Datenschutzbehörde

Entscheidungstext DSB-D213.396/0002-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

DSB-D213.396/0002-DSB/2016Nächster Suchbegriff

Entscheidungsdatum

19.05.2016

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Norm

DSG 2000 §1 Abs1
DSG 2000 §1 Abs2
DSG 2000 §6 Abs1 Z5
DSG 2000 §7 Abs1
DSG 2000 §30 Abs3
DSG 2000 §30 Abs6
DSG 2000 §50a Abs5
OÖ KAG §21 Abs5
DSG 2000 §7 Abs3
DSG 2000 §4 Z2

Text

GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.396/0002-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016 vom 19.5.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der abschließenden Erledigung.

 

Enderledigung

 

A. Verfahrensgang

1.   Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2015 mit Schreiben an die H*** [Anmerkung Bearbeiter: Trägerorganisation in der Rechtsform einer Kapitalgesellschaft] vom 3. September 2015 ein amtswegiges Verfahren nach § 30 Abs. 3 des Datenschutzgesetzes 2000 – DSG 2000 ein und übermittelte einen Fragebogen.

2.   Die H*** nahm dazu (nach Fristverlängerung) mit Schreiben vom 14. Oktober 2015 Stellung und führte – zusammengefasst – aus, dass sie unter ihrer datenschutzrechtlichen Verantwortung als Auftraggeberin sechs allgemeine und zwei Sonderkrankenanstalten betreibe (durch die Schaffung des Klinikenverbandes T*** sind die zwei Sonderkrankenanstalten per 1. Jänner 2016 aus dem Verband der H*** ausgeschieden) und auf ausreichender gesetzlicher Grundlage (insbesondere des OÖ KAG) Patientendaten, insbesondere in Form der gesetzlich vorgeschriebenen Krankengeschichten (zu denen es auch Papierakten gebe), unter Einhaltung der gebotenen Datensicherheitsmaßnahmen verarbeite. Die Befugnisse des Personals seien in internen Richtlinien näher geregelt, Zuwiderhandeln ziehe disziplinäre Folgen nach sich. Kern der Patientendatenverwaltung sei das Krankenhausinformationssystem (kurz: KIS). Dieses sei nach einem Rollenkonzept organisiert, das bei Patientendaten insbesondere zwischen medizinischen (Zugriff nur für Ärzte) und pflegerischen Daten unterscheide. Datenübermittlungen an Empfänger in Drittstaaten (Nicht-EU-Mitgliedstaaten) würden nicht erfolgen.

3.   Die Datenschutzbehörde forderte die H*** mit Schreiben vom 3. November 2015 auf, zu ergänzenden Fragen Stellung zu nehmen.

4.   Die H*** nahm dazu mit Schreiben vom 3. Dezember 2015 umfassend Stellung und übermittelte ergänzende Unterlagen.

5.   Mit Schreiben der Datenschutzbehörde vom 29. Februar 2016 wurde die H*** informiert, dass am 7. April 2016 eine Einschau nach § 30 Abs. 4 DSG 2000 im Krankenhaus A***, **** [Anmerkung Bearbeiter: Angabe der genauen Adresse], durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Videoüberwachung und Entsorgung von Papierakten liegen werde.

6.   Im Zuge dieser Einschau wurden von den Vertretern der H*** die Fragen dazu beantwortet, entsprechende Konzepte vorgelegt, Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert sowie die Überprüfung der Zugriffe dargelegt.

7.   Das Protokoll dieser Einschau wurde der H*** übermittelt. Diese nahm dazu mit Schreiben vom 3. Mai 2016 Stellung.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen im Rahmen der Einschau am 7. April 2016 ergibt:

1.    Die H*** ist (Stand: 7. April 2016) Trägerin folgender Krankenanstalten ****:

      KH A***

      [....]

