Versicherung

1. Auskünfte bei ihm einzuholen,

2. während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen oder Prüfungen vorzunehmen und

3. geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist.

...

(4) Der Auftragnehmer darf die zur Datenverarbeitung überlassenen Sozialdaten nicht für andere Zwecke verarbeiten oder nutzen und nicht länger speichern, als der Auftragnehmer schriftlich bestimmt.

Die Übertragung der Archivleistung sowie die elektronische Aufbereitung der Akten durch den MDK Sachsen-Anhalt entsprechen den Vorgaben einer Datenverarbeitung im Auftrag. Rechte und Pflichten von Auftragnehmer und Auftraggeber sind als Anlage zum Dienstleistungsvertrag in einem Datenschutzvertrag schriftlich dokumentiert. Danach hat der MDK Sachsen-Anhalt ausschließlich auf schriftliche Weisung des MDK Hessen hin die Daten zu verarbeiten. Er hat außerdem die Gewähr dafür zu leisten, dass die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Sozialdaten getroffen sind.

Datensicherheitsmaßnahmen beim MDK Sachsen-Anhalt Werden Sozialdaten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Die zu erreichenden Schutzziele ergeben sich aus der Anlage zu § 78a SGB X. § 78a SGB X

Die in § 35 des Ersten Buches genannten Stellen, die selbst oder im Auftrag Sozialdaten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen einschließlich der Dienstanweisungen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzbuches, insbesondere die in der zu dieser Vorschrift genannten Anforderungen, zu gewährleisten. Maßnahmen sind nicht erforderlich, wenn ihr Aufwand in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Folgende Maßnahmen zum Schutz der Sozialdaten hat der MDK Sachsen-Anhalt getroffen: 5.8.2.4.1 Gewährung der Zutrittskontrolle Grundsätzlich haben zum Archiv nur die unmittelbar dort Beschäftigten Zutritt. Dritte können nach vorheriger Anmeldung und nur in Begleitung Berechtigter bzw. autorisierter Personen das Archiv betreten.

5.8.2.4.2 Einhaltung der Zugangskontrolle

Die Zugangskontrolle wird durch verschiedene organisatorische und technische Maßnahmen gewährleistet:

­ Kontrolle des Zutritts zum Archiv durch Mitarbeiter am Empfang,

­ Anmeldung am System mit Benutzerkennung und Passwort,

­ Einsatz von passwortgeschützten Bildschirmschonern an den einzelnen PC-Arbeitsplätzen im Archiv,

­ Nutzung einer Firewall zur Abschottung des Intranets gegen unbefugte Eingriffe von außen durch Dritte sowie

­ Nutzung einer passwortgeschützten Punkt-zu-Punkt-Verbindung auf PC-Ebene bei Aktenanfragen durch den MDK Hessen.

5.8.2.4.3 Sicherstellung der Zugriffskontrolle Folgende Maßnahmen sollen die Zugriffskontrolle beim Archiv des MDK Sachsen-Anhalt sicherstellen und gewährleisten:

­ die Aufbewahrung der beschriebenen Datenträger (nur einmal beschreibbare CDs) in einem Tresor,

­ die automatische Erstellung von Konsolprotokollen,

­ ein eigener Archiv-Server,

­ die Trennung von Test- und Produktionsbetrieb bei Wartungsarbeiten,

­ der Einsatz von Verschlüsselungsverfahren, insbesondere im Rahmen des Datentransfers,

­ die Zulassung nur lesender Zugriffe für die Nutzerinnen und Nutzer des Archivs bei Recherchen.

5.8.2.4.4 Gewährleistung der Weitergabekontrolle

Die Auftragserteilung erfolgt unter Angabe der Identifizierungsmerkmale (Patienten-Name, Anschrift, Geburtsdatum) einzelfallbezogen. Im Zusammenhang mit der elektronischen Erfassung sowie dem Versand der Akte als Mail werden Verschlüsselungen vorgenommen (128 Bit). Die Kommunikation zwischen den hessischen Stellen und der Altakten-Scan-Stelle beim MDK Sachsen-Anhalt erfolgt ausschließlich über das Programm ISmed-Notes.

5.8.2.4.5 Sicherstellung der Eingabekontrolle

Die Eingabekontrolle erfolgt durch Systemprotokolle über Zugriffe- und/oder Änderungen auf Benutzerinnen- bzw. Benutzerebene. Damit wird sichergestellt, dass feststellbar ist, wer welche Daten wann in die Anwendung eingestellt hat.

5.8.2.4.6 Gewährleistung der Auftragskontrolle

Die Auftragskontrolle wird durch die Vorgaben im Dienstleistungs- sowie im Datenschutzvertrag sichergestellt. Außerdem sind regelmäßige Kontrollen des Datenschutzbeauftragten des MDK-Hessen avisiert.

