Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

18.05.2016

Geschäftszahl

DSB-D213.399/0003-DSB/2016

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Text

GZ: DSB-D213.399/0003-DSB/2016 vom 18.5.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der abschließenden Erledigung.

 

Enderledigung

A. Verfahrensgang

1. Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2015 mit Schreiben an die K****S vom 3. September 2015 ein amtswegiges Verfahren nach § 30 des Datenschutzgesetzes 2000 – DSG 2000 ein und übermittelte einen Fragebogen.

2. Die K****S nahm dazu mit Schreiben vom 2. Oktober 2015 Stellung und führte – zusammengefasst – aus, dass es für die Verarbeitung von Patientendaten eine ausreichende Rechtsgrundlage gebe und Datensicherheitsmaßnahmen eingehalten würden. Weiters wurde die Unternehmensstruktur der K****S erklärt.

3. Die Datenschutzbehörde forderte die K****S mit Schreiben vom 6. November 2015 auf, zu ergänzenden Fragen Stellung zu nehmen.

4. Die K****S nahm dazu mit Schreiben vom 10. Dezember 2015 Stellung und übermittelte ergänzende Unterlagen.

5. Mit Schreiben der Datenschutzbehörde vom 26. Februar 2016 wurde die K****S informiert, dass am 6. April 2016 eine Einschau nach § 30 Abs. 4 DSG 2000 auf der Liegenschaft xxxxx* K*** (KH K***) durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, sowie allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete liegen werde.

6. Im Zuge dieser Einschau wurden von den Vertretern der K****S die Fragen dazu beantwortet, entsprechende Konzepte vorgelegt, Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert sowie die Überprüfung der Zugriffe dargelegt.

7. Das Protokoll dieser Einschau wurde der K****S übermittelt. Diese nahm dazu mit Schreiben vom 20. April 2016 Stellung.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen im Rahmen der Einschau am 6. April 2016 ergibt:

1.    Die K****S betreibt die Krankenanstalten in Ow***, Op***, G*** und K***.

2.    Zur Verwaltung von Patientendaten verfügt die K****S über ein elektronisches System (Krankenhausinformationssystem).

3.    Auf die darin verarbeiteten Patientengesundheitsdaten haben jeweils nur jene Personen Zugriff, die mit der Betreuung von Patienten befasst sind (Ärzte, Pflegepersonal, KPJ-Studenten), und dies nur innerhalb der ihnen zugewiesenen Abteilung (zB. Abteilung Chirurgie). Lediglich Turnusärzte haben aufgrund der Struktur ihrer Dienste auf die Patientengesundheitsdaten verschiedener ihnen (auch bisher) zugewiesener Abteilungen Zugriff.

4.    Im Falle eines erforderlichen Zugriffs auf Patientengesundheitsdaten einer anderen nicht zugewiesenen Abteilung muss der jeweilige Mitarbeiter eine Genehmigung des jeweiligen für den Bereich Verantwortlichen einholen.

5.    Der Zugriff durch einen Mitarbeiter erfolgt mittels einer ihm zugewiesenen Smartkarte und Eingabe eines PIN in das Betriebssystem, wobei auf Ebene des Betriebssystems noch keine Personendaten verarbeitet werden. Um in das Krankenhausinformationssystem zu gelangen, muss der Mitarbeiter in einem zweiten Schritt eine Benutzerkennung und ein Passwort eingeben.

6.    Die Passwörter sind frei wählbar, unterliegen allerdings Komplexitätsanforderungen (zB. Mindestlänger von 6 Buchstaben, darin müssen sowohl Zahlen als auch Buchstaben enthalten sein). Eine Wiederverwendung der letzten 5 Passwörter ist unzulässig und technisch unmöglich. Der User wird alle 90 Tage zur Erneuerung des Passworts aufgefordert.

7.    Bei dreimaliger Eingabe eines falschen Passworts erfolgt eine Sperrung. Gleiches gilt für den PIN der Smartkarte. Smartkarten und PIN werden alle 2 Jahre neu zertifiziert. Bei Verlust der Smartkarte ist der Mitarbeiter zu einer sofortigen Meldung angewiesen, die Karte wird in diesem Fall sofort gesperrt.

8.    Die Zugriffe werden protokolliert. Die Überprüfung der Zugriffe erfolgt anlassbezogen (zB. aufgrund von Beschwerden). Eine stichprobenartige Kontrolle findet nicht statt.

9.    Bei einem Austritt von Mitarbeitern wird dieser Nutzer im System gelöscht.

10.  Das Krankenhausinformationssystem wird im Rechenzentrum des Dienstleisters Firma A*** in V*** betrieben, welcher auch die Ausfallssicherheit sicherstellt.

