Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen E-Book

Geleitwort

Sehr geehrte Leserinnen und Leser,

mit großer Freude begleite ich die dritte Auflage des Buches „Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen“. Dieses Buch behandelt ein äußerst relevantes Thema, das in unserer zunehmend digitalisierten Welt immer mehr an Bedeutung gewinnt.

Die rasante Entwicklung der Technologie und die zunehmende Vernetzung im Gesundheitswesen bringen viele Vorteile mit sich. Gleichzeitig stellen sie uns jedoch auch vor große Herausforderungen im Hinblick auf den Schutz personenbezogener Daten und die Gewährleistung der Informationssicherheit. In diesem Kontext möchte ich Ihnen meine Perspektive als erfahrener Executive für globale Markt- und Geschäftsentwicklung sowie als Experte im Allianzenmanagement darlegen.

Meine langjährige Tätigkeit in internationalen Unternehmen hat es mir ermöglicht, ein weitreichendes Netzwerk aufzubauen, das politische Entscheidungsträger und führende Vertreter verschiedener Industrien umfasst. Dabei habe ich wertvolle Einblicke in die Herausforderungen und Chancen des Datenschutzes und der Informationssicherheit gewonnen. Als „Trusted Advisor“ und Coach unterstütze ich Interessengruppen und Entscheidungsträger weltweit dabei, Vertrauen aufzubauen und erfolgreiche Allianzen zu schaffen.

In einer zunehmend vernetzten Welt ist es von entscheidender Bedeutung, dass wir die gleiche Sprache sprechen, sei es im unternehmerischen, technischen, medizinischen oder politischen Kontext. Mit meinem Hintergrund als Master of Business Administration (MBA) und Diplom-Ingenieur der Elektrotechnik verfüge ich über ein breites Spektrum an Fachkenntnissen, um komplexe Sachverhalte zu analysieren und zu verstehen. Darüber hinaus habe ich mich intensiv mit politischen und medizinischen Themen auseinandergesetzt, um ein umfassendes Verständnis für die Anforderungen des Gesundheitswesens zu entwickeln.

Die Bedeutung des Datenschutzes und der Informationssicherheit war mir nicht immer so präsent wie heute. Doch in meiner langjährigen Tätigkeit bei IBM und meiner intensiven Beschäftigung mit den Herausforderungen des Gesundheitswesens habe ich erkannt, dass Datenschutz und Informationssicherheit unverzichtbar sind. Sie sind die Grundpfeiler einer erfolgreichen digitalen Transformation und ermöglichen es, Vertrauen aufzubauen und datenbasierte Projekte voranzutreiben. Insbesondere in Deutschland stellte die Erfüllung der Anforderungen des Datenschutzes einen Wettbewerbsvorteil dar.

In diesem Buch finden Sie umfassende Informationen und praxisnahe Empfehlungen zum Thema Datenschutz und Informationssicherheit im Gesundheitswesen. Die Autorinnen und Autoren haben ihr Fachwissen und ihre Expertise eingebracht, um Ihnen einen fundierten Einblick in dieses komplexe Thema zu ermöglichen. Ihre Beiträge bieten wertvolle Einblicke und Handlungsempfehlungen für diejenigen, die im Gesundheitswesen mit Datenschutz und Informationssicherheit betraut sind.

Ich möchte den Autorinnen und Autoren meinen herzlichen Dank aussprechen, dass sie ihre umfangreiche Expertise in dieses Buch eingebracht haben. Durch ihre Beiträge wird das Werk zu einer wertvollen Informationsquelle für alle, die sich mit Datenschutz und Informationssicherheit im Gesundheitswesen auseinandersetzen.

Ich wünsche Ihnen eine inspirierende Lektüre des Buches und hoffe, dass Sie wertvolle Erkenntnisse gewinnen, die Ihnen bei der Bewältigung der Herausforderungen des Datenschutzes und der Informationssicherheit im Gesundheitswesen helfen.

Mit herzlichen Grüßen

Ljubisav Matejevic im September 2023

Vorwort zur 3. Auflage

Sehr geehrte Leserinnen und Leser,

ich freue mich außerordentlich, Ihnen die dritte Auflage unseres Buches „Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen“ präsentieren zu dürfen. Datenschutz, Informations- und Cybersicherheit sind heute von immenser Bedeutung und gewinnen insbesondere im Gesundheitssektor immer mehr an Aktualität und Relevanz. Mit dieser Auflage möchten wir Ihnen einen umfassenden Einblick in die vielfältigen Aspekte des Datenschutzes und der Informations- und Cybersicherheit im Kontext des Gesundheitswesens geben.

Der Schutz personenbezogener Daten hat in unserer zunehmend digitalisierten Welt eine herausragende Bedeutung erlangt. Gerade im Gesundheitswesen, wo hochsensible Informationen über Patienten und deren Gesundheitszustand verarbeitet werden, ist der Schutz der Privatsphäre von größter Wichtigkeit. In dieser dritten Auflage richten wir unseren Fokus daher verstärkt auf die spezifischen Anforderungen des Datenschutzes im Gesundheitswesen und auf die neuesten Entwicklungen und Herausforderungen, denen die Branche gegenübersteht.

Ein wichtiger Aspekt, den wir in dieser Auflage ausführlich behandeln, ist der Ausblick auf die Anforderungen der NIS-2 Direktive, die ab Herbst 2023 in Kraft treten werden. Die NIS-2 Direktive zielt darauf ab, die Sicherheit kritischer Infrastrukturen, einschließlich des Gesundheitswesens, zu stärken. Sie fordert umfassende Maßnahmen zum Schutz vor Cyberangriffen und zur Gewährleistung der Informations- und Cybersicherheit. Wir betrachten diese Anforderungen aus der Perspektive des Datenschutzes und zeigen auf, wie Datenschutz, Informations- und Cybersicherheit Hand in Hand gehen müssen, um eine umfassende Sicherheitsstrategie zu entwickeln. Dabei berücksichtigen wir insbesondere die aktuellen Entwicklungen im Bereich des Datenschutzes und geben praxisnahe Empfehlungen, um den Anforderungen gerecht zu werden.

Die Datenschutz-Grundverordnung (DS-GVO) und das IT-Sicherheitsgesetz stellen weiterhin wichtige rechtliche Rahmenbedingungen dar, die den Umgang mit personenbezogenen Daten im Gesundheitswesen regeln. In dieser Auflage gehen wir detailliert auf diese Vorschriften ein und erläutern, welche Auswirkungen sie auf die Verantwortlichen im Gesundheitssektor haben. Wir möchten Ihnen dabei helfen, die gesetzlichen Anforderungen zu verstehen und in der Praxis umzusetzen.

Ein besonderer Schwerpunkt liegt in dieser Auflage auf der engen Verknüpfung zwischen Datenschutz, Informations- und Cybersicherheit. Datenschutz allein reicht nicht aus, um die Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu gewährleisten. Daher beleuchten wir ausführlich, wie Datenschutz, Informations- und Cybersicherheit Hand in Hand gehen müssen, um eine umfassende Sicherheitsstrategie zu entwickeln. Wir zeigen auf, dass eine ganzheitliche Betrachtung und Integration beider Aspekte unabdingbar ist, um den Schutz personenbezogener Daten und die Sicherheit sensibler Informationen zu gewährleisten.

Neben den rechtlichen und technischen Aspekten des Datenschutzes, der Informations- und Cybersicherheit widmen wir uns auch den verschiedenen Akteuren im Gesundheitswesen. Von (Zahn-)Arztpraxen über Krankenhäuser und Rehabilitationseinrichtungen bis hin zu Senioreneinrichtungen und Apotheken beleuchten wir die spezifischen Herausforderungen des Datenschutzes in diesen Bereichen. Dabei geben wir Ihnen praktische Tipps und Handlungsempfehlungen, um die Datenschutz-, Informations- und Cybersicherheitsmaßnahmen in Ihrem Arbeitsumfeld zu optimieren.

Ein weiterer Schwerpunkt dieser Auflage sind die Praxisbeispiele. Wir möchten Ihnen anhand konkreter Szenarien verdeutlichen, wie der Datenschutz, die Informations- und Cybersicherheit in der Praxis umgesetzt werden können. Dabei behandeln wir Themen wie Outsourcing, Fremdwartung, Löschanfragen von Patienten, die Datenschutz-Folgenabschätzung und das Verzeichnis von Verarbeitungstätigkeiten. Indem wir diese Beispiele ausführlich erläutern, möchten wir Ihnen wertvolle Einblicke geben und Sie in Ihrer täglichen Arbeit unterstützen.

Ein Vorwort wäre nicht komplett, ohne einen Blick über den Tellerrand zu werfen. Daher betrachten wir in dieser Auflage auch den Datenschutz in der Telematikinfrastruktur sowie international. Wir zeigen Ihnen, wie sich der Datenschutz in anderen Ländern gestaltet und welche Erkenntnisse daraus für den Gesundheitssektor in Deutschland gewonnen werden können.

Abschließend möchte ich mich bei allen Autorinnen und Autoren bedanken, die ihre Expertise und ihr Fachwissen eingebracht haben, um diese Auflage zu realisieren. Ein besonderer Dank gilt auch den zahlreichen Expertinnen und Experten und Fachleuten, die uns mit ihrem Feedback und ihrer Unterstützung bei der Aktualisierung dieses Werkes geholfen haben.

Ich wünsche Ihnen eine spannende und erkenntnisreiche Lektüre. Möge dieses Buch Ihnen dabei helfen, die aktuellen Anforderungen an Datenschutz, Informations- und Cybersicherheit im Gesundheitswesen zu verstehen und in Ihrer täglichen Arbeit erfolgreich umzusetzen.

