogene Zugriffsberechtigungen (Mandantenkonzept), wobei sich die einzelnen Konzepte in Art und Umfang der Berechtigungen für die einzelnen Rollen unterscheiden.

Diese schränken im Alltag die zeitnahe und umfassende Verfügbarkeit der Informationen für den Behandler – und damit den Nutzen für Behandlungsqualität und Patientensicherheit – unterschiedlich stark ein.

Das Ziel dieser Arbeit ist es, verschiedene Konzepte bei der Vergabe von Personen- und Rollen-bezogenen Benutzerrechten darzustellen und bezogen auf Patientensicherheit und Datenschutz zu bewerten.

Die Umsetzung der Datenschutzbestimmungen basiert im wesentlichen auf folgenden Mechanismen:

• Behandlungszusammenhang zur Person des Patienten
• Behandlungszusammenhang zur Information
  (Bezogen auf Fragestellung)

Eine Darstellung ausschließlich von Daten im Behandlungszusammenhang wird im Allgemeinen durch eine Zuordnung eines Patienten auf eine Fachabteilung geregelt. Hier sind Regelungen über eine Identifizierung des Krankenhaus- oder Fachabteilungsaufenthaltes üblich. Problematisch für die Kontinuität der Behandlung sind dabei chronische Erkrankungen, die über mehrere Aufenthalte hinweg therapiert werden, sowie Befunde die über Patientenetiketten mit alten Fallnummern angefordert werden. Darüber hinaus ist zu diskutieren, in wie weit es im Interesse des Patienten ist, dass Ärzte auch Informationen aus vorherigen Behandlungen in eine aktuelle Therapieentscheidung einfließen lassen.

Ein weiterer Schutz besteht darin, nur die Informationen anzuzeigen, die für die Beantwortung einer bestimmten Fragestellung (Konsil, Prämedikation der Anästhesie, etc.) notwendig ist. Dies ist zwar technisch lösbar, jedoch ist die Spezifikation der notwendigen Abhängigkeiten nicht realisierbar, da alleine Empfehlungen zur Pharmakotherapie derart komplex sind, dass Befunde, Diagnosen und bestehende Medikation nicht ohne Einschränkungen der Therapiesicherheit allgemeingültig gefiltert werden können.

Daraus resultiert, dass bei einer einfachen, restriktiven Implementierung das Recht der informellen Selbstbestimmung mit dem Recht des Patienten auf Therapiekontinuität konkurriert.

Ein Lösungsansatz ist die individuelle Freigabe von Befunden durch den Patienten. Dies kann durch eine schriftliche Zustimmung geschehen, auf die bei dem Befundaufruf durch den Arzt verwiesen wird. Dies stellt einen hohen bürokratischen Mehraufwand, der von Patienten und Ärzten als unzumutbar empfunden wird, dar.

Ein anderer Lösungsansatz ist das Konzept der sozialen Kontrolle durch Nachvollziehbarkeit und Transparenz. Dabei werden sämtliche Zugriffe auf Patienteninformationen zentral protokolliert. Auf dieser Basis können Patienten bezogen alle Zugriffen mit zugreifender Person und Zeitpunkt dargestellt werden. Hierbei gilt es jedoch auch die Persönlichkeitsrechte des Personals zu wahren. So darf keine Benutzerbezogene Auswertung oder Visualisierung erfolgen. Auch muss dem Benutzer die Möglichkeit gegeben werden, von der Regel abweichende Zugriffe als Gedächtnisstütze in einem Kommentar zu rechtfertigen.

Neben der technischen Umsetzung des Datenschutzes ist zu bedenken, dass die (ggf. strafbare) Handlung vom Anwender ausgeht. Dieser ist durch entsprechende Schulungen darauf hinzuweisen. Dies kann durch entsprechende kontextsensitive Meldungen vor Zugriffen auf Daten, die außerhalb des üblichen Behandlungszusammenhanges stehen oder besonders sensibel sind, erfolgen.

Ein wirksamer Schutz vor unberechtigten Zugriffen auf Patientendaten kann bei Wahrung des Patienteninteresses auf eine Behandlungskontinuität weder durch prophylaktische Restriktionen noch durch retrospektive Sanktionierung technisch und organisatorisch gewährleistet werden.

In Abwägung aller Interessen und Risiken erscheint eine Kombination von Maßnahmen sinnvoll. Kernpunkt ist dabei die Verantwortung im Bewusstsein des Benutzers zu verankern. Dies kann sowohl über Barrieren in Form von kontextsensitiven Meldungen und aktiven Bestätigungen, wie auch über die soziale Kontrolle erfolgen. Die dafür nötige Protokollierung steht auch im Falle eines konkreten Schadensfalles durch den Verstoß gegen Schweigepflicht oder Datenschutz zur Verfügung. Dies kann durch eine verlangte Kommentierung ggf. auch zu einer Entlastung des Benutzers beitragen.

Wir bedanken uns bei dem langjährigen Datenschutzbeauftragten des Uniklinikums Gießen Dr. Werner Baldreich für die Erarbeitung und Diskussion der Konzepte.