      Klinikum O*** (mit Standorten in Z***, E*** und I***)

2.    Zur Verwaltung von Patientendaten stehen in den genannten Krankenanstalten H*** -weit einheitliche Datenverwaltungssysteme (Applikationen) zur Verfügung, die aus Software-Paketen verschiedener Unternehmen gebildet werden. Den Kern der Patientendatenverwaltung bildet dabei das KIS (weitere Bezeichnung: C*** Medical Process Assistant – C*** MPA), das zur Steuerung der Behandlungsabläufe, Erfassung, Verarbeitung und Weitergabe medizinischer Daten dient, und mit dem weitere rund 70 klinische Applikationen (je nach Zählung aller Haupt-, Hilfs- und Subsysteme) für Spezialzwecke (z.B. Befund- und Probenadministration im Labor oder Softwaresystem für EKG) über verschiedene Schnittstellen verbunden sind. Diese Applikationen sind aufgrund der zeitlichen Folge ihrer Einführung teilweise im DVR als eigene Datenanwendungen registriert. Für örtliche Zwecke (keine „elektronische Fieberkurve“) werden auch Patientenakten (Papierakten) geführt.

3.    Die H*** betreibt zur Vernetzung ihrer Standorte ein unternehmenseigenes Datennetz (Corporate-Network), dessen Hauptstandorte A*** und Z*** („Core-Netz“- CN) durch ein von öffentlichen Netzen getrenntes „dark-fibre“ Leitungssystem verbunden sind. Auf den Servern dieses Systems (Arbeitsserver und Backup) erfolgt u.a. die Speicherung der (sensiblen) Patientendaten. Die übrigen Datenverbindungen („Distribution-Netz“ – CN) laufen nicht ausschließlich über H*** -eigene Leitungen (Dienstleister: Q***-Telekom ***) und werden nach dem Standard Cipher AES-192-CBC verschlüsselt. Eine lokale Speicherung von Patientendaten auf Arbeitsplatzrechnern (Workstations) ist nicht vorgesehen. Die lokale Nutzung der Arbeitsplatzrechner ist so organisiert, dass persönliche und geöffnete Bildschirmarbeitsplätze durch den Mitarbeiter bei Verlassen des Arbeitsplatzes zu sperren sind oder automatisch nach 15 Minuten gesperrt werden. Die Mehrfachnutzung eines Systemzugangs durch mehrere Mitarbeiter ist nicht vorgesehen, es können jedoch mehrere Nutzer auf einer Workstation (auch mit verschieden „tiefem“ KIS-Zugang) arbeiten.

4.    Das KIS mit verbundenen und vorgelagerten Systemen unterscheidet zwischen verschiedenen Berufsgruppen (insbesondere ärztliches Personal und Pflegepersonal). Für jede Berufsgruppe gibt es ein Rollenkonzept mit verschiedenen Zugriffsberechtigungen nach Berufsgruppe und Zuständigkeitsbereich (Station). Ein Zugriff auf bereichsfremde Patientendaten ist nicht vorgesehen. Zugriffe werden protokolliert. Pro Quartal werden per Stichprobe (zur Nutzung der entsprechenden Applikation ist wiederum nur eine Person berechtigt) fünf Patientendatensätze ausgewählt und die Zugriffe an Hand der Abfrage von Befunden auf Plausibilität und Berechtigung kontrolliert. In den letzten fünf Jahren wurden so neun Fälle unberechtigter Zugriffe auf Patientendaten aufgedeckt. Bisher waren keine härten Sanktionen als Eintragungen in die Personalakten erforderlich.

5.    Bei einem Austritt von Mitarbeitern wird deren Benutzerprofil deaktiviert, es bleibt jedoch dauerhaft gespeichert.

6.    Der internationale Datenverkehr der H*** reicht nicht über den EWR hinaus und erfordert daher keine Genehmigungen der Datenschutzbehörde. Im Übrigen werden Patienten bei Bedarf darauf verwiesen, dass sie ihre eigene Krankengeschichte anfordern und selbst ins Drittausland übermitteln können.

7.    Die H*** eröffnet einer großen Zahl unterschiedlicher Dienstleister (317 Zugänge per Stichtag 1. November 2015), die sich vertraglich zur Einhaltung gesetzlicher und interner Datenschutzvorschriften verpflichten, für Service- und Wartungszwecke bereichsspezifischen Zugang zu ihren Datenverarbeitungssystemen. Dieser erfolgt über ein sogenanntes Extranet, das nur von bestimmten IP-Adressen aus nach telefonischer Anmeldung (Freischaltung, Zeitfenster) bei einer Hotline Zugang ermöglicht. Der Zugangsberechtigte muss sich weiters durch den Besitz und die Aktivierung eines ihm zugeordneten RSA-Tokens (Verschlüsselungsmodul) sowie die Eingabe eines PIN-Codes identifizieren und legitimieren.

