„Datenschutz ist eine Unterstützung, kein notwendiges Übel“

Wir bieten für Arztpraxen und Krankenhäuser digitale Lösungen an, die zum Beispiel die Anforderung einer Laboruntersuchung einfach und ohne viel Papierkram ermöglichen. Und auch Patienten können mit unserer Pat-App schnell und sicher einen Befund abrufen. Was dürfen Patienten, Arztpraxen und Krankenhäuser von unserem Datenschutz erwarten?

Tanja Brodt: Zunächst dürfen alle, die mit uns in irgendeiner Form in Kontakt treten, die gleichen Erwartungen haben, wie bei allen Unternehmen mit Sitz in der EU. Wir halten uns an die Regeln der DSGVO und nehmen den Schutz der Daten unserer Einsender sowie aller Patienten sehr ernst.

Wie setzen wir das konkret um?

Sebastian Michel: Datenschutz bei Bioscientia teilt sich, vereinfacht gesagt, in zwei Bereiche auf: Zum einen stellen wir sicher, dass die Daten technisch sicher sind. Dazu gehören eine moderne IT-Infrastruktur, Backup-Systeme und eigene Rechenzentren, um Kontrolle über die Daten zu behalten. Und natürlich haben wir Frühwarnsysteme etabliert, die bei potenziellen Attacken von außen anschlagen sowie weitere Sicherungsmaßnahmen, wie sie auch vom BSI, dem Bundesamt für Sicherheit in der Informationstechnologie, vorgegeben werden. Zum anderen haben wir die Menschen im Blick, die tagtäglich mit diesen Daten arbeiten, sie erfassen, auswerten, weiterverarbeiten und Ergebnisse zurück an die Einsender geben.

Also die Mitarbeiterinnen und Mitarbeiter von Bioscientia? Was unternehmen Sie genau?

Tanja Brodt: Diesen Teil sichern wir zusätzlich über organisatorische Maßnahmen: Über Verfahrensanweisungen, die regelmäßig überprüft werden und über ein Qualitätsmanagement-System, das ebenso regelmäßig auditiert wird. Aber auch über Schulungen unserer Kolleginnen und Kollegen. Wir stärken das Bewusstsein, dass Datenschutz eine Unterstützung ist und kein notwendiges Übel. Wir arbeiten mit externen Datenschutzbeauftragten zusammen, die uns beraten und unser Datenschutz-System einem externen Audit unterziehen. Und wir beschäftigen Datenschutz-Koordinatoren, wie mich, die die hausinternen Abläufe im Blick haben und auch als erste Ansprechpartner für alle Kolleginnen und Kollegen zur Verfügung stehen. Darüber hinaus werden alle Mitarbeitenden bei Einstellung auf die Einhaltung des Datenschutzes verpflichtet, genauso wie auf die Einhaltung der Schweigepflicht. Denn wir arbeiten mit Gesundheitsdaten.

Sebastian Michel: Außerdem handeln wir nach dem „Need-to-know-Prinzip“.

Das heißt?

Sebastian Michel: Das heißt, jeder darf nur die Zugangsberechtigungen haben, die zur Erfüllung der Arbeit notwendig sind. Das betrifft digitale Lösungen ebenso wie Zutrittsrechte innerhalb unseres Geländes und der Gebäude.

Tanja Brodt: Ich als Mitarbeiterin der Verwaltung habe zum Beispiel keinen Zugriff auf unser Laborinformationssystem. Und so ist es mit allen Mitarbeitenden der Verwaltung.

Sebastian Michel: Bei mir nicht anders. Als Informationssicherheitsbeauftragter (ISB) habe ich weder Zugriff auf das Laborinformationssystem noch auf das Rechenzentrum hier im Haus. Und wenn ich doch mal rein muss, frage ich jemanden, der berechtigt ist, und dann gehen wir im Vier-Augen-Prinzip ins Rechenzentrum.

Da Sie gerade das Laborinformationssystem (LIS) ansprechen: Wie sind das LIS und weitere digitale Anwendungen aufgestellt, um den Schutz sensibler Daten zu gewährleisten?

Sebastian Michel: Wir haben eine ganze Reihe von TOMs umgesetzt. Das sind technische und organisatorische Maßnahmen, um unser wichtigstes Gut, die Patientendaten, zu schützen. Dazu zählen unter anderem moderne Sicherheits-Hard- und Software, eine adäquate IT-Infrastrukturarchitektur und eine verschlüsselte Kommunikation Richtung unserer Kunden.

Immer wieder gibt es Menschen, die behaupten, Datenschutz hemme den Fortschritt im Gesundheitswesen. Hemmt uns der Datenschutz?

Tanja Brodt: Uns hemmt der Datenschutz in keiner Weise. Es ist ein bisschen zu einfach, alles auf den Datenschutz zu schieben. Es bedeutet ja nur, dass es Regeln gibt, wie mit Daten umzugehen ist. Wir benötigen ja sogar Daten, um unsere Dienstleistung zu erfüllen. Ohne bestimmte Angaben zum Patienten, wie Alter oder Geschlecht, könnten wir keine zuverlässigen Laborwerte bestimmen. Es gibt immer eine Möglichkeit, vernünftig mit den Daten umzugehen. Wenn zum Beispiel die Erfassung bestimmter Daten medizinisch notwendig und auch im Interesse des Patienten ist, dann ist das auch möglich.

