Jeder zehnte Arzt verletzt die Schweigepflicht

Eine Umfrage von Tagesanzeiger.ch/Newsnet zeigt, dass etliche Ärzte Patientendaten nicht verschlüsseln. Sie verletzen somit gleich reihenweise das Arztgeheimnis und machen sich strafbar.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

«Es ist mir nicht wohl», sagt der Kardiologe Steffen Gloekler. «Wenn jemand in meine Praxis einbricht, kann er alles mitnehmen. Den Computer, die Festplatte, die ganzen Patientendaten.» Er hat sämtliche Krankengeschichten elektronisch gespeichert – auf einem Computer, zu dem alle Praxismitarbeiter Zugang haben. Das sind drei weitere Ärzte sowie drei medizinische Praxisassistentinnen. Die Daten sind nicht verschlüsselt gespeichert, einzig ein Passwort schützt den Computer. Was Gloekler auch beunruhigt: «Der Server ist am Netz. Da könnte ein Hacker sicher zugreifen. Mir ist bewusst: Das ist überhaupt nicht ideal.» Er gibt jedoch ebenso unumwunden zu: «Ich bin überfragt, welche guten und günstigen Möglichkeiten es gibt, sich vor Angriffen und Datendiebstahl zu schützen.»

Wie Steffen Gloekler geht es 82 Prozent der Ärztinnen und Ärzte in der Schweiz: Auch sie speichern ihre Patientendaten laut einer Umfrage von Tagesanzeiger.ch/Newsnet, an der 256 Ärzte teilgenommen haben, lokal – also praxisintern. In fast der Hälfte der Arztpraxen haben sämtliche Mitarbeiter Zugang zum Computer, bei weiteren 32 Prozent sind es ausgewählte Mitarbeiter. Nur gerade 16 Prozent der Ärzte sagen, dass einzig sie als Behandelnde Zugang zu den Patientendaten hätten.

Umfrage

Patientendaten können leicht gehackt werden – stört Sie das?

Nein, ich vertraue auf den verantwortungsvollen Umgang der Ärzte mit meinen Daten.

 
13.0%

Ja, die Daten müssen besser geschützt werden.

 
60.2%

Ich denke nicht, dass sich jemand für meine Patientendaten interessiert.

 
26.8%

1333 Stimmen


Laut dem Zürcher Datenschutzbeauftragten Bruno Baeriswyl verletzen Ärzte, die Daten unverschlüsselt auf Servern lagern, das Datenschutzgesetz. Er sagt: «Wenn sie diese auch noch unverschlüsselt übermitteln, dann machen sie sich, je nach Fall, sogar strafbar.» Der Eidgenössische Datenschutzbeauftragte pflichtet Baeriswyl bei. In Artikel 321 des Strafgesetzbuches heisst es: Wer ein «Geheimnis offenbart, das ihm infolge des Berufes anvertraut worden ist (. . .), der wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.»

Unverschlüsselt mailen ist ungefähr so, als würde der Arzt den Patienten die Blutwerte auf einer Postkarte zuschicken. Jeder kann mitlesen. In vielerlei Hinsicht ist es sogar schlimmer, weil Hacker oder Cyberkriminelle Inhalte systematisch abfangen und sammeln können.

Keine Zeit, keine Lust, kein Geld

Doch wie die Umfrage zeigt, ist der unverschlüsselte Mailverkehr in jeder zehnten Arztpraxis gang und gäbe. Auf die Frage, wie sie Patientendaten transferieren, antworteten 28 von 256 Ärzten mit «nicht verschlüsselt». Womöglich ist diese Zahl zu tief. Eine Analyse der Mail­adressen der 5500 Ärzte, die im Branchenverzeichnis des Dienstes Doktor.ch zu finden sind, zeigt: 24 Prozent der Ärzte sind unter einer Gratis-E-Mail-Adresse wie G-Mail oder Hotmail zu erreichen. Dass sie damit verschlüsselt kommunizieren, ist unwahrscheinlich, weil dazu technisches Know-how nötig wäre.

Nur 25 Prozent geben eine E-Mail-Adresse an, die auf hin.ch endet. Die ­Health Info Net AG (HIN) wurde 1996 auf Initiative der Schweizer Ärzteverbindung FMH und der Ärztekasse gegründet. Das Ziel: ein sicherer und datenschutzkonformer Austausch von elektronischen Informationen. Peer Hostettler, Business Developer des HIN, erklärt, der Dienst umfasse 18'000 digitale Identitäten. So viele Schweizer Mediziner können beim HIN verschlüsselt Patientendaten austauschen.

