KoBIT
Es besteht Konsens, dass sich das Dilemma nur lösen lässt, entweder wenn konsequent datenschutzfreundliche Wartungsverfahren eingesetzt werden (technische Lösung), z. B. die permanente Verschlüsselung der Daten auf diesen Geräten, oder durch die Öffnung der Offenbarungsbefugnisse des Landeskrankenhausgesetzes für diese eng umrissenen Dienstleistungen (gesetzliche Lösung).
Um die Prinzipien der ärztlichen Schweigepflicht auch in den arbeitsteilig organisierten, vom komplexen Technologieeinsatz geprägten Großkrankenhäusern aufrechtzuerhalten, sind nicht nur technische und organisatorische Fantasie, sondern wahrscheinlich auch die Anpassung gesetzlicher Regeln erforderlich.
§ 27 Abs.3 Landeskrankenhausgesetz regelt die Fälle, in denen eine Offenbarung von Patientendaten an Stellen außerhalb des Krankenhauses zulässig ist.
Derzeit wird geprüft, inwieweit die gesetzliche Regelung auf Offenbarungsbefugnisse für Wartungsverfahren erweitert werden kann.
Migration von Verfahren der Gesundheitsämter:
Die Geschäftsstelle zur Koordinierung und Beratung bezirklicher Verfahren KoBIT mit dem Projekt „Migration der Verfahren SpDI, BfBI und KiPsl" ist an uns herangetreten, um unsere Meinung dazu einzuholen, welche Lösung wir bei der Umstellung auf eine neue Betriebsform befürworten würden. Bei SpDI handelt es sich um die Automationsunterstützung der Sozialpsychiatrischen Dienste, bei BfBI um das Informationssystem der Beratungsstelle für Chronisch Kranke, bei KiPsI um das Informationssystem des Kinder- und Jugendpsychiatrischen Dienstes.
Einige Bezirke hatten sich Hilfe suchend an die KoBIT gewandt, da die Antwortzeiten der Verfahren inzwischen erheblich zugenommen hatten. Als mögliche Ursache wurde die Datenbank „Access" analysiert, die beim Handling der Datensätze einen erheblichen Rechenaufwand verursacht. Es wurde vorgeschlagen, die Verfahren auf eine leistungsfähigere Datenbank umzustellen und als Client-Server-Lösung aufzusetzen, ansonsten aber keine Änderungen vorzunehmen. Der zweite Vorschlag war, den Betrieb des Verfahrens ins ITDZ zu verlagern, eine Datenbank einzusetzen, die höheren Anforderungen genügt, und das Verfahren über eine Terminal-Server-Lösung aufzurufen. Beim dritten Vorschlag könnte das Verfahren in eine Webanwendung migriert werden, die entweder im ITDZ oder der örtlichen IT-Stelle administriert wird.
Da die Access-Datenbank zu langsam arbeitet, haben besonders Bezirke mit mehr als einem Standort auf Veränderung gedrängt in Friedrichshain-Kreuzberg gibt es nun eine schnellere Netzanbindung, so dass die Problematik deutlich abgemildert ist.
Aus Sicht einiger Dienste wird ein Terminal-ServerBetrieb als die bessere Variante gesehen.
Grundsätzlich berührt die Migration der Verfahren die IT-Sicherheit, die bei den drei genannten Verfahren höchste Priorität genießen muss, weil die verarbeiteten Daten der ärztlichen Schweigepflicht unterliegen und darüber hinaus von besonderer Sensitivität sind. Daten über psychische Erkrankungen, Suchterkrankungen Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit oder über z. B. AIDS-Kranke sind Daten mit sehr hohem Schutzbedarf im Sinne der BSI-Grundschutzkataloge, da ihre missbräuchliche Verwendung die gesellschaftliche und wirtschaftliche Stellung der Betroffenen in nicht reparabler Weise beeinträchtigen würde.
Ihr Schutzbedarf ist daher wesentlich höher als die üblicherweise in den Netzen der Bezirksämter verarbeiteten Daten, und es sind spezielle Schutzmaßnahmen notwendig.
So ist z. B. durch geeignete Verschlüsselungsverfahren sicherzustellen, dass Dritten und dazu gehören im Geltungsbereich der ärztlichen Schweigepflicht auch Systemverwalter und -betreuer außerhalb der Gesundheitsämter die Kenntnisnahme der Dateninhalte verwehrt wird. Diese Anforderungen, die schon in den alten Anwendungen für die bezirkliche Infrastruktur galten, sind natürlich auch im ITDZ zu erfüllen, wenn die Verarbeitung dorthin verlagert wird.
