≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 18. TB 1998 > 3. Gesundheitswesen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.12.1998

3. Gesundheitswesen

3.1. Medizinische Forschung und Datenschutz

Auch in diesem Berichtszeitraum habe ich wiederholt bei medizinischen Forschungsvorhaben datenschutzrechtlich beraten. Mir ging es dabei nicht darum, ein konkretes Projekt zu verzögern oder gar zu verhindern, sondern um die Herstellung des notwendigen Ausgleichs zwischen den konkurrierenden Rechten der Patienten und der Forschenden (vgl. hierzu bereits Nr. 2.3 dieses Tätigkeitsberichts). Ich konnte feststellen, daß das notwendige datenschutzrechtliche Problembewußtsein auf Seiten der Wissenschaft in der Regel bereits vorhanden ist und die Forschungsvorhaben häufig nur in einzelnen Punkten aus datenschutzrechtlichen Gründen einer Präzisierung oder Modifizierung bedürfen. Dabei sollte die Wissenschaft berücksichtigen, daß eine einwandfreie datenschutzrechtliche Ausgestaltung einer Studie wesentlich zur Akzeptanz bei den Beteiligten und in der Öffentlichkeit beiträgt. Im Sinne einer positiven Zusammenarbeit zwischen Forschung und Datenschutz hoffe ich, daß forschende Stellen auch in Zukunft rechtzeitig zur Beratung an mich herantreten.

Im einzelnen war bzw. bin ich unter anderem mit folgenden Forschungsprojekten beschäftigt:

3.1.1. Neuordnung des Neugeborenen-Screenings in Bayern

Ein besonders wichtiges Vorhaben, das ich auch wegen seiner bundesweiten Vorreiterstellung intensiv begleite, ist die Neuordnung des Neugeborenen-Screenings in Bayern.

Beim Neugeborenen-Screening wird in einer Früherkennungsuntersuchung in den ersten Lebenstagen von Neugeborenen deren Blut auf angeborene Stoffwechselerkrankungen untersucht ("Screening"). Diese - sehr seltenen - Erkrankungen können, frühzeitig erkannt, i.d.R. erfolgreich behandelt werden, z.B. mit einer speziellen Diät. Wird eine geeignete Behandlung versäumt, können die Stoffwechselstörungen zu schweren geistigen und körperlichen Behinderungen oder sogar zum Tod des Kindes führen. Die Kosten einer lebenslangen Behandlung geschädigter Kinder können enorme Höhen erreichen.

Um künftig besser als bisher sämtliche Säuglinge erreichen zu können, wird in einem Modellversuch in Bayern ein neuartiges Kontrollverfahren ("Tracking") eingeführt, mit dem festgestellt werden soll, welche Kinder noch nicht untersucht wurden und mit dem gleichzeitig die rechtzeitige "Nachsorge" sichergestellt werden soll. Dieses Tracking wird durch einen Datenabgleich bei den jeweils zuständigen Gesundheitsämtern gewährleistet, die Namen, Wohnort und Geburtsdatum der Neugeborenen mit den Datensätzen der Einwohnermeldeämter vergleichen. Die Koordination des Verfahrens und die in Einzelfällen notwendige Beratung der Beteiligten soll ein noch zu errichtendes "Screening-Zentrum" des öffentlichen Gesundheitsdienstes bei dem Landesuntersuchungsamt für das Gesundheitswesen Südbayern gewährleisten.

Ich habe die Durchführung dieser Untersuchung ausdrücklich begrüßt, gleichzeitig aber auf eine datenschutzgerechte Ausgestaltung des Verfahrens gedrungen. Als besonders wichtig sind mir dabei folgende Punkte erschienen:

  • Ich habe klargestellt, daß es eine normative Rechtsgrundlage für die Einrichtung des Screening-Zentrums des öffentlichen Gesundheitsdienstes und vor allem für das Tracking nicht gibt. Voraussetzung der angestrebten Datenerhebungen und -verarbeitungen ist damit eine informierte Einwilligung des/der Erziehungsberechtigten, die deren vorherige umfassende Aufklärung notwendig macht. Diese Einwilligung hat gem. Art. 15 Abs. 3 Satz 1 BayDSG schriftlich zu erfolgen. Besondere Bedeutung kommt daher dem Informationsblatt zu diesem Verfahren zu, an dessen Ausgestaltung ich mitgewirkt habe.
  • Weiterhin ist inzwischen gewährleistet, daß die Erziehungsberechtigten in ihrer Wahlmöglichkeit nicht beschränkt sind. Sie können das Kind an der Untersuchung und an dem Tracking-Verfahren, nur an der Untersuchung oder weder an der Untersuchung noch am Trackingverfahren teilnehmen lassen.
  • Gegen die Einrichtung eines zentralen Screening-Zentrums des öffentlichen Gesundheitsdienstes für ganz Bayern beim Landesuntersuchungsamt für das Gesundheitswesen Südbayern habe ich angesichts der von medizinischer Seite vorgetragenen Argumente aus datenschutzrechtlicher Sicht keine durchgreifenden Bedenken. Bei der geringen Anzahl der tatsächlich zu behandelnden Kinder ist eine zentrale Sammlung der Daten erforderlich, da nur so ein Überblick über ganz Bayern und die angestrebte Qualitätssicherung möglich sein werden. Eine gute Qualität der Auswertung und eine qualifizierte Beratung durch Spezialisten ist nur durch die Beteiligung einer zentralen öffentlichen Stelle gewährleistet.
  • Nach dem ursprünglichen Konzept sollten alle den Säuglingen entnommenen Blutproben beim Screening-Zentrum aufbewahrt werden. Dies hätte dazu geführt, daß ab Beginn des Projekts eine Sammlung von Blutproben entstanden wäre, die nahezu die gesamten Geburtsjahrgänge erfaßt hätte. Diese Sammlung hätte als "Gendatei" genutzt werden können. Das Verfahren wurde nunmehr so ausgestaltet, daß das untersuchende Labor bei einem negativen Befund die Testkarten und die Blutproben trennt; das betrifft die ganz überwiegende Mehrzahl der Proben (über 99 %). Die Blutproben werden an das Screening-Zentrum gesandt, das diese (jetzt anonymen) Proben für Forschungsvorhaben verwendet. Eine Wiederzusammenführung von Proben und identifizierenden Merkmalen ist nicht möglich. Ich habe dieses Verfahren für zwingend erforderlich gehalten, damit keine umfassende Gendatei bei einer öffentlichen Stelle entsteht.

