Bruno Baeriswyl, Datenschutzbeauftragter Kanton Zürich
Artikel erschienen in Swiss IT Magazine 2003/14
Wie schlimm steht es wirklich um die Datensicherheit in Schweizer Spitälern?
Bislang hat man nur die Spitze des Eisbergs gesehen. Ich gehe davon aus, dass in vielen Spitälern ein umfassendes Sicherheits- und Datenschutzkonzept fehlt, was bedeutet, dass es viele schwache Stellen gibt.
Wo sehen Sie die grössten Sicherheitsmängel?
Die grössten Schwachstellen haben sich sicher durch die Vernetzung der Systeme ergeben, also der Vernetzung der verschiednen Partner, die im Gesundheitswesen aktiv sind. Der Austausch der Daten zwischen diesen Stellen erfolgt meist ungesichert.
Wie steht es um die gesetzlichen Grundlagen, die vorschreiben, wie Patientendaten geschützt werden müssen?
Es ist so, dass es aufgrund der Datenschutzgesetzte natürlich generelle Rahmenbedingungen gibt, die besagen, dass besonders schützenswerte Daten - und bei medizinischen Daten handelt es sich um besonders schützenswerte Daten - mit entsprechenden Massnahmen gesichert werden müssen. Wie weit diese dann in den einzelnen Spitälern mit Reglementen und Weisungen umsetzt werden, ist sehr unterschiedlich.
Können dann Spitäler letztlich haftbar gemacht werden, wenn sensitive Daten aufgrund ungenügender Sicherheitsvorkehrungen nach aussen dringen?
Ja, grundsätzlich besteht hier eine Haftung. In der Praxis stellen sich jedoch oft Beweisfragen, es ist nicht einfach, einem Spital im konkreten Fall nachzuweisen, dass die nötigen Sicherheitsvorkehrungen unterlassen wurden.
Wie kann man Ärzte und Spitäler für Sicherheitsprobleme sensibilisieren, oder ist das Bewusstsein bereits vorhanden?
Das Bewusstsein ist teilweise schon vorhanden. Wenn beispielsweise über neue Technologien im Telemedizin-Bereich diskutiert wird, kommt immer auch die Frage nach der Sicherheit und dem Datenschutz auf. Jedoch fehlt das nötige Bewusstsein in den ganzen Managementprozessen und den täglichen Abläufen.
Wie können Sie die Situation verbessern?
Meine Hauptaufgabe besteht in der Sensibilisierung auf die bestehenden Risiken. Zudem versuchen wir mit Empfehlungen - vor allem auch im technischen Bereich - die entsprechenden Institutionen darauf aufmerksam zu machen, dass eben ein Handlungsbedarf besteht.