Laxer Umgang mit Krankenakten

5:33 min

Schwedens Behörden und Verwaltungen nehmen es mit der Sicherheit der Krankenakten nicht genau. Jüngstes Beispiel sind Pläne der Behörde für elektronische Gesundheitsverwaltung, die Daten aller Schweden auf einem Server im Ausland von Microsoft verwalten zu lassen.

Mit einem animierten Video preist die Behörde für elektronische Gesundheitsverwaltungen ihren neuen Service an, der ab nächstem Jahr allen Schweden zur Verfügung stehen soll. Auf einer persönlichen Internetseite kann dann jeder seine Krankenakten, aber auch Untersuchungsergebnisse von Optiker, Fitnessstudio und Zahnarzt sowie Listen der verschriebenen Arzneien einsehen und diese auch selbst mit Anmerkungen versehen.

Die Abteilungsleiterin der Behörde Eva Leach erklärt dem Schwedischen Fernsehen den Sinn und Zweck: „Wir wollen es dem Einzelnen ermöglichen, an diese Informationen elektronisch heranzukommen und diese in einer Art Online-Aktenordner zu speichern.“

Microsoft-Server im Ausland

In dem Video der Behörde sagt eine Sprecherin, dass jeder einzelne im Besitz der Informationen ist. Was viele Schweden dabei aber nicht wissen ist, dass die Behörde die Daten auf einem Server außerhalb Schwedens lagern will, der von den IT-Unternehmen Microsoft und Cap Gemini verwaltet wird. Das findet die Leiterin der Behörde für Zivilschutz (Myndigheten för samhällsskydd och beredskap, MSB), Fia Ewald, sehr erstaunlich.

„Mit fällt es schwer zu verstehen, wie man ein solches Abkommen schließen kann und wie das auf lange Sicht funktionieren soll“, meint Ewald. Denn man habe es in dem Abkommen hauptsächlich den IT-Unternehmen überlassen, die Risiken einzuschätzen und für die notwendige Sicherheit zu sorgen, so Ewald:„In dieser Geschäftsbeziehung hat die Behörde kaum eine Kontrolle über die Sicherheit.“

Behörde beschwichtigt

Auch Passantin Monica Ivarsson möchte ihre Krankendaten lieber nicht auf einem Microsoft-Server im Ausland sehen. Der Gedanke daran sei sehr erschreckend, sagt sie dem Schwedischen Fernsehen. Eva Leach von der Behörde für elektronische Gesundheitsverwaltung beschwichtigt dagegen:

„Wir haben die Regeln eingehalten und die Risiken und Verwundbarkeit genau analysiert. Dabei haben wir mit unseren aber auch mit Experten von außerhalb und mit anderen Behörden zusammengearbeitet. Wir haben eine gründliche und solide Arbeit geleistet.“

Die Zivilschutzbehörde ist dagegen der Auffassung, dass der Deal mit Microsoft nicht den Anforderungen entspricht. Fia Ewald empfiehlt, das Abkommen mit den IT-Unternehmen neu zu verhandeln: „Man muss ein normales und funktionierendes Sicherheitsniveau erreichen. Das muss man angehen, jetzt wo man weiß, dass es viele Mängel gibt.“

Austausch von Krankenakten

Ob die Behörde für elektronische Gesundheitsverwaltung diesen Rat beherzigt, ist ungewiss. Allgemein gibt es offenbar hierzulande einen Trend, es mit der Sicherheit von Patientendaten nicht so genau zu nehmen. So hat die Datenschutzbehörde zu Beginn dieses Monats bemängelt, dass die Verwaltungen von Stockholm und Österåker die Patientendaten miteinander ausgetauscht haben, ohne um die Erlaubnis der Patienten zu fragen und ohne sich um entsprechende Sicherheit zu kümmern. So wurde offenbar nicht ausreichend geklärt, wer Zugriff auf die Daten hatte.

Ein weiteres Beispiel ist das eines Patienten in der nordschwedischen Provinz Västerbotten. Die Krankenhausverwaltung dort hatte in den Rechnungen an seine Bank offengelegt, welche Ärzte und Abteilungen der Patient aufgesucht hatte.

Alexandra Gillström ist Anwältin des Patienten und hat den Fall zur Anzeige gebracht: „27 Mal in vier Jahren wurden Angaben meines Mandaten weitergegeben, obwohl er sich an die Provinzialverwaltung gewandt und sie gebeten hatte, damit aufzuhören. Diese hat dies zwar zur Kenntnis genommen, aber keine Abhilfe geschaffen.“

9 von 21 halten Regeln nicht ein

Obwohl diese Art der Informationsweitergabe ungesetzlich ist, folgen nach Angaben des Schwedischen Fernsehens 9 von insgesamt 21 Provinzialverwaltungen dieser Praxis. Für Anwältin Gillström ein Unding, da es sich im Fall ihres Mandanten unter anderem um Aufenthalte in einer Psychiatrie gehandelt hatte: „Der Patient hat sich in diesen vier Jahren sehr unwohl und ausgeliefert gefühlt. Er war besorgt, dass die Bank diese Angaben etwa bei Kreditverhandlungen nutzt.“

Die Anwältin hat deshalb die Provinzialverwaltung auf Schadenersatz verklagt. Ein Ansinnen, das Jonas Claesson von der Verwaltung zurückweist: „Wir halten an unsere früheren Beurteilung fest, dass es keinen Grund für Schadenersatz gibt. Der entstandene Schaden ist unbedeutend, juristisch ausgedrückt.“

Ki Andersson, Marit A Israelsson/Dieter Weiand

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade ljud i menyn under Min lista