Die Notwendigkeit des Aufnahme und Entlassungsdatums für den Pfortendienst wird noch
Station Raum Telefon Aufnahmedatum Entlassungsdatum
Damit ist der Datensatz im Wesentlichen auf die zur Wahrnehmung des Pfortendienstes erforderlichen Daten beschränkt.
Die Notwendigkeit des Aufnahme- und Entlassungsdatums für den Pfortendienst wird noch diskutiert.
9.6.2.2
Medizinischer Bereich 9.6.2.2.1
Pflegebereich
Nach erfolgter Aufnahme des Patienten in einer medizinischen Fachabteilung und seiner Zuweisung zu einer Station steht der Name des Patienten im System in der für die Pflegekräfte zugänglichen Bettenübersicht der jeweiligen Station auf der Warteliste. Es ist Aufgabe der Pflegekräfte, dem Patienten im System ein Bett innerhalb der Station zuzuweisen. Die Pflegedirektion hat Zugriff auf die Bettenübersichten aller Fachabteilungen. Die Pflegekräfte (ca. 1.600) haben Zugriff jeweils nur auf die Bettenübersichten ihrer eigenen Stationen.
Insgesamt können die Pflegekräfte auf die die Fachabteilungen übergreifenden Daten der sog. Pfortenauskunft zugreifen (z.B. für den Fall, dass sich ein verwirrter Patient auf einer falschen Station befindet). Weitere Zugriffe sind auf die Bettenübersicht und die medizinische Dokumentation der eigenen Station eröffnet. Wenn ein Patient verlegt werden soll, veranlasst die zuständige Pflegekraft, dass der Patient aus der Bettenübersicht der eigenen Station gelöscht und in die Warteliste der weiterbehandelnden Station aufgenommen wird. Ein Zugriff auf die Bettenübersicht der weiterbehandelnden Station ist der Pflegekraft im Rahmen der Verlegung nicht möglich.
9.6.2.2.2
Ärztlicher Bereich
Die behandelnden Ärzte einer Fachabteilung haben Zugriff auf die folgenden Daten: Pfortenauskunft Verwaltungsdaten ihrer eigenen Fachabteilung Sog. zentrale Krankengeschichte des in der eigenen Fachabteilung in Behandlung befindlichen Patienten, d.h. die Daten von Behandlungen aller Fachabteilungen dieses Patienten, die zu einem früheren Zeitpunkt stattgefunden haben und von der betreffenden Abteilung der (zentralen) Krankengeschichte hinzugefügt wurden. Es ist vorgesehen, dass ein Patient bei seiner Aufnahme gefragt wird, ob er einem Zugriff der behandelnden Fachabteilung auf die früheren Behandlungsdaten widersprechen möchte. Für diesen Fall soll die technische Möglichkeit einer Sperre der entsprechenden Falldaten im System eingerichtet werden.
Probleme (Allergien etc.); sofern diese als notfallrelevant klassifiziert sind, können sie jedoch von allen Ärzten des Klinikums eingesehen werden.
Diagnosen, Operationen etc. (im Wesentlichen Daten i.S.v. § 301 SGB V) Krankengeschichte der eigenen Abteilung.
Der Umfang der Möglichkeiten, die o.a. Daten im System zu lesen, ist für den Chefarzt, Oberarzt, Arzt und das Pflegepersonal der jeweiligen Fachabteilung identisch. Die Möglichkeiten des schreibenden bzw. ändernden Zugriffs auf die Daten sind differenziert.
Generell ist jedoch ein schreibender Zugriff nur auf Daten der eigenen Fachabteilung möglich. Wenn eine Vidierung d.h. eine systemeigene Vorstufe der digitalen Signatur der abteilungseigenen Daten erfolgt ist und in die sog. Zentrale Krankengeschichte überstellt wurde, so sind für alle aufgrund des Behandlungszusammenhanges berechtigten Abteilungen nur noch lesende Zugriffe möglich.
9.6.2.2.3
Verfahren bei Leistungsanforderungen einer Funktionsabteilung, hier: Radiologie
Derzeit erfolgt die Anforderung einer Leistung noch in Papierform. Wenn eine solche Anforderung bei der Leitstelle der Radiologie eingeht, wird der Patient in der Leitstelle im System identifiziert und die Anforderung wird dann aufgenommen. Die Mitarbeiterinnen und Mitarbeiter der Leitstelle haben Zugriff auf die folgenden Daten: Pfortenauskunft Aufnahmedaten des Patienten Fachabteilungskrankengeschichte der Radiologie.