«Meine Chefs haben das Gefühl, das nicht zu brauchen.»Anonyme Ärztin über Datenschutz

Genauer gesagt: Sie könnten. Hostettler sagt: «Ich bin immer wieder erstaunt, dass einige Ärzte die technischen Möglichkeiten für eine datenschutzkonforme Kommunikation ungenutzt lassen. Selbst in Praxen, die zu unseren Kunden gehören.» Die Ignoranz der Ärzte bestätigt sich auf Nachfrage von Tagesanzeiger.ch/Newsnet. Etliche haben keine Ahnung, wie sie die E-Mail-Kommunikation verschlüsseln könnten. Andere sagen, die Verschlüsselung sei ihnen zu aufwendig. Wieder andere würden zwar gerne sicher kommunizieren, dürfen aber nicht, wie eine Ärztin sagt, die in einem Kompetenzzentrum mit knapp 20 Ärzten arbeitet und anonym bleiben will: «Am liebsten würde ich verschlüsselt mailen. Doch das Leitungsteam hat es abgelehnt, etwa HIN-Adressen einzurichten.» Für die Leitung seien die Kosten ausschlaggebend gewesen, glaubt die Ärztin, sowie der Aufwand, sämtliche Mailadressen umzurüsten und die Website anzupassen. Das Mail-Gateway-Paket des HIN kostet jährlich 3000 Franken. Dazu stellt die Ärztin ein Desinteresse fest: «Meine Chefs haben das Gefühl, das nicht zu brauchen. Ich hingegen finde: Die Patientendaten gehören den Patienten, also sollten sie lieber zu viel als zu wenig geschützt sein.»

Die FMH bestreitet, das Thema zu wenig zu gewichten. Sie habe früh in der Ärztezeitung auf die Bedeutung gesicherter Mails hingewiesen. Zudem habe sie einen Leitfaden erarbeitet mit Hinweisen zur Datensicherheit der Krankengeschichte und zum elektronischen Datenaustausch. Die FMH räumt aber ein: «Die Herausforderung im Gesundheitswesen besteht darin, die in der eigenen Umgebung angemessenen technischen und organisatorischen Massnahmen für den Datenschutz zu ergreifen.»

Grafik vergrössern

Im Klartext: Kleine Arztpraxen sind auf sich allein gestellt. «Wie sicher muss meine Praxis elektronisch überhaupt sein?», fragt sich ein Augenarzt, der nicht namentlich genannt werden möchte. Er sagt gleichzeitig: «Vor Hacker­angriffen habe ich keine Angst.» Er habe eine gute Firewall auf dem Computer eingerichtet, auf dem Server seien die Daten «vermutlich mit einem gewissen Schlüssel» gesichert, und seine IP-Adresse, das Einfallstor für Cyberkriminelle, wechsle «ständig».

Sicherheitsexperten wie Pascal Mittner, CEO der Churer Sicherheitsfirma First Security Technology, sind bei Formulierungen wie «vermutlich» oder «gewisse Schlüssel» alarmiert. Es gebe viele potenzielle Sicherheitslöcher in Arztpraxen. «In der Security-Szene werden verschiedenste Fälle herumgereicht.» Zum Beispiel der Angriff auf eine Praxis in Freiburg im Breisgau letzten Sommer. Patientendaten wurden mit Schadsoftware verschlüsselt und vom betreffenden Arzt Lösegeld verlangt. Dieser schaltete die Polizei ein, die in letzter Minute verhindern konnte, dass Daten gelöscht wurden. Die Cyberkriminellen versuchten, die Back-up-Daten des Arztes zu zerstören, als dieser nicht zahlen wollte.

Angriffe auch in der Schweiz

«Über konkrete, mir selbst bekannte Schweizer Fälle rede ich aus Diskretionsgründen nicht», sagt Mittner und spricht damit an, dass es auch hierzulande schon Angriffe auf Praxen gegeben hat. Auch solche, die weniger glimpflich ausgegangen sind als in Freiburg im Breisgau. Den Sicherheitsexperten überraschen die Angriffe nicht: «Netzwerksysteme wie eine Firewall und Internet-Router, aber auch Fachapplikationen erhalten kaum je oder nur alle paar Jahre Sicherheitsupdates.» Studien zeigen, dass in den meisten erfolgreichen Angriffen die ausgenutzten Schwachstellen seit über einem Jahr bekannt waren.

Schlampige IT-Sicherheit kann in der Arztpraxis auch lebensgefährlich werden. Mittner weist auf die Lücken vernetzter Medizinalgeräte hin. Hersteller haben oft aus der Ferne Zugriff auf die Geräte, damit sie diese einfach warten können. Er fragt: «Was ist, wenn dadurch Computer mit Schädlingen infiziert und von Hackern übernommen werden? Was geschieht, wenn die Fernwartungsdaten in falsche Hände gelangen?»