Mit herzlichen Grüßen

Ihr Thomas Jäschke im Oktober 2023

I

Einführung Datenschutz im Gesundheitswesen

1Stellenwert und Aktualität des DatenschutzesThomas Jäschke und Nina Kill

Das Thema Datenschutz hat bereits 2013 durch die Veröffentlichungen im Zusammenhang mit der weltweiten Überwachung der NSA und ihrer Partnerdienste einen erheblichen Aufschwung im öffentlichen Interesse erhalten. Aber nicht erst seit diesen Veröffentlichungen spielt der Datenschutz in Deutschland eine große Rolle. So wurde im Jahr 1970 in Hessen das erste Datenschutzgesetz weltweit beschlossen. Nach und nach zogen die anderen Bundesländer und der Bund nach. Insbesondere durch die immer weiter voranschreitenden Möglichkeiten der automatisierten Verarbeitung von Daten in dieser Zeit wurde ein Korrektiv benötigt, um insbesondere den Möglichkeiten der sogenannten Rasterfahndung im Zusammenhang mit der Roten Armee Fraktion (RAF) entgegenzutreten, bzw. diese in einen geordneten Rahmen einzubetten. Den Höhepunkt der Regulierung fand der Datenschutz im Volkszählungsurteil von 1983, bei dem das Bundesverfassungsgericht das Bürgerrecht der informationellen Selbstbestimmung aus Art. 2 i.V.m. Art. 1 Grundgesetz ableitete.

Dieses Recht findet sich mittlerweile in ähnlicher Weise in der Magna Charta der Europäischen Union wieder und wird regelmäßig gegen die Bestrebungen einzelner Staaten und der EU Kommission durch die höchsten Gerichte verteidigt. Die Wichtigkeit des Datenschutzes in Europa spiegelt sich auch in den Bemühungen wider, den Datenschutz in der EU in einem europäischen Gesetz zu verankern. Die Verhandlungen hierzu gestalteten sich, begründet durch die unterschiedlichen Interessenlagen, allerdings schwierig. Und so trat die neue Europäische Grundverordnung am 24.05.2016 in Kraft und ist ab dem 25.05.2018 anzuwenden.

Die Datenschutzgrundverordnung gilt unmittelbar für alle EU-Mitgliedsstaaten und fordert vielzählige Anpassungen der Gesetze auf Bund und Länderebene, ebenso wie bei speziellen Datenschutzgesetzen.

Das Konzept des Datenschutzes ist allerdings keine Erfindung der jüngeren Geschichte, auch wenn es der Begriff und die weite Ausdehnung des Zuständigkeitsbereichs sind. So gaben sich schon in der Antike Berufsgruppen wie Ärzte, Juristen oder Priester einen Berufskodex, der ihnen eine Verschwiegenheitspflicht, der ihnen anvertrauten Tatsachen, auferlegte. Diese erstreckt sich auch auf die Pflicht, diese Geheimnisse gegen den Eingriff des Staates und seiner Institutionen zu verteidigen. Der deutsche Gesetzgeber hat dieses berufliche Ethos auch schon in der ersten Version des Strafgesetzbuches von 1871, das ein Zuwiderhandeln unter Strafe stellt, sowie in der Strafprozessordnung mit dem Zeugnisverweigerungsrecht berücksichtigt.

Wie bereits beschrieben erhielt der Datenschutz seinen ersten Antrieb durch die neuen technischen Möglichkeiten in den 70er-Jahren des vergangenen Jahrhunderts. Ein solcher Schub ist derzeit ebenfalls erkennbar. So bietet sich in den letzten Jahren nicht mehr nur für Organisationen mit großen IT-Budgets die Möglichkeit, ihre Daten immer besser zu analysieren, um daraus Maßnahmen für die strategische Unternehmenssteuerung abzuleiten. Die Techniken dafür werden immer ausgereifter und die Speicherung von großen Datenmengen, die immer mehr auf Verdacht erzeugt werden, wird immer günstiger. Das Prinzip der Hoffnung führt zu den Gedanken, zu einem späteren Zeitpunkt Mittel und Wege zu finden, diese Daten gewinnbringend auszuwerten. So soll die NSA jegliche verschlüsselte Kommunikation im Internet speichern, weil sie davon ausgeht, dass die eingesetzten Verschlüsselungsverfahren zu entschlüsseln sind und es zukünftig neue technische Möglichkeiten gibt, mit denen die eingesetzten Sicherheitsmechanismen wesentlich schneller ausgehebelt werden können.

An dieser Stelle setzt der Datenschutz an. Dieser kann zwar das Voranschreiten der Technik nicht verhindern und will es auch nicht. Der hierbei verfolgte Ansatz geht in die Richtung, dass die Institutionen nur die Daten erheben und speichern dürfen, die sie wirklich benötigen, und diese Daten zu löschen sind, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden. Außerdem wird auf einen informierten Bürger gesetzt, der auf Grundlage aller Informationen selbst entscheiden kann, was mit seinen Daten geschehen soll und darf. Klingt dieses Grundprinzip auch so einfach, umso schwerer gelingt die Umsetzung dieser Anforderung. Das hat verschiedene Ursachen. Im Vordergrund steht der Gedanke einer Selbstregulierung, bei der die Unternehmen durch Hinzunahme betrieblicher Datenschutzbeauftragten die Rechtmäßigkeit der Datenverarbeitung und -speicherung grundsätzlich prüfen und bewerten sowie die dazu notwendigen technischen und organisatorischen Maßnahmen umsetzen. In der Realität werden die Datenschutzbeauftragten jedoch oft nicht in Entscheidungsprozesse eingebunden und können nicht regulierend oder unterstützend eingreifen. Die Datenschutzbehörden sind nicht mit genügend Personal ausgestattet, sodass diese ihre Aufgaben proaktiv wahrnehmen könnten.

Ein anderer Grund, der in der Öffentlichkeit oft genannt wird, ist das mangelnde Interesse der Bevölkerung am Thema Datenschutz. Datenschutz wird dabei oft als sehr sperrig oder behindernd empfunden, was sich insbesondere in den umfangreichen und verklausulierten Datenschutzerklärungen von Diensten und Internetseiten begründet. Andererseits sind für viele Bürger der Preis und Komfort die entscheidenden Kriterien für die Entscheidungsfindung bei Dienstleistungen oder Angeboten im Internet. Der letzte Punkt bezieht sich auf die Handhabbarkeit technischer Lösungen, mit denen die Nutzer sich selbst schützen können. So ist es sicherheitsaffinen Technikern in den letzten 20 Jahren nicht gelungen eine Lösung zu entwerfen, die zum einen sicher ist und zum anderen ergonomisch so gestaltet ist, dass sie in der breiten Masse Anklang findet.

Am Ende ist das Thema für den Einzelnen tatsächlich nicht uninteressant, sondern nicht überschaubar. Umso wichtiger ist es für Unternehmen, und Institutionen im Gesundheitswesen ganz besonders, das Vertrauen der Bürger, Patienten, Versicherten, Bewohner, Gäste und Kunden, nicht zu enttäuschen, sondern durch geeignete und angemessene Maßnahmen umzusetzen. Neben der fachlichen Kompetenz ist dies die Grundlage für eine hohe Reputation und auch ein Erfolgsfaktor für den wirtschaftlichen Erfolg.

2Besonderheiten des Datenschutzes im GesundheitswesenThomas Jäschke und Nina Kill

Das Gesundheitswesen hat, im Vergleich zu anderen Wirtschaftssektoren, einige Besonderheiten. So sind Krankenkassen als auch die Kassenärztlichen Vereinigungen sogenannte Körperschaften des öffentlichen Rechts. Sie sind damit nicht unmittelbar Teil der staatlichen Verwaltung. Der Staat gibt den Körperschaften lediglich den Rahmen vor und führt die Aufsicht.

Die Selbstverwaltung der Krankenkassen wird durch deren Organe Vorstand und Verwaltungsrat ausgeübt. In den kassenärztlichen und kassenzahnärztlichen Vereinigungen wird die Selbstverwaltung von der Vertreterversammlung und dem Vorstand ausgeübt. Im Wesentlichen setzt sich das deutsche Gesundheitswesen aus drei Arten von Akteuren zusammen:

den Leistungsempfängern,

den Leistungserbringern und

den Leistungsträgern.

Die Leistungsempfänger und -träger gaben im Jahr 2020 ca. 425 Milliarden Euro für Leistungen der Leistungserbringer aus (Destatis 2021). Das Gesundheitswesen beschäftigte 2015 rund 5,3 Millionen Menschen, was ungefähr jedem achten Angestellten in Deutschland entspricht (Statistisches Bundesamt 2017). Im Jahr 2016 wurden in fast 1.948 Krankenhäusern mit gut 498.666 Betten etwa 19,2 Millionen Patienten vollstationär behandelt. Die Krankenhäuser in Deutschland werden zunehmend privatisiert. Nach aktuellem Stand befinden sich rund 568 in öffentlichem, 674 in freigemeinnützigem 706 in privatwirtschaftlichem Betrieb (Destatis 2014a). Neben den Krankenhäusern gibt es 1.112 Vorsorge- und Rehabilitationseinrichtungen mit rund 163.336 Betten, in denen ca. 2 Millionen Patienten behandelt wurden (Destatis 2014b). Ergänzt wird das Feld der Leistungserbringer durch ca. 15.000 Pflegeheime und etwas weniger ambulante Pflegedienste. 2019 gab es 4,13 Millionen Pflegebedürftige, Tendenz steigend, von denen rund 20% in Pflegeheimen, 24% durch ambulante Dienste und 56% durch Angehörige betreut wurden (Destatis 2020).