Darüber hinaus ist es derzeit für die Leitstelle der Radiologie technisch möglich, alle ihr namentlich bekannten Patienten des Universitätsklinikums aufzurufen und die medizinische Dokumentation dieser Patienten einzusehen, soweit sie in der sog. zentralen Krankenakte enthalten ist. Diese Einsichtsrechte werden vom Klinikum im Einzelfall für erforderlich gehalten, z. B. wenn auf der Leistungsanforderung die Diagnose fehlt oder Angaben in der Problemliste für die Radiologie wichtig sind. Solche Zugriffe werden aber dem Klinikum zufolge aus zeitlichen Gründen selten genutzt und vom System protokolliert. Die Einsichtsrechte gehen über den für die Aufgabenerfüllung dieser Mitarbeiterinnen und Mitarbeiter erforderlichen Umfang hinaus. Auch die vom Klinikum genannten Zwecke können diese umfangreichen Zugriffsmöglichkeiten nicht dauerhaft rechtfertigen. Ich habe daher eine Abänderung des Verfahrens gefordert.
Es besteht jetzt Konsens zwischen dem Klinikum und mir, dass diese umfassenden Zugriffsmöglichkeiten beschränkt werden müssen. Das Klinikum hat zugesagt, dass sie entfallen, sobald die nächste Ausbauphase in Produktion geht.
Im Bereich der Radiologie können die Mitarbeiterinnen und Mitarbeiter der Leitstelle, die MTA und die Ärzte auf denselben Umfang von Daten lesend zugreifen.
Der Patient, für den eine Leistungsanforderung in der Radiologie vorliegt, wird von einer MTA in die Terminliste der Radiologie aufgenommen. Ein Arzt der Radiologie führt die Befundung und die Vidierung des Befundes durch. Das Ergebnis der Untersuchung wird elektronisch und in Papierform an die anfordernde Fachabteilung übersandt.
Ein entsprechendes Verfahren wie bei der Radiologie findet auch bei anderen Funktionsabteilungen (Endoskopie, Nuklearmedizin, Pathologie) statt.
9.6.2.2.4
Konsiliarische Beratung
Soweit eine Fachabteilung einen Arzt einer anderen Fachabteilung um konsiliarische Beratung bittet, kann der konsiliarisch tätige Arzt nicht von selbst einen Zugriff auf die Daten des betreffenden Patienten initiieren. Die behandelnde Fachabteilung muss dem konsiliarisch zugezogenen Arzt die Krankenakte zur Verfügung stellen oder den Zugriff auf die Daten des Patienten eröffnen. Derzeit besteht noch die technische Schwierigkeit, dass ein Zugriff auf die Daten der Patienten einer anderen Fachabteilung erfolgt, ohne dass im System nach Einzelpersonen differenziert wird. Dies habe ich als problematisch angesehen. Als Lösung ist vorgesehen, eine klinikumsweite Fall-Liste im Rahmen einer speziellen Rolle zugänglich zu machen. Eine ansonsten zur Patientenaufnahme berechtigte Verwaltungskraft an der Leitstelle kann dann aufgrund einer schriftlichen Anforderung einer anderen behandelnden Abteilung den betreffenden Patienten aus dieser klinikumsweiten Fall-Liste in die eigene Konsil-Liste oder auch Ambulanz-Liste umbuchen. Damit erhält der Arzt, nicht aber die Verwaltungskraft für die konsiliarische Beratung Zugriff auf die Daten des entsprechenden Patienten. Die Umbuchung soll systemseitig protokolliert werden und die Einträge in den Konsil-Listen etc. sollen Löschfristen unterliegen, nach deren Ablauf die Zugriffsmöglichkeit auch für den Arzt entfällt.
9.6.2.2.5
Verfahren bei Wechsel der Fachabteilung
Die Verlegung stationärer Patienten in eine andere Fachabteilung erfolgt über den Pflegearbeitsplatz (siehe Ziff. 9.6.1.2.1).
Damit gehen auch die Zugriffsrechte an die neue behandelnde Abteilung über.
10. Telekommunikation Telekommunikations-Datenschutzverordnung
Die neue Telekommunikations-Datenschutzverordnung lässt einige Forderungen der Datenschutzbeauftragten des Bundes und der Länder unberücksichtigt.
Der Bundesrat hat am 29. September 2000 der von der Bundesregierung vorgelegten Telekommunikations-Datenschutzverordnung (TDSV) BR-Drucks. 300/00 mit Änderungen zugestimmt (Stenografischer Bericht 754. Sitzung, S. 377).