11.  Mehrfachbenutzungen eines Arbeitsplatzes sind üblich. In der Regel loggt sich ein Mitarbeiter mittels seiner Smartkarte in das Betriebssystem ein, allfällige andere Mitarbeiter müssen dann nicht mehr in das Betriebssystem einsteigen, sondern könnten mittels ihrer Benutzerkennung und ihres Passwortes in das Krankenhausinformationssystem auf diesem Arbeitsplatz einsteigen.

12.  Bei Verlassen des Arbeitsplatzes sind die Mitarbeiter angewiesen, ihre Zugriffsberechtigung mittels Ziehen der Chipkarte oder Abmelden aus dem Krankenhausinformationssystem zu beenden.

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob die K****S gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag.

Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des § 4 Z 2 DSG 2000, die einem besondere Schutz unterliegen.

2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden.

Besonders hervorzuheben sind folgende Bemühungen der K****S:

a)     das Vorliegen eines Rollen- und Berechtigungskonzeptes

b)     das Vorhandensein eines Protokollierungssystems

c)     das Vorliegen eines Passwortsystems (einschließlich Passwort-History), das Komplexitätsanforderungen an ein Passwort stellt, und Nutzer regelmäßig auffordert, das Passwort zu ändern

d)     die Möglichkeit zur Schnellabmeldung im System bei einem Benutzerwechsel am EDV-Arbeitsplatz (z.B. in Ambulanzen)

e)     die Überprüfung herangezogener Dienstleister

f)    die Löschung von Nutzerprofilen ehemaliger Bediensteter

3. Hinsichtlich der Nichtdurchführung von routinemäßigen Überprüfungen der Zugriffe auf Patientendaten war jedoch die beiliegende Empfehlung auszusprechen.

 

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der K****S folgende Empfehlung aus:

1.    Die K****S möge geeignete Maßnahmen ergreifen, damit eine rechtmäßige Verwendung der Patientendaten im Sinne des § 6 Abs. 1 Z 1, Z 2 und Z 3 DSG 2000 sichergestellt ist.

2.    Für die Umsetzung dieser Empfehlung wird eine Frist von sechs Monaten gesetzt.

Rechtsgrundlagen: §§ 1, 6 und 30 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2015 diente, wurden auch Fragen in Bezug auf eine routinemäßige Überprüfung der Zugriffe auf Patientendaten gestellt.

Dazu gab die K****S an, dass es zu anlassbezogenen Kontrollen, beispielsweise aufgrund einer Beschwerde, käme. In den letzten drei Jahren sei eine solche Kontrolle einmal aufgrund einer Beschwerde erfolgt.

B. In rechtlicher Hinsicht folgt daraus:

1. Es entspricht dem Amtswissen der Datenschutzbehörde, dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt. Ein unberechtigter Zugriff wird regelmäßig dann vorliegen, wenn ohne dienstliche Notwendigkeit (etwa aus Interesse) auf Patientendaten zugegriffen wird. Derartige Zugriffe treten insbesondere – wie Überprüfungen der Datenschutzbehörde ergeben haben – dann auf, wenn bspw. eigene Mitarbeiter oder öffentlich bekannte Personen sich einer Behandlung in der Krankenanstalt unterziehen.

2. Aufgrund des oben angeführten Sachverhaltes steht fest, dass die K****S lediglich anlassbezogene Überprüfungen der Zugriffe auf Patientendaten durchführt.

Gemäß § 6 Abs. 1 Z 1 DSG 2000 dürfen Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden.

Gemäß § 6 Abs. 1 Z 2 DSG 2000 dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Gemäß § 6 Abs. 1 Z 3 DSG 2000 dürfen Daten nur soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen.

Gemäß § 6 Abs. 2 DSG 2000 trägt der Auftraggeber bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

Eine lediglich anlassbezogene und damit erst nach behaupteter unzulässiger Datenverwendung erfolgte (lediglich diesen Einzelfall betreffende) Kontrolle der Zugriffe auf Patientendaten genügt dieser in § 6 Abs. 2 DSG 2000 normierten Verantwortung der K****S nicht. Die K****S hat vielmehr von sich aus – und nicht erst aufgrund von allfälligen Mitteilungen Dritter – durch geeignete Maßnahmen (zB. routinemäßige stichprobenartige Kontrollen hinsichtlich möglich unberechtigter Zugriffe) sicherzustellen, dass die Verwendung von Patientendaten auf rechtmäßige Weise im Sinne des § 6 Abs. 1 Z 1, Z 2 und Z 3 DSG 2000 erfolgt.

Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten scheint für die Umsetzung dieser Empfehlung angemessen.

European Case Law Identifier

ECLI:AT:DSB:2016:DSB.D213.399.0003.DSB.2016