Die Seite der Leistungsträger ist in Deutschland von dualer Natur. So gibt es die Gesetzlichen Krankenversicherungen (kurz GKV), denen 73,35% (GKV-Spitzenverband) aller Versicherten angehören und deren Aufgaben in der Sozialgesetzgebung, insbesondere im Sozialgesetzbuch Fünftes Buch (SGB V), festgelegt sind, und die privaten Krankenversicherungen (PKV), deren Leistungen individualvertraglich zwischen dem Versicherten und dem Versichernden geregelt werden (Nagel u. Braasch 2007, S. 118). Hinzu kommen die Leistungen wie beispielsweise Individuelle Gesundheitsleistungen (kurz: IGeL-Leistungen) oder rezeptfreie Medikamente, die von den Versicherten selber getragen und somit nicht durch die Kostenträger übernommen werden.

Eine wesentliche Besonderheit des Gesundheitswesens stellen die stark differenzierten Träger der einzelnen Akteure dar, was zu unterschiedlich zu beachtenden Gesetzen führt. Auf der einen Seite sind die privatwirtschaftlichen Teilnehmer zu finden. Zu diesen gehören die nicht-angestellten Ärzte und Apotheker sowie die Versicherer der PKV. Für diese Gruppe ist das Bundesdatenschutzgesetz einschlägig und spielt somit die wichtigste Rolle für Datenschutzregelungen (vgl. § 1 Abs. 2 Punkt 3 BDSG). Zusätzlich gibt es Einrichtungen, für die das Bundesdatenschutzgesetz in Teilen gilt, da die Einrichtungen sich in Trägerschaft eines Bundeslandes befinden und das jeweilige Landesdatenschutzgesetz wettbewerbsrelevante Teile an das Bundesdatenschutzgesetz „delegiert“. Diese Regelungen wurden in die Landesdatenschutzgesetze aufgenommen, um den jeweiligen Einrichtungen eine Teilnahme am Wettbewerb zu ermöglichen, ohne zusätzliche Auflagen erfüllen zu müssen, die für ihre Konkurrenz nicht besteht (vgl. z.B. § 1 Abs. 1 NDSG oder § 5 DSG NRW). Hiervon sind in der Regel kommunale Krankenhäuser und ähnliche Einrichtungen betroffen. Für Unikliniken, die in der Trägerschaft der Länder stehen, gilt dies nicht, da bei diesen nicht von einem Wettbewerb ausgegangen wird. Des Weiteren gibt es im Gesundheitswesen Einrichtungen, die durch religiöse Gemeinschaften betrieben werden. Diese fallen aufgrund des Selbstbestimmungsrechtes der Kirchen in Deutschland (vgl. z.B. BVerfG, 2 BvR 661/12 vom 22.10.2014, Rn. [1–183]) unter die jeweiligen Gesetze der Kirche beziehungsweise der regionalzuständigen Organisationseinheit (beispielsweise einem Bistum in der katholischen Kirche). Neben den entsprechenden primären Datenschutzgesetzen besteht weiterhin die Möglichkeit, dass auf Bundeslandebene noch Gesundheits- oder Krankenhaus(datenschutz)gesetze verabschiedet wurden, die zu berücksichtigen sind. In diesen Fällen wurde auf der kirchlichen Ebene die entsprechende Gesetzesstruktur nachgebildet. Zusätzlich müssen die Sozialdaten von Betroffenen, die Leistungen der Sozialversicherungen beziehen, nach den Regelungen der Sozialgesetzgebung verarbeitet werden. Dies gilt nicht nur für die Gesundheitsdaten der gesetzlichen Versicherten, sondern auch für Daten, die in der Pflege oder der Jugendhilfe erhoben werden. Diese Regeln sind dementsprechend für die GKV auf die von ihr verarbeiteten Daten anzuwenden. Detaillierter wird das Thema in Kapitel II.1 aufbereitet.

In Deutschland gibt es darüber hinaus das Berufsgeheimnis, das sich unter anderem auf Ärzte und Apotheker erstreckt. Dies hat zur Folge, dass eine Auslagerung der Verarbeitung personenbezogener Daten, insofern diese unter das Berufsgeheimnis fallen, nach dem heutigen Stand schwer umsetzbar ist. Die Fragestellungen dazu sind nicht abschließend geklärt. Weiterhin haben die einzelnen Berufsgruppen im Gesundheitswesen eigene Berufsordnungen, die ebenfalls Datenschutzaspekte enthalten, die für den Einzelnen zu berücksichtigen sind.

Im Vergleich zum Datenschutz werden mit den Dokumentationspflichten andere Ziele verfolgt. So ist eines der Grundprinzipien des Datenschutzes die Datenminimierung sowie die Speicherbegrenzung (vgl. Art. 5, 1. (c) und (e)), die verlangt, dass die Verarbeitung von Daten auf ein notwendiges Maß beschränkt wird und personenbezogene Daten nur so lange gespeichert werden dürfen, wie es notwendig ist und diese ggf. gelöscht werden. Diese Vorschrift ist allerdings subsidiär, weshalb die Aufbewahrungsfristen der Löschung vorzuziehen sind. Aus dem technischen Blickwinkel stellt es für viele IT-Systeme ein Problem dar, zum Ende der Aufbewahrungsfrist entsprechende Daten zu löschen. Dies liegt insbesondere darin begründet, dass für viele Datenkategorien unterschiedlichste Aufbewahrungsfristen bestehen, sodass keine generelle technische Regel gefunden werden kann, die besagt, dass alle Daten nach n Jahren gelöscht werden können. Hinzu kommt, dass immer mehr dieser Daten zur Qualitätssicherung ausgewertet werden und in entsprechender Form vorliegen müssen. Außerdem können sich aus dem BGB Schadensersatzansprüche ergeben, die erst nach 30 Jahre verjährt sind (§ 199 Abs. 2 BGB). Eine genaue Aufschlüsselung dieser Problematik findet sich in Kapitel II.3.

Dokumentationspflichten, Erhebung von Daten zur Abrechnung und der Wunsch nach Forschung und kontinuierlicher Verbesserung der Qualität bei den Leistungserbringern führen zu einer immer umfangreicheren Menge an Daten und das Verlangen diese auszuwerten. Solange diese Daten im Bezug zu einer Person stehen sind die datenschutzrelevanten Gesetze und Regelungen zu beachten. Aktuelle Trends, wie Cloud-Computing und Big Data, die in der Industrie einen hohen Stellenwert einnehmen und im Gesundheitswesen verursacht durch den zunehmenden Kostendruck auch großes Interesse wecken, stoßen auf die Herausforderungen personenbezogene Daten zu verarbeiten, die zu anderen Zwecken erhoben wurden und daher gar nicht verwendet werden dürften. Hier ist meistens eine Einzelbewertung unter Berücksichtigung der Verhältnismäßigkeit erforderlich.

Literatur

Destatis (2020) Pressemitteilung. URL: https://www.destatis.de/DE/Presse/Pressemitteilungen/2020/12/PD20_507_224.ht (abgerufen am 08.11.2021)

Destatis (2020) Pflegeheime und ambulante Pflegedienste. URL: https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Gesundheit/Pflege/Tabellen/pflegeeinrichtungen-deutschland.html (abgerufen am 08.11.2021)

Destatis (2021) Gesundheitsausgaben nach Ausgabenträgern. Statistisches Bundesamt. URL: https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Gesundheit/Gesundheitsausgaben/Tabellen/ausgabentraeger.html (abgerufen am 08.11.2021)

Destatis (2014a) Gesundheit – Grunddaten der Krankenhäuser. Stand: 02.12.2014. Statistisches Bundesamt. URL: https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/2017/08/PD17_276_231.html (abgerufen am 03.04.18)

Destatis (2014b) Gesundheit – Grunddaten der Vorsorge- oder Rehabilitationseinrichtungen. Stand: 02.12.2014. Statistisches Bundesamt. URL: https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Gesundheit/Vorsorgeeinrichtungen-Rehabilitationseinrichtungen/Tabellen/gd-vorsorge-reha-jahre.html (abgerufen am 08.11.2021)

GKV-Spitzenverband (2021) Zahlen und Grafiken. URL: https://gkv-spitzenverband.de/service/zahlen_und_grafiken/zahlen_und_grafiken.jsp (abgerufen am 08.11.2021)

Nagel E, Braasch P (2007) Das Gesundheitswesen in Deutschland: Struktur, Leistungen, Weiterentwicklung. 4., völlig überarb. und erw. Aufl. Deutscher Ärzte-Verlag Köln

Statistisches Bundesamt (2017) URL: https://www.awo.org/statistisches-bundesamt-beschaeftigte-im-gesundheitswesen-0 (abgerufen am 03.04.18)

3Interessenten an GesundheitsdatenThomas Jäschke und Alexander Vogel

Der Begriff Gesundheitsdaten fasst, neben den Behandlungsdaten einer Person, alle Daten über die Gesundheit und den Gesundheitszustand einer Person zusammen (s. Kap. II.2). So zählen beispielsweise auch Daten, die von einer Pulsuhr gemessen werden oder Tracking-Daten, die beim Workout aufgezeichnet werden, als Gesundheitsdaten, da sich hieraus Informationen über den Gesundheitszustand der betreffenden Person ableiten lassen. Interessenten an Gesundheitsdaten gibt es viele, jedoch aus den unterschiedlichsten Gründen.