8.    Die H*** hat einen unternehmensweit zuständigen, weisungsfreien Datenschutzbeauftragten bestellt, der direkt dem Vorstand berichtet. Die organisatorische Stellung des (z.B. budgetäre Absicherung) soll im Zusammenhang mit dem Inkrafttreten der DSGVO noch verbessert werden.

9.    Für das KH A*** liegt ein System zur sicheren Entsorgung (Vernichtung) von nicht mehr benötigten Datenträgern in jeglicher Form (insbesondere Papierakten und mobile Datenträger der elektronischen Datenverarbeitung) vor. Dieses betont insbesondere die Notwendigkeit der gesicherten Aufbewahrung auch von zur Vernichtung bestimmten Datenträgern.

10.  Im Krankenhaus A*** besteht eine Videoüberwachungsanlage mit 44 Kameras und digitaler Bildaufzeichnung (gemeldet, DAN: ****). Dabei wird auch ein Behandlungsraum (Beobachtungsraum Unfall) überwacht, in dem regelmäßig aggressive oder unter Alkoholeinfluss stehende Patienten behandelt werden.

11.  Die Auskunftserteilung über aufgenommene Patienten ist so geregelt, dass die Mitarbeiter des Portierdienstes Vorname, Nachname, Geburtsdatum, Aufenthaltsort (Zimmer), Aufnahme- und Entlassungsdatum eines Patienten abfragen können. Patienten können eine Auskunftssperre verlangen, die im Patientenverzeichnis angezeigt wird.

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

1.   Gegenstand des vorliegenden Verfahrens ist die Frage, ob die H*** gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Videoüberwachung und Entsorgung von Papierakten lag.

2.   Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des § 4 Z 2 DSG 2000, die einem besondere Schutz unterliegen.

3.   Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden. Bei der Einschau am 7. April 2016 sind keine Missstände aufgefallen, die zwingend Anlass für eine nähere (sachverständige) Überprüfung gegeben hätten.

4.   Besonders positiv hervorzuheben sind folgende Maßnahmen der H*** :

a)   die Bestellung eines zentralen Datenschutzbeauftragten,

b)   das Vorliegen eines Rollen- und Berechtigungskonzeptes,

c)   das Vorhandensein eines umfassenden Protokollierungssystems,

d)   das Vorliegen eines Konzeptes zur Überprüfung von Zugriffen auf Patientendaten (Prüfungsroutine),

e)   das Vorhandensein von zwei räumlich getrennten Rechnerstandorten mit der Fähigkeit zur Redundanz und entsprechend gesicherten Leitungsverbindungen,

f)   das System zur Gewährleistung der Datensicherheit bei externen Zugriffen,

g)   das Vorhandensein eines Konzepts zur sicheren Entsorgung von Patientenakten (Papierakten) und Datenträgern.

 

Hinsichtlich der Nichtdurchführung einer Löschung ehemaliger User sowie betreffend die Videoüberwachung eines Behandlungsraums war jedoch die beiliegende Empfehlung auszusprechen.

 

 

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der *****-gesellschaft (H*** ) folgende Empfehlung aus:

1.    Die H*** möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben.

2.    Die H*** möge dafür sorgen, dass im Krankenhaus A*** die Videoüberwachung (DAN: ****) des Bereichs „Unfall Beobachtungsraum“ so konfiguriert wird, dass diese auf eine Echtzeitüberwachung eingeschränkt wird und nur dann aktiviert wird, wenn sich kein Behandlungspersonal im Raum befindet.

3.    Für die Umsetzung von Spruchpunkt 1. dieser Empfehlung wird eine Frist von sechs Monaten, für jene von Spruchpunkt 2. eine Frist von drei Monaten gesetzt.

Rechtsgrundlagen: §§ 1, 6, 30 und 50a Abs. 5 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.

 

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2015 diente, wurden auch Fragen zur Vorgangsweise bei einem Austritt eines Mitarbeiters gestellt sowie eine Einschau vorgenommen, bei der auch der Umfang der Videoüberwachung überprüft worden ist.

