Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

31.01.2017

Geschäftszahl

DSB-D213.471/0005-DSB/2016

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Text

GZ: DSB-D213.471/0005-DSB/2016 vom 31.1.2017

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der abschließenden Erledigung.

 

Mitteilung; Enderledigung

 

A. Verfahrensgang

1. Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2016 mit Schreiben an die ******** Landeskrankenanstalten – Betriebsgesellschaft („xxxxx“) vom 1. Juni 2016 ein amtswegiges Verfahren nach § 30 des Datenschutzgesetzes 2000 – DSG 2000 ein und übermittelte einen Fragebogen.

2. Die xxxxx nahm dazu mit Schreiben vom 5. Juli 2016 Stellung und führte – zusammengefasst – aus, dass die xxxxx eine – im Firmenbuch eingetragene – Anstalt öffentlichen Rechts sei, der die Betriebsführung der Landeskrankenanstalten des Landes *** obliege. Die Einrichtung und Aufgaben der xxxx seien im ******** Landeskrankenanstalten-********gesetz festgelegt. Die xxxxx gab an, dass es für die Verarbeitung von Patientendaten eine ausreichende Rechtsgrundlage – insbesondere in der ******** Krankenanstaltenordnung – gebe und Datensicherheitsmaßnahmen eingehalten werden würden. Es sei ein Berechtigungssystem implementiert, das organisatorisch (Benutzeranträge, Informationssicherheitsrichtlinie, Arbeitsplatzanweisung) und technisch (applikationsübergreifendes Identity Manangement, Rollen und Berechtigungssysteme) die Zugriffe regle.

3. Die Datenschutzbehörde forderte die xxxxx mit Schreiben vom 20. September 2016 auf, zu ergänzenden Fragen Stellung zu nehmen.

4. Die xxxxx nahm dazu mit Schreiben vom 13. Oktober 2016 Stellung.

5. Mit Schreiben der Datenschutzbehörde vom 9. November 2016 wurde die xxxxx informiert, dass am 22. November 2016 eine Einschau nach § 30 Abs. 4 DSG 2000 auf der Liegenschaft Klinikum ***, *****str **, PLZ, **** durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten liegen werde.

6. Im Zuge dieser Einschau wurden von den Vertretern der xxxxx die Fragen dazu beantwortet, die Rollenkonzepte erklärt und Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert.

7. Das Protokoll dieser Einschau wurde der xxxxx am 30.November 2016 übermittelt. Diese nahm dazu mit Schreiben vom 03. Jänner 2017 Stellung und reichte Unterlagen nach.

8. Zusätzliche Nachfragen der Datenschutzbehörde wurden am 13. und 26. Jänner 2017 beantwortet und wurde auch ein KIS-Screenshot eines anonymisierten Patienten mit Bearbeitungshistorie übermittelt.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen und behördlichen Feststellungen im Rahmen der Einschau ergibt:

1. Gemäß Geschäftsbericht werden derzeit xx Spitäler von der xxxxx betrieben (Klinikum ** , LKH ***, LKH ****, LKH ***** sowie die ******-Klinik).

2. Das Krankenhausinformationssystem der xxxxx und der ihr zugeordneten Häuser (z.B. Landesklinikum **, LKH ****) ist „O*****“ (im Landeskrankenhaus *** ist das funktional und von den verwendeten Daten gleichwertige System P***** der Firma P** im Einsatz). O****1 ist ein modular aufgebautes Krankenhausinformationssystem, sodass sich – je nach Bedarf – unterschiedliche Module zusammenstellen lassen. Zugriffe auf die elektronische Patientendokumentation erfolgen je Patient, wobei die gesamte Bearbeitungs- bzw. Zugriffshistorie für jeden berechtigten KIS-User unter dem jeweiligen Patienten abrufbar ist.

Es lässt sich ein Fenster öffnen, in welchem beispielsweise zu lesen ist:

 

„Max Musterpfleger – Ausdruck am TT.MM.JJJJ“

„OA Dr. Monika Musterarzt – Vidierung am TT.MM.JJJJ“

„Marianne Musterpflegerin, Gelesen am TT.MM.JJJJ“).