Primärer Verwendungszweck – Dokumentation der Behandlung

Gesundheitsdaten sind für unterschiedliche medizinische Berufsgruppen zur medizinischen Dokumentation von Interesse. So ist dies ursprünglich auch der eigentliche, primäre Verwendungszweck von Gesundheitsdaten. Die Ärzte sind nach § 630f BGB verpflichtet, eine Patientenakte elektronisch oder in Papierform zur Dokumentation der Behandlung zu führen. Demnach sind sämtliche Anamnesen, Diagnosen, Untersuchungen, Untersuchungsergebnisse, Befunde, Therapien, Eingriffe, Einwilligungen und Aufklärungen in die Akte aufzunehmen (vgl. § 630f Abs. 2 BGB). Weiterhin verpflichtet auch § 10 MBO-Ä Aufzeichnungen über die Behandlung zu führen.

§ 630f BGB verpflichtet nicht nur Ärzte zur Dokumentation der Behandlung. Demnach sind alle Behandler, wie beispielsweise Physiotherapeuten, Heilpraktiker, Gesundheitspfleger oder auch Psychotherapeuten u.v.a.m., zur Führung einer Dokumentation verpflichtet. Ergänzend zum oben genannten Paragraphen ist die Pflicht zur Dokumentation auch in vielen Berufsordnungen verankert, so in § 1 Abs. 5 der Berufsordnung der Physiotherapeuten oder § 9 Abs. 1 der Muster-Berufsordnung der Psychotherapeuten.

Die medizinische Dokumentation der Behandlung ist nicht nur als Gedankenstütze für den Arzt bzw. den Behandler gedacht, sondern stellt weiterhin eine Informationsquelle für den Patienten dar. Des Weiteren kann sie als Nachweis für den Patienten oder Behandelnden bei möglichen straf- oder zivilrechtlichen Angelegenheiten dienen.

Sekundäre Verwendungszwecke

Neben den genannten primären Zwecken werden Gesundheitsdaten auch noch für sekundäre Zwecke verwendet. Die gesetzliche und private Abrechnung der erbrachten medizinischen Leistungen mit den Krankenkassen oder dem Patienten ist wohl der bekannteste sekundäre Zweck. Im Bereich der stationären Abrechnung erfolgt dies verpflichtend seit 2004 über das G-DRG-System (German Diagnosis Related Groups-System), wohingegen die Abrechnung im ambulanten und belegärztlichen Bereich über den einheitlichen Bewertungsmaßstab (EBM) mit der gesetzlichen Krankenversicherung abgerechnet wird (vgl. § 87 Abs. 2 SGB V).

Die Abrechnung stellt jedoch nicht den einzigen sekundären Verarbeitungszweck von Gesundheitsdaten dar, so werden Gesundheitsdaten auch zu Forschungszwecken verwendet. In diesem Zusammenhang werden häufig die klinische Forschung und die Versorgungsforschung genannt. Bei der klinischen Forschung beschäftigen sich Wissenschaftler mit der Verbesserung der Behandlung bestimmter Erkrankungen. So werden neue Medikamente oder Therapien direkt am Patienten in klinischen Studien evaluiert (vgl. BMBF 2015). Hierfür werden Patienten mit entsprechender Erkrankung zur Durchführung der Studien benötigt, die durch die vorliegenden Informationen der Gesundheitsdaten für Studien ausgewählt werden können. Dadurch entfällt eine oft mühsame Akquise mittels Zeitungsannoncen o.ä. Die Versorgungsforschung dagegen beschäftigt sich mit der Optimierung der Bürgerversorgung. So werden beispielsweise Routinedaten (s. Kap. V.1) nach eventuellen Defiziten in der Behandlung von Krankheiten in unterschiedlichen Regionen der Republik analysiert und mittels eines Versorgungskonzepts behoben.

Auch pharmazeutische Unternehmen gehören zur Interessentengruppe und zwar in zweierlei Hinsicht. So werden zum einen für die Zulassung von neuen Medikamenten Testpersonen für die klinische Prüfung am Menschen benötigt (vgl. §§ 40 und 41 AMG). Zum anderen werden die Abrechnungsdaten aus Apothekenrechenzentren dazu benutzt, um das Verschreibungsverhalten der Ärzte zu analysieren. Mit Hilfe dieser Analysedaten erfolgt die Entwicklung und Umsetzung von Werbemaßnahmen zur Steigerung der Verschreibungen von Medikamenten der entsprechenden Pharmaunternehmen.

Neben dem weitestgehend medizinischen Interesse an Gesundheitsdaten existieren noch andere Interessengruppen, welche die Daten für unterschiedliche Zwecke nutzen. Die Versicherungsbranche besitzt auch großes Interesse an den Gesundheitsdaten ihrer Versicherten. Für den Abschluss und die Berechnung der Versicherungsbeiträge für eine Lebens-, Berufsunfähigkeits- oder private Krankenzusatzversicherung ist die Angabe von Gesundheitsdaten notwendig. Die meisten Angaben macht der Versicherungsnehmer selbstständig, jedoch verlangen viele Versicherungen eine Einwilligung und Schweigepflichtsentbindung von den Patienten zum Austausch von Gesundheitsdaten mit den behandelnden Ärzten. So ist die Erhebung nur dann zulässig, wenn dies der Beurteilung des versichernden Risikos oder der Leistungspflicht dient (vgl. § 213 Abs. 1 VVG). Zudem ist der Versicherte nach der Erteilung der Einwilligung vor jeder Erhebung zu informieren und kann dieser ggf. widersprechen (vgl. § 213 Abs. 2 VVG).

Das Interesse an Gesundheitsdaten haben auch Banken und Kreditinstitute. So kann der Gesundheitszustand die Kreditwürdigkeit eines Antragstellers beeinflussen.

Das Statistische Bundesamt veröffentlicht in regelmäßigen Intervallen unterschiedlichste Statistiken über Erkrankungen, Krankenhäuser, Operationen und die Gesundheit der Bürger. Dazu werden verschiedene Gesundheitsdaten, wie beispielsweise DRG oder EBM-Daten, ausgewertet und aufbereitet (eine Übersicht bietet Destatis 2021).

Big Data

Wenn über Daten gesprochen wird, egal ob über Gesundheits-, Finanz- oder Firmendaten, fällt unweigerlich der Begriff Big Data. Wörtlich übersetzt heißt er „große Daten(-mengen)“, im deutschsprachigen Raum auch als Massendaten bezeichnet. Im Zusammenhang damit werden häufig die drei Vs genannt – Volume, Variety und Velocity.

Big Data beschreibt jedoch nicht nur das Speichern von großen Datenmengen, sondern auch deren Verarbeitung und Analyse. Durch digitale Bildgebungsverfahren und die elektronische Erfassung von Vitalparametern werden im Gesundheitswesen riesige Datenmengen erhoben und verarbeitet. Somit spielt Big Data auch im Gesundheitswesen eine immer größere Rolle. Die Anwendung von Big Data im Gesundheitswesen bietet großes Potenzial, beispielsweise bei der Analyse von MRT-Aufnahmen oder der Berechnung von Epidemien.

Mit Hilfe von Big Data lassen sich auch Gesundheitsprofile für Deutschland, seine einzelnen Bundesländer aber auch für Gemeinden und Landkreise erstellen. Das Bayerische Landesamt für Gesundheit und Lebensmittelsicherheit bietet eine Web-Anwendung für das Gesundheitsprofil von Bayern an (Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit 2019). Dort werden die Daten über Sterbefälle, Krankenhausaufenthalte, Pflegebedürftigkeit und Krebsneuerkrankungen für Bayern und seine einzelnen Landkreise grafisch aufbereitet. Die Gesundheitsprofile dienen zur Darstellung des Gesundheitszustandes der Bevölkerung eines Landes.

Neben den oben genannten positiven Beispielen bietet Big Data aber leider auch ein großes Potenzial für den Datenmissbrauch. Beispielsweise ist es möglich, personenspezifische (Gesundheits-)Profile zu erstellen und an andere Interessenten zu verkaufen.

Hauptinteressent: Der Patient

Das größte Interesse an Gesundheitsdaten dürfte der Patient selbst haben. In diesem Zusammenhang gibt es einige Projekte zum Thema der patientengeführten Gesundheitsakte. Bei dieser Form von Gesundheitsakten pflegt der Patient neben den Einträgen zu seinen Behandlungen und Gesundheitsstatus auch die Berechtigungen für den Zugriff auf die Akte. Projekte in diesem Rahmen sind beispielsweise Google Health7 oder Microsoft HealthVault8.

Literatur

Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit (2015) Gesundheitsprofile Bayern. URL: http://www.lgl.bayern.de/gesundheit/gesundheitsberichterstattung/gesundheitsatlas/profile/atlas.html?detectflash=false (abgerufen am 08.11.2021)

Bundesministerium für Bildung und Forschung (2015) Gesundheit erhalten. Stand: 20. August 2015. URL: http://www.gesundheitsforschung-bmbf.de/de/gesundheit-erhalten.php (abgerufen am 18.01.16)

Destatis (2021) Gesellschaft und Umwelt. URL: https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Gesundheit/_inhalt.html;jsessionid=F8AEF892B774BD7512C066940B0CA796.live741 (abgerufen am 08.11.2021)

Gesetz über den Verkehr mit Arzneimitteln (AMG) i.d.F. der Bekanntmachung vom 12. Dezember 2005 (BGBI. I S. 3394), zuletzt geändert durch Artikel 3 des Gesetzes vom 17. Dezember 2014 (BGBI. I S. 2222)

Gesetz über den Versicherungsvertrag (VVG) i.d.F. der Bekanntmachung vom 23. November 2007 (BGBI. I S. 2631), zuletzt geändert durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBI. I S. 1245, 1262)

7 Google Health wurde zum 02. Januar 2013 eingestellt. Siehe dazu “Google Health has been discontinued”. URL: https://www.google.com/intl/en_us/health/about/

8 Microsoft HealthVault (URL: https://www.healthvault.com/de/de)

4Der Nutzen von Datenschutz im GesundheitswesenThomas Jäschke, Nina Kill und Sina Rochow-Pahl

Datenschutz wird im Allgemeinen, speziell aber auch im Gesundheitswesen, als zusätzlicher und oft auch als störender Aufwand empfunden. Dies liegt in erster Linie daran, dass Datenschutz mit Sichteinschränkungen einhergeht, sodass auf notwendige Daten erst nach einer Prüfung dieser Notwendigkeit zugegriffen werden kann. Richtig eingesetzt ist Datenschutz aber nicht mehr eine Belastung, sondern kann vielmehr in die Unternehmensorganisation übergehen und effektiv einen Mehrwert schaffen (Jäschke u. Richard 2014).