3.1.2. Sonstige Forschungsvorhaben

An der datenschutzrechtlichen Ausgestaltung folgender wissenschaftlicher Vorhaben habe ich u.a. ebenfalls mitgewirkt. Diese Studien zeigen, daß eine datenschutzgerechte Lösung gefunden werden kann, ohne den Erfolg des konkreten Vorhabens zu beeinträchtigen.

  • Das Institut für soziale Pädiatrie und Jugendmedizin der Ludwig-Maximilians-Universität München (LMU) führte eine Untersuchung über das Auftreten von Übergewicht bei Schulanfängern in den letzten 20 Jahren in verschiedenen Regionen Bayerns durch. Hierzu wurden in einigen Gesundheitsämtern die Daten der Einschulungsuntersuchungen ausgewertet. Die Namen der Schüler waren für diese Studie nicht von Interesse.

    Da eine Rechtsgrundlage zur Datenübermittlung von den Gesundheitsämtern an die LMU nicht besteht und eine vorherige Anonymisierung der Daten durch Mitarbeiter der Gesundheitsämter für diese aus Kapazitätsgründen nicht durchführbar war, habe ich einen anderen Weg vorgeschlagen. Die Datenerhebung erfolgte gem. Art. 6 BayDSG im Auftrag der Gesundheitsämter durch Mitarbeiter des Instituts der LMU.

    Der Schutz und die Förderung der Gesundheit von Menschen ist nach dem bayerischen Gesundheitsdienstgesetz Aufgabe des öffentlichen Gesundheitsdienstes, d.h. auch der Gesundheitsämter. Datenschutzrechtlich verantwortlich bleibt das Gesundheitsamt. Die an die Gesundheitsämter entsandten Mitarbeiter der LMU wurden bei ihrer Tätigkeit durch einen Mitarbeiter des Gesundheitsamts kontrolliert, der die Einhaltung der datenschutzrechtlichen Anforderungen überwachte und dafür sorgte, daß nur die vorgegebenen Daten übernommen wurden.
  • In einer weiteren Studie der LMU soll die Möglichkeit einer Erhöhung der Masern-, Mumps- und Röteln-Impfquote bei Schulanfängern erforscht werden. Hierzu werden zunächst bei einem einzuschulenden Jahrgang in vier Landkreisen die Impfquoten ermittelt. Danach werden in drei Landkreisen Informationsmaßnahmen durchgeführt: Ein Landkreis legt Informationsmaterial der Bundeszentrale für gesundheitliche Aufklärung aus, im zweiten Landkreis werden (Kinder-)Ärzte informiert und im dritten Landkreis erfolgt eine telefonische Information/Beratung der Eltern durch Mitarbeiter des Instituts ("telefonische Intervention"). Der vierte Landkreis bleibt zum Vergleich ohne spezielle Information. In der nächsten Phase werden dann die Impfquoten der Schulanfänger des nächsten Jahrgangs ermittelt.

    Für mich war vor allem eine datenschutzgerechte Ausgestaltung der telefonischen Intervention wichtig. Zu den Anforderungen an die Gesundheitsdatenerhebung durch Telefonumfragen weise ich auf meinen 17. Tätigkeitsbericht (Nr. 3.3.3) hin. Ich habe darauf hingewirkt, daß die Erziehungsberechtigten der einzuschulenden Kinder in einem angemessenen Zeitraum vor dem Anruf schriftlich über den Sinn und Zweck der Studie (Art. 16 Abs. 3 Satz 1 BayDSG), den Umfang der Daten, deren Löschung und die Freiwilligkeit der Teilnahme informiert werden. Ein solcher Hinweis hat nochmals zu Beginn des Telefongesprächs bei der telefonischen Intervention zu erfolgen.
  • Eine Forschungseinrichtung wollte für das Projekt "Kooperative Gesundheitsforschung in der Region Augsburg (KORA)" Adreßdaten eines bereits früher durchgeführten Projekts verwenden. Hierzu sollten die Teilnehmer der früheren Studie von den damals beauftragten Befragungsinstituten mit der Bitte, sich zur Durchführung des Projekts bei einem hierfür eingerichteten ärztlichen Untersuchungszentrum zu melden, kontaktiert werden. Den Teilnehmern oblag es dann, von sich aus an die Forschungseinrichtung heranzutreten.

    Dieses Verfahren der Adreßmittlung begegnet aus datenschutzrechtlicher Sicht keinen Bedenken:
  • Eine Weitergabe von Anschriftenmaterial an Dritte erfolgt nicht. Angeschrieben wird lediglich der Betroffene und zwar von der Stelle, die rechtmäßig über seinen Namen und seine Anschrift verfügt.
  • Es ist allein Sache des Betroffenen, ob er sich aufgrund des Anschreibens zur Durchführung des neuen Projekts meldet oder nicht.

3.2. Approbation von Psychologen nach dem Psychotherapeutengesetz

Am 16. Juni 1998 beschloß der Deutsche Bundestag mit Zustimmung des Bundesrates das Gesetz über die Berufe des Psychologischen Psychotherapeuten und des Kinder- und Jugendpsychotherapeuten (Psychotherapeutengesetz - PsychThG). Dieses Gesetz regelt u.a. die Ausbildung zum Psychotherapeuten und enthält eine Übergangsregelung, nach der Psychologen, die bisher bereits psychotherapeutisch tätig waren, unter bestimmten Voraussetzungen die Approbation zum Psychotherapeuten erhalten können. Zu diesen Voraussetzungen gehört u.a. eine festgelegte Anzahl von Behandlungsstunden oder Behandlungsfällen, die der Antragsteller in einem bestimmten Zeitraum durchgeführt hat.

Das Bayerische Staatsministerium für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit als zuständige Approbationsbehörde entwickelte zum Nachweis der Behandlungen ein Verfahren, das anonymisierte Bestätigungen der gesetzlichen Krankenkassen, der privaten Krankenversicherungen und der Beihilfestellen vorsieht. Diese Nachweise mit nicht personenbezogenen Daten begrüße ich aus datenschutzrechtlicher Sicht.

Dagegen sollten ursprünglich die Psychologen in den Fällen, in denen diese anonymen Nachweise nicht vorgelegt werden können, fallbezogene Kurzdokumentationen unter Angabe des Patientennamens vorlegen. Dies wäre z.B. der Fall gewesen, wenn eine Versicherung die notwendige Bestätigung nicht ausstellen kann oder will sowie bei den Selbstzahlern, die nicht über die o.g. Kostenträger abgerechnet hatten. Das Staatsministerium begründete den personenbezogenen Nachweis mit der Gefahr von Täuschungsversuchen.