Die gesamte Zugriffs- und Bearbeitungshistorie ist für jeden ***-Zugriffsberechtigten unter dem jeweiligen Patienten ersichtlich (offene Protokollierung).

3. Das Berechtigungskonzept hat mehrere Ebenen

-             Identitiy Management (allgemeiner Windows Zugriff)

-             Anwendungszugriff „O*****“ (KIS);

Berechtigte Mitarbeiter zum Krankenhausinformationssystem werden im Zuge von Systemeinführungen und Diensteintritt auf die KIS-Informationen geschult. Im Rahmen dieser Schulungen wird auf die Funktionalität „Anzeige der Bearbeitungshistorie“ hingewiesen. Zusätzlich erfolgen regelmäßige Sicherheitsschulungen, im Rahmen derer ebenfalls auf die Anzeige der Bearbeitungshistorie hingewiesen wird. Die Datenanwendung KIS ist unter Datenanwendungsnummer *******/xxx im Datenverarbeitungsregister registriert.

4. Der Anwendungszugriff KIS hat ein „Basisrollenkonzept“ und unterscheidet zwischen verschiedenen Berufsgruppen (ärztliches Personal, Pflegepersonal etc.), sowie innerhalb der Berufsgruppe unterschiedliche „Rollen“. Im ärztlichen Bereich sind dies etwa „Primararzt“, „Oberarzt“ (mit zusätzlichen fachlichen Differenzierungen (ein OA „plastische Chirurgie“ hat dabei eine andere Rolle als ein OA der „inneren Medizin“), „Assistenzarzt“, „Turnusarzt“. Je nach zusätzlichem Fachgebiet kommen weitere Berechtigungsmodule hinzu (z.B. Modul „OP-Koordinator“).

5. Am Beispiel des Klinikums ** wird erläutert, dass die Zugriffsprotokolle stichprobenartig einmal monatlich vom jeweiligen Sicherheitsbeauftragten (je Klinikum gibt es einen Sicherheitsbeauftragten) überprüft werden. Stichprobenartig bedeutet, dass pro Monat anhand von vier bis sechs Patienten die Zugriffe und deren Berechtigungen bzw. Begründbarkeit überprüft werden. Zusätzliche Überprüfungen finden bei „Verdachtsmeldungen“ statt. Verdachtsmeldungen (betreffend behauptet ungerechtfertigter Zugriffe) sind auch elektronisch über das Intranetportal (für Mitarbeiter) oder über das Internetportal (Patienten) möglich. Es handelt sich dabei nicht um ein Hinweisgebersystem in dem Sinne, dass unter Wahrung der Anonymität Missstände gemeldet werden können.

 

6. Ein „Krankenhausinformationssystem Account“ ist mehrfach (also zeitgleich) an unterschiedlichen Desktops nutzbar. Es gibt einen Button „schneller Benutzerwechsel“, der die Session schließt. Wenn ein User bei einem Bildschirm den „Button“ nicht drückt und „seine Session“ arbeitsbereit offen bleibt, erfolgt keine „Warnung“ beim „Paralleleinstieg“ (z.B. „Achtung, Session unter Gerät XXXX offen“). Ein automatisches „Session Log out“ bei Untätigkeit erfolgt nach 15 Minuten. Das derzeitige Berechtigungsmanagement sieht ein 8-stelliges Passwort mit numerischen sowie alphanumerischen Zeichen, Sonderzeichen und Groß-Kleinschreibung vor. Beim allgemeinen Zugang ist alle 3 Monate ein Passwort-Wechsel erforderlich, im ***-System alle 6 Monate.

7. Die xx** verfügt über mehrere Rechenzentren samt Back-Up (Standort xx** Holding und LKH ***). Der xx** IKT-Bereich orientiert sich an ISO 27001 ist jedoch (noch) nicht ISO 27001 zertifiziert.

8. Da die Digitalisierung noch nicht vollständig umgesetzt ist, werden in Teilbereichen noch Papierakten geführt (z.B. Personal).