Was die Personen meinen, wenn sie sagen, Datenschutz in Deutschland oder der EU hemme die Forschung in der Medizin ist, dass nicht jeder frei auf alle Gesundheitsdaten zugreifen und sie für Forschungszwecke nutzen kann. Das ist so. Auch wenn die Absichten noch so gut sein mögen. Das Problem ist immer der potenzielle Missbrauch der Daten, den wir im Blick behalten müssen. Sind solche Daten erst einmal in der Welt, wecken sie zwangsläufig auch kriminelle Begehrlichkeiten. Im Übrigen ist es auch heute möglich, Gesundheitsdaten für Forschungszwecke zu erfassen. Die Rahmenbedingungen mögen aber einigen nicht passen, weil sie Zeit und Arbeit und damit Geld bedeuten. Das sollte es uns aber wert sein.

Sebastian Michel: Das ist eher ein typisches „deutsches“ Problem. In anderen europäischen Ländern funktionieren viele digitale Projekte sehr gut und dass mit derselben DSGVO. In Deutschland wird der Datenschutz sehr häufig zum Sündenbock gemacht. Meiner Meinung nach würde ein praktisches Vorgehen gepaart mit einer Risikoanalyse allen deutlich weiter helfen.

Würden Sie dann sagen, Datenschutz nützt uns?

Tanja Brodt: Ich finde, Datenschutz nutzt jedem etwas. Für mich bedeutet ordentlicher Datenschutz Freiheit. Zu wissen, dass meine Persönlichkeitsrechte geschützt sind, ist mir ganz wichtig. Speziell für uns als Unternehmen nutzt uns der Datenschutz aber auch über die Gesetzeskonformität hinaus. Denn indem wir uns täglich Gedanken darüber machen, wie wir die internen und externen Daten schützen, schauen wir genau hin. Dadurch haben wir einen sehr hohen Standard. Wir schauen uns immer wieder alle Prozesse an. Damit nutzt der Datenschutz auch der ständigen Prozessverbesserung.

Wie stellt man sicher, dass man nicht Opfer eines Angriffs wird?

Tanja Brodt: Angriffe auf Unternehmen sind an der Tagesordnung. Es gibt kein Unternehmen, das noch nicht angegriffen wurde. Die Frage ist nicht, ob es passiert, sondern wann. Und wie gut man aufgestellt ist. Einbrecher probieren innerhalb einer bestimmten Zeit ins Haus zu gelangen. Und wenn sie es in dieser Zeit nicht schaffen, dann brechen sie ab, weil die Gefahr entdeckt zu werden zu groß ist.

Sebastian Michel: Und das ist vergleichbar mit einem Angriff auf ein Unternehmen. Sind die Hürden so hoch, dass es lange dauert, das „Schloss“ zu knacken, brechen die meisten Angreifer ab, denn dann lohnt es sich nicht mehr in die Systeme einzudringen.

Tanja Brodt: Und man sollte bei Datenschutz nicht nur an digitale Daten denken. Es reicht doch schon, wenn man im Wartezimmer sitzt und mitbekommt, was die Person neben einem gerade für ein Rezept bekommt. Die digitalen Daten haben das Angriffspotential vergrößert. Aber die Möglichkeit dagegen zu verstoßen, die gab es schon immer. Wir müssen alle sensibel dafür bleiben. Keiner von uns käme auf die Idee, ein wertvolles Erbstück in die Mitte seines gut einsehbaren Grundstücks zu legen, für alle sichtbar, und das mit einem 40 cm hohen Jägerzaun einzuzäunen und zu erwarten, dass da nichts passiert.

War es fahrlässig, dass wir uns heute über Datenschutz und Informationssicherheit unterhalten haben?

Sebastian Michel: Nein, das war es nicht. Das ist ein grundsätzliches Thema, das uns alle betrifft: Jedes Unternehmen, aber auch jede Einzelperson. Je mehr man darüber redet und sich der möglichen Gefahren bewusst wird, umso einfacher ist es auch Maßnahmen zu ergreifen und diese zu leben. Das ist das Wichtige. Denn wenn das Verständnis nicht da ist, dann bringen die besten und modernsten Maßnahmen nichts. Das gilt für uns und für eine Arztpraxis oder eine Krankenhausabteilung. Wenn zum Beispiel ein Mitarbeiter auf einen Link in einer Phishing-Mail klickt, dann ist es wichtig, schnell zu reagieren. Deswegen sollte sich die Person unmittelbar an einen entsprechenden Ansprechpartner wenden. Trotz Awareness-Schulungen kann so etwas in der Hektik des Alltags jedem passieren. Wichtig ist hier, dass die Information schnell in der IT ankommt, damit man den Sachverhalt überprüfen und bei Bedarf Gegenmaßnahmen einleiten kann.

Tanja Brodt: Und: jeder Vorfall, von dem wir erfahren, hilft uns zu sehen, wo die Schwachstellen sind oder was sich Hacker wieder haben einfallen lassen. Neue Entwicklungen bekommen wir auch durch solche Vorfälle mit. Ein Unternehmen, das nicht angegriffen wird, oder bei dem es nicht versucht wird, das gibt es nicht.