Wer haftet bei «Informationspannen» medizinischer Diagnosegeräte?

Zu den Treibern der Digitalisierung gehört die IT-Industrie, die ihre Technik bei Krankenkassen, Abrechnungsstellen, Spitälern und Arztpraxen unterbringen will. Neben ITGrössen wie IBM und SAP gehört hierzu auch der Pharma-Riese Roche. Sein Geschäftsmodell basiert auf einer Verknüpfung von Arzneiprodukten und seiner Diagnostika. Das Schweizer Pharmaunternehmen sieht sich als «Marktführer» im personalisierten Gesundheitswesen.

Nicht weniger ambitioniert ist SAP unterwegs – bereits 2013 prahlte der Konzern bei einer hauseigenen Veranstaltung in Luzern, er könne «100000000 Werte» «in Echtzeit» verarbeiten – «pro Patient»! Für seine Software ist der Walldorfer Konzern 2015 mit dem Red-Dot-Award ausgezeichnet worden: «Ärzte, Forscher und anderes medizinisches Personal können über ein System auf alle relevanten klinischen Daten eines Patienten in Echtzeit zugreifen», lobte Christof von Kalle, Sprecher des Direktoriums des Nationalen Centrums für Tumorerkrankungen (NCT) in Heidelberg

Gleichwohl ist die Kehrseite der Digitalisierung des Gesundheitswesens nicht so glänzend, wie es uns so manche Kampagnen weismachen wollen

Frage des Zugriffs
Besonders weit bei der Digitalisierung ist das Spital in Thun: Als einzige Klinik in der Schweiz hat sie Stufe 6 der «Healthcare Information and Management Systems Society» (HIMMS) erklommen.

Auf der siebenstufigen Skala wird gemessen, wie weit die Digitalisierung vorangekommen ist. Bruno Guggisberg, CEO der Spital STS AG, betont: «Die Spitalaufenthalte werden kürzer, und die Bedeutung der Informatik und Digitalisierung wird weiter zunehmen.» So weit, so gut – wäre da nur nicht das Thema Datensicherheit:

«eHealth Suisse», die «Kompetenz- und Koordinationsstelle von Bund und Kantonen», verlangt nach einem «Identity and Access Management» und definiert das als «Verwaltung der eindeutigen Identifikation von Personen und deren Zuordnung zu elektronischen Identitäten». «Eindeutig» bedeutet, dass bei jedem Zugriff protokolliert werden muss, ob die Verwaltungsleiterin, der Chefarzt oder die Pflegeschülerin zugegriffen hat. Hinzu kommt die Datenschutzgrundverordnung (DSGVO) der Europäischen Union: Sie gilt nach Ansicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auch für «Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet»

Reformulierungen
Martin Eckert, Legal Partner bei der Rechtsanwaltskanzlei MME Legal, Tax, Compliance glaubt an «extraterritoriale Wirkungen» der Verordnung und erwartet, dass deshalb auch Schweizer Leistungserbringer unter die Verordnung fallen «können». Diese Möglichkeit bestreitet zwar der Anwalt Christian Peter – aber: Der EDÖB Adrian Lobsiger erwartete die Aktualisierung des Schweizer Datenschutzgesetzes bereits für Sommer 2018.

Dieses wird sich Lobsiger zufolge wie die DSGVO an der Europaratskonvention 108 orientieren. Experten warnen jedoch davor, dass die Bedeutung der Datensicherheit in eidgenössischen Arztpraxen «unterschätzt» werde oder – noch schlimmer! – in den Kliniken gar «ungenügend» sei.

Fällt eine Arztpraxis einer Datenpanne zum Opfer, etwa durch die «unbeabsichtigte» oder «unberechtigte» «Offenlegung» personenbezogener Daten, so hat der «Verantwortliche» 72 Stunden Zeit, um das seiner Aufsichtsbehörde zu beichten. Ausserdem hat er eine Dokumentation «aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten» zu erstellen. Aus dieser Dokumentation muss demnach hervorgehen, ob beispielsweise ein Mitarbeiter (unbeabsichtigt) Patientenbriefe falsch adressiert oder (unrechtmässig) Patientendaten kopiert hat, um sie an Dritte «für Tausende Dollar» zu verkaufen.

Um kriminelle Risiken zu reduzieren, muss nicht nur der Zugriff auf die Daten protokolliert, sondern auch definiert werden, mit welchen Rechten dieser Zugriff verbunden sein soll: Der Verwaltungsmitarbeiter braucht die Bank-, aber kaum die Daten der Diagnose. Die Ärztin wiederum benötigt nicht die BankDaten. Die Verarbeitung der Daten hat unter der «Aufsicht» des jeweils Verantwortlichen stattzufinden. Verantwortlich ist, wer «über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet».

Ein besonders wichtiger Begriff der Verordnung ist die «Rechenschaftspflicht»: «Der Verantwortliche ist für die Einhaltung des Absatzes 1 (in Artikel 5 der Verordnung, Anm. d. Autors) verantwortlich und muss dessen Einhaltung nachweisen können». In diesem Absatz 1 werden Forderungen zur «Rechtmässigkeit» der Verarbeitung, der «Zweckbindung» der erhobenen Daten, der «Datenminimierung», der «Richtigkeit», der «Speicherbegrenzung» und der «Integrität und Vertraulichkeit» gestellt.

Sicherheitslücken
Das IBM-Forschungslabor Zürich soll bereits 2009 zusammen mit einem Spital in Dänemark eine «innovative» Software entwickelt haben, die elektronische Gesundheitsdaten mit einem dreidimensionalen Modell des menschlichen Körpers verknüpfen können soll. Im vergangenen Jahr behauptete der Konzern sein KI-System «Watson» «weltweit in mehr als 50 Krankenhäusern» einzusetzen. Während IBM mit dem Pharmahersteller Pfizer kooperiert, hat sich Roche mit GNS Healthcare – einem jungen KI-Unternehmen aus dem US-amerikanischen Cambridge – verbündet. Allerdings wurden IBM’s Watson bereits «ungesunde und falsche» Behandlungen vorgeworfen, Roche musste eine «Diabetes Management App» von Amts wegen zurückrufen und die Liste teils schwerwiegender Sicherheitslücken beim SAP System Hana ist lang1 . Gegenwärtig, so heisst es in der Datenschutzgrundverordnung (DSGVO) der EU, wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung befreit, «wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist» (Art. 82 DSGVO – Haftung und Recht auf Schadenersatz; Absatz 2).