Versicherungsrecht
Rahmen-Dienstvereinbarung über die PersonalDatenverarbeitung zu genügen, sollte dabei die Beteiligung des Personalrats in Dienstvereinbarungen vorgesehen werden; stelle werden automatisch protokolliert. Aufgezeichnet wird, wer wann welche Auswertungen mit welchen Parametern durchgeführt hat.
die spätere Nutzung des MAN für die Datenkommunikation: Sie darf erst erfolgen, wenn die vorgesehene Sicherheitsfunktionen des MAN zur Verfügung stehen oder wenn eine detaillierte Risikoanalyse die Unangreifbarkeit der Server gegen unbefugte Zugriffe von außen erwiesen hat. Dies gilt auch für die Datenübertragung für die Datensicherung im Sicherheitsrechenzentrum des LIT;
In Köpenick erfolgt noch keine Datenkommunikation über das BeLa (früher MAN). Eine Nutzung des BeLa zur Übertragung von Personaldaten ist erst bei Bezirken/Senatsverwaltung mit personaldatenverarbeitenden Außenstellen erforderlich. Eine derartige Nutzung des BeLa wird nur in Verbindung mit einem Datenverschlüsselungssystem und nach einem Wirksamkeitsnachweis erforderlicher Sicherheitsmechanismen erfolgen.
Es ist grundsätzlich vorgesehen, Datensicherungen im Sicherheitszentrum des Landesamtes für Informationstechnik durchführen zu lassen. Zur Zeit werden die Daten allerdings bei der IPV-nutzenden Stelle gesichert.
den datenschutzgerechten Einsatz des Client-Server-Systems:
Es ist durch das Client-Server-System sicherzustellen, daß sensible personenbezogene Daten nicht auf ungeschützten Bereichen der Clients abgelegt werden können;
Bei Clients unter Windows NT wird gewährleistet, dass keine Daten auf ungeschützten, d.h. nicht durch Paßwort gesicherten Bereichen des Clients, abgelegt werden können. Die Projektgruppe IPV empfiehlt daher den IPV-einsetzenden Verwaltungsbereichen den Einsatz von Windows NT.
die Verantwortungsverteilung im sog. Betreiberkonzept: Die Verantwortungsverteilung zwischen Betreibern und datenschutzrechtlich verantwortlichen Stellen ist datenschutzrechtlich korrekt zu regeln. Betreiber dürfen keine Rechte erhalten, die der Verantwortung der datenverarbeitenden Stelle zuwiderlaufen.
Durch die Rollenbestimmung im Betreiberkonzept und das Berechtigungskonzept sind die Zuständigkeiten und Verantwortlichkeiten so zwischen den Betreibern von IPV und datenschutzrechtlich verantwortlichen Stellen aufgeteilt, dass keine Bestimmung zum Datenschutz verletzt wird.
Das IPV-Verfahrenssicherheitskonzept (Bestandteil des Betreiberkonzepts) entspricht den Anforderungen, die sich für den Einsatz von IT-Verfahren wie IPV aus dem IT-Sicherheitsrahmenkonzept ergeben.
Datenverarbeitung in der Medizin Patientendaten im Internet?
Eine ärztliche Berufsorganisation fragte an, ob und in welcher Form das Internet im ärztlichen Bereich genutzt werden könnte.
Das Internet könnte sowohl als Übertragungsmedium für Patientendaten wie auch als bloßes Recherchemedium genutzt werden.
Es mag für manchen Arzt verlockend erscheinen, die Krankengeschichte, zu der er einen Kollegen telefonisch um Rat fragen möchte und die sowieso auf dem Computer vorhanden ist, diesem Kollegen auch gleich über das einfach zu erreichende Medium Internet direkt auf dessen Computer zu übertragen, damit der Kollege alle Daten selber auf dem Bildschirm verfügbar hat.
Wegen der potentiellen Unsicherheit des Internet dürfen aber Patientendaten, die ausnahmslos dem verschärften Schutz der ärztlichen Schweigepflicht unterliegen, stets nur in zuverlässig verschlüsselter Form mit elektronischer Post (E-Mail) über das Internet geschickt werden. Die bloße Absicherung eines Krankenhaus- oder Praxisnetzes gegen einen „Angriff" von außen durch Firewalls reicht nicht aus, da die elektronische Post den geschützten Bereich in jedem Fall verläßt. Eine globale Veröffentlichung von Patientendaten nichts anderes wäre eine unverschlüsselte Versendung im Internet hätte auch strafrechtliche Konsequenzen für den Absender.
Da die elektronische Post sich gegenwärtig ebenso durchzusetzen beginnt wie zuvor die Faxkommunikation und zu einem unbewußt und unkritisch genutzten Medium entwickelt, ist eine rasche Aufklärung des ärztlichen Benutzerpersonals über die Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Risiken dringend notwendig.