Es scheint nur eine Frage der Zeit, bis es zu flächendeckenden Angriffen auf Ärzte kommt. Beruhigend ist, dass es bereits Lösungsansätze gibt, um zumindest das Problem der unverschlüsselten Patientendaten in den Griff zu bekommen. Mitte 2017 soll das Bundesgesetz über das elektronische Patientendossier (EPDG) in Kraft treten (siehe Box). Dieses verlangt einen sogenannten sekundären Datenspeicher, der schweizweit funktioniert. Sekundär, weil Ärzte, Spitäler oder Apotheken immer noch eigene Datenbanken führen sollen. Zum sicheren Austausch von Daten steht das Zweitsystem zur Verfügung.

Ausgerechnet die FMH hat mit viel Lobbying erreicht, dass die frei praktizierenden Ärzte nun nicht in der Pflicht stehen, dieses Netzwerk zu nutzen, wenn sie Patientendaten tauschen. Ganz im Gegensatz zu Spitälern, die künftig gesetzlich dazu angehalten werden. Die FMH meint, man könne älteren Hausärzten nicht zumuten, diese neue Technologien kennen zu lernen. Adrian Schmid, Leiter des Koordinationsorgans E-Health Suisse und einer der Baumeister des EPDG, hofft dennoch, «dass viele fortschrittliche Ärzte das elektronische Patientendossier entdecken, um Daten auszutauschen».

Wer Ärzten wie dem Kardiologen Steffen Gloekler zuhört, zweifelt aber genau daran. Er sagt, er erlebe viele seiner Kollegen als «sehr konservativ» und erkenne eine «fortschrittsfeindliche» Haltung. Etliche Ärzte würden nur mailen, wenn sie müssten – stattdessen seien Faxgeräte täglich in Betrieb. Doch die Realität sei auch, dass die Mehrheit der Ärzte selbst bei gutem Willen «keine Zeit und keine Nerven für solch administrative Dinge hat». (Tages-Anzeiger)

(Erstellt: 06.03.2016, 23:13 Uhr)

Artikel zum Thema

Schutzlose Patienten

Kommentar Nur wenige Ärzte machen sich die Mühe, die Daten ihrer Patienten zu verschlüsseln. Das rächt sich. Mehr...

Ärzte lockern die Abtreibungspraxis: Bedenkzeit fällt weg

Eine einzige Konsultation kann genügen, um abzutreiben. Unter Gynäkologen ist das umstritten. Mehr...

Elektronisches Patientendossier

Über das elektronische Patientendossier (EPD) können dezentral abgelegte Daten abgerufen werden. Die behandlungsrelevanten Informationen bleiben bei den Ärzten oder Spitälern. Patienten und medizinische Fachpersonen, die auf ein Dossier zurückgreifen wollen, müssen eine elektronische Identität und einen Zugang eines zertifizierten Dienstes besitzen. Die Patienten können Daten, etwa Infos über Allergien oder Kontaktadressen für Notfälle, hinterlegen. Und sie haben das Recht, auf alle Daten und Dokumente in ihrem Dossier zurückzugreifen. Ärzte und andere medizinische Leistungserbringer haben nur Zugang, wenn sie sich einer zertifizierten Organisation angeschlossen haben – und der Patient den Zugang erlaubt hat.

Der EPD-Einführung gingen jahrelange Diskussionen voraus, wie weit medizinische Leistungserbringer und Patienten zum Mitmachen verpflichtet werden sollen. Die Patienten entscheiden selber, ob sie ein EPD wollen. Aufgrund des Widerstands der FMH bleibt es für frei praktizierende Ärzte freiwillig, ebenso für Apotheken und Spitex-Organisationen. Spitäler müssen innert dreier Jahre nach Inkrafttreten des Gesetzes im Jahre 2017 beim EPD mitmachen, Pflegeheime und Geburtshäuser haben fünf Jahre Zeit. (br)

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Sponsored Content

Hoch hinaus.

Entdecken Sie die Schweizer Bergewelt und erleben Sie spektakuläre Aussichten.

Werbung

Kommentare

Blogs

Sweet Home Ehrlich wohnen
Wahltheater Hillary hat Hunger

Service

Für Selbstständige und KMU

Tragen Sie Ihre Firma im neuen Marktplatz des Tages-Anzeigers ein.

Die Welt in Bildern

Für die Bösen: Die Grenadiers fribourgeois schiessen eine Ehrensalve am Eidgenössischen Schwing- und Älplerfest in Estavayer-le-Lac. (26. August 2016)
(Bild: Jean-Christophe Bott) Mehr...