Schon Hippokrates erkannte die Notwendigkeit einer offenen Beziehung zwischen Arzt und Patient, weshalb er in seinen Hippokratischen Eid die Verschwiegenheitspflicht des Arztes aufnahm (Körner 1921, S. 5f.). Nur wenn der Patient sich sicher sein kann, dass seine Offenbarung gegenüber dem Arzt nur seiner bestmöglichen Behandlung dient und er nicht mit negativen Konsequenzen daraus rechnen muss, wird er bereit sein, sich dem Arzt anzuvertrauen. Gleiches gilt für die anderen Teilnehmer des Gesundheitswesens, weshalb der Gesetzgeber das Berufsgeheimnis aus § 203 StGB auch auf diese Berufsgruppen ausgeweitet hat. Des Weiteren wurde die Verschwiegenheitspflicht in die entsprechenden Berufsordnungen mit aufgenommen.

Die meisten Einrichtungen des Gesundheitswesens sind dazu verpflichtet ein Qualitätsmanagement durchzuführen (§ 135a SGB V). Mit der EU-DS-GVO sind Unternehmen im Gesundheitswesen verpflichtet ein Datenschutzmanagementsytem zu implementieren. Aber auch abseits der Verpflichtung bieten sich Synergieeffekte, zwischen Qualitätsmanagement und Datenschutzmanagement, die gehoben werden sollten. So verlangen beide eine Dokumentation der Prozesse (ISO 9000 und Art. 30 EU-DS-GVO). Ein bestehendes Verzeichnis von Verarbeitungstätigkeiten kann dementsprechend ohne großen Aufwand in die Dokumentation des Qualitätsmanagements aufgenommen werden. In diesem Fall unterliegen diese Dokumente auch der Lenkung der Qualitätssicherung, sodass sichergestellt werden kann, dass diese aktuell gehalten werden. Besteht ein Qualitätsmanagement, aber kein Verzeichnis von Verarbeitungstätigkeiten, können die benötigten Verfahren und die Verantwortlichen für das zu erstellende Verzeichnis von Verarbeitungstätigkeiten aus der Qualitätssicherung extrahiert werden und müssen gegebenenfalls nur noch um weitere Informationen ergänzt werden, die von den IT-Verantwortlichen zielgerichtet eingesammelt werden können.

Immer mehr große Institutionen bauen ein Compliance-Management auf, das sicherstellen soll, dass in der Institution alle rechtlichen Vorgaben berücksichtigt werden. Im Rahmen dessen ist auch die Betrachtung der Datenschutzvorgaben notwendig. Die Synergieeffekte in diesem Bereich ergeben sich durch die hohen Überschneidungen zwischen den Anforderungen des Datenschutzes und der IT-Sicherheit, die beispielsweise im Rahmen der Anbindung an die Telematikinfrastruktur oder des Risikomanagements zu berücksichtigen sind.

Werden die datenschutzrelevanten Verfahren erfasst, sollte diese Gelegenheit dazu genutzt werden die existierenden Prozesse auf verschiedenen Ebenen zu hinterfragen, um eine Neugestaltung in Betracht zu ziehen. Hierbei kann die Effektivität beziehungsweise die Reihenfolge der Prozesse betrachtet werden. Durch die detaillierte Betrachtung ergeben sich gegebenenfalls Optimierungspotenziale, die für eine Verbesserung der Prozessabläufe genutzt werden können und zu einer Kostenersparnis führen (Jäschke u. Hacks 2012).

Ein weiterer Aspekt, den es sich eventuell zu untersuchen lohnt, sind die getroffenen Schutzmaßnahmen für die einzelnen Prozesse. So wird im Rahmen des Verzeichnis von Verarbeitungstätigkeiten betrachtet, welche Daten verarbeitet werden und welchen Schutzbedarf diese besitzen. Anhand dieses Schutzbedarfes sollten sich die getroffenen Schutzmaßnahmen orientieren.

Diverse Veröffentlichungen, die einen schlechten Umgang mit personenbezogenen Daten oder die bewusste Missachtung der Datenschutzgesetze und -grundsätze aufgezeigt haben (Rosenbach u. Stark 2014), haben in der Bevölkerung zu einer Desillusionierung geführt. Durch einen nachweisbaren guten Datenschutz in einer Institution lässt sich hierdurch eine Abgrenzung gegenüber der Konkurrenz erzielen. Dazu muss der Nachweis durch eine möglichst vertrauenswürdige Institution erbracht und regelmäßig kontrolliert werden. Auf dem Markt gibt es verschiedene Angebote, die diese Kriterien erfüllen. Wurde der Nachweis erbracht, sollte dieser auch kommuniziert und nicht nur das Zertifikat an der Wand angebracht werden (s.a. Kap. IV.1).

Für die Etablierung neuer Technologien ist das Vertrauen der Verbraucher essenziell. Eine wichtige Komponente ist dabei, dass abgesichert ist, dass nur Personen Zugriff auf die Daten erhalten, für die diese auch bestimmt sind. Dies gilt insbesondere für neue Technologien im Gesundheitswesen, wie die Telemedizin oder mHealth, da hier besonders sensible Daten über öffentliche Netze versendet werden. Hierbei kann Datenschutz in Form von technischen Maßnahmen, wie Verschlüsselung, oder organisatorischen Maßnahmen, wie Auditierungen, einen Mehrwert liefern.

Literatur

Jäschke T, Hacks S (2012) Durch Neuerungen im Qualitätsmanagement empfiehlt sich eine Betrachtung der Prozesse. URL: https://www.isdsg.de/sites/default/files/isdsg_qualitaetsmanagement_im_gesundheitswesen_20121204.pdf (abgerufen am 08.11.2021)

Jäschke T, Richard N (2014) Störfaktor Datenschutz. URL: https://www.isdsg.de/institut/fachbeitraege/stoerfaktor-datenschutz (abgerufen am 08.11.2021)

Körner O (1921) Der Eid des Hippokrates. Springer-Verlag Berlin, Heidelberg

Rosenbach M, Stark H (2014) Der NSA-Komplex. Edward Snowden und der Weg in die totale Überwachung. DVA München

5Cyberangriffe: Zielgruppe KrankenhäuserAlexandra Lehmann und David Matusiewicz

Die Anzahl an Cyberangriffen auf Krankenhäuser und anderen Einrichtungen im Gesundheitswesen nimmt kontinuierlich zu. Dies liegt unter anderem daran, dass die Informations- und Kommunikationssysteme komplexer und damit unübersichtlicher für die historisch gewachseneren EDV bzw. IT-Abteilungen werden. Der wohl dramatischste Hackerangriff in Deutschland hat sich im Jahr 2020 an dem Universitätsklinikum in Düsseldorf ereignet. Die Täter haben unzählige Daten der Klinik mithilfe einer Erpressersoftware (sog. Ransomware) verschlüsselt. Aufgrund nicht funktionsfähiger Systeme musste ein Rettungswagen mit einer 78-jährigen Patientin in das 25 Kilometer entfernte Wuppertal umgeleitet werden. Während dieser Fahrt verstirbt die Patientin (Doelfs 2021). Insgesamt konnte das Krankenhaus Düsseldorf 13 Tage lang nicht von Rettungsdiensten angefahren werden, da es so lange dauerte, um den Normalbetrieb wieder aufnehmen zu können. Der Cyberangriff im Frühjahr 2016, bei dem 28 Krankenhäuser in Nordrhein Westphalen betroffen waren, bleibt dabei ebenfalls nachhaltig in Erinnerung. Die Cyberattacke hat dabei knapp eine Millionen Euro Schaden beim Lukaskrankenhaus in Neuss verursacht (Doefls 2016).

5.1Kosten von Cyberangriffen

Die beiden Beispiele zeigen, welche verheerende Folgen Hackerangriffe im Gesundheitswesen nach sich ziehen. Durch den Ausfall der IT-Systeme können keine Behandlungen durchgeführt werden, wodurch keine Einnahmen generiert werden. Dennoch laufen aber die die fixen Kosten bzw. Betriebskosten weiter, die zu hohen finanziellen Einbußen führen. Der Schaden in der Reputation solcher Häuser lässt sich dabei nur schwer quantifizieren, sollte aber auch mitbedacht werden, da das Vertrauen der Patienten drastisch sinken kann. Diese Vorfälle von Cyberkriminalität sind jedoch leider längst keine Seltenheit mehr. Ähnliche Situationen, bei denen die IT-Systeme des Krankenhauses lahmgelegt wurden, ergaben sich beispielsweise am Klinikum Fürth in Bayern (2020), an der Evangelischen Klinik in Lippstadt (2021) oder erst neulich an dem Klinikverbund „Medizin Campus Bodensee“ Anfang des Jahres 2022. Werden die weltweiten Kosten von Sicherheitslücken im Branchenvergleich betrachtet, schneidet der Gesundheitssektor mit ca. 7 Millionen USD am höchsten ab (s. Abb. 1). Dies spiegelt damit nicht nur die nationale, sondern die internationale Relevanz wider.

