Dem Pflegepersonal wird der Zugriff auf die pflegerelevanten Daten der in ihrer Station befindlichen Patienten

Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats mentationssystemen ergeben sich also durch strenge Zugriffsrestriktionen auf der einen Seite und bedarfsweise flexibel zu handhabende Ausnahmebefugnisse:

- Den Ärzten einer Fachabteilung kann der Zugriff auf die Daten der in der Abteilung behandelten Patienten pauschal zugestanden werden, wenn sie an der Behandlung der Patienten beteiligt sind.

- Dem Pflegepersonal wird der Zugriff auf die pflegerelevanten Daten der in ihrer Station befindlichen Patienten zugestanden.

- Medizinischem Personal mit klinikübergreifenden Querschnitts- (z. B. Krankenhaushygiene) oder Spezialaufgaben (z. B. Anästhesisten) kann der Zugriff nach Bedarf im erforderlichen Umfang durch die Fachabteilung freigeschaltet werden.

- Falls erforderlich, kann die Notfallversorgung von stationär behandelten Patienten durch dafür besonders autorisierte Ärzte vorgenommen werden, die in dieser Rolle mit einem speziellen Zugriffsprofil versehen werden, das den fachabteilungsübergreifenden Zugriff gestattet, aber eine strenge Protokollierung zur Missbrauchskontrolle beinhaltet, die der Fachabteilung den Einzelfall nachträglich nachvollziehbar macht.

- Konsiliarärzten wird im Einzelfall der Zugriff freigeschaltet.

Aus technischer Sicht spielt in Krankenhäusern neben der auch in anderen Anwendungsbereichen gängigen Zugriffsdifferenzierung nach abgeschlossenen organisatorischen Einheiten oder nach individuellen Anwenderrollen die individuelle Freischaltung für den Zugriff auf einzelne Datensätze oder bestimmte Datenbestände eine wichtige Rolle. Damit kann die notwendige Flexibilität erreicht werden, die den besonderen Anforderungen des Datenzugriffs in einem Krankenhaus gerecht wird. Soweit eine Beschränkung des Zugriffs nicht möglich ist und damit potenziell unbefugte Zugriffe auf die Patientendaten möglich sind, müssen die Zugriffe automatisch einschließlich der Kennung des Zugreifenden protokolliert werden und die Protokolle von der zuständigen Fachabteilung kontrolliert werden. Es muss dann auch organisatorisch sichergestellt werden, dass nicht erforderliche Zugriffe empfindliche Sanktionen nach sich ziehen.

Für die Steuerung der Zugriffe auf sensible patientenbezogene Datenbestände sowie für die Absicherung gegen Verletzungen der Vertraulichkeit und Integrität dieser Daten werden in den Krankenhausnetzen zunehmend auch Methoden der datenschutzfreundlichen Technologien in den Einsatz kommen. Methoden der Kryptographie werden für sichere Datenübertragung in Krankenhausnetzen, für die Pseudonymisierung der Patientendaten dort, wo die Identitäten keine Rolle Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats spielen, und für die Authentisierung der patientenbezogenen Daten und Mitteilungen durch elektronische Unterschrift einzusetzen sein. Zu erwarten ist, dass eine arztbezogene Authentisierungschipkarte (Health Professional Card - HPC) in Zukunft eine noch flexiblere und an den Bedürfnissen orientierte Zugriffssteuerung ermöglichen wird. Kontrolle zweier medizinischer Dokumentationssysteme in der Charite

Auf der Grundlage dieser Anforderungen haben wir in zwei Standorten des Klinikums Charite der HumboldtUniversität zu Berlin datenschutzrechtliche Kontrollen von zwei verschiedenen medizinischen Dokumentationssystemen durchgeführt.

Im Bereich des Campus Virchow erfolgte eine Kontrolle der Zugriffsmöglichkeiten und der Zugriffskontrolle beim Patientendokumentationssystem GUSTAV.

Dieses Dokumentationssystem wird in den chirurgischen Abteilungen und in der Anästhesie des Campus eingesetzt. Es dient der Erfassung der Diagnosen nach dem ICD-Code sowie der an einem Patienten vorgenommen medizinischen Prozeduren zur Übertragung an das Abrechnungssystem. Ferner wird es für wissenschaftliche Auswertungen herangezogen.

Dabei wurde festgestellt, dass alle Berechtigten, die sich mit einem Passwort authentifizierten, Zugriff auf drei Ebenen (Views) erhielten: Daten der eigenen Station, Daten der eigenen Abteilung, Daten aller mit GUSTAV beteiligten Abteilungen. Der Übergang von einer Ebene zur anderen erfolgte ohne weitere Legitimationsprüfungen. Dies bedeutete, dass alle auf GUSTAV zugriffsberechtigten Personen, das waren pauschal alle Ärzte der beteiligten Abteilungen sowie auf besonderen Antrag das Pflegepersonal, Studenten sowie Personen aus anderen Abteilungen, undifferenziert Zugriff auf die Daten aller beteiligten Abteilungen erhielten. Diese pauschalen Zugriffsberechtigungen machten spezielle Zugriffsberechtigungen für Vertretungen, Notfallärzte, Konsiliarärzte, Ärzte im Praktikum, Pflegepersonal und Studenten überflüssig.

Wohl erfolgte eine Protokollierung der Systemanmeldungen, eine Aufzeichnung der lesenden Zugriffe erfolgte jedoch nicht. Damit konnten unbefugte Nutzungen der allzu pauschalen Zugriffsberechtigung und damit Brüche des Arztgeheimnisses auch nicht nachvollzogen werden.