Wegen des technisch kaum zu beherrschenden Risikopotentials des Internet (ein Einsatz von gestaffelten Firewalls ist teuer und kompliziert) auch im Hinblick auf die Einschleppung von Computerviren durch unbedacht agierende Internetnutzer (insbesondere Makro-Viren in Dokumenten), ist außerdem jede Zugangsmöglichkeit zum Internet auf einzelne dedizierte (d.h. vom restlichen Krankenhaus- oder Praxisnetz getrennte) PCs zu beschränken. Auch für Zwecke der bloßen Recherche im Internet darf kein Rechner verwendet werden, auf dem patientenbezogene Informationen gespeichert sind oder von dem aus auf solche Informationen zugegriffen werden kann.
Neben den datenschutzrechtlichen Fragestellungen darf im Hinblick auf mögliche „Viren-Verseuchungen" auch die Frage einer möglichen Haftung eines Benutzers der Internetdienste (und evtl. des Netzwerkverantwortlichen) nicht unberücksichtigt gelassen werden, denn ein „Virus" könnte auch Patientendaten innerhalb einer Datenbank unbemerkt durcheinanderbringen.
Die Folgen können für die betroffenen Patienten buchstäblich tödlich sein.
Von einer medizinischen Fakultät wurde angefragt, ob die in der studentischen Ausbildung verwendete Krankheitsgeschichte („Paper-cases") im Internet der interessierten Öffentlichkeit zur Verfügung gestellt werden könnten. Die hierbei verwendeten Krankheitsgeschichten stimmen bis auf den geänderten Namen in allen medizinisch relevanten Daten mit dem realen Fall überein.
Da es sich bei einer Veröffentlichung im Internet nicht mehr um eine Verwendung der Krankheitsgeschichten zum Zwecke der medizinischen Behandlung handelt, liegt in der Veröffentlichung eine Zweckänderung der Daten. Zwar sehen sowohl das BDSG (§ 14 Abs. 3 S. 2) wie auch das BlnDSG (§ 11 Abs. 4 S. 3) und das Landeskrankenhausgesetz von Berlin (§ 26) eine Verarbeitung oder Nutzung von Patientendaten zu Ausbildungszwecken vor, jedoch dürfen dieser keine schutzwürdigen Interessen der Betroffenen entgegenstehen.
Nach Vorstellung der medizinischen Fakultät sollten zwar die Krankheitsgeschichten durch bloßes Verändern des Patientennamens anonymisiert werden. Eine hinreichende Anonymisierung setzt jedoch voraus, dass ein Patient nicht durch die Verwendung seiner Daten reidentifiziert werden kann. Eines der zur Veröffentlichung im Internet vorgesehene „Paper-cases" enthielt folgende Daten: Alter, Geschlecht, Beruf, Arbeitgeber nebst Arbeitserkrankung, Einlieferungszeit, Name der Klinik und Vorerkrankung nebst Diagnose durch die Hausärztin. Mit diesen Angaben könnte der Patient leicht herausgefunden werden. Eine bloße Namensänderung reicht für eine Anonymisierung nicht aus.
Personenbezogene Daten dürfen grundsätzlich nur zu dem Zweck weiterverarbeitet werden, zu dem sie erhoben oder gespeichert worden sind. Die Veröffentlichung einer Krankheitsgeschichte im Internet allein zur Information einer interessierten Öffentlichkeit erfüllt diese Voraussetzungen nicht, vielmehr ist in einer derartigen generellen Veröffentlichung eine Verarbeitung zu anderen Zwecken zu sehen.
Die Voraussetzung, unter der eine Übermittlung zu Aus- und Fortbildungszwecken oder Forschungszwecken zulässig wäre, müßte im Einzelfall geprüft bzw. als gegeben festgestellt werden (§ 14 Abs. 2 Nr. 9 und Abs. 3 S. 2 BDSG; § 11 Abs. 4 S. 3 BlnDSG; § 26 Abs. 2 S. 2 und Abs. 4 LKG).
Auf der anderen Seite ist es fraglich, ob überhaupt eine vollständige Anonymisierung der Krankheitsgeschichte ohne Verfälschung des Ausbildungsmaterials möglich ist. Daraus folgt, dass die „Paper-cases" nur für die interne Ausbildung der medizinischen Fakultät Verwendung finden können und für eine globale Verbreitung nicht geeignet sind. Helfen könnte nur eine Einwilligung in die Veröffentlichung per Internet. Aber eine solche Einwilligung würde aus einer Zwangssituation heraus erfolgen, da der Patient vor seiner Behandlung bei Verweigerung der Einwilligung um den Erfolg derselbigen fürchten und nach erfolgter guten Behandlung sich in einer Phase der Dankbarkeit zu dieser Einwilligung genötigt sehen könnte.
Daher steht eine Veröffentlichung von medizinischen „Papercases" im Internet auch auf Grund einer Einwilligung im WiderBericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats spruch zur ärztlichen Berufsordnung. „Die virtuelle zerebrale hirnorganische Ausfallerscheinung"
Eine geistig sehr frische Persönlichkeit, in Berlin lebend und mit vielen anderen Berlinern das Schicksal eines gleichlautenden Vor- und Nachnamens teilend, erhielt im Sommer 1994 die Rechnung einer Berliner Krankenkasse über einen 3-tägigen stationären Aufenthalt in den KarlBonhöffer-Heilstätten vom Februar 1994.
