Debatte um Sicherheit

Die Berliner Charité gerät ins Visier der Datenschützer

Datenschützer sehen erhebliche Mängel bei der Einführung neuer IT-Verfahren. Klinikchef Einhäupl: Die Patientendaten sind sicher.

Das Bettenhaus  der Charitéin Mitte: Die Klinik betont, es sei nicht ein einziger Verdachtsfall auf Datenmissbrauch bekannt

Das Bettenhaus der Charitéin Mitte: Die Klinik betont, es sei nicht ein einziger Verdachtsfall auf Datenmissbrauch bekannt

Foto: DAVIDS/Darmer

Berlins Datenschutzbeauftragte kritisiert die Datensicherheit an der Charité. Maja Smoltczyk sieht „gravierende Defizite“ bei der Einführung neuer IT-Verfahren am Universitätsklinikum. Gesetzliche Vorgaben würden nicht eingehalten, das vorgeschriebene Verzeichnis dieser Verfahren sei nicht ordentlich geführt. Ein Sicherheitskonzept gemäß gesetzlicher Vorgaben und Stand der Technik fehle.

Bereits im Jahresbericht 2015 der Datenschützer wurden die Mängel benannt. Ein Jahr später attestiert Smoltczyk der Charité, Fortschritte erzielt zu haben. Doch zufrieden ist sie damit noch nicht. Es gehe immerhin um sensible personengebundene Daten. Inzwischen aber arbeiten die beiden Institutionen zusammen, Fachleute treffen sich alle sechs Wochen, um die Mängel zu beheben. „Ein Tanker versucht umzusteuern“, beschrieb die Datenschutzbeauftragte die Lage. Ende 2018 soll der Tanker den sicheren Hafen erreichen.

Die Charité ist das größte Universitätsklinikum Europas und betreibt eine Vielzahl von informationstechnischen Verfahren für die Behandlung von Patienten und für Forschung. Nachdem die Datenschutzbeauftragte vor einem Jahr erklärt hatte, dort sei der Überblick über die Datenverarbeitung mangelhaft, leitete die Charité Verbesserungen ein. Sie beauftragte eine Projektgruppe, tauschte für die Datensicherheit verantwortliches Personal aus, erließ neue organisatorische Regelungen.

Klinikchef bezeichnet Patientendaten als sicher

Ende vergangenen Jahres legte die Charité das Verzeichnis über die IT-Verfahren und die Datenverarbeitung vor. Die Datenschutzbeauftragte erklärte, es sei unvollständig und genüge nicht den gesetzlichen Anforderungen. Nun wird nachgearbeitet, bis Ende dieses Jahres soll es die Ansprüche erfüllen. Bei zen­tral betriebenen IT-Verfahren seien zwar inzwischen Ziele und Zweck der Datenverarbeitung benannt, ebenso wessen Daten erfasst werden und welche Daten das sind, heißt es in Smoltczyks Jahresbericht 2016. Auch das „Woher und Wohin“ der Daten sei beschrieben. All das gelte aber nicht für die „ungewisse Zahl“ von dezentralen Prozessen in den vielen Kliniken, Instituten und anderen Einrichtungen der Charité. Und generell seien die Informationen darüber, wie die Datenverarbeitung konkret erfolgt, nicht hinreichend transparent zusammengestellt.

Sind nun also die Patientendaten am Universitätsklinikum sicher? Ja, sagt Vorstandschef Karl Max Einhäupl. „Wir können keine Aussage darüber treffen. Es gibt kein Sicherheitskonzept für die Datenverarbeitung“, sagt hingegen Ulrich Vollmer, Referatsleiter in der Abteilung Informatik bei der Berliner Beauftragten für Datenschutz. Das habe, so Vollmer, nichts mit Inkompetenz oder schludrigem Arbeiten zu tun, aber ein Sicherheitskonzept müsse vollständig sein um die Breite der Risiken im Blick zu behalten. Er verglich es mit einem langen Deich: Der könne noch so gut konstruiert sein. Weise er an einer Stelle eine fünf Meter breite Lücke auf, sei er untauglich.

Die Charité betont, es sei nicht ein einziger Verdachtsfall auf Missbrauch von Patientendaten bekannt. Vollmer bestätigte, auch die Datenschutzbehörde habe noch nie eine Meldung zu unberechtigten Zugriffen Dritter außerhalb des Klinikums bekommen. Es sei aber auch möglich, dass solche Zugriffe „einfach nicht bemerkt werden“. Der Experte benannte einen Vorfall, der bereits länger zurückliege. Dabei soll es um Schwesternschülerinnen gegangen sein, die unberechtigt in der Krankengeschichte einer Mitschülerin gelesen hatten. Solche internen Zugriffe auf Daten seien nicht ungewöhnlich für einen großen Krankenhausbetrieb. Man müsse sie aber herausfinden und sanktionieren.

Angesichts der Größe und Struktur des Betriebes sei es eine sehr komplexe Aufgabe, die Defizite im Datenschutz an der Charité zu beseitigen, sagte die Beauftragte in ihren Bericht. Sie wirft dem Vorstand vor, für diese Aufgabe zu wenig Personal einzusetzen. Einhäupl weist das zurück. Niemand in der Charité verkenne, dass der Datenschutz ein großes Thema im Gesundheitswesen ist. Es seien im Zusammenhang mit dem Datenschutz mehrere Stellen geschaffen oder ausgeschrieben worden. Zudem hole man externe Expertise ein. Einhäupl verwies zudem darauf, dass die Charité als erstes Universitätsklinikum in Deutschland zum 1. April eine Stabsstelle „Digitale Transformation“ eingerichtet habe.

Abgeordnete fordern mehr Transparenz und Regelungen

Einhäupl mahnte, der Datenschutz müsse auch finanzierbar sein. Es gebe zudem Bereiche, in denen datenschutzrechtliche Restriktionen die Behandlung von Patienten oder die Forschung erschwerten. Gerade die schnelle Anwendung neuer Forschungsergebnisse und wissenschaftlich fundierter Behandlungsmethoden erfordere den Informationsaustausch zwischen Spezialisten. Der Vorstandschef möchte dazu einen Dialog mit dem Datenschutz-Ausschuss des Abgeordnetenhauses führen.

Der hatte sich bereits in seiner letzten Sitzung mit den Problemen befasst. Mitglieder äußerten dabei Verständnis für begrenzte Ressourcen. Gesetze müssten aber eingehalten werden. Insbesondere forderten sie mehr Transparenz und eindeutige Regelungen, wer Zugriff auf welche Gesundheitsdaten habe. Wissenschaftsstaatssekretär Steffen Krach erklärte, für den Senat habe die Sicherheit von Patientendaten „allergrößte Priorität“. „Wir nehmen die Beanstandungen sehr ernst“, sagte Krach der Berliner Morgenpost. Die Charité habe ihre Bemühungen verstärkt, diese reichten aber nicht aus.

Mehr zum Thema:

Immer öfter aggressive Patienten in Berliner Rettungsstellen

Senat will freies Wlan an allen Berliner Krankenhäusern

ARD gönnt der TV-Serie „Charité“ eine zweite Staffel