Im Umgang mit hochsensiblen Patientendaten warnt der bayerische Datenschutzbeauftragte Thomas Petri vor massiven Mängeln in der IT-Sicherheit in bayerischen Krankenhäusern: "Ich würde hier meine Hand nicht für alle Kliniken ins Feuer legen", sagte er am Donnerstag im Rechtsausschuss des Landtags.

Manche IT-Systeme in Kliniken sind "offen wie ein Scheunentor"

Seine Behörde prüft regelmäßig den Datenschutz in den Kliniken. Dabei würden immer wieder Mängel entdeckt: "Die IT-Sicherheit ist oft völlig unterbesetzt", so Petri. Die IT-Systeme mancher Kliniken seien gar "offen wie ein Scheunentor". So habe etwa das Kreiskrankenhaus in Fürstenfeldbruck nach einem Angriff mit Schadsoftware den medizinischen Betrieb mehrere Tage massiv einschränken müssen.

• Hintergrund: Rhön-Klinikum steigt massiv in Telemedizin ein

Zwei Krankenhäuser habe seine Behörde per Anordnung zur Behebung massiver Datenschutzmängel zwingen müssen. Die Namen der Kliniken nannte Petri nicht. Grund für fehlende IT-Sicherheit sei oft eine mangelhafte finanzielle Ausstattung – auch durch kommunale Kostenträger.

Weltweit Millionen Patientendaten online abrufbar

Eine weltweite Panne mit Patientendaten, die im Herbst für Schlagzeilen gesorgt hatte, ist dagegen glimpflich ausgegangen. Weltweit waren rund 24,5 Millionen Datensätze von Patienten und mehr als 700 Millionen medizinische Bilder im Netz ungeschützt abrufbar. In Bayern war laut Sicherheitsbehörden nur eine Arztpraxis im Raum Ingolstadt mit rund 7200 Patientendaten betroffen. Hinweise für einen kriminellen Missbrauch der Daten dort gebe es nicht.

Der betroffene Arzt "hat auch sofort den Stecker gezogen", berichtete Andreas Sachs vom Landesamt für Datenschutzaufsicht. Grund sei ein Fehler bei der Installation des Servers gewesen.

"Wir sind keine Digitalisierungsfeinde und wissen, dass wir nicht sorglos mit Patientendaten umgehen dürfen", betont Christian Pfeiffer, unterfränkischer Bezirksvorsitzender im Bayerischen Hausärzteverband. Früher sei ein Internetanschluss in Praxen nicht nötig gewesen, so der Hausarzt aus Giebelstadt (Lkr. Würzburg). Der sei erst seit 2019 verpflichtend, damit Ärzte, Psychotherapeuten, Krankenhäuser, Krankenkassen und Apotheken miteinander vernetzt sind.

Wer keinen Internetanschluss legt, dem drohe ein Honorarabzug von 2,5 Prozent. Und: "Wir haften, wenn etwas passiert", ärgert sich der Hausarzt: "Wir müssen uns schon auf die IT-Fachleute verlassen können, die den Internetanschluss einrichten."

Rhön-Klinikum: der "besonderen Verantwortung äußerst bewusst"

Petri berichtete weiter über eine bayerische Universitätsklinik, die Daten einer Studie mit rund 30 Teilnehmern auf einem ungesicherten Server gespeichert hatte. Um welche Klinik es sich handelte, sagte der Datenschützer nicht. Der Vorfall sei ungewöhnlich, weil Unikliniken dank eigener Rechenzentren im Umgang mit sensiblen Daten meist sehr sicher seien.

Die Uniklinik Würzburg wollte sich auf Nachfrage zum Thema Datensicherheit im eigenen Haus nicht äußern: Aktuell könnten dazu keine Informationen gegeben werden, hieß es. Unterdessen teilte eine Sprecherin der Rhön-Klinikum AG mit, man sei sich der "besonderen Verantwortung" für den Schutz personenbezogener Daten "äußerst bewusst". Ein Team aus IT-Experten betreibe kontinuierlich Risikoprävention und setze sich mit Bedrohungsszenarien auseinander.

Zu Petris Aussage, der Grund für fehlende IT-Sicherheit sei oft eine mangelhafte finanzielle Ausstattung, sagte sie: Der Aufwand für die Gewährleistung eines sicheren IT-Betriebes steige stetig und sei bisher nicht auskömmlich durch die Krankenkassen finanziert. "Hier würde eine Unterstützung durch den Bund sicherlich hilfreich sein."