Ich habe darauf hingewiesen, daß ich diese Vorgehensweise für datenschutzrechtlich unzulässig halte. Ein Psychologe unterliegt der Schweigepflicht gemäß § 203 Abs. 1 Nr. 2 StGB. Zur Offenbarung ihm anvertrauter Geheimnisse bedarf er einer Offenbarungsbefugnis, wie sie z.B. die ausdrückliche Einwilligung eines Patienten darstellt. Das Psychotherapeutengesetz enthält keine Offenbarungsbefugnisse. Ich habe dem Ministerium eine Anonymisierung der vorzulegenden Unterlagen durch eine Schwärzung personenbezogener Merkmale vorgeschlagen und zum Ausdruck gebracht, daß nur im Falle des konkreten Verdachts eines Täuschungsversuchs ausnahmsweise nicht anonymisierte Belege verlangt werden können, soweit dies für die Überprüfung erforderlich sei.

Der Arbeitskreis "Gesundheit und Soziales" der Datenschutzbeauftragten des Bundes und der Länder, dessen Vorsitz ich innehabe, beschäftigte sich in seiner 30. Sitzung am 10./11. September 1998 mit dieser Problematik. Dabei wurden die Gesundheitsministerien aufgefordert, ein datenschutzgerechtes Verfahren zu entwickeln, das die Nachweise unter Wahrung der Schweigepflicht ermöglicht. Die Nachweispflichtigen könnten jedoch verpflichtet werden, die personenbezogenen Unterlagen für einen bestimmten Zeitraum vorzuhalten. Sofern sich im Einzelfall bei der Prüfung der vorgelegten Nachweise Anhaltspunkte für falsche Darstellungen ergeben, dürften die Angaben der Nachweispflichtigen überprüft werden. Die Nachweispflichtigen dürften dann personenbezogene Daten unter dem Gesichtspunkt der Wahrnehmung berechtigter Interessen offenbaren.

Das Bayerische Staatsministerium für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit, wie auch - soweit bekannt - die zuständigen Ministerien der anderen Länder, hat diesen Forderungen Rechnung getragen und in den Regelungen zum Nachweisverfahren eine Anonymisierung der personenbezogenen Patientendaten vorgesehen; danach darf z.B. nur noch der jeweils erste Buchstabe des Vor- und Nachnamens des Patienten erkennbar sein.

3.3. Datenschutzfragen aus dem Bereich von Krankenhäusern

3.3.1. Einzelfragen aus der Prüfung und Beratung

Bei der Prüfung von Krankenhäusern und bei Anfragen zum Datenschutz in Krankenhäusern stelle ich immer wieder fest, daß in bestimmten Punkten noch datenschutzrechtliche Verbesserungen notwendig sind, auf die ich zum Teil bereits in früheren Tätigkeitsberichten hingewiesen habe:

  • Zur Bestellung eines Datenschutzbeauftragten in öffentlichen Krankenhäusern habe ich mich bereits in meinem 16. Tätigkeitsbericht (Nr. 2.3.5) geäußert. Es stellte sich nunmehr die Frage, ob die Bestellung des stellvertretenden Verwaltungsleiters eines Krankenhauses zum Datenschutzbeauftragten zulässig ist. Er ist zwar nicht kraft Gesetzes von dieser Tätigkeit ausgeschlossen; eine Bestellung sollte jedoch gleichwohl ausscheiden, da bei ansonsten gleichbleibender Aufgabenzuweisung die Gefahr einer Interessenkollision besteht. Da der Datenschutzbeauftragte der datenschutzrechtlichen Eigenkontrolle dient und ihm Beratungsfunktionen gegenüber dem Leiter der Einrichtung zugewiesen sind, ist zumindest im Vertretungsfall eine solche Interessenkollision sehr wahrscheinlich.
  • Immer wieder muß ich feststellen, daß die Krankenhäuser zu viele Daten von ihren Patienten erheben. Das liegt auch daran, daß die Datenerhebung i.d.R. von dem verwendeten Krankenhausinformationssystem vorgegeben wird. Hierzu weise ich auf Art. 27 Abs. 2 Satz 1 BayKrG hin, wonach Patientendaten nur erhoben und aufbewahrt werden dürfen, soweit dies zur Erfüllung der Aufgaben des Krankenhauses oder im Rahmen des krankenhausärztlichen Behandlungsverhältnisses erforderlich ist oder die betroffene Person eingewilligt hat. Dabei ist zu berücksichtigen, daß auch bei Einwilligung des Patienten nicht mehr Daten erhoben werden dürfen, als für die Aufgabenerfüllung des Krankenhauses erforderlich ist. Diese rechtlichen Vorgaben des Bayerischen Krankenhausgesetzes sind bei der Datenerhebung zu beachten und ggf. gegenüber dem Vertreiber eines Krankenhausinformationssystems geltend zu machen. Im einzelnen ist mir u.a. folgendes aufgefallen:

    Lediglich dort, wo für bestimmte Konfessionen eine Krankenhausseelsorge angeboten wird, halte ich es für zulässig, diese konkreten Religionszugehörigkeiten der Patienten zu erfragen. Die Erhebung dieser Religionszugehörigkeiten ist allerdings mit einem Hinweis auf den Grund und die Freiwilligkeit der Angabe zu verbinden. Gibt ein Patient seine Religionszugehörigkeit freiwillig an, so halte ich es auch bei fehlender ausdrücklicher Befragung für datenschutzrechtlich zulässig anzunehmen, daß er mit der Verständigung des für ihn zuständigen Krankenhausseelsorgers einverstanden ist, weil er mit einer solchen rechnen muß. Die Mitteilung der Privatadressen und Geburtsdaten der Patienten an den jeweiligen Seelsorger halte ich nicht für notwendig. Die Weitergabe der Daten an die jeweilige Heimatgemeinde bzw. an einen Laienbesuchsdienst der Heimatgemeinde ist datenschutzrechtlich nur zulässig, wenn der Patient dieser Datenweitergabe ausdrücklich zugestimmt hat.