Die Verordnung, über die wegen der vom Bundesrat verlangten Änderungen die Bundesregierung noch einmal beschließen muss, wird an die Stelle der bisherigen Telekommunikationsdienstunternehmen-Datenschutzverordnung vom 12. Juli 1996 treten (BGBl. I S. 982). Sie regelt den Schutz personenbezogener Daten der an der Telekommunikation Beteiligten, soweit Anbieter von Telekommunikationsdiensten die Daten verarbeiten. Die vom Bundesrat geforderten Änderungen beruhen im Wesentlichen auf Vorschlägen der Datenschutzbeauftragten des Bundes und der Länder. Die Datenschutzbeauftragten waren bereits in die Ausarbeitung der Verordnung einbezogen. Auch ich habe mehrmals gegenüber dem Hessischen Ministerium für Wirtschaft, Verkehr und Landesentwicklung zu Entwürfen Stellung genommen. Trotz Unterstützung durch das Ministerium konnten einige meiner Forderungen jedoch nicht durchgesetzt werden. Zu den wichtigsten zählen: 10.1
Recht des Kunden zur Bestimmung des Umfangs der Datenspeicherung Diensteanbieter dürfen Verbindungsdaten gemäß § 7 Abs. 3 TDSV (neu) unter Kürzung der Zielnummer um die letzten drei Ziffern bis zu sechs Monate nach Versendung der Rechnung speichern. Nach § 7 Abs. 4 TDSV (neu) können die Kunden vom rechnungsstellenden Diensteanbieter verlangen, dass die Verbindungsdaten vollständig gespeichert oder mit Versendung der Rechnung vollständig gelöscht werden. Dieses Wahlrecht der Kunden bestand bislang gegenüber allen Diensteanbietern. Die Beschränkung auf den rechnungsstellenden Diensteanbieter hat zur Folge, dass die Verbindungsdaten bei allen übrigen Diensteanbietern, die beispielsweise Daten von Call-by-Call-Verbindungen speichern, unabhängig von der ausgeübten Wahl des Kunden bis sechs Monate nach Versendung der Rechnung gespeichert bleiben dürfen.
Verbindungsdaten unterliegen nach der Rechtsprechung des Bundesverfassungsgerichts dem grundrechtlich geschützten Telekommunikationsgeheimnis (Art. 10 GG) und gemäß § 85 Abs. 1 Telekommunikationsgesetz dem einfachgesetzlichen Fernmeldegeheimnis und sind daher genauso schützenswert wie der Inhalt der Kommunikation. Damit ist unvereinbar, Hessischer Landtag · 15. Wahlperiode · Drucksache 15/250036 dass die an der Bereitstellung der Kommunikationsverbindung beteiligten Diensteanbieter, die keine Rechnung stellen, die Daten weiterhin speichern dürfen. Die Regelung widerspricht dem in § 3 Abs. 4 TDSV (neu) aufgenommenen Gebot der Datensparsamkeit bei der Auswahl und Gestaltung von Datenverarbeitungsverfahren. Wie bisher hätte deshalb die neue TDSV alle Anbieter von Telekommunikationsdiensten verpflichten müssen, die Wahl der Kunden zu respektieren.
Die rechnungsstellenden Anbieter hätten zudem verpflichtet werden müssen, die anderen Anbieter über den Zeitpunkt des Rechnungsversandes und die damit verbundene Löschungspflicht zu informieren. Ungeachtet der unvollständigen Fassung des § 7 Abs. 4 TDSV können Benutzer aufgrund des Art. 10 GG und § 85 TKG eine vollständige Löschung beantragen und notfalls einklagen.
10.2
Einzelverbindungsnachweis Art. 7 Abs. 2 EG-Telekommunikationsrichtlinie (ABl. L 24 vom 30.1.1998) verpflichtet die Mitgliedstaaten, das Recht der Teilnehmer, Einzelgebührennachweise zu erhalten, und das Recht anrufender Benutzer und angerufener Teilnehmer auf Vertraulichkeit miteinander in Einklang zu bringen.
Art. 7 Abs. 2 EG-Telekommunikationsrichtlinie
Die Mitgliedstaaten wenden innerstaatliche Vorschriften an, um das Recht der Teilnehmer, Einzelgebührennachweise zu erhalten, und das Recht anrufender Benutzer und angerufener Teilnehmer auf Vertraulichkeit miteinander in Einklang zu bringen, ...