5.8.2.4.7 Gewährleistung der Verfügbarkeitskontrolle

Gegen den Verlust oder die Zerstörung der Daten (vornehmlich der eingelagerten Akten) sind an verschiedenen Stellen des Gebäudes Feuerlöscher platziert. Es erfolgt eine regelmäßige Datensicherung (eingescannte Akten) und Lagerung der Datenträger in einem getrennten Brandschutzabschnitt sowie einem feuersicheren Tresor.

5.8.2.4.8 Gewährleistung der Organisationskontrolle

Die getrennte Verarbeitung der zu unterschiedlichen Zwecken erhobenen Sozialdaten wird durch die Anlage mehrerer getrennter Archiv-Datenbanken auf physikalisch getrennten Servern und durch die physikalische Trennung der Inhouse-Netze des MDK Sachsen-Anhalt und der Altakten-Scan-Stelle beim MDK Sachsen-Anhalt gewährleistet.

Datenschutzrechtliche Probleme im Bereich des Archivs

Die Auftragsdatenverarbeitung durch den MDK Sachsen-Anhalt, die von mir im Rahmen eines Prüfbesuchs in Magdeburg in Augenschein genommen wurde, entsprach bis auf wenige Ausnahmen den Anforderungen, die sich aus der Anlage zu § 78a SGB X ergeben. Allerdings habe ich folgende Änderungen gefordert: 5.8.2.5.1 Standort des Servers

Der Standort des Servers entspricht nicht den Anforderungen an die Zutrittskontrolle gemäß § 78a Nr. 1 SGB X. Zum Problem kann die potenzielle Gefährdung der Hardware durch äußere Einflüsse ebenso werden, wie der jederzeit mögliche Zutritt des gesamten Archivpersonals. Der Server muss daher in einem abgeschlossenen, nur durch befugte Personen zugänglichen Raum untergebracht werden.

5.8.2.5.2 Aufbewahrungsfrist für die Akten

Gemäß § 276 Abs. 2 SGB V sind die Sozialdaten nach fünf Jahren zu löschen. Es gab jedoch keine schriftliche Vereinbarung zwischen dem MDK Hessen und dem MDK Sachsen-Anhalt, die eine regelmäßige und dem gesetzlichen Erfordernis Rechnung tragende Vernichtung hessischer Akten sicherstellt. Eine entsprechende Vereinbarung und Verfahrensweise, die sich an den gesetzlichen Löschfristen orientiert, ist daher unabdingbar. Dies wurde vom MDK inzwischen durch eine Zusatzvereinbarung umgesetzt.

5.8.2.5.3 Vernichtung der Akten nach der elektronischen Übermittlung

Es lag keine Regelung darüber vor, zu welchem Zeitpunkt nach dem Scan-Vorgang und der elektronischen Übermittlung zum MDK-Server in Hessen die Papierakten zu vernichten sind. Ich habe vorgeschlagen, eine zweiwöchige Frist hierfür vorzusehen. Damit werden gegebenenfalls erforderliche „Nachbesserungen" bei der Übermittlung oder ein eventuell sogar erforderliches abermaliges Scannen der Papierakte berücksichtigt. Die Umsetzung in Form einer Vereinbarung zwischen dem MDK Hessen und dem MDK Sachsen-Anhalt wurde mittlerweile bestätigt.

5.8.2.5.4 Passwortgestaltung/-regelung

Die Anmeldeprozedur im Zusammenhang mit den Vorgaben zur Passwortgestaltung genügte nicht den Anforderungen, die sich aus dem Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnologie ergeben. Hierbei handelt es sich um Mindestanforderungen bei der Verarbeitung personenbezogener Daten. Danach sollte ein Passwort mindestens acht Stellen lang sein und möglichst alphanumerisch generiert werden. Auch ist ein regelmäßiger Passwortwechsel vorzunehmen. Dieser Punkt wurde ebenfalls durch die beteiligten Stellen inzwischen korrigiert.

Datenverarbeitung beim MDK Hessen

Auch die Datenverarbeitung beim MDK Hessen selbst war Gegenstand meiner Prüfungen. Die zentrale Zusammenführung der Aktenbestände aller hessischen Geschäftstellen und deren (auf Anforderung) elektronische Übermittlung durch den MDK Sachsen-Anhalt zum zentralen Archivserver der Hauptstelle in Oberursel hat einige datenschutzrechtliche Fragestellungen aufgeworfen.