    Beim Familienstand ist nur die Erhebung des Datums "verheiratet" erforderlich. Wird diese Frage mit nein beantwortet, sind weitere Differenzierungen nicht notwendig.
  • Wie ich bereits in meinem 15. Tätigkeitsbericht (Nr. 2.1) ausgeführt habe, werden von vielen Krankenhäusern zu viele Daten an die gesetzlichen Krankenkassen übermittelt. Dies liegt daran, daß häufig sämtliche bei der Aufnahme erhobenen Daten an die Krankenkassen weitergegeben werden. Zulässig ist jedoch nur die Übermittlung der im Katalog des § 301 Abs. 1 (i.V.m. § 291 Abs. 2 Nr. 1 bis 8) SGB V festgelegten Daten. Die darüber hinausgehenden Daten (z.B. Beruf, Arbeitgeber, Konfession, Familienstand) sind in der Aufnahmeanzeige gegenüber den gesetzlichen Krankenkassen wegzulassen.
  • Weiterhin weise ich erneut darauf hin, daß Art. 26 BayDSG (datenschutzrechtliche Freigabe) verlangt, daß auch Krankenhäuser vor dem erstmaligen Einsatz automatisierter Verfahren ein Freigabeverfahren durchzuführen haben. Außerdem müssen Anlagen- und Verfahrensverzeichnisse erstellt werden, die den Anforderungen des Art. 27 BayDSG genügen. Stellen, die diesen Verpflichtungen nicht nachkommen, müssen bei einer datenschutzrechtlichen Prüfung mit einer Beanstandung rechnen.
  • Ferner weise ich darauf hin, daß gem. Art. 26 Abs. 2 Nr. 7 BayDSG die datenschutzrechtliche Freigabe automatisierter Verfahren Angaben zu den verarbeitungs- und nutzungsberechtigten Personengruppen enthalten muß. Diese Angaben sind gem. Art. 27 Abs. 2 BayDSG auch in das Anlagen- und Verfahrensverzeichnis aufzunehmen. Wegen der besonderen datenschutzrechtlichen Bedeutung der Zugriffsberechtigungen in den Krankenhausinformationssystemen halte ich ein differenziertes Berechtigungskonzept für unbedingt notwendig (siehe hierzu im einzelnen Nr. 3.3.2 dieses Tätigkeitsberichts).

3.3.2. Ausgestaltung der Zugriffsberechtigungen in Krankenhausinformationssystemen

Immer wieder erhalte ich Anfragen von Ärzten und Krankenhäusern, auf welche Patientendaten Ärzte oder andere Mitarbeiter von Krankenhäusern Zugriff nehmen dürfen. Diese Frage spielt mit der zunehmenden Verbreitung von DV-Systemen in Krankenhäusern eine immer wichtigere Rolle (vgl. auch Nr. 3.3.3).

Zunächst ist festzuhalten, daß die Einführung und technische Weiterentwicklung von Krankenhausinformationssystemen an den rechtlichen Grundlagen der Datenverarbeitung im Krankenhaus nichts ändert. Dies bedeutet, daß sich auch die Ausgestaltung der DV in Krankenhäusern an den bestehenden gesetzlichen Vorschriften auszurichten hat. Zu diesen gehört insbesondere die ärztliche Schweigepflicht im Sinne des § 203 Abs. 1 StGB, wonach sich ein Arzt strafbar macht, wenn er unbefugt ein fremdes Geheimnis offenbart, das ihm als Arzt anvertraut oder sonst bekanntgeworden ist. Es kann nicht oft genug betont werden, daß diese Schweigepflicht auch gegenüber anderen Ärzten außerhalb, aber auch innerhalb eines Krankenhauses gilt. Offenbarungsbefugnisse im Sinne dieser Vorschrift enthält insbesondere Art. 27 Abs. 4 des Bayerischen Krankenhausgesetzes. Gemäß Art. 27 Abs. 4 Satz 1 BayKrG dürfen Krankenhausärzte Patientendaten nutzen, soweit dies im Rahmen des krankenhausärztlichen Behandlungsverhältnisses, zur Aus-, Fort- und Weiterbildung im Krankenhaus, zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses erforderlich ist. Absatz 4 Satz 2 dieser Vorschrift bestimmt u.a., daß sie damit andere Personen im Krankenhaus beauftragen können, soweit dies zur Erfüllung dieser Aufgaben erforderlich ist. Grundlage für die Zulässigkeit des Zugriffs von Krankenhausärzten und anderem Personal auf Patientendaten ist also immer die Erforderlichkeit des konkreten Zugriffs.

Diese rechtlichen Vorgaben zum Schutz der Patienten, deren sensible Daten nicht vom ganzen Krankenhaus zur Kenntnis genommen werden dürfen, sind in einem Berechtigungskonzept umzusetzen. Auch die datenschutzrechtliche Freigabe automatisierter Verfahren hat gem. Art. 26 Abs. 2 Nr. 7 BayDSG ein solches Konzept zu enthalten. Es muß einerseits die rechtlichen Vorgaben möglichst exakt abbilden, darf andererseits jedoch nicht so starr sein, daß ein erforderlicher Zugriff, z.B. in Notfällen, nicht möglich ist.

Die Ausgestaltung von Zugriffsberechtigungen wurde mehrmals im Arbeitskreis "Gesundheit und Soziales" der Datenschutzbeauftragten des Bundes und der Länder diskutiert und wird in Zukunft in meiner Beratungs- und Prüfungstätigkeit eine große Rolle spielen. Ich kann zwar keine endgültige Lösung für alle relevanten Fragestellungen anbieten, die Ausgestaltung der Krankenhausinformationssysteme sollte sich jedoch an folgenden Leitlinien orientieren (vgl. hierzu auch zu den Sicherheitsmaßnahmen in technischer Hinsicht Nr. 19.3.4 dieses Tätigkeitsberichts):