Immer häufiger drohen die Täter von Cyberangriffen mit der Veröffentlichung der erlangten Daten. Die Lösegeldforderungen belaufen sich meist auf hohe Millionenbeträge. Zunehmend kommt es auch zu Forderungen nach Bitcoin als Lösegeld. Hierbei ist zu beachten, dass das Nachkommen einer solchen Zahlungsaufforderung als strafbare Unterstützung einer kriminellen Vereinigung gilt. Dabei sind die Daten von Patienten sowie möglichen Vertragspartner des Krankenhauses hochsensibel. Oft sind die IT-Systeme mit denen der Forschungspartner, Lieferanten oder Krankenversicherungen verbunden oder die Daten liegen auf den Servern des Krankenhauses (Orthwein 2020). Falls es nicht nur bei einer Androhung der Datenveröffentlichung bleibt, sondern die Hacker tatsächlich Daten veröffentlichen, kann es zu Schadensersatzansprüchen der Patienten bzw. der Geschädigten kommen. Insbesondere wenn es sich bei den veröffentlichten Daten um Betriebsgeheimnisse oder vertrauliche Forschungsergebnisse von Kooperationsunternehmen oder wissenschaftlichen Instituten handelt, können empfindliche Vertragsstrafen gefordert werden. Dabei muss der Vertragspartner nur glaubhaft darlegen, dass das betroffene Krankenhaus in einer fahrlässigen Weise die streng vertraulichen Daten dem Angriff preisgegeben hat. Geschäftsführern ist mittlerweile bewusst, dass solche Datenvorfalle nach der Datenschutzgrundverordnung (DS-GVO) innerhalb von max. 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden ist. Ebenfalls müssen auch Mitarbeiter und Patienten informiert werden, sofern diese Daten durch den Cyberangriff verschlüsselt sind und möglicherweise veröffentlicht werden. Auch hier drohen hohe Bußgelder, falls dieser Pflicht nicht nachgekommen wird.

5.2Sicherheitslücken trotz etablierter Standards

Bei den meisten Vorfällen wären die Hackerangriffe vermeidbar gewesen, wenn die branchenüblichen Sicherheitsstandards B3S der Krankenhäuser eingehalten werden würden. Alle Krankenhäuser, die den Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten, unterliegen dem Umsetzungsplan der kritischen Infrastruktur (UP KRITIS) (DKG 2019). In dem Standard wurden von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) etwa 200 Empfehlungen und Anforderungen für Maßnahmen entwickelt, um die kritische Dienstleistung von Krankenhäusern sicherzustellen. KRITIS Häuser müssen nach dem BSI Gesetzes regelmäßig nachweisen, dass ihr IT-Absicherung auf dem aktuellen Stand der Technik ist. Seit dem 01. Januar 2022 sind grundsätzlich alle Krankenhäuser nach § 75c SGB V dazu verpflichtet, entsprechende IT-Sicherheitsvorkehrungen zu treffen. Diese Maßnahmen haben zu einer erhöhten Steigerung des IT-Sicherheit-Awareness der Kliniken geführt sowie den Bestrebungen, die empfohlenen Maßnahmen umzusetzen. Das Krankenhaus-Management sollte dabei klare Verantwortlichkeiten definieren sowie IT-Sicherheitsziele in der Strategie und den Zielen des Unternehmens ausrichten.

Neben den in Tabelle 1 dargestellten Zielen, definiert die DKG unter anderem den Begriff der Patientensicherheit. Demnach ist die Patientensicherheit als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen beschrieben. Dabei ist die Vermeidung nachhaltiger psychischer Belastung eingeschlossen (DKG 2021). Die Daten von Patienten haben im Vergleich zu anderen Branchen kein Verfallsdatum und bauen zum Teil aufeinander auf. Das bedeutet, dass Daten aus dem Gesundheitswesen eine viel höhere Lebensdauer als in anderen Branchen haben. Nach der Entwendung von Patientendaten können Hacker diese immer noch nutzen, da weiterhin die Richtigkeit der Daten besteht. Im Vergleich zu anderen Branchen sind Daten nach einem Hackerangriff meist wertlos, da die Informationen verfallen sind. Die ist z.B. bei Daten, wie Passwörtern oder Bankdaten der Fall.

In den Anforderungen des B3S Sicherheitsstandards des DKG wurde des Weiteren festgelegt, dass Krankenhäuser die Wirksamkeit der Maßnahmen alle zwei Jahre durch Audits überprüfen zu hat. Allerdings ist die Auditierung kritisch als kritisch anzusehen, da der Auditor in der Regel nur das Vorhandensein der erforderlichen Prozesse prüft und z.B. keine Firewall begutachtet (Doelfs 2021). Außerdem bezahlt das Krankenhaus die Auditoren, wodurch ein Interessenkonflikt besteht. Daher tendieren Krankenhäuser einen eher kostengünstigeren Auditor zu wählen. Damit einhergehenden leidet meistens auch die fachliche Expertise der Auditoren. Empfehlenswert wären daher neutrale Prüfer, die beispielsweise von einer Behörde oder einer zentralen Prüfstelle einheitlich gestellt werden.

5.3Steigende Komplexität der IT-Sicherheit für Krankenhäuser

Da die Entwicklungen zu einem Smart Hospital mit telemedizinischen Lösungen, vernetzen Systemen, roboterassistierten Operationen und digitalen mobilen Endgeräte unvermeidbar sind, ist damit einhergehend auch die Informationssicherheit ein nie endender Prozess. Darüber hinaus hat die COVID-19-Pandemie auch die Anzahl der Zugriffe von mobilen Endgeräten und Heimcomputer von Krankenhausmitarbeitern drastisch erhöht. Durch Homeoffice bzw. remotes Arbeiten ist die Steuerung hausinterner IT-Systeme von externen Standorten aus, eine zusätzliche Aufgabe der Krankenhaus-IT geworden. Jeder remote Zugang auf das krankenhausinterne Netzwerk kann dabei ein potenzielles Eingangstor vor Cyberkriminelle darstellen, wenn die Sicherheitsvorkehrungen nicht adäquat getroffen wurden. Um Sensibilisierung rund im IT-Themen bei den Mitarbeitern zu schaffen, sind Richtlinien und verständliche Anleitungen unabdingbar. Meistens haben die Nutzer noch keine Kenntnisse über den Zugriff mithilfe eins VPN-Zugangs, den Umgang mit Microsoft Office oder weiteren IT-Anwendungen. Daher empfiehlt sich eine verpflichtende Schulung bevor Mitarbeiter solche Möglichkeiten nutzen dürfen.

Die COVID-19-Pandemie hat dabei nicht nur die Anzahl der Homeoffice Arbeitsplätze von Krankenhausmitarbeitern erhöht, sondern auch die Aufmerksamkeit von Cyberkriminellen auf Kliniken gerichtet. Solche Notlagen werden von Hackern zu ihrem Zweck ausgenutzt, da die Folgen im Vergleich zu anderen Bereichen lebensbedrohlich sind. In einer Umfrage des russischen Cybersicherheitsunternehmen Kaspersky wurden 350 Entscheidungsträger im Deutschland, Österreich und der Schweiz zur IT-Sicherheitslage im Gesundheitswesen befragt. Insgesamt 61% der Befragten schätzen demnach die derzeitige digitale Bedrohung als hoch ein (Kaspersky 2021). Die Nutzung von sog. „Bring your own device“ Anwendungen und Software birgt ebenfalls ein stark erhöhtes Sicherheitsrisiko mit sich, sofern dies nicht durch die IT-Abteilung angeschafft und installiert wurde.

IT-Abteilungen sind somit unter anderem für die Anschaffung, Installation sowie Überprüfung und Überwachung der vorherrschenden Systeme verantwortlich. Problematisch ist jedoch, dass nur noch sehr wenige Krankenhäuser über eine interne IT-Abteilung mit eigenem Personal verfügen (Moog 2021). Dies hat zur Folge, dass selbst bei der Erkennung von Sicherheitslücken es nicht automatisch behoben werden kann, weil die personellen Ressourcen und damit das entsprechende Know-how fehlt. Wenn solche Lücken nicht schnellstmöglich behoben werden können, kann es zu Vorfällen wie am Uni Klinikum Düsseldorf kommen. In der Studie „Epidemic? The Attack Surface of German Hospitals during the COVID-19 Pandemic“ wurde herausgefunden, dass bei etwas mehr als 36% der 1.555 untersuchten deutschen Krankenhäuser Schwachstellen in der IT-Sicherheit aufweisen. Von den insgesamt 1.931 identifizierten Schwachstellen, waren mehr als 900 als kritisch eingestuft wurden. Immer mehr Krankenhäuser setzen daher auf das Wissen und die Unterstützung von externen Dienstleistern. Doch auch hier müssen sich Krankenhäuser genau absichern, wer die Verantwortung trägt, dass alle IT-Sicherheitsvorkehrungen und Updates immer auf dem aktuellen Stand sind. Denn je größer ein Krankenhaus ist desto zahlreicher und heterogener sind die genutzten IT-Systeme (Doelfs 2021). Damit steigt der Aufwand und das Risiko möglicher Gefahren im operationalen Klinikbetrieb.