5.8.2.6.1 Verfahrensablauf

Wenn eine Krankenkasse ein Gutachterauftrag an eine Geschäftsstelle des MDK Hessen erteilt, wird der Auftrag in das EDV-System ISmed eingestellt. Im ISmed-Archiv erfolgt eine Recherche über mögliche Vorakten zum Versicherten. Bei einem positiven Rechercheergebnis wird in ISmed automatisiert eine Anforderungsmail für die Vorakte bei der AltaktenScan-Stelle nach Magdeburg geschickt. Nach dem Scan-Vorgang der dort gelagerten Akte wird per Mailverschlüsselungsverfahren (Lotus-Notes) der Inhalt der Akte in das elektronische Archivsystem des MDK Hessen übermittelt. Danach wird eine Papierlaufakte für den anfordernden Gutachter erstellt, die als Papierausdruck Teile der angeforderten und elektronisch übermittelten Akte beinhalten kann. Es erfolgt die Begutachtung, an deren Ende die Entscheidung des Gutachters steht, welche zusätzlich entstandenen Unterlagen (z. B. das aktuell gefertigte Gutachten) eingescannt werden sollen. Die Prüfung und Freigabe des Gutachtens in seiner elektronischen Form im ISmed erfolgt durch den Gutachter. Die Authentifizierung erfolgt mittels eines Noteszertifikats, das individuell einem bestimmten Gutachter zugeordnet ist. Ein unterschriebenes Papierexemplar wird nicht mehr erstellt. Mit der Freigabe wird das elektronische Exemplar automatisch in das zentrale Archiv auf dem MDK-Server der Hauptstelle übertragen. Die Papierlaufakte geht an den zuständigen Scannerarbeitsplatz der jeweiligen Beratungsstelle (Pflege- oder Krankenversicherung). Dort wird die Laufakte gescannt, indexiert und an den Archivserver übermittelt, wo eine Zuordnung zu den bereits gespeicherten Unterlagen erfolgt. Außerdem wird ein Papierausdruck (des Gutachtens) gefertigt, der (nicht unterschrieben) an die Krankenkasse versandt wird.

5.8.2.6.2 Datenschutzrechtliche Probleme beim MDK Hessen 5.8.2.6.2.1 Anforderung von Akten (Gutachterauftrag) Jeder Gutachterauftrag wird in einer für die jeweilige Geschäftsstelle einsehbaren Auftragsdatei abgelegt. Es gibt sieben Beratungsstellen, die über ISmed grundsätzlich nur auf ihre „eigenen" Gutachten zugreifen können. Darüber hinaus kann jedoch jede Beratungsstelle über die Funktion „neuen Fall anlegen" Informationen über die Gutachteraufträge aller anderen Beratungsstellen aufrufen, die in einer so genannten zentralen Verweisdatei gespeichert sind. Die zentrale Verweisdatei ermöglicht einen hessenweiten Überblick über alle in Auftrag gegebenen Gutachten.

Das datenschutzrechtliche Problem ist, dass durch das „Neu-Anlegen" eines Falles (unter der Voraussetzung, dass Name und Geburtsdatum eines Betroffenen bekannt sind) jeder Mitarbeiter, der die Berechtigung zum Anlegen eines neuen Falles hat, über die Verweisdatei auf das Zentralarchiv des Servers in Oberursel zugreifen könnte. Dort sind alle zu dem Betroffenen vorhandenen Dokumente abgelegt und wären in der Folge einsehbar.

Die Anzahl der Personen, die die Berechtigung zum Anlegen eines neuen Falles haben, betrug im Juni 2004 etwa 410 Personen (Gutachter und Assistenzkräfte). Allerdings soll durch eine geplante Umstrukturierung innerhalb des MDK die Zahl der Personen auf ca. 340 Personen reduziert werden. Dennoch bleibt die große Zahl der potenziell Zugriffsberechtigten problematisch. Um eine Kontrolle zu erreichen, wer MDK-seitig die Unterlagen eines in der Datenbank gespeicherten Patienten sich zunächst hat zur Verfügung stellen lassen, diese dann aber doch nicht für die Erstellung eines Gutachtens nutzt, wird eine so genannte „Löschliste" angelegt. In diese Liste wird der Name des Betroffenen, der Zeitpunkt der Löschung des Auftrags sowie der Verantwortliche, nicht aber der Grund für die Löschung, aufgenommen. Ohne Zweifel kann es vorkommen, dass man versehentlich einen falschen Namen verwendet hat oder eine Falscheingabe aus anderen Gründen erfolgt ist, was eine Löschung erforderlich macht. Eine möglicherweise gezielte Falscheingabe mit dem Zweck, unbefugt (also ohne Auftrag) an Daten eines Betroffenen zu gelangen, wird allerdings nicht verhindert. Um das Problem bei der Zugriffskontrolle dennoch lösen zu können, wurde im Zusammenhang mit der Prüfung des Verfahrens in der Geschäftsstelle des MDK Hessen in Offenbach vereinbart, dass der Datenschutzbeauftragte des MDK die Listen regelmäßig auf ihre Plausibilität hin überprüft und ggf. gezielte Nachfragen zu einzelnen Löschvorgängen vornimmt. Einträge in der Löschliste, die älter als ein Jahr sind, werden automatisch gelöscht.