Datenschutzbehörde

Entscheidungstext DSB-D213.468/0001-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

DSB-D213.468/0001-DSB/2017Nächster Suchbegriff

Entscheidungsdatum

26.01.2017

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Norm

DSG 2000 §1 Abs1
DSG 2000 §1 Abs2
DSG 2000 §6 Abs1 Z5
DSG 2000 §6 Abs2
DSG 2000 §7 Abs1
DSG 2000 §17 Abs1
DSG 2000 §19 Abs3
DSG 2000 §30 Abs3
DSG 2000 §30 Abs6
Vbg L-DSG §2
Vbg L-DSG §4
DSG 2000 §6 Abs1 Z1
DSG 2000 §6 Abs1 Z2
DSG 2000 §6 Abs1 Z3
StMV 2004 Anl2

Text

GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.468/0001-Vorheriger SuchbegriffDSBNächster Suchbegriff/2017 vom 26.1.2017

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der Enderledigung.

 

Mitteilung; Enderledigung

 

A. Verfahrensgang

1. Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2016 mit Schreiben an die Z*** Krankenhausbetriebsges.m.b.H. (XX***) vom 1. Juni 2016 ein amtswegiges Verfahren nach § 30 des Datenschutzgesetzes 2000 – DSG 2000 ein und übermittelte einen Fragebogen.

2. Die XX*** nahm dazu mit Schreiben vom 6. Juli 2016 Stellung und führte – zusammengefasst – aus, dass es für die Verarbeitung von Patientendaten eine ausreichende Rechtsgrundlage gebe und Datensicherheitsmaßnahmen eingehalten würden. Weiters wurde die Unternehmensstruktur der XX*** erklärt. Ein Berechtigungskonzept regle die Zugriffe und den Umfang der Zugriffe für die verschiedenen Personenkreise.

3. Die Datenschutzbehörde forderte die XX*** mit Schreiben vom 20. September 2016 auf, zu ergänzenden Fragen Stellung zu nehmen.

4. Die XX*** nahm dazu mit Schreiben vom 6. Oktober 2016 Stellung.

5. Mit Schreiben der Datenschutzbehörde vom 4. November 2016 wurde die XX*** informiert, dass am 30. November 2016 eine Einschau nach § 30 Abs. 4 DSG 2000 auf der Liegenschaft l***gasse *, ***5 A*** (Schwerpunktkrankenhaus A***), durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten liegen werde.

6. Im Zuge dieser Einschau wurden von den Vertretern der XX*** die Fragen dazu beantwortet, entsprechende Konzepte vorgelegt und Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert.

7. Mit Schreiben vom 30. November 2016 wurden von der XX*** zusätzliche Unterlagen in Vorlage gebracht.

8. Das Protokoll dieser Einschau wurde der XX*** übermittelt. Diese nahm dazu mit Schreiben vom 15. Dezember 2016 Stellung.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen und behördlichen Feststellungen im Rahmen der Einschau ergibt:

1. Die XX*** ist Träger von fünf ***krankenhäusern sowie von zwei Gesundheits- und Krankenpflegeschulen in Z***.

2. Zur Verwaltung von Patientendaten stehen in den Krankenanstalten derzeit noch unterschiedliche Patientenverwaltungssysteme zur Verfügung, die über keine Schnittstellen zueinander verfügen. In zwei bis drei Jahren sollen diese Systeme von einem gemeinsamen Krankenhaus-Informationssystem (KIS; Projekt U***) abgelöst werden.

3. Das Patientenverwaltungssystem des Schwerpunktkrankenhauses A*** unterscheidet zwischen verschiedenen Berufsgruppen (ärztliches Personal, Pflegepersonal etc.). Für jede Berufsgruppe gibt es ein Rollenkonzept mit verschiedenen Zugriffsberechtigungen (dargelegt im R*** Standardreport, erstellt am 29. April 2016). Eine Zugriffsberechtigung besteht nur, wenn ein Fallbezug zum Patienten besteht. Stationsübergreifende Zugriffe sind grundsätzlich nicht möglich.