5.4Fazit und Ausblick

Nichtsdestotrotz sollten sich Krankenhäuser der zunehmenden digitalen Transformation nicht entziehen, um den Aufwand der IT-Sicherheit zu entkommen. Ganz im Gegenteil: Das Ziel sollte es sein, durch die Vereinheitlichung der proprietären IT-Strukturen sowie die Etablierung einer Digitalstrategie die Grundlage für ein sicheres Netzwerk zu schaffen (Moog 2021). Um bei der Umsetzung die Krankenhäuser finanziell zu unterstützen, stellen Bund und Länder insgesamt 4,3 Milliarden Euro im Rahmen des Krankenhaus Innovationsfonds bereit. Dadurch soll unter anderem die Vielzahl an IT-Insellösungen abgeschafft werden. Bei der Förderung müssen mindestens 15% der Mittel auf Maßnahmen zur Verbesserung der Informationssicherheit mit Fokus auf IT- und Cybersicherheit ausgerichtet sein.

Wichtig ist, dass die Umsetzung neuer IT-Projekte in Krankenhäusern nachhaltig eine Verbesserung für alle Stakeholdergruppen schafft. Es sollte nicht das Ziel sein, auf kurze oder mittlere Frist viele neue Anwendungen einzuführen, die langfristig nicht bestehen können. Dabei ist vor allem zu bedenken, dass die Kosten der Einführung sowie für den Betrieb von IT-Sicherheitssystemen nicht vollständig durch die Gelder des KHZG gedeckt werden können. Daher muss das Krankenhaus-Management neue Strategien entwickeln, um die Digitalisierung und damit einhergehend die IT-Sicherheit bestmöglich nach ihren Anforderungen und Vorstellungen auszugestalten.

Literatur

DKG (2019) Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Version 1.1. URL: https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/B3S_KH_v1.1_8a_geprueft.pdf [abgerufen am 11. Juli 2023]

Doelfs G (2021) Cybersecurity. Sicherheitsrisiko Krankenhaus. Klinik Management aktuell, 26(4), S. 23–27

Doelfs G (2016) Lukaskrankenhaus Neuss. 900.000 Gesamtschaden durch Cyberattacke. URL https://www.kma-online.de/aktuelles/klinik-news/detail/900000-euro-gesamtschaden-durch-cyberattacke-a-31629 (abgerufen am 11. Juli 2023)

Kaspersky (2021) Kaspersky-Studie offenbart IT-Sicherheitslevel im deutschen Gesundheitswesen. https://www.kaspersky.de/about/press-releases/2021_kaspersky-studie-offenbart-it-sicherheitslevel-im-deutschen-gesundheitswesen (abgerufen am 11. Juli 2023)

Moog, S. (2021) Direkt ins Herz des Gesundheitssystems. Rasant wachsende Cyberkriminalität verschärft Missstände der IT-Sicherheit. KU Gesundheitsmanagement, 90(11), S. 63–65

Orthwein, M. (2020) Haftungsrisiken bei Hackerangriffen. Effizientes Risikomanagement ist Chefsache. Klinik Management aktuell, 25(11), S. 80–81

Statista (2021) Cyber-Security im Gesundheitswesen. URL: https://de.statista.com/statistik/studie/id/54738/dokument/cyber-security-im-gesundheitswesen/ (abgerufen am 11. Juli 2023)

6Datenschutz – Ein Alleinstellungsmerkmal?Thomas Jäschke, Nina Kill und Sina Rochow-Pahl

Datenschutz ist im Gesundheitswesen ein Thema, das bisher kommunikativ gerne unbeachtet blieb. Dies mag nicht zuletzt daran liegen, dass es häufig als Stolperstein eingestuft wird und gerne auch die Meinung vertreten wird, dass er Prozesse und Arbeitsschritte verkompliziert. Allerdings bietet die Integration in die interne und externe Positionierung des Unternehmens Potenziale, die es individuell zu betrachten gilt. Es stellt sich die Frage, ob Krankenhäuser und andere medizinische Einrichtungen wie Arztpraxen oder Pflegeheime nicht genau dieses Thema kommunikativ aufgreifen sollten, um ein Alleinstellungsmerkmal zu bilden? Oder mit welchen Konsequenzen ist zu rechnen, wenn der Datenschutz in unseren Gesundheitseinrichtungen nicht kommunikativ gelebt wird?

6.1Das Alleinstellungsmerkmal in der Positionierung

Bereits in den 90er-Jahren waren Rosser und Reeves der Meinung, dass Unternehmen sich ein Attribut auswählen sollen und sich in diesem als „Nummer 1“ vermarkten sollten (Kotler 1991, S. 203). Genauso gilt dies noch heute als Mittelpunkt einer jeden Kommunikationsstrategie, der sogenannten Positionierung. Für Leistungserbringer des Gesundheitswesens steht hier das Nutzenversprechen für den Patienten im Mittelpunkt. Dieses Nutzenversprechen wird anhand ausgewählter Eigenschaften gebildet und muss mit dem Kommunikationsobjekt, respektive Krankenhaus, in Verbindung gebracht werden und bildet das Alleinstellungsmerkmal (Unique Selling Proposition). Werden hier die richtigen Eigenschaften gewählt, so heben diese das Krankenhaus von den Wettbewerbern ab und sind in einem hohen Maße relevant für die Entscheidung des Patienten für ein Krankenhaus (Meffert et al. 2007, S. 637ff.). Dies können beispielsweise Attribute, wie die beste Behandlungsqualität, die beste Ausstattung oder der beste Service sein (Elste 2009, S. 30). Welche Attribute hier am geeignetsten genutzt werden, ist anhängig von der jeweiligen Einrichtung und der Patientenstruktur. Die eigentliche Bewertung der gewählten Attribute ist hingegen abhängig von den Präferenzen der Kunden. Nur durch einen so generierten Wettbewerbsfaktor können Einrichtungen im Gesundheitswesen langfristig existieren (Meffert et al. 2007, S. 57). Aber sollte sich die Wahl hier auf den Datenschutz, also den Umgang mit sensiblen Patienten- und Gesundheitsdaten konzentrieren oder können vermeidliche positive Effekte eher negative Konsequenzen bewirken?

6.2Die Wahl für ein Krankenhaus

Um einzuschätzen, inwieweit die Wahl des Themas Datenschutz als Alleinstellungsmerkmal dienlich ist, sollte vorab die Entscheidungsgrundlage von Patienten für ein Krankenhaus betrachtet werden. Der Gesundheitsmonitor 2012 hat hier genauer nachgefragt. Die Entscheidungsgrundlage eines Patienten für eine Einrichtung kann vielseitig sein. Als wichtigstes Entscheidungskriterium gilt die medizinische Qualität einer Einrichtung. Gleichzeitig trauen sich allerdings nur wenige Patienten zu, die Qualität einer Klinik eigenständig zu beurteilen. Dies erklärt auch, warum die Reputation, das von außen wahrgenommene Ansehen einer Klinik, als zweitwichtigster Punkt zur Entscheidungsfindung genannt wird (Schwalbach 2001, S. 1).

Bei einem Übertrag auf die Positionierung von Leistungserbringern, gilt die medizinische Qualität somit als Grundnutzen, der erfüllt sein muss, da die angebotene Dienstleistung sonst als inakzeptabel bezeichnet wird. Hinzu kommt der Zusatznutzen, wie eine besonders hohe Reputation, die durch ein spezielles Serviceangebot, Freundlichkeit des Personals und somit die Zufriedenheit der Patienten und im optimalen Fall eine Weiterempfehlung erfolgt und so das Krankenhaus von seinen Wettbewerbern abhebt. Könnte demnach ein gutes Datenschutzniveau, vorausgesetzt es wird von den Patienten wahrgenommen, ein Attribut für das Alleinstellungsmerkmal sein?

Alleinstellungsmerkmale müssen glaubhaft und konsistent zu dem Anbieter passen, damit eine Glaubwürdigkeit gegeben ist. Glaubwürdigkeit setzt Vertrauen voraus. Krankenhäuser, als Institutionen, genießen in Bezug auf die Angaben, die z.B. auf der Website gemacht werden, ein geringes Vertrauen, als Hausärzte, Familienangehörige oder Freunde. All diese Entscheidungstypen werden von Komponenten, wie der medizinischen Qualität, Freundlichkeit des Personals, die Fachexpertise von Ärzten oder auch dem Service positiv beeinflusst (Böcken et al. 2012, S. 148). Die Servicekomponente kann Datenschutz für Patienten umfassen.

Halten wir also fest, dass Zusatzangebote, wie der Service, eine Entscheidung für eine medizinische Einrichtung positiv beeinflussen können. Allerdings nur, wenn es die Kernessenz des Leistungsangebots zur vollsten Zufriedenheit erfüllt.

6.3Oder doch ein Hygienefaktor?

Ist die Bezeichnung für Datenschutz als Alleinstellungsmerkmal also falsch, sodass es sich eher um eine Art Hygienefaktor handelt?

Die Aufdeckung von Datenschutzverstößen im Gesundheitswesen führt zu großen Skandalen, die nicht zuletzt von der Öffentlichkeit diskutiert werden. Die Empörung ist groß, schaut man sich einige der prominentesten zuletzt aufgedeckten Fälle, wie den Datenschutzskandal um die kopierte Patientenakte von Michael Schumacher oder den Zugriff eines großen Teils der Krankenhausbelegschaft auf die Patientenakte im Fall Tuğçe an. Doch warum ist die Empörung der Öffentlichkeit in solchen Fällen so groß? Ärzte, Krankenschwestern und Pflegekräfte belegen in der Studie GfK Trust in Professions 2018 die vordersten Plätze auf der Beliebtheitsskala. Dieser Personengruppe wird die eigene Gesundheit in die Hände gelegt. Ärzte schwören ihren Eid der ärztlichen Schweigepflicht und werden damit zum Geheimnisträger und gleichzeitig zu einer absoluten Vertrauensperson, bei der selbstverständlich auch die eigenen Daten in guten Händen sind (GfK 2018).