  • Eine Zugriffsberechtigung aller Abteilungen eines Krankenhauses auf alle patientenbezogenen Daten ist nicht erforderlich. Hiervon ist die Zugriffsmöglichkeit auf den Stammdatensatz (Name, Adresse, Geburtsdatum etc.) eines Patienten zu unterscheiden. Auch ein solcher Zugriff ist jedoch nicht jedem Mitarbeiter der jeweiligen Abteilung zu ermöglichen, sondern auf die zuständige Leitstelle (z.B. das Stationszimmer) zu beschränken.
  • Der behandelnden Fachabteilung ist grundsätzlich ein Zugriffsrecht auf alle Daten der dortigen Patienten einzuräumen. Eine unbeschränkte Zugriffsmöglichkeit muß für die Ärzte dieser Station bestehen. Dagegen wird in der Regel für Pflegekräfte und sonstige Beschäftigte (z.B. Auszubildende, Studenten, Praktikanten etc.) ein unbeschränkter Zugriff nicht erforderlich sein. Die Zugriffsberechtigung für diese Personengruppen ist auf der Grundlage der Erforderlichkeit für deren Aufgabenerfüllung konkret festzulegen. Wegen der Sachnähe dürfte dafür regelmäßig der Chef der behandelnden Fachabteilung in Betracht kommen.
  • Eine abteilungsübergreifende Zugriffsberechtigung ist beim Vorliegen eines Behandlungszusammenhangs - ebenfalls im Rahmen der Erforderlichkeit - vorzusehen. Dies ist z.B. der Fall, wenn eine andere Abteilung als die an sich zuständige den Patienten mit- oder nachbehandelt. In diesem Fall muß die Initiative für die Eröffnung des Zugriffs von der behandelnden Abteilung ausgehen, d.h. sie muß die Daten - im erforderlichen Umfang - für die mit- bzw. nachbehandelnde Abteilung freigeben.
  • In Sonderfällen muß ein abteilungsübergreifender Zugriff ohne das Vorliegen eines Behandlungszusammenhangs möglich sein, der aber auf das Notwendige zu beschränken ist. Hier ist z.B. an den Notfalleinsatz, den Nacht- und den Wochenenddienst zu denken. Zu gewährleisten ist die Erforderlichkeit des konkreten Zugriffs durch ein speziell auf diese Tätigkeitsbereiche abgestimmtes Nutzungsprofil der Berechtigten.
  • Bei einer erneuten Einlieferung in eine andere Abteilung wird diese als behandelnde Fachabteilung in das System eingetragen. Hinsichtlich der Einsichtnahme in die bereits vorhandenen Unterlagen durch die neue Abteilung wird in der Regel die mutmaßliche Einwilligung des Patienten anzunehmen sein, falls dieser einer solchen Einsichtnahme nicht ausdrücklich widerspricht. Davon wird man aber in speziellen Fällen nicht ausgehen können, z.B. dann, wenn ein Patient ursprünglich in der psychiatrischen Abteilung behandelt wurde und später in der orthopädischen Abteilung behandelt wird.
  • Der Zugriff auf Patientendaten für bloße Verwaltungszwecke hat sich strikt an der Erforderlichkeit für die Aufgabenerfüllung zu orientieren.

Eine reine Protokollierung der Zugriffe auf Patientendaten, um nachträglich in strittigen Fällen deren Erforderlichkeit beurteilen zu können, halte ich nicht für ausreichend. Vielmehr ist ein differenziertes Berechtigungskonzept notwendig und im Programm abzubilden, um von vornherein nicht berechtigte Zugriffe möglichst verhindern zu können. Darüber hinaus ist die (teilweise) Protokollierung der Zugriffe eine geeignete Maßnahme, um unberechtigte Zugriffe innerhalb grundsätzlich bestehender Berechtigungen aufzeigen zu können.

3.3.3. Krankenhausinformationssystem in den städtischen Krankenhäusern Münchens

Im Dezember 1996 beschloß der Stadtrat der Landeshauptstadt München die Einführung der Anwendungssoftware SAP R/3 in den städtischen Krankenhäusern. Wie ich dem Erfahrungsaustausch mit anderen Landesbeauftragten für den Datenschutz entnehmen konnte, findet diese - nicht speziell für Krankenhäuser entwickelte - Software auch in anderen Kliniken bundesweit Anwendung. Im einzelnen haben sich bei meinen Prüfungen folgende Problembereiche ergeben:

  • Die gem. Art. 26 Abs. 1 BayDSG vor dem erstmaligen Einsatz von automatisierten Verfahren erforderliche datenschutzrechtliche Freigabe ist nicht erfolgt. Im Rahmen der Freigabe hat die zuständige Stelle zu prüfen, ob die beabsichtigte Verarbeitung personenbezogener Daten datenschutzrechtlich zulässig ist. Die Freigabe dient also der Problemlösung vor dem Echteinsatz eines automatisierten Verfahrens. Abgesehen hiervon könnte eine vor dem Einsatz erfolgte datenschutzrechtliche Freigabe auch kostspielige Änderungen einer Software verhindern helfen, falls sich das Verfahren als mit den datenschutzrechtlichen Bestimmungen unvereinbar erweist.
  • Weiterhin wurde es versäumt, bereits vor dem Einsatz dieser Software mit Echtdaten wenigstens ein grundsätzliches System von Zugriffsberechtigungen zu entwickeln (vgl. Art. 26 Abs. 2 Nr. 7 i.V.m. Art. 27 BayDSG). Wie ich mich inzwischen in einem der Krankenhäuser überzeugen konnte, kann ein solches Berechtigungskonzept im Rahmen von SAP R/3 durchaus entwickelt werden. Näheres zu seiner Ausgestaltung enthält dieser Tätigkeitsbericht unter Nr. 3.3.2. In künftigen Prüfungen werde ich mein Augenmerk verstärkt auf die Ausgestaltung eines schriftlichen Berechtigungskonzepts und dessen technische Umsetzung legen.
  • Neben einem detaillierten Berechtigungskonzept ist zur technisch-organisatorischen Absicherung einer rechtmäßigen Datenverarbeitung die (teilweise) Protokollierung der Zugriffe notwendig; sie muß angesichts des damit verbundenen Aufwands in einem angemessenen Verhältnis zum Schutzzweck stehen. Sie ist insbesondere dafür geeignet, feststellen zu können, ob innerhalb der jeweiligen Berechtigungen mißbräuchliche Zugriffe erfolgt sind. Die Protokollierung der Zugriffe macht die vorher dargestellte Erarbeitung eines Berechtigungskonzepts nicht überflüssig, da die Protokollierung nur nachträglich nicht erforderliche/berechtigte Zugriffe feststellt. Zugriffe nicht Berechtigter kann die Protokollierung alleine nicht verhindern. SAP R/3 führt kein Protokoll, aus dem ersichtlich ist, wer wann lesenden Zugriff genommen hat.
  • Ebenfalls problematisch ist die fehlende Möglichkeit der Löschung der im System gespeicherten Daten. Eine Löschungsfunktion sieht SAP R/3 insoweit nicht vor. Eine solche ist jedoch vor allem im Hinblick auf die Fälle, in denen das Krankenhaus keine Leistung erbracht hat, erforderlich. Solche Fälle liegen z.B. vor, wenn ein Patient vor Erbringung einer Leistung das Krankenhaus wieder verläßt oder in ein anderes Krankenhaus weitergeleitet wird. Das Überschreiben entsprechender Daten kann nur als Übergangslösung dienen, da die Möglichkeit einer Wiederherstellung besteht. SAP R/3 läßt eine Sperrung von Datensätzen ebenfalls nicht zu. Diese ist notwendig, falls ein Patient das Krankenhaus verlassen hat, sowie die Leistungen abgerechnet und bezahlt wurden, da ein Zugriff auf diese Daten dann in der Regel nicht mehr erforderlich ist. Der gesperrte Satz bräuchte erst dann wieder aktiviert werden, wenn der Patient erneut aufgenommen wird.