Die Beanstandungen des Berliner Beauftragten für Datenschutz und Akteneinsicht vom letzten Jahr wurden von der Charite zum Anlass genommen, auch die datenschutzrechtliche Prüfung anderer Software vorzunehmen. So werden erst nach Bestätigung der Datenschutzkonzepte durch den Datenschutzbeauftragten der Charite neue DV-Systeme eingeführt. Vorhandene Systeme werden ebenfalls schrittweise überprüft.

Am System GUSTAV wurde im letzten Jahr eine Reihe von Maßnahmen zur Verbesserung des Datenschutzes durchgeführt (vor dem Hintergrund einer geplanten schrittweisen Ablösung bis Ende 2000). Aufgrund neuer gesetzlicher Anforderungen im Rahmen der medizinischen Dokumentation (ICD-10 und OPS 301) zum Jahresende und deren Umsetzung in DVSystemen hat sich die Ablösung von GUSTAV verschoben. Bis Ende April 2001 wurden mehr als die Hälfte der GUSTAV-PC durch MedVision-PC abgelöst. Der Rest soll bis Mitte des Jahres abgelöst werden. Bezüglich der Systembetreuung durch eine Fremdfirma wurden Maßnahmen eingeleitet, die eine Verbesserung des Datenschutzes darstellen (Zugriff nur noch von innerhalb des Charite-Netzes, d.h., Mitarbeiter arbeiten vor Ort an der Charite). In Kürze sollen zusätzlich diese Mitarbeiter namentlich hinsichtlich der ärztlichen Schweigepflicht verpflichtet werden.

Die pauschale Zugriffsberechtigung für ausgewählte Mitarbeiter wird in jedem Einzelfall vom ärztlichen Direktor geprüft und nur in Ausnahmefällen (Sicherung der med. Betreuung) erteilt. Sowohl bei der Weiterentwicklung der Software als auch im organisatorischen Umfeld sind zusätzliche Maßnahmen zur Verbesserung des Datenschutzes vorgesehen.

Die Gewährung von umfassenden Zugriffsberechtigungen an alle Benutzer erfolgte nicht aufgrund tech28

Man beachte auch die differenzierteren Ausführungen der Projektgruppe „Datenschutz in Krankenhausinformationssystemen" der GMDS zum „Zugriff auf Patientendaten im Krankenhaus", Stand: 21.4.1999, http://info.imsd.unimainz.de/AGDatenschutz/Empfehlungen/zugriff.html Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats nischer Beschränkungen. Vielmehr erklärten die Systemverwalter, dass eine Differenzierung der Zugriffe sehr wohl möglich gewesen wäre, jedoch auf Anordnung der Klinikleitung nicht eingerichtet worden sei.

§ 26 Abs. 2 Landeskrankenhausgesetz (LKG) verlangt jedoch, dass die Krankenhausleitung zu gewährleisten hat, dass im Krankenhaus auf Patientendaten nur im erforderlichen Umfang zugegriffen werden darf.

Im Rahmen der Aus-, Fort- und Weiterbildung von Ärzten und Medizinalfachpersonen ist zu gewährleisten, dass auf Patientendaten nur insoweit zugegriffen wird, als dies für die dem Berufsbild entsprechenden Funktionen erforderlich ist. Sowohl die ärztliche Schweigepflicht nach § 203 Abs. 1 Nr. 1 Strafgesetzbuch (StGB) als auch das Datengeheimnis nach § 8 BlnDSG gestatten die Verarbeitung von Patientendaten nur im Rahmen der Zweckbestimmung des Behandlungsvertrages oder aufgrund rechtlicher Vorschriften. Die technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten vor unbefugter Kenntnisnahme, Löschung und Veränderung haben sich nach § 5 Abs. 1 BlnDSG am Stand der Technik zu orientieren. Die Maßnahmen müssen gewährleisten, dass nur der zuständige Arzt und - falls erforderlich - mitbehandelnde Ärzte und Pflegepersonal die Patientendaten lesen oder im zulässigen Rahmen weitergeben dürfen.

Wir haben beanstandet, dass die Krankenhausleitung ihrer nach § 26 Abs. 2 Landeskrankenhausgesetz (LKG) bestehenden Pflicht zur Beschränkung des Datenzugriffs auf den erforderlichen Umfang nicht nachgekommen ist, weil jeder an GUSTAV Zugriffsberechtigte die uneingeschränkte Möglichkeit hatte, alle patientenbezogenen Daten aller von GUSTAV erfassten Abteilungen zu lesen. Diese Festlegung der Nutzerprofile, die jedem Berechtigten den Zugriff auf alle Daten ermöglicht, steht im direkten Widerspruch zum Prinzip der minimalen Rechte (Need-to-Know), welches zur Gewährleistung der ärztlichen Schweigepflicht gesetzlich verlangt wird. Ferner lagen schwer wiegende Mängel der Zugriffskontrolle nach § 5 Abs. 3 Nr. 5 BlnDSG vor.

Wir empfahlen die Einführung einer technisch abgesicherten differenzierten Zugriffskontrolle, die den Zugriff auf die Individualdaten der Patienten nur in dem Umfang ermöglicht, der für die Erfüllung des Behandlungsvertrages, d. h. für die Behandlung des Patienten und die sich daraus ergebenden Folgemaßnahmen, z. B. im Rahmen der Abrechnung, erforderlich ist. Konkret forderten wir, dass nur folgende Personen die Zugriffsberechtigung auf die Daten eines Patienten erhalten sollten:

Die den Patienten behandelnden Ärzte, maximal die Ärzte der Fachabteilung, in der der Patient behandelt wird, das Pflegepersonal der Station, in der Patient behandelt wird, Ärzte und Pflegepersonal.