9. Patientendaten werden gemäß § ZZ ******** Krankenanstaltenordnung (*-KAO) zumindest für 10 Jahre nach ambulanter Behandlung und für 30 Jahre nach stationärer Behandlung aufbewahrt, wobei eine längere Aufbewahrung aus medizinischen Erfordernissen möglich ist. Derzeit ist keine automatische Löschroutine der Patientendaten vorgesehen. Die xxxxx gibt an, dass Löschroutinen bei fremd lizensierter Software – in diesem Fall z.B. Fa. O**** – auch herstellerabhängig sind.

10. Mitarbeiterdaten – etwa die am Desktop gespeicherten Daten des Mitarbeiters (Laufwerk und der E-Mail-Account des Mitarbeiters) – werden in der Regel 3 Monate nach Verlassen des Unternehmens gelöscht. Eine Rekonstruktion der Daten kann im begründeten Anlassfall bis zu 3 Jahre nachdem der Mitarbeiter das Unternehmen verlassen hat erfolgen, wobei hierfür Antrag, Genehmigung und Beiziehung des Betriebsrates sowie Protokollierung erforderlich sind. In besonders sensiblen Fällen wird ein von der Rechtsabteilung entsandter Vertreter beigezogen (z.B. ein Rechtsanwalt). Mitarbeiterdaten in der Datenanwendung „Personalverwaltung“ werden nach 3 Jahren gelöscht. Die Userdaten (also die Zuordnung, dass z.B. das Benutzerkennzeichen „U5Ko7ic“ – Dr. Max Mustermann „gehörte“) werden aus Dokumentations- und Nachweiszwecken bislang nicht gelöscht.

 

11. Software-Dienstleister aber auch Mitarbeiter der xxxxx können extern zugreifen, wobei der Mitarbeiter-Zugriff mittels Citrix und Handy Signatur erfolgt (2-Faktor-Authentifizierung). Bei Wartungen erfolgt der Remote-Zugriff innerhalb eines definierten Wartungsfensters (d.h. ohne „weitere darüber hinaus gehende Zugriffsmöglichkeit“) mit „Token“ oder Handy Signatur.

 

11. Eine Übermittlung von Patientendaten erfolgt im Rahmen gesetzlicher Regelungen (ASVG, VersVG) zur Verrechnung oder mit Patientenzustimmung an nachbehandelnde Gesundheitsanbieter. Auch werden – mit Zustimmung des Patienten – patientenbezogene Daten an Empfänger in Drittländern (ebenfalls zur Nachbehandlung oder zu Verrechnungszwecken) übermittelt, wenn es sich um einen im Ausland aufhältigen Patienten handelt. Die xxxxx bedient sich für die verschlüsselte Übermittlung im Einzelfall mit Zustimmung des Patienten an andere Gesundheitsdiensteanbieter eines Cloud-Anbieters im EU-Raum, wobei der Verbleib der Server im EU-Raum im Dienstleistervertrag ausdrücklich zugesagt ist. Konkret erhält ein berechtigter Gesundheitsdiensteanbieter im Einzelfall einen Link zu diesem Cloud-Diensteanbieter, wo die angeforderten Informationen verschlüsselt mit einer 256Bit Verschlüsselung vom berechtigten GDA abgelegt wurden. Der Schlüssel ist nur dem berechtigten Empfänger bekannt.

12. Die xxxxx führt jährliche Informationsveranstaltungen für Bedienstete durch, in denen Datenschutz ein wesentliches Thema ist. Bedienstete werden zur Einhaltung des Datengeheimnisses schriftlich verpflichtet. Des Weiteren existieren – im Intranet abrufbare – Richtlinien und „Organisationsanweisungen“, wie das „Handbuch *** ***“ (=“****************“), „Handlungsregeln, Patientendaten-Anforderung und Ausgabe“, sowie die Dienstanweisung „Betrieb und Nutzung der Informations- und Kommunikationstechnologie (IKT) in der xxxxx“.

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob die xxxxx gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag.

Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des § 4 Z 2 DSG 2000, die einem besondere Schutz unterliegen.

2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden.