Da diese Person jedoch niemals dort behandelt wurde, ließ sie die Angelegenheit mit der AOK Berlin telefonisch klären. Der Irrtum wurde durch die Krankenkasse (telefonisch) bestätigt. Im September 1995 wurde diese Person wegen eines versicherungsrechtlichen Anspruchs von einem Arzt des Medizinischen Dienstes aufgesucht, der ihr aus seinen mitgeführten Akten folgende Diagnose verlas: „... zerebrale hirnorganische Veränderungen...
... Ausfallerscheinungen, usw. usw."! Dem Einwand, dass es sich dabei um eine bereits richtiggestellte Verwechslung handle, nahm der Arzt zur Kenntnis, beharrte bei den nachfolgenden Untersuchungen jedoch auf der bestehenden Aktenlage und stellte dieser geistig völlig gesunden Persönlichkeit folgende Fragen: „Wieviel ist Hundert weniger Sieben ... In welcher Jahreszeit ist es am wärmsten?... usw. usw."
Der Senat bedauert diesen Vorfall. Die AOK Berlin wurde um eine Stellungnahme zum Sachverhalt, insbesondere zur unverhältnismäßig langen Dauer der Bereinigung des Fehlers, sowie um eine Erläuterung der im einzelnen getroffenen Maßnahmen zur Verhinderung der Fehlspeicherung bei Namensverwechslungen gebeten. Der Senat wird diese dem Berliner Datenschutzbeauftragten bei Vorliegen zur Kenntnisnahme reichen.
Zwei weitere Beschwerden blieben ohne jede Reaktion. Erst als der Hausarzt sich an die AOK wandte, erhielt dieser im November 1995 den Anruf eines Mitarbeiters der AOK, der wörtlich sagte: „...da hat sich wohl irgend jemand einen schlechten Scherz mit ihnen erlaubt die Sache ist erledigt!". Nachdem noch immer keine schriftliche Bestätigung über das Löschen dieser Daten erfolgt war, wurde auf eine erneute telefonische Rückfrage einer Vertreterin der Versicherten durch Mitarbeiter der AOK erklärt, „... dass sie als zuständige Sachbearbeiterin keinen Anlaß sehe, etwas aufgrund der Einwände zu ändern oder zu reagieren", denn „...wenn jemand als hilflose Person irgendwo in Wedding aufgelesen werde, kann diese sich auch nicht mehr daran erinnern"..., „demzufolge bestehe auch kein Handlungsbedarf bei Einwänden und auch kein Bedarf zu reagieren oder diese ernstzunehmen."
Dieser Vorfall, bei dem die Stigmatisierung nach Aktenlage selbst bei einem ärztlich ausgebildeten Mitarbeiter des Medizinischen Dienstes stärker wirkte als der untersuchte Patient der vor ihm stand, ist besonders beklemmend. Fast zwei Jahre hat es gedauert, bis diese falsche Information aus den Akten entfernt wurde. Ursache war in der Tat eine Gleichheit von Namen und Vornamen, wobei das unterschiedliche Geburtsdatum von den Mitarbeitern der AOK übersehen worden war. Die AOK hat versichert, dass derartige Namensverwechslungen durch Sicherungsmaßnahmen im EDV-Programm für die Zukunft ausgeschlossen worden seien. Fehlspeicherungen zu falschen Personen seien somit nicht mehr möglich.
Organisationsmängel bei der Datenverarbeitung
Auch bei der Organisation der Datenverarbeitung im Bereich Gesundheit gibt es Menschliches, ja allzu Menschliches zu berichten, wie die Entwendung eines Computers aus einem Berliner Krankenhaus, und zwar aus der Chirurgie mit allen dort gespeicherten Patientendaten, oder das Auffinden von Operationsberichten des Krankenhauses Neukölln auf einer Straße in Friedrichshain. Die Staatsanwaltschaft hat die Vorfälle nicht aufklären können, Jedenfalls liegt ein datenschutzrechtlicher Mangel bei der Organisation der Datenverarbeitung vor. Ein Krankenhaus ist verpflichtet, die Datenverarbeitung so zu organisieren, dass unabhängig von persönlichen Schuldfragen die
Der Senat teilt nicht die Auffassung des Berliner Datenschutzbeauftragten, dass den beiden geschilderten Fällen ein datenschutzrechtlicher Organisationsmangel zugrundegelegen hat. Hinsichtlich der Entwendung eines Computers aus einem Berliner Krankenhaus hat das Krankenhaus Anzeige erstattet. Da sich der fragliche Computer im gesicherten Bereich der Operationsabteilung des Krankenhauses befand und darüber hinaus der Zugang zu diesem Computer nur über Außenstehenden unbekannte Paßwörter möglich war, liegt ein Organisationsmangel des Krankenhauses nicht vor.