Auf obige Punkte werde ich künftig bei der Beratung von Krankenhäusern und deren Prüfung besonderes Augenmerk legen. Ggf. müssen die Anwender des Systems auf eine datenschutzgerechte Ausgestaltung durch die Vertreiber der Software hinwirken.

3.3.4. Fremd- und Fernwartung von Datenverarbeitungssystemen im medizinischen Bereich, insbesondere in Krankenhäusern

In der modernen Medizin wird heute eine Vielzahl technischer Geräte eingesetzt, deren alleinige Wartung durch Klinikpersonal wegen der dafür benötigten Spezialkenntnisse vielfach nicht mehr möglich ist. Diese Geräte speichern und verarbeiten zum Teil hoch sensible Patientendaten, die unter dem Schutz der ärztlichen Schweigepflicht stehen. Auf den Rechnern ist meist auch noch Fremdsoftware im Einsatz, so daß bei Störungen sowie bei in der Hard- oder Software auftretenden Fehlern oft der Hersteller eingeschaltet werden muß. Das kann vor Ort geschehen, meist jedoch im Rahmen des Teleservice, also in Form einer Ferndiagnose und -wartung. Bei der Hardwarewartung wird in der Regel nur auf bestimmte Statusinformationen in eigens dafür eingerichteten Diagnosedateien zugegriffen, die keine personenbezogenen Daten enthalten. Bei vielen DV-Systemen kann aber die Fehlerdiagnose und -behebung mit einer Offenbarung geschützter Patientendaten verbunden sein.

Datenschutzrechtlich besonders problematisch ist die Fernwartung. Bei einer Wartung vor Ort sind die Kontroll- und Eingriffsmöglichkeiten des Krankenhauspersonals im Regelfall größer. Es ist dann für das Krankenhaus eher erkennbar und prüfbar, welche konkreten Personen in Erscheinung treten und ein "Entfernen", Verändern, unzulässiges Lesen oder Übertragen von Daten ist durch die Kontrolle erschwert. Wegen der besonderen Schutzbedürftigkeit der Patientendaten bei der Fernwartung beziehen sich die folgenden Ausführungen vor allem auf diese. Sinngemäß gelten sie jedoch auch für die Fremdwartung vor Ort. Es wäre sehr bedenklich, wenn die Krankenhäuser die Herrschaft über ihre Datenverarbeitung aus Kostengründen vollständig außer Haus gäben.

Abgesehen von der schwierigen datenschutzrechtlichen Einordnung der Fremd- und Fernwartung (vgl. insoweit meinen 14. Tätigkeitsbericht, Nr. 2.2) ist entscheidend, daß es hier zu einer Offenbarung von Patientendaten kommen kann. Da diese Daten der ärztlichen Schweigepflicht gem. § 203 Abs. 1 StGB unterliegen, bedarf die Kenntnisnahme Dritter einer Offenbarungsbefugnis. In meinem 14. Tätigkeitsbericht habe ich die Möglichkeit einer Rechtfertigung unter dem Gesichtspunkt des mutmaßlichen Einverständnisses des Patienten offengelassen und vorgeschlagen, die Einwilligung des Patienten über eine Klausel im Krankenhausaufnahmevertrag einzuholen.

Im Hinblick auf das Urteil des Oberlandesgerichts Düsseldorf vom 20. August 1996 (vgl. Nr. 3.3.5.2 in diesem Tätigkeitsbericht), wonach eine Archivierung von Patientendaten außerhalb eines Krankenhauses ohne ausdrückliche Einwilligung des Patienten unzulässig ist und von einer mutmaßlichen rechtfertigenden Einwilligung der Patienten nicht die Rede sein kann, und auf die Tatsache, daß die Fernwartung in diesem Punkt durchaus mit der externen Archivierung vergleichbar ist, halte ich zur Minimierung des rechtlichen Risikos der Fernwartung und der Fremdwartung grundsätzlich die ausdrückliche Einwilligung des Patienten im Krankenhausaufnahmevertrag für erforderlich; die entsprechende Klausel wäre im Vertragstext in geeigneter Weise hervorzuheben, wobei sich allerdings die Frage stellt, inwieweit eine solche Einwilligung als freiwillig bezeichnet werden kann, wenn der Patient keine Alternativen hat. Schon deswegen sollte vor allem die Fernwartung stets als letztes Mittel eingesetzt werden. Bei der besonderen Empfindlichkeit der Patientendaten muß auf alle Fälle zur Überwachung der Fern- und Fremdwartung in den Häusern selbst Sachverstand vorhanden sein.

Zur Minimierung der möglichen Kenntnisnahme von Patientendaten ist bei Fremd- und Fernwartung von Datenverarbeitungssystemen die Einhaltung folgender Sicherheitsmaßnahmen zu beachten:

  • Arbeiten am Testsystem

Soweit wie möglich sollen Externe nur an solchen Systemen arbeiten, in denen entweder nur signifikante Testfälle (ohne Bezug auf eine konkrete Person) oder anonymisierte Patientendaten gespeichert sind.

  • Arbeiten im Produktionssystem

Ist für eine Fehlerdiagnose und -behebung der Zugriff auf das Produktionssystem erforderlich, sollten folgende Maßnahmen ergriffen werden:

  • Verbindungsaufbau

Bei der Fernwartung ist die Verbindung oder die Freischaltung (nach einem Authentifikationsprozeß) stets vom Anwender aus aufzubauen (Call-Back-Verfahren) oder frei zu geben, damit sichergestellt ist, daß keine unbefugten Einwählversuche stattfinden können. Nach Abschluß der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren.

  • Zugriff

Vom Anwender sind der Wartung/Fernwartung nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind. Diese Zugriffe sind unter einer extra dafür eingerichteten Kennung mit einem Paßwort, das nur einmal verwendet werden kann, durchzuführen. Es ist ferner darauf zu achten, daß im Rahmen der Wartung bzw. Fernwartung keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Anwenderdatenbeständen zulassen. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist zu unterbinden.

  • Vieraugenprinzip

Alle Aktivitäten der Wartung bzw. Fernwartung muß ein sachverständiger Mitarbeiter des Krankenhauses am Bildschirm verfolgen können. Im Zweifelsfalle muß dieser Mitarbeiter auch diese Aktivitäten abbrechen können. (Bei manchen Systemen ist das nur eingeschränkt möglich, hier müssen stärkere Protokollierungsvorschriften greifen.)

  • Protokollierung

In einem Protokoll sind alle Aktivitäten der Wartung bzw. Fernwartung aufzuzeichnen. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde. So gibt es beispielsweise Systeme, die eine ganze Sitzung (alle Aktivitäten am Bildschirm) gleichsam wie in einem Video aufzeichnen können.