Dazu finden sich in der TDSV (neu) keine Regelungen. Es hängt nach wie vor allein von der Wahl des anrufenden Anschlussinhabers ab, ob er eine aufgeschlüsselte Rechnung erhält, in der sämtliche Einzelverbindungen mit vollständiger Zielnummer der Angerufenen aufgelistet sind. Über die Einführung eines Modells, bei dem der Angerufene über die Preisgabe seiner Rufnummer entscheidet, sollte ernsthaft nachgedacht werden. Um die Streitfrage nicht auf dem Rücken der Anbieter auszutragen, könnte für diesen Fall vorgesehen werden, dass der Angerufene anstelle des Anrufenden die Kosten übernimmt. Ein solches Modell würde außerdem die komplizierte Regelung in § 8 Abs. 2 TDSV (neu), mit der sichergestellt werden soll, dass Beratungseinrichtungen nicht in Einzelverbindungsnachweisen erwähnt werden, erübrigen und damit zu einer nicht unerheblichen Verwaltungsvereinfachung beitragen.
10.3
Missbrauchsbekämpfung
Eine Verschlechterung für den Datenschutz der Kunden bringt die Regelung zur Missbrauchsbekämpfung in § 9 TDSV (neu). Der Diensteanbieter darf den Gesamtbestand aller Verbindungsdaten, die nicht älter als sechs Monate sind, rastern, um Verbindungen aufzuspüren, bei denen der Verdacht einer rechtswidrigen Nutzung von TK-Netzen und -diensten besteht. Bislang war der Zeitraum auf einen Monat begrenzt. Durch die Neuregelung wird vor allem das Wahlrecht des Kunden nach § 7 Abs. 4 TDSV unterlaufen. Die Begründung zu § 9 TDSV (neu) stellt zwar klar, dass die Diensteanbieter nicht verpflichtet sind, die Daten sechs Monate zu speichern. Es besteht jedoch die Gefahr, dass Diensteanbieter die Befugnis voll ausnutzen.
Diese Gefahr hat offensichtlich auch der Wirtschaftsausschuss des Bundesrates gesehen und deshalb empfohlen, den Zeitraum für eine zulässige Rasterung des Gesamtbestandes der Verbindungsdaten auf vier Monate festzusetzen (BRDrucks. 300/2/00, Nr. 7). Dem hat jedoch der Ausschuss für Innere Angelegenheiten widersprochen, da eine kürzere Frist als sechs Monate die Arbeit der Strafverfolgungsbehörden unangemessen beeinträchtige (BR-Drucks. a.a.O.). Der Bundesrat ist dem Argument des Innenausschusses gefolgt.
Positiv zu vermerken ist der in § 9 Abs. 2 TDSV (neu) enthaltene Hinweis auf die Möglichkeit einer pseudonymisierten Auswertung des Gesamtbestandes der Verbindungsdaten. Dies entspricht einer alten Forderung der Datenschutzbeauftragten, denn mit einer solchen Recherchemethode werden die Eingriffe in das Telekommunikationsgeheimnis und das Recht auf informationelle Selbstbestimmung der Kunden erheblich verringert.
11. Entwicklungen im Bereich der Technik 11.1
Schwachstellensuche bei Firewalls und in Rechnernetzen Firewalls sind unverzichtbar, um Netzwerke gegen Angriffe von außen zu schützen. Eine Kontrolle, ob sie ihre Funktion erfüllen, gehört zu den Bestandteilen eines Sicherheitskonzepts. Als Hilfsmittel bei derartigen Kontrollen bieten sich an, die auch in Rechnernetzen die Suche nach Schwachstellen unterstützen können.
11.1.1
Ausgangslage
Das Hessische Landesverwaltungsnetz (HCN 2000) ist durch Firewalls gegen das Internet abgeschottet. Im letzten Jahr hat die Hessische Zentrale für Datenverarbeitung (HZD) als Betreiberin eine Schwachstellenanalyse der Firewalls und der vorgelagerten Webserver vornehmen lassen. Die Analyse wurde durch einen Port-Scanner unterstützt. Diese Schwachstellenanalyse habe ich beratend begleitet.
Ein Port-Scanner ist ein Programm, das testet, wie ein Rechner auf Verbindungswünsche reagiert. Dabei werden die Ports (Nummern, mit denen im Internetprotokoll TCP/IP verschiedene Dienste gekennzeichnet werden) abgefragt. Die Reaktionen auf diese Verbindungswünsche können Informationen über die eingesetzte Software liefern. Im Prinzip greift der Port-Scanner die untersuchten Rechner wie ein Hacker an.