Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

17.05.2016

Geschäftszahl

DSB-D213.397/0005-DSB/2016

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Text

GZ: DSB-D213.397/0005-DSB/2016 vom 17.5.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der abschließenden Erledigung.

Enderledigung

A. Verfahrensgang

1. Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2015 mit Schreiben an die H***-Krankenhausbetriebsanstalt [Anmerkung Bearbeiter: in weiterer Folge als H*** abgekürzt] vom 3. September 2015 ein amtswegiges Verfahren nach Paragraph 30, des Datenschutzgesetzes 2000 – DSG 2000 ein und übermittelte einen Fragebogen.

2. Die H*** nahm dazu mit Schreiben vom 19. Oktober 2015 Stellung und führte – zusammengefasst – aus, dass es für die Verarbeitung von Patientendaten eine ausreichende Rechtsgrundlage gebe und Datensicherheitsmaßnahmen eingehalten würden. Weiters wurde die Unternehmensstruktur der H*** erklärt.

3. Die Datenschutzbehörde forderte die H*** mit Schreiben vom 6. November und auf, zu ergänzenden Fragen Stellung zu nehmen.

4. Die H*** nahm dazu mit Schreiben vom 15. Januar 2016 Stellung und übermittelte ergänzende Unterlagen.

5. Mit Schreiben der Datenschutzbehörde vom 26. Februar 2016 wurde die H*** informiert, dass am 6. April 2016 eine Einschau nach Paragraph 30, Absatz 4, DSG 2000 auf der Liegenschaft **** L***burg, T***-Gasse *5 (D***klinik), durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten liegen werde. Die Einschau wurde schließlich per Schreiben der Datenschutzbehörde vom 10. März 2016 auf den 4. April 2016 umberaumt.

6. Im Zuge dieser Einschau wurden von den Vertretern der H*** die Fragen dazu beantwortet, entsprechende Konzepte vorgelegt, Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert sowie die Überprüfung der Zugriffe dargelegt.

7. Das Protokoll dieser Einschau wurde der H*** übermittelt. Diese nahm dazu mit Schreiben vom 8. April 2016 Stellung.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen im Rahmen der Einschau am 4. April 2016 ergibt:

1. Die H*** ist ein per Gesetz eingerichteter Fonds dessen Aufgabenbereich sich auf die Errichtung, die Führung und den Betrieb aller Landeskrankenanstalten, sowie damit im Zusammenhang stehender Tätigkeiten erstreckt. Die H*** betreibt Spitäler an aktuell ** Standorten.

2. Die H*** betreibt im Zuge der Patientenverwaltung eine Reihe von Datenbanken, ein einheitliches Patientenverwaltungssystem existiert nicht. Es bestehen je nach Standort unterschiedliche Systeme, es gibt jedoch Harmonisierungsbestrebungen. Die Einsichtnahme in Patientenakten (Krankengeschichte bzw. sonstige Dokumentation) ist unzulässig, sofern diese nicht in Erfüllung der dienstrechtlichen Arbeitspflichten erfolgt.

3. Bei der Vergabe von IKT-Berechtigungen gilt der Grundsatz, dass jeder Benutzer genau jene Berechtigungen bekommt, die er für die tägliche Aufgabenerfüllung benötigt. Häufig vorkommende Kombinationen von Berechtigungen sind in Rollen zusammengefasst. Diese Regelungen gelten auch bei der Vergabe von IKT-Berechtigungen an Außenstehende (z.B. EDV-Dienstleister).

4. Für den Standort L***burg gilt:

Zugriffsrechte werden für jeden neuen Mitarbeiter im SAP individuell angelegt bzw. angepasst, wobei auf bestehende Berechtigungsprofile (z.B. für Ärzte, Therapeuten oder Sekretariatskräfte) zurückgegriffen wird. Auch innerhalb der Berechtigungsprofile kann es Abstufungen geben (z.B. für Abteilungsvorstände, Bereichsleitungen etc.). Bei einem Austritt von Mitarbeitern wird deren Benutzerberechtigung deaktiviert, es erfolgt jedoch keine Löschung des konkreten Nutzers im System.

Die Überprüfung erfolgter Zugriffe wird in Verantwortung der Klinikleitung (Verwaltung) durchgeführt. Es gibt quartalsweise Sicherheitsüberprüfungen nach Schwerpunkten (z.B. einzelne Abteilungen), wobei die überprüften Abteilungen vorab nicht darüber informiert werden. Die Kontrolle umfasst – je nach Prüfungsschwerpunkt – z.B. die Auswertung der Logfiles (derzeit nur schreibend) sowie der Zutritte zu Räumlichkeiten. Die Prüfung der Zutrittsberechtigungen erfolgt durch die Betriebsfeuerwehr, das Ergebnis wird der Klinikleitung vorgelegt. Ab Juni 2016 sollen auch lesende Zugriffe mitgeloggt und überprüft werden.

5. Die Speicherung der Daten bzw. der Betrieb sämtlicher Datenbanken erfolgt auf intern betriebenen Servern der H*** bzw. im für die H*** eingerichteten Rechenzentrum in L***burg. Als Dienstleister ist in diesem Bereich die Firma R***-Systeme tätig. Diese stellt auch ein Back-up System zur Verfügung. Der Datenaustausch erfolgt über das Netzwerk ***MED-WAN, an welches nur die H*** -Zentrale und das in L***burg betriebene Rechenzentrum angeschlossen sind.