  • Vertraulichkeit auf dem Übertragungswege

Zur Sicherung der Vertraulichkeit der übertragenen Daten auf dem Übertragungswege kann es erforderlich sein, daß die Daten verschlüsselt werden. Es ist in diesem Falle jedoch darauf zu achten, daß die Protokollierung vor Ort unverschlüsselt erfolgt. Nur so ist eine effektive Kontrolle durch den Anwender gewährleistet.

Organisatorische Maßnahmen

Die Wartung und vor allem die Fernwartung sind auf eine vertragliche Grundlage zu stellen, in der das Wartungsunternehmen explizit auf die Wahrung des Patientengeheimnisses verpflichtet wird. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen. Die Unternehmen müssen außerdem Erklärungen über die Zuverlässigkeit für die mit Wartungsarbeiten befaßten Mitarbeiter abgeben; unter Umständen empfiehlt es sich, sogar Sicherheitsüberprüfungen zu verlangen. Zu meiner Forderung nach einem weitergehenden Schutz des Patientengeheimnisses entsprechend dem Arztgeheimnis im Zusammenhang mit der Auslagerung von DV-Arbeiten verweise ich auf Nr. 3.3.5 dieses Tätigkeitsberichts.

Die externen Mitarbeiter müssen der Klinik oder dem Krankenhaus namentlich benannt werden. Dieser Personenkreis soll aber überschaubar bleiben und möglichst wenig wechseln.

Bei lokaler Wartung sind in einem Logbuch Zeitpunkt, Ursache und Name dessen, der die Wartung durchführt, festzuhalten. Schließlich sollte die Wartung und Fernwartung nur dann durchgeführt werden, wenn sichergestellt ist, daß ausreichender eigener Sachverstand für die Beurteilung der externen Aktivitäten vorhanden ist. Für alle Wartungs- und Fernwartungsaktivitäten ist ein Logbuch zu führen. Aus den Einträgen müssen der Grund der Wartung, der Zeitpunkt und die die Wartung durchführende Person sowie die Wartungsaktivitäten, insbesondere ob auf den Echtdatenbestand zugegriffen werden mußte, erkennbar sein.

3.3.5. Outsourcing im Krankenhaus

Gegenüber dem letzten Berichtszeitraum haben sich die Tendenzen zur "Auslagerung" von Tätigkeitsbereichen durch die Krankenhäuser an Externe weiter verstärkt. Infolge des wachsenden Kostendrucks im Gesundheitswesen sind auch die Krankenhäuser zunehmend bestrebt Aufgaben, die traditionell durch eigene Mitarbeiter im Hause erledigt wurden, durch externe Kräfte erledigen zu lassen. Da hier oft das besonders sensible Arzt-Patienten-Verhältnis betroffen ist, dürfen nicht ausschließlich ökonomische Aspekte für eine Vergabe von Tätigkeiten an Außenstehende ausschlaggebend sein. Der Krankenhausträger muß sich jeweils fragen, ob es nicht zum Schutz der Patienten erforderlich ist, gerade diese konkrete Aufgabe im Krankenhaus durch eigene Kräfte zu erledigen.

Um die vielfältigen Aspekte des Outsourcing richtig bewerten zu können, habe ich mich an der Arbeitsgruppe "Outsourcing von Datenverarbeitungsaufgaben" der Datenschutzbeauftragten des Bundes und der Länder beteiligt, die sich umfassend mit dieser Problematik - auch außerhalb des Krankenhausbereichs - beschäftigt (vgl. zum Outsourcing von DV-Leistungen in technischer Hinsicht auch Nr. 19.3.2 dieses Tätigkeitsberichts).

Aus der Sicht der Patienten dürfte der wichtigste Gesichtspunkt beim Outsourcing sein, daß der Schutz der Patientendaten gegen Beschlagnahme außerhalb der Krankenhäuser in der Regel nicht gewährleistet ist. Solange hier keine entsprechenden gesetzlichen Regelungen existieren, ist besondere Zurückhaltung geboten. Außerdem dürfen die Krankenhäuser nicht wesentliche Bereiche ihrer Datenverarbeitung in die Hände Dritter geben. Damit soll verhindert werden, daß sie sich von diesen abhängig machen. Gerade wegen der besonderen Sensibilität vieler Patientendaten müssen die Krankenhäuser ein gewisses Grund-Know-How im Umgang mit der Datenverarbeitung aufweisen können.

Zum Schutz medizinischer Datenbestände außerhalb von ärztlichen Behandlungseinrichtungen hat sich die 53. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 17./18.04.1997 mit einer Entschließung geäußert, die im Anhang als Anlage 8 abgedruckt ist. Diese Entschließung schließt mit der Bitte an den Bundesgesetzgeber, für die sich zunehmend entwickelnden modernen Formen der Auslagerung medizinischer Patientendaten sowie für deren Weitergabe für Zwecke wissenschaftlicher medizinischer Forschung einen dem Arztgeheimnis entsprechenden Schutz der Patientendaten zu schaffen.

Im folgenden stelle ich zwei Schwerpunkte aus diesem Themenkreis dar, mit denen ich mich im Berichtszeitraum beschäftigt habe.

3.3.5.1. Externe Vergabe von Schreibarbeiten durch Krankenhäuser

Mit dem Problem des externen Schreibens von Arztbriefen war ich mehrfach konfrontiert.

Hierbei ist zu bedenken, daß jede Weitergabe von Patientendaten eine Durchbrechung der ärztlichen Schweigepflicht darstellt, die einer Rechtfertigung bedarf. Eine solche ergibt sich nicht aus wirtschaftlichen Interessen. Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes läßt eine Vergabe von Schreibarbeiten nur an andere Krankenhäuser zu, soweit dabei Behandlungsdaten verarbeitet werden. Außerdem besteht der Beschlagnahmeschutz für die der ärztlichen Schweigepflicht unterfallenden Patientendaten nach § 97 Abs. 2 StPO bei einer externen Vergabe nicht mehr, da sich die Unterlagen dann nicht mehr im Gewahrsam einer Krankenanstalt befinden.