Besonders hervorzuheben sind folgende Bemühungen der xxxxx:

a)           das Vorhandensein schriftlicher Unterlagen zum Datenschutz bzw. zur medizinischen Dokumentation;

b)           das Vorliegen eines umfassenden Rollen- und Berechtigungskonzepts mit einer – innerhalb ein- und derselben Berufsgruppe – ausdifferenzierten Berechtigungsvergabe;

c)           das Vorhandensein eines umfassenden Protokollierungssystems, in welchem z.B. gesondert zwischen „Lesen“ und „Ausdrucken“ unterschieden wird;

d)           das Vorhandensein von zwei räumlich getrennten Serverstandorten in ** und ***;

e)      grundsätzliche Überlegungen hinsichtlich der Löschungsroutine elektronischer Krankengeschichten;

f)      die Sensibilisierung von Bediensteten im Hinblick auf den Schutz personenbezogener Daten;

g)           die Auffassung, dass mit der Umsetzung der Vorgaben der Datenschutz-Grundverordnung (Verordnung (EU) Nr. 2016/679) rasch begonnen werden muss;

3. Hinsichtlich

a)     der Nichtdurchführung einer Löschung ehemaliger User,

b)     regelmäßiger Zugriffskontrollen,

c)           der fehlenden Löschroutine von elektronischen Krankengeschichten sowie von bestimmten Protokolldaten,

d)           der offenen Protokollierung von Zugriffen durch Bedienstete sowie

e)           einer Warnung bei einem parallelen Session-Aufbau im ***, wenn die Session an einem anderen Desktop noch nicht beendet ist, und eines kürzeren automatischen „Session Log off“ bei Nichtbearbeitung

war jedoch die beiliegende Empfehlung auszusprechen.

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der ******** Landeskrankenanstalten-*******gesellschaft (xxxxx) folgende Empfehlung aus:

1.    Die xxxxx möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben.

2.    Die xxxxx möge geeignete Maßnahmen ergreifen, um eine effektive Zugriffskontrolle auf Patientendaten sicherzustellen. Die Bediensteten der xxxxx mögen darüber nachweislich in Kenntnis gesetzt werden.

3.    Die xxxxx möge eine Löschroutine hinsichtlich der Löschung von Patientendaten in elektronisch geführten Krankengeschichten sowie von Protokolldaten (der offenen Protokollierung) implementieren.

4.    Die xxxxx möge im Rahmen von abzuschließenden Betriebsvereinbarungen betreffend Datenzugriffe die Zustimmung der Betroffenen für die „offene Protokollierung“ der Daten einholen.

5.     Die xxxxx möge Maßnahmen ergreifen, damit bei einem parallelen Session Aufbau „***“ – wenn der Button schneller Benutzerwechsel zur Beendigung zuvor nicht gedrückt wurde – eine Warnung implementiert wird, die den ***-User an die „offene Session“ am anderen Desktop erinnert. Weiters möge das automatische Session Log Off bei Nichtbearbeitung verkürzt werden.

6.     Für die Umsetzung dieser Empfehlung wird eine Frist von sechs Monaten gesetzt.

Rechtsgrundlagen: §§ 1, 6, 8, 14, 15, und 30 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2015/2016 diente, wurden auch Fragen zur Vorgangsweise bei Ausscheiden eines Mitarbeiters, zur regelmäßigen Überprüfung von Zugriffen auf Patientendaten sowie zur Löschroutine bei Krankengeschichten und Protokolldaten („Bearbeitungshistorie ***“, „offene Protokolldaten“) gestellt.

Dazu gab die xxxxx an, dass grundsätzlich bei einem Ausscheiden keine Löschung des Nutzerprofils des betreffenden Mitarbeiters/Nutzers erfolge.

In Bezug auf die Überprüfung von Zugriffen auf Patientendaten wurde ausgeführt, dass am Beispiel Landesklinikum ** monatlich eine Zugriffskontrolle von vier bis sechs Patienten erfolge.

Eine Löschroutine von Patientendaten, die in elektronisch geführten Krankengeschichten geführt werden, gebe es (noch) nicht. Die automationsunterstützte, automatische Löschung sei auch „herstellerabhängig“ (lizenzierte Softwaresysteme wie etwa „O****“).

In Bezug auf die offene Protokollierung der „Bearbeitungshistorie „***“ – also der konkreten Anzeige der Bearbeitungshistorie zu einem bestimmten Patienten („OA Dr. Mustermann ausgedruckt am TTMMJJJJ