Datenschutzkonferenz: Jede Gesundheitseinrichtung muss den Schutz von Patientendaten gewährleisten

Die Datenschutz­konferenz weist nachdrücklich darauf hin, dass die Sicherheit von Patientendaten in der medizinischen Behandlung nach der Datenschutz-Grundverordnung flächendeckend gewährleistet sein muss.

Der effektive Schutz von Gesundheitsdaten darf nicht von der Größe der Versorgungs­einrichtung abhängen.
Hintergrund sind zunehmende Vorfälle, bei denen der Schutz von Patientendaten in der stationären Versorgung gefährdet ist. So wurden im Juli 2019 eine Reihe von Einrichtungen in Rheinland-Pfalz und dem Saarland Opfer einer Schadsoftware. Diese hatte Daten im IT-Verbund der Trägerge­sellschaft verschlüsselt und so weitreichende Beeinträchtigungen des Krankenhausbetriebs verursacht. 

Erst im September 2019 war bekannt geworden, dass mehr als 16 Millionen Datensätze weltweit, 13.000 davon bei deutschen Gesundheits­ein­richtungen, offen im Internet zugänglich waren. Unzureichende technische und organisatorische Vorkehrungen zum Schutz dieser Daten hatten dieses Leck erheblich begünstigt. 

Der Einsatz von Informations-und Kommunika­ti­onstechnik in der Gesundheits­versorgung ist mittlerweile unabdingbar. Allerdings müssen die in diesem Zusammenhang rechtlich gebotenen und nach dem Stand der Technik angemessenen Vorkehrungen zu einem effektiven Schutz der Daten von Patientinnen und Patienten flächendeckend getroffen werden. Dazu sind alle in diesem Zusammenhang tätigen Einrichtungen unabhängig von ihrer Größe aufgrund der Datenschutz-Grundverordnung verpflichtet. Vor dem Hintergrund einer zunehmenden Digitalisierung fordert die Datenschutz­konferenz ausdrücklich dazu auf, auch in finanzieller Hinsicht sicherzustellen, dass alle Einrichtungen des Gesundheitswesens die zum Schutz der Patientendaten nach dem Stand der Technik gesetzlich gebotenen Vorkehrungen ergreifen können.

Zur Entschließung der DSK hier.