Möglich wäre es zwar grundsätzlich, eine Einwilligung jedes einzelnen Patienten zur externen Vergabe der Schreibarbeiten einzuholen. Hierbei ist jedoch folgendes zu beachten:

  • Dem Patienten muß die Tragweite seiner Einwilligung klar sein.
  • Bei Krankheiten, die in der gesellschaftlichen Anschauung negativ belegt sind (z.B. Geschlechtskrankheiten, HIV-Infektion, psychische Erkrankungen etc.), sollten die hierzu anfallenden Schreibarbeiten in keinem Fall durch externe Kräfte durchgeführt werden.
  • Dem Patienten sollten Name und Anschrift des beauftragten Schreibbüros mitgeteilt werden, damit er erkennen kann, ob die Vergabe seine Interessen berührt, z.B. weil Verwandte oder Bekannte dort arbeiten.
  • Auch bei Vorliegen einer Einwilligung dürfen Unterlagen nur im unbedingt erforderlichen Umfang an den Externen gegeben werden. So ist es regelmäßig nicht statthaft, den Diktatkassetten auch Behandlungsunterlagen beizufügen.

Selbst bei vorliegen einer Einwilligung des Patienten ergeben sich jedoch folgende Schlußfolgerungen:

  • Die externen Schreibkräfte sollten in den Räumen des Krankenhauses arbeiten, da dadurch der Gewahrsam des Krankenhauses und damit die Beschlagnahmefreiheit der Krankenunterlagen bestehen bleiben.
  • Die Schreibkräfte sind nach dem Verpflichtungsgesetz auf die gewissenhafte Erfüllung ihrer Obliegenheiten förmlich zu verpflichten, wodurch sie einem Amtsträger gleichgestellt werden.

Wenn der Patient nicht in die externe Vergabe von Schreibarbeiten einwilligt, sind diese zuverlässig vom Krankenhaus selbst zu erledigen.

3.3.5.2. Externe Archivierung von Krankenunterlagen

Von verschiedener Seite wurde ich um Äußerung gebeten, wie eine externe Archivierung von Krankenunterlagen datenschutzrechtlich zu bewerten ist. In meinem 17. Tätigkeitsbericht (Nr. 3.4.1.5.) habe ich bereits Bedenken gegen die externe Archivierung von Krankenunterlagen in codierten Containern geäußert. Insbesondere dürften diese Unterlagen nicht mehr dem Beschlagnahmeschutz gemäß § 97 Abs. 2 StPO unterfallen.

Meine Skepsis sehe ich durch ein Urteil des OLG Düsseldorf vom 20. August 1996 (20 V 139/95) bestätigt. In einem wettbewerbsrechtlichen Verfahren gegen ein Unternehmen, das die externe Archivierung und Mikroverfilmung für Krankenhäuser anbot, stellte das Gericht u.a. fest, daß das Aushändigen von Patientendaten an Dritte zur Archivierung eine Offenbarung im Sinne des § 203 Abs. 1 StGB darstelle. Zu deren Zulässigkeit sei eine Offenbarungsbefugnis erforderlich. Eine solche ergebe sich im Regelfall nur aus einer ausdrücklichen Einwilligung des Patienten. Außerdem sei die Beschlagnahmefreiheit gemäß § 97 Abs. 2 StPO bei einem externen Archivierungsunternehmen nicht gewährleistet.

3.4. Telemedizin

Auch die Entwicklung der Telemedizin schreitet fort. In meinem 17. Tätigkeitsbericht habe ich mich zu den rechtlichen Grundlagen und zum Aufbau des Bayerischen Gesundheitsnetzes im Rahmen der Initiative Bayern Online geäußert (Nr. 3.1.2). Mittlerweile liegt der Abschlußbericht 1997 des Themenarbeitskreises "Telemedizin" - Bayerisches Gesundheitsnetz vor.

In diesem Themenarbeitskreis wird die Förderung von Projekten erörtert, bei denen personenbezogene Patientendaten über offene Netze versandt werden. Ich habe allen Beteiligten meine Vorstellungen über die in solchen Fällen erforderlichen Sicherheitsmaßnahmen zur Kenntnis gebracht. Von den Projektverantwortlichen wurde mir auch zugesichert, derartige Sicherheitsmaßnahmen bei Aufnahme des Echtbetriebs zu implementieren. Das Projekt "Health Care Professional Protokoll" der Kassenärztlichen Vereinigung Bayerns soll dazu die Voraussetzungen bieten (zum Projekt Basilika siehe Nr. 19.3.1 dieses Tätigkeitsberichts). Im Berichtszeitraum wurde das Konzept für die hierfür erforderlichen Sicherheitsmaßnahmen entwickelt.

Für die Übertragung sensibler Patientendaten in offenen Netzen, wozu letztlich auch das Bayer. Behördennetz zählt, sind geeignete Sicherheitsmaßnahmen vorzusehen, damit die Vertraulichkeit und Integrität der übertragenen Daten sowie die Revisionsfähigkeit der Netzbenutzung und die Zugriffssicherheit der angeschlossenen DV-Systeme gewährleistet werden können. Dabei handelt es sich im wesentlichen um folgende Maßnahmenbündel:

  • Das DV-System darf nur solchen Benutzern Zugang zum Netz erlauben, die sich sowohl als Berechtigte identifizieren können, als auch vom DV-System als Berechtigte erkannt werden (Authentisierung). Die berechtigten Benutzer können auch unterschiedliche Rechte besitzen. Als Zugangskontrollmedium ist beispielsweise die Chipkarte denkbar. Die Rechner, die die Verbindung zum Netz herstellen, und vor allem die internen Netze sind außerdem durch geeignete Sicherheitsmaßnahmen (Firewall-Konzepte) gegen Eindringversuche von außen (Veränderung von Software, Manipulation von Daten, Ausspähen von Informationen) abzusichern.
  • Die Integrität der auf dem Netz übertragenen Daten läßt sich durch geeignete Signaturverfahren verifizieren. Es gibt bereits heute eine Reihe von Produkten, die diese Funktionalität leisten. Auch dazu lassen sich wiederum Chipkarten verwenden.
  • Die Vertraulichkeit aller auf dem Netz übertragenen Daten muß durch geeignete Verschlüsselungstechniken gewährleistet werden. Dabei ist insbesondere zu beachten, daß die zum Einsatz kommenden Verfahren gegen Entschlüsselungsversuche hinreichend sicher sind. Asymmetrische Verschlüsselungsverfahren bieten hohe Sicherheiten. Auf die Ausführungen zu den kryptografischen Verfahren (Nr. 19.3.1 dieses Tätigkeitsberichts) weise ich hin.
  • Jedes angeschlossene DV-System muß für einen bestimmten Einzelfall zur Beweissicherung Empfangs- und Übergabenachweise aufzeichnen, damit erkennbar bleibt, wer wann an wen welche Daten übertragen hat (Protokollierung).

Ich habe das für telemedizinische Projekte zuständige Bayerische Staatsministerium für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit auf die besondere Bedeutung datenschutzgerechter Lösungen für die Akzeptanz telemedizinischer Anwendungen hingewiesen.