4. Am Campus des Schwerpunktkrankenhauses A*** gibt es zwei Serverstandorte, die ca. 500 m voneinander entfernt sind (einer davon befindet sich in einem Luftschutzkeller). Durch permanente Spiegelung werden die Daten vom Hauptserver auf den Backup-Server übertragen. Alle zwei Wochen erfolgen Prüfungen durch „friendly hacker“, jährlich wird ein Sicherheitszertifikat durch einen Ziviltechniker ausgestellt.

5. Krankengeschichten werden sowohl analog als auch digital geführt, wobei physische Dokumente zeitnahe eingescannt werden. Papierdokumente werden nach der elektronischen Erfassung vernichtet, für die Löschung der automationsunterstützt erfassten Daten gibt es noch keine Löschroutine, jedoch erste Überlegungen.

6. Unberechtigte Zugriffe auf Patientendaten werden in Verdachtsfällen ausgewertet (manuelle Logfileauswertung).

7. Es gibt noch eingeschränkt Sammeluser (d.h. eine gemeinsame Zugriffsberechtigung für mehrere Personen), diese können aber nicht nach bestimmten Namen suchen, haben nur Zugriff auf die Patienten auf der eigenen Station und können keine Dokumente abzeichnen. Bei der Umstellung auf das neue KIS wird es keine Sammeluser mehr geben.

8. Die XX*** führt Informationsveranstaltungen für Bedienstete zum Thema Datenschutz durch. Bedienstete werden zur Einhaltung des Datengeheimnisses schriftlich verpflichtet. Des Weiteren existiert eine Organisationsanweisung „Datenschutz bei Verwendung der IT-Systeme“, eine Organisationsanweisung „Medizinische Dokumentation in den XX***-Krankenhäusern“ sowie eine „Leitlinie zur Informationssicherheit“.

9. Nutzerprofile ehemaliger Bediensteter werden nicht umfassend gelöscht. Es erfolgt nach Ablauf einer Frist von sechs Wochen skriptgesteuert eine Löschung des Active Directory Kontos. Innerhalb einer Software mit eigener Benutzerverwaltung erfolgt eine Deaktivierung des Benutzers, um spätere Zuordnungen zu bestimmten Aktionen nachvollziehen zu können.

10. Protokolldaten, die im Zusammenhang mit Krankengeschichten stehen, werden nach 30 Jahren gelöscht. Hinsichtlich der sonstigen Protokolldaten gibt es keine Löschroutine.

11. Die XX*** verfügt am Standort A*** über elektronische Zutrittssysteme, die jedoch zum Zeitpunkt der Verfahrensbeendigung nicht der Datenschutzbehörde gemeldet wurden. Selbiges gilt für die im Rahmen des Betriebskindergartens verarbeiteten personenbezogenen Daten.

12. Es kommt zu Mehrfachnutzungen von EDV-Arbeitsplätzen. Bedienstete sind angewiesen, sich auszuloggen, wenn sie den Arbeitsplatz verlassen. Nach 30-minütiger Inaktivität erfolgt ein automatisches Logout. Im Zuge der Umstellung auf ein neues KIS ist ein Einloggen mit biometrischen Daten geplant.

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob die XX*** gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag.

Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des § 4 Z 2 DSG 2000, die einem besondere Schutz unterliegen.

2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden.

Besonders hervorzuheben sind folgende Bemühungen der XX***:

a)    das Vorhandensein schriftlicher Unterlagen zum Datenschutz bzw. zur medizinischen Dokumentation

b)    das Vorliegen eines umfassenden Rollen- und Berechtigungskonzepts (für den Standort A***)

c)    das Vorhandensein eines umfassenden Protokollierungssystems

d)    das Vorhandensein von zwei räumlich getrennten Serverstandorten in A*** mit der Fähigkeit zur permanenten Redundanz, einschließlich der routinemäßigen Sicherheitsüberprüfung gegen unberechtigte Zugriffe von außen

e)    Überlegungen hinsichtlich der Löschungsroutine elektronischer Krankengeschichten

f)    die Sensibilisierung von Bediensteten im Hinblick auf den Schutz personenbezogener Daten

3. Hinsichtlich

a)    der Nichtdurchführung einer Löschung ehemaliger User,

b)    der Nichtdurchführung regelmäßiger Zugriffskontrollen,

c)    der fehlenden Löschroutine von elektronischen Krankengeschichten sowie von bestimmten Protokolldaten und

 

einzelner nicht durchgeführter DVR-Meldungen war jedoch die beiliegende Empfehlung auszusprechen.