Gehen Patienten demnach davon aus, dass die Daten bei dieser Vertrauensperson in guten Händen liegen, wird der Faktor Datenschutz – ähnlich wie die Qualität einer Behandlung – zu einem Basisnutzen, der erfüllt werden muss, um überhaupt Akzeptanz zu finden. Gleichzeitig könnte das Nichtexistieren von Datenschutzvorschriften allerdings zu großer Unzufriedenheit führen. Bei der Optimierung dieser könnte eine Abschwächung der Unzufriedenheit erfolgen. Eine Erhöhung der Patientenzufriedenheit wäre allerdings nicht denkbar, da dieser Faktor zu dem Basisnutzen gehören muss. Die Patientenzufriedenheit ist der Einflussfaktor der Unternehmensreputation. Werden Studien zu diesem Thema aus anderen Branchen betrachtet, so wird einer hohen Unternehmensreputation auch gleichzeitig eine hohe Unternehmenskompetenz zugeordnet (Schwalbach 2001, S. 1).

Dennoch sollte sich zusätzlich noch mit der anderen Seite beschäftigt werden – den kommunikativen Auswirkungen eines nicht vorhandenen Datenschutzniveaus auf die Reputation einer Gesundheitseinrichtung. Eine langfristig und zeitaufwändig aufgebaute Reputation kann schnell durch nur einen Fehler zerstört werden. Wobei eine Rückgewinnung des ursprünglichen Standards meist nur zu Bruchstücken der zuvor erreichten Reputation möglich ist.

Eine häufig sehr starke negative Beeinflussung der Reputation ist auf Meinungsbilder, wie Medienberichte oder Diversifikation zurückzuführen (Schwalbach 2001, S. 3ff.).

Betrachten wir hierzu öffentlich gewordene Fälle aus den vergangenen Jahren, die zeigen wie schnell es zu Datenschutzverstößen kommen kann. Häufig ist es ein Handeln oder Versehen, hervorgerufen durch, teilweise menschliches Versagen, teilweise durch Anteilnahme, ohne böse Hintergedanken, teilweise aber auch aus negativ motivierten Einstellungen.

Ein Großteil der Krankenhausbelegschaft hatte sich Zugriff auf eine Patientenakte verschafft. Die Klinikleitung reagierte schnell und sprach Ermahnungen aus. Eine Anpassung der Datenschutzvorschriften im Haus war allerdings nicht geplant, um die Ausgewogenheit zwischen Patientenwohl und Datenschutz zu halten (OP-Online 2015).

Die Patientenakte oder Daten dieser wurden Medienvertretern zum Kauf angeboten. Es wurde unmittelbar Anzeige gegen den Verdächtigen eingeleitet und mit Ermittlungen der Kriminalpolizei begonnen

Weitere Fälle: Patientenakten verschwinden während der Mitarbeiter durch ein Telefonat mit einem Kollegen, auf dem Weg zur Archivierung, abgelenkt wird. In einem anderen Fall taucht ein Zettel mit Patientennamen und Hinweise zu Erkrankungen in einem Kindergarten oder direkt auf der Straße auf.

Grundsätzlich müssen sowohl die Betroffenen, als auch die Datenschutzbeauftragten der Länder und die Aufsichtsbehörden informiert werden. Sobald die Öffentlichkeit involviert ist, gilt es guten Willen zu zeigen und schnell zu handeln. Unterschieden werden müssen die Konsequenzen, mit denen auf rechtlicher Ebene zu rechnen ist oder aber auf der Reputationsebene.

Für Gesundheitseinrichtungen kann ein Datenschutzverstoß große monetäre Ressourcen in Anspruch nehmen und damit richtig teuer werden. Neben Bußgeldern, die im Schadensfall zu Tage kommen, können je nach Fall kriminaltechnische Ermittlungskosten juristische Dienstleistungen, Schmerzensgeld, Schadenersatz usw. aufkommen.

Aufgrund der offiziellen Meldepflicht von Datenschutzverstößen kann auch noch eine weitere – die Reputationsebene – betroffen sein.

Das langjährig aufgebaute Renommee einer medizinischen Einrichtung, mit seiner Empfehlungsrate durch zufriedene Patienten, ein langfristig aufgebautes und gepflegtes Zuweisermarketing oder spezielle Behandlungstechniken, können mit einem Schlag zunichte gemacht werden. Ein Datenschutzvorfall, der von der Presse behandelt, zusätzlich mit schlechtem Verhalten von dem Klinikpersonal angefeuert und letztendlich in den Medien und Social Media breit diskutiert wird, ist wohl das Schreckensszenario einer jeden Klinik.

Die Tatsache, dass Negativkritik häufig stärker ins Gewicht fällt als Positive, führt dazu, dass der Reputationsschaden enorm sein kann und Kunden über Jahre hinweg nur die Negativschlagzeilen mit der Unternehmung in Verbindung bringen. Im schlimmsten Fall resultiert ein spürbarer wirtschaftlicher Schaden für das Unternehmen.

6.4Die Rolle des Datenschutzbeauftragten in diesem Szenario

Der Datenschutzbeauftragte, egal ob intern oder extern, ist auch Kommunikator, Möglichmacher oder Qualitätssicherer. Häufig wird er aber intern in einer konträren Stellung wahrgenommen. Begriffe wie Verhinderer, Paragrafenreiter sind nur zwei Begriffe, die hier fallen können. Dies könnte unter anderem daran liegen, dass dem Datenschutzbeauftragten zu wenig Zeit für seine Tätigkeit zugutekommt, aber auch weil die unternehmensinterne Unterstützung fehlt. Aus der Sicht des Datenschützers bedarf es daher in seiner Rolle als Kommunikator einiges an Durchsetzungskraft, das proaktive Kommunizieren des Datenschutzes im Unternehmen zu positionieren, dennoch ist es seine Aufgabe, als Möglichmacher und als Partner darauf hinzuarbeiten und Datenschutz als Servicefaktor im Unternehmen zu verankern. Die Betrachtung aus der Projektperspektive macht den Datenschutzbeauftragten zum Projektleiter, der gemeinsam mit Abteilungen wie der Unternehmenskommunikation, dem Qualitätsmanagement und der Geschäftsführung das Thema strategisch in der Unternehmenskultur verankert, Prozesse und Leitfäden entwickelt und diese auch durch ein entsprechendes Berichtswesen kommunikativ verbreitet.

6.5Fazit

Abschließend lässt sich festhalten, dass der Datenschutz grundsätzlich als Attribut für ein Alleinstellungsmerkmal genutzt werden kann. Explizit im Gesundheitswesen, gilt er allerdings eher als Basisfaktor und erfüllt, aufgrund der Vertrauensstellung von Ärzten, eher die Funktion eines Hygienefaktors und trägt vermutlich nicht essenziell zur Abhebung vom Wettbewerb durch eine Steigerung der Unternehmensreputation bei. Beim Fehlen eines entsprechenden Datenschutzniveaus oder dem Verzicht auf dessen Kommunikation, kann dies erhebliche Auswirkungen auf die Unternehmung haben. Angefangen von monetären bis hin zu wirtschaftlichen Einbußen. Der Datenschutzbeauftragte ist zentral verantwortlich für die Verankerung des Datenschutzes in die interne und externe Kommunikation des Unternehmens. Auch wenn dies kein leichtes Unterfangen ist, ist es seine Aufgabe als Möglichmacher den Datenschutz spürbar und erlebbar, in Zusammenarbeit mit allen Unternehmensbereichen zu involvieren. Es bleibt zu berücksichtigen, dass die Forschung auf dem Gebiet des Datenschutzes im Gesundheitswesen und dessen Auswirkungen auf die Reputation von Leistungsträgern nach aktuellem Kenntnisstand bisher nicht ausreichend erforscht sind und hier für zukünftige Veröffentlichungen Nachholbedarf besteht.

Literatur

Böcken J, Braun B, Repschläger U (Hrsg.) (2011) Gesundheitsmonitor 2011. Bürgerorientierung im Gesundheitswesen Kooperationsprojekt der Bertelsmann Stiftung und der BARMER GEK

DATATREE AG (2015) Studie NRWs Datenschützer. URL: https://www.isdsg.de/sites/default/files/DAT_ISDSG_ZTG_Studie_ex_v2.pdf (abgerufen am 08.11.2021)

Elste R (2009) Markenbeurteilung bei einzigartigen Produkteigenschaften. GWV Fachverlag GmbH Wiesbaden

GfK Verein (2018) Trust in Profession, Studie GfK Trust in Professions 2018. URL: https://www.nim.org/sites/default/files/medien/135/dokumente/2018_-_trust_in_professions_-_deutsch.pdf (abgerufen am 08.11.2021)

Kotler P (1991) Marketing Management: Analysis, Planning, Implementation and Control. Prentice Hall New Jersey

Meffert H, Burmann C, Kirchgeorg M (2007) Marketing: Grundlagen marktorientierter Unternehmensführung. Konzepte – Instrumente – Praxisbeispiele. Springer Gabler Wiesbaden

OP-Online (2015) Tuğçe: Sana Klinikum droht Abmahnung. Offenbach-Post vom 30.01.15. URL: https://www.oponline.de/offenbach/tugce-sana-klinikum-droht-abmahnung-4686034.html (abgerufen am 08.11.2021)

Schwalbach J (2001) Unternehmensreputation als Erfolgsfaktor. Humboldt-Universität zu Berlin, Wirtschaftswissenschaftliche Fakultät, Institut für Management Berlin

II

Grundlagen Datenschutz und Datensicherheit

1Datenschutz-Grundverordnung, Gesetze, Empfehlungen und RichtlinienThomas Jäschke und Sina Rochow-Pahl