Dazu gab die H*** an, dass bei einem Austritt das Nutzerprofil des austretenden Nutzers deaktiviert werde, sodass dieser keinen Zugriff mehr auf Daten habe. Es erfolge jedoch keine Löschung des Nutzers, da § 21 Abs. 5 OÖ KAG eine dreißigjährige Speicherdauer vorsehe.

B. In rechtlicher Hinsicht folgt daraus:

1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass Nutzer auch nach deren Austritt aus der H*** in Datenverarbeitungssystemen insoweit zeitlich unbefristet gespeichert bleiben, als lediglich deren Zugangsberechtigung deaktiviert wird, vorangegangene Tätigkeiten des Nutzers aber weiterhin nachvollzogen werden können.

Die Datenschutzbehörde anerkennt, dass dies insofern erforderlich sein könnte, um auch nach dem Austritt eines Mitarbeiters nachvollziehen zu können, welche Handlungen der Nutzer im System gesetzt hat. Auch erscheint dies erforderlich, um Behandlungen von Patienten, die von einem Nutzer in das Patientenverwaltungssystem einzutragen sind, lückenlos zu dokumentieren und den Behandlungsverlauf somit nachweisbar darlegen zu können.

2. Jedoch widerspricht eine zeitlich nicht befristete Speicherung personenbezogener Daten dem Grundsatz des § 6 Abs. 1 Z 5 DSG 2000.

Auch der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Art. 8 EMRK darstellt (vgl. dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr. 19522/09, Rz 35 f mwN). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden.

§ 21 OÖ KAG bezieht sich, wie schon aus der Überschrift abzuleiten ist, auf Patientendaten, nämlich „Krankengeschichten und sonstigen Vormerke“. Eine Pflicht zur zeitlich befristeten längeren (dreißigjährigen) oder gar unbefristeten Verarbeitung von Nutzerdaten kann daraus nicht abgeleitet werden.

3. Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

4. Zur Videoüberwachung des Behandlungsraumes ist folgendes festzuhalten:

Für die Datenschutzbehörde ist es nachvollziehbar bzw. ist es nach Ansicht der Datenschutzbehörde von der Aufsichtspflicht einer Krankenanstalt umfasst, eine Beobachtung von Patienten dann sicherzustellen, wenn sich diese in einem hilfsbedürftigen oder hilflosen Zustand befinden und folglich Unterstützung bedürfen, um sich selbst oder anderen nicht Schaden zuzufügen (bspw. ohnmächtige oder aufgrund von Alkohol oder anderen Substanzen in ihrer Handlungsfähigkeit eingeschränkte Personen).

Aufgrund der Regelung des § 1 Abs. 2 DSG 2000, wonach jeder Eingriff in das Grundrecht auf Datenschutz nur in der jeweils gelindesten möglichen Form erfolgen soll, ist es nach Ansicht der Datenschutzbehörde ausreichend, dieser Aufsichtspflicht durch die Möglichkeit einer Echtzeitüberwachung zu begegnen und die Überwachung überhaupt einzustellen, sobald Behandlungspersonal den Raum betritt. Dies ermöglicht einerseits die – externe – Beobachtung von Patienten und stellt andererseits sicher, dass die Überwachung eingestellt wird, sobald eine Beobachtung bzw. eine Behandlung im Raum selbst erfolgt.

5. Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten scheint für die Umsetzung dieser Empfehlung angemessen.

Schlagworte

Empfehlung, Amtswegiges Prüfverfahren, Krankenanstalt, Trägerorganisation, Speicherdauer von Nutzerprofilen, Videoüberwachung, Behandlungsraum, Echtzeitüberwachung, gelinderes Mittel

Anmerkung

Es handelt sich um zwei Erledigungen (Enderledigung und Empfehlung) unter einer Geschäftszahl (GZ). Beide sind im RIS zu einem Dokument zusammengefasst worden.

European Case Law Identifier (ECLI)

ECLI:AT:Vorheriger SuchbegriffDSBNächster Suchbegriff:2016:Vorheriger SuchbegriffDSBNächster Suchbegriff.D213.396.0002.Vorheriger SuchbegriffDSB.2016

Zuletzt aktualisiert am

30.05.2016

Dokumentnummer

DSBT_20160519_DSB_D213_396_0002_DSB_2016_00