6. Hinsichtlich des im Laufe des Verfahrens modifizierten Registerstandes (Datenverarbeitungsregister – DVR) des Auftraggebers (DVR: ****) wurde unter anderem die Datenanwendung Nr. 8 (Videoüberwachung am Standort der W***klinik) seitens der H*** gestrichen, da diese nicht mehr aktuell war. Per Schreiben vom 15. Jänner 2016 wurde der Datenschutzbehörde mitgeteilt, dass in dieser Angelegenheit die erforderlichen Maßnahmen getroffen werden.

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob die H*** gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag.

Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des Paragraph 4, Ziffer 2, DSG 2000, die einem besondere Schutz unterliegen.

2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden.

Besonders hervorzuheben sind folgende Bemühungen der H***

a)           das Vorhandensein einschlägiger Richtlinien für den Bereich Informationssicherheit

b)           die Bestrebungen zur Vereinheitlichung der eingesetzten EDV

c)           das Vorliegen eines Rollen- und Berechtigungskonzeptes

d)           das Vorhandensein eines Protokollierungssystems

e)           das Vorhaben der Verbesserung/Erweiterung dieses Protokollierungssystems auch hinsichtlich lesender Zugriffe

f)           das Vorliegen eines Konzeptes zur Überprüfung von Logfiles (Prüfungsroutine)

g)           die Überprüfung herangezogener Dienstleister

h)           ein festgelegtes System für das Anlegen und Deaktivieren von Usern

i)           das Vorliegen eines Passwortsystems bzw. die Bestrebungen hinsichtlich der Einführung einer sicheren Authentifizierungsmethode mittels Fingerabdruck

j)           das Vorhandensein eines serverseitigen Back-up Systems

3. Hinsichtlich der Nichtdurchführung einer Löschung ehemaliger User und der Videoüberwachung am Standort der W***klinik war jedoch die beiliegende Empfehlung auszusprechen.

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der H*** folgende Empfehlung aus:

1.    Die H*** möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben.

2.    Die H*** möge überprüfen, ob hinsichtlich der Videoüberwachung am Standort der W***klinik eine (Neu-)Meldung zum Datenverarbeitungsregister (DVR: ****) erforderlich ist und diese gegebenenfalls vornehmen.

3.    Für die Umsetzung von Spruchpunkt 1. dieser Empfehlungen wird eine Frist von sechs Monaten gesetzt, für jene von Spruchpunkt 2. eine Frist von vier Wochen.

Rechtsgrundlagen: Paragraphen eins,, 6, 17 ff und 30 des Datenschutzgesetzes 2000 – DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2015 diente, wurden auch Fragen zur Vorgangsweise bei einem Austritt eines Mitarbeiters gestellt.

Dazu gab die H*** (jedenfalls hinsichtlich des Standortes D***klinik) an, dass bei einem Austritt das Nutzerprofil des austretenden Nutzers deaktiviert werde, sodass dieser keinen Zugriff mehr auf Daten habe. Es erfolge jedoch keine Löschung des Nutzers, um auch nach dessen Austritt dessen Tätigkeiten im Datenverarbeitungssystem nachvollziehen zu können.

Weiters wurden Fragen hinsichtlich des Registerstandes (Datenverarbeitungsregister – DVR) des Auftraggebers gestellt (DVR: ****). Im Zuge des Verfahrens wurde seitens des Auftraggebers (unter anderem) die nicht mehr aktuelle Datenanwendung einer Videoüberwachung am W***klinik gestrichen, da diese nicht mehr dem aktuellen Stand entspricht.

B. In rechtlicher Hinsicht folgt daraus:

1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass Nutzer auch nach deren Austritt aus der H*** in Datenverarbeitungssystemen insoweit zeitlich unbefristet gespeichert bleiben, als lediglich deren Zugangsberechtigung deaktiviert wird, Tätigkeiten des Nutzers aber weiterhin nachvollzogen werden können.

Die Datenschutzbehörde anerkennt, dass dies insofern erforderlich sein könnte, um auch nach dem Austritt eines Mitarbeiters nachvollziehen zu können, welche Handlungen der Nutzer im System gesetzt hat. Auch erscheint dies erforderlich, um Behandlungen von Patienten, die von einem Nutzer in das Patientenverwaltungssystem einzutragen sind, lückenlos zu dokumentieren und den Behandlungsverlauf somit nachweisbar darlegen zu können.

2. Jedoch widerspricht eine zeitlich nicht befristete Speicherung personenbezogener Daten dem Grundsatz des Paragraph 6, Absatz eins, Ziffer 5, DSG 2000.

Auch der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Artikel 8, EMRK darstellt vergleiche dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr. 19522/09, Rz 35 f mwN). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden.

3. Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

4. Hinsichtlich der Videoüberwachung am Standort der W***klinik wäre (nach der zwischenzeitlich erfolgten Streichung des veralteten Eintrages im DVR), sofern diese Datenanwendung weiterhin durchgeführt wird und auch (weiterhin) der Melde- und Vorabkontrollpflicht gemäß der Paragraphen 17, ff DSG 2000 unterliegt (was wahrscheinlich ist), eine entsprechende Neumeldung durchzuführen.

5. Es war folglich gemäß Paragraph 30, Absatz 6, DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten bzw. vier Wochen scheint für die Umsetzung dieser Empfehlung angemessen.

European Case Law Identifier

ECLI:AT:DSB:2016:DSB.D213.397.0005.DSB.2016