Grundsätzlich begrüßen wir es, wenn sensitive ITVerfahren im Terminal-Server-Betrieb durchgeführt werden, da damit viele Risiken vermieden werden können, die durch missbräuchliches (oder fahrlässiges) Handeln an den Clients entstehen. Insofern würden wir den Terminal-Server-Betrieb im ITDZ befürworten, sofern dabei die beschriebenen Vertraulichkeitsanforderungen erfüllt werden.
Für eine fundierte datenschutzrechtliche Bewertung ist die Einschätzung der Risiken der Vertraulichkeit und Integrität der Daten bei den drei genannten Migrationsvarianten und der dagegen verfügbaren Sicherheitsmaßnahmen von elementarer Bedeutung.
Diese Risikoanalysen für den Vergleich der drei Verfahren wurden bisher nicht vorgelegt, sodass eine Konkretisierung unserer Empfehlung nicht möglich ist.
Personaldaten:
Whistleblower-Plattformen:
Keine „Compliance" um jeden Preis:
Mehrfach waren wir mit Plänen konfrontiert, welche die Einrichtung sog. Whistleblower-Plattformen betrafen. Als Whistleblower (engl. Pfeifenbläser) bezeichnet man einen internen Informanten, der Missstände, illegales Handeln (wie Korruption, Insiderhandel) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz erfährt, an seine Vorgesetzte weiterleitet oder an die Öffentlichkeit bringt.
Häufig handeln Whistleblower verantwortungsvoll und auch loyal, weil sie mit der Meldung ihre Unternehmen bzw. ihre Dienstherren vor negativen Entwicklungen schützen wollen. Nicht immer wird dieses Verhalten von ihren unmittelbaren Vorgesetzten für Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit gut befunden, sei es, dass diese selbst eines Fehlverhaltens beschuldigt werden, sei es, dass sie das „Verpfeifen" von Fehlentwicklungen aus ihrem Verantwortungsbereich zu vermeiden suchen.
Deshalb wird auch in Deutschland zu Recht diskutiert, ob zur Eindämmung von Korruption und zur Sicherung des sozialen Friedens Regelungen geschaffen werden sollen, die einen effektiven Schutz von Whistleblowern vor Maßregelung sicherstellen.
Dies dient in bestimmtem Umfang auch dem Schutz öffentlicher Interessen wie der Informationsfreiheit.
Datenschutzrechtlich problematisch sind jedoch stets Internet-Plattformen, die Whistleblowern und externen Hinweisgebern technisch eine absolute Anonymität ihrer Meldung gewährleisten sollen. Sie sind u. a. deshalb riskant, weil sie die Gefahr einer hemmungslosen Denunziation begründen können. Wir möchten nicht ausschließen, dass eine anonyme Meldeplattform datenschutzkonform ausgestaltet werden kann. Zu einer sachgerechten Begrenzung des genannten Risikos sind allerdings anspruchsvolle Anforderungen zu erfüllen. Die Artikel 29-Datenschutzgruppe hat hierzu wertvolle Hinweise gegeben.
Eine unabdingbare Voraussetzung ist die Begrenzung des Personenkreises, der zur Meldung von angeblichen oder tatsächlichen Missständen befähigt wird.
Eine jedermann zugängliche Internetplattform, die in erster Linie zu einer anonymen Meldung auffordert, ist damit unzulässig. Denn hierbei kann fast nie sichergestellt werden, dass die schutzwürdigen Belange der betroffenen Personen gewahrt bleiben. Befürworter solcher Plattformen versichern zwar immer wieder, man könne mit einer sorgfältigen Plausibilitätskontrolle und mit (technisch möglichen!) Nachfragen beim Whistleblower zuverlässig herausfinden, ob eine Meldung lediglich der Anschwärzung einer Person diene oder tatsächlich „werthaltig" sei. Konkrete und nachvollziehbare Kriterien für eine solche Abgrenzung kennen wir bislang nicht. Vor allem sollte den Hinweisgebern nahegelegt werden, ihre Identität offenzulegen, deren vertrauliche Behandlung zugesichert werden sollte. Das kann glaubwürdig in der Wei se geschehen, dass ein externer Ombudsmann die Hinweise entgegennimmt. Der Vorrang der Vertraulichkeit vor der Anonymität entspricht dem gesetzlichen Schutz von Whistleblowern in Großbritannien. Ano67 Derzeit wird auf Bundesebene die Einführung eines § 612 a BGB geprüft, der diesen Schutz sicherstellen soll.
Stellungnahme 1/2006 vom 1. Februar 2006 über die Anwendung von EU-Datenschutzvorschriften auf innerbetriebliche Maßnahmen zur Unterstützung von Hinweisgebern (whistle-blowing) in den Bereichen Buchhaltung, Rechnungsprüfung, Buchprüfung und Kampf gegen Bestechung sowie Bank- und Finanzkriminalität.