 

 

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der Z*** Krankenhausbetriebsges.m.b.H. (XX***) folgende Empfehlung aus:

1.    Die XX*** möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben.

2.    Die XX*** möge geeignete Maßnahmen ergreifen, um eine effektive Zugriffskontrolle auf Patientendaten sicherzustellen. Die Bediensteten der XX*** mögen darüber nachweislich in Kenntnis gesetzt werden.

3.    Die XX*** möge eine Löschroutine hinsichtlich der Löschung von Patientendaten in elektronisch geführten Krankengeschichten sowie von Protokolldaten implementieren.

4.    Die XX*** möge das Zutrittskontrollsystem am Standort A*** dem Datenverarbeitungsregister melden sowie die Meldepflicht der im Rahmen des Betriebskindergartens in A*** verarbeiteten personenbezogenen Daten prüfen.

5.    Für die Umsetzung dieser Empfehlung wird eine Frist von sechs Monaten gesetzt.

Rechtsgrundlagen: §§ 1, 6, 17 ff und 30 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.; Standard- und Musterverordnung 2004 – StMV, BGBl. II Nr. 312 idgF; §§ 2 und 4 des Vorarlberger Landes-Datenschutzgesetzes, LGBl. Nr. 19/2000 idgF.

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2016 diente, wurden auch Fragen zur Vorgangsweise bei einem Austritt eines Mitarbeiters, zur regelmäßigen Überprüfung von Zugriffen auf Patientendaten, zur Löschroutine bei Krankengeschichten und Protokolldaten sowie zur Meldung von Datenanwendungen gestellt.

Dazu gab die XX*** an, dass bei einem Austritt das Nutzerprofil des austretenden Nutzers deaktiviert werde. Es erfolge jedoch keine Löschung des Nutzers.

In Bezug auf die Überprüfung von Zugriffen auf Patientendaten wurde ausgeführt, dass diese in Verdachtsfällen erfolge.

Eine Löschroutine von Patientendaten, die in elektronisch geführten Krankengeschichten geführt werden, gebe es noch nicht, jedoch würden erste Überlegungen bereits angestellt. Protokolldaten, die im Zusammenhang mit Krankengeschichten stehen, würden nach 30 Jahren gelöscht. Hinsichtlich der sonstigen Protokolldaten gebe es keine Löschroutine.

Am Standort A*** werde ein Zutrittskontrollsystem betrieben, im Rahmen des Betriebskindergartens würden personenbezogene Daten verarbeitet.

B. In rechtlicher Hinsicht folgt daraus:

I. Zu den Nutzerprofilen

1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass Nutzer auch nach deren Austritt aus der XX**** in Datenverarbeitungssystemen insoweit zeitlich unbefristet gespeichert bleiben, als lediglich deren Zugangsberechtigung deaktiviert wird, Tätigkeiten des Nutzers aber weiterhin nachvollzogen werden können.

Die Datenschutzbehörde anerkennt, dass dies insofern erforderlich sein könnte, um auch nach dem Austritt eines Mitarbeiters nachvollziehen zu können, welche Handlungen der Nutzer im System gesetzt hat. Auch erscheint dies erforderlich, um Behandlungen von Patienten, die von einem Nutzer in das Patientenverwaltungssystem einzutragen sind, lückenlos zu dokumentieren und den Behandlungsverlauf somit nachweisbar darlegen zu können.

2. Jedoch widerspricht eine zeitlich nicht befristete Speicherung personenbezogener Daten dem Grundsatz des § 6 Abs. 1 Z 5 DSG 2000.

Auch der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Art. 8 EMRK darstellt (vgl. dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr. 19522/09, Rz 35 f mwN). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden.

3. Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

II. Zur regelmäßigen Zugriffskontrolle

1. Es entspricht dem Amtswissen der Datenschutzbehörde, dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt oder Zugangsberechtigungen weitergegeben werden. Ein unberechtigter Zugriff wird regelmäßig dann vorliegen, wenn ohne dienstliche Notwendigkeit (etwa aus Interesse) auf Patientendaten zugegriffen wird. Derartige Zugriffe treten insbesondere dann auf, wenn bspw. eigene Mitarbeiter, deren Angehörige oder öffentlich bekannte Personen sich einer Behandlung in der Krankenanstalt unterziehen (vgl. dazu die Empfehlungen vom 18. Mai 2016, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.399/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016, sowie vom 23. Mai 2016, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D210.783/0004-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016, beide abrufbar im RIS).

2. Gemäß § 6 Abs. 1 Z 1 DSG 2000 dürfen Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden.

Gemäß § 6 Abs. 1 Z 2 DSG 2000 dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Gemäß § 6 Abs. 1 Z 3 DSG 2000 dürfen Daten nur soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen.

Gemäß § 6 Abs. 2 DSG 2000 trägt der Auftraggeber bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

3. Aufgrund des oben angeführten Sachverhaltes steht fest, dass die XX*** zwar Zugriffe ordnungsgemäß protokolliert. Jedoch findet eine Überprüfung der durchgeführten Zugriffe hinsichtlich deren Rechtmäßigkeit nur in Verdachtsfällen statt.

Durch diese Kontrolle wird aber nicht sichergestellt, dass besonders schützenswerte Personengruppen (wie insbesondere eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen geschützt sind.

Überprüfungen in anderen Krankenanstalten durch die Datenschutzbehörde haben ergeben, dass effektive die Zugriffskontrollen auf verschiedene Arten ausgeführt werden können (vgl. dazu bspw. die Empfehlungen vom 17. Mai 2015, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.397/0005-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.395/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016 sowie jene vom 18. Mai 2016, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.398/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016, abrufbar im RIS).

Zur Hintanhaltung unberechtigter Zugriffe empfiehlt es sich, die Bediensteten der XX*** auf die Durchführung nachprüfender Zugriffskontrollen nachweislich aufmerksam zu machen.

III. Zur Implementierung einer Löschroutine

Wie unter I. dargelegt, dürfen Daten in personenbezogener Form nur zeitlich begrenzt aufbewahrt werden.

Die zulässige Aufbewahrungsdauer von Patientendaten bzw. von Protokolldaten richtet sich nach den einschlägigen Materiengesetzen.

Zur Sicherstellung, dass diese Daten nach Ablauf der zulässigen Speicherdauer gelöscht werden bzw. der Personenbezug beseitigt wird, war diese Empfehlung auszusprechen.

IV. Zur Meldung von Datenanwendungen

Elektronische Zutrittskontrollsysteme fallen unter Anlage 2 der StMV und unterliegen der Meldepflicht an die Datenschutzbehörde.

Hinsichtlich der im Rahmen des Betriebskindergartens verarbeiteten personenbezogenen Daten richtet sich die Meldepflicht – je nach Art der Verarbeitung – nach §§ 17 ff DSG 2000 bzw. § 4 des Vorarlberger Landes-Datenschutzgesetzes.

V. Zusammenfassung

Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten scheint für die Umsetzung dieser Empfehlung angemessen.

Schlagworte

Empfehlung, Amtswegiges Prüfverfahren, Krankenanstalt, Trägerorganisation, Datenverwendung, Meldepflicht, Kontrollmaßnahmen, Prüfungsroutine, Löschroutine, Speicherdauer von Nutzerprofilen, Zutrittskontrollsystem, Betriebskindergarten

Anmerkung

Es handelt sich um zwei Erledigungen (Enderledigung und Empfehlung) unter einer Geschäftszahl (GZ). Beide sind im RIS zu einem Dokument zusammengefasst worden.

European Case Law Identifier (ECLI)

ECLI:AT:Vorheriger SuchbegriffDSBNächster Suchbegriff:2017:Vorheriger SuchbegriffDSBNächster Suchbegriff.D213.468.0001.Vorheriger SuchbegriffDSB.2017

Zuletzt aktualisiert am

16.02.2017

Dokumentnummer

DSBT_20170126_DSB_D213_468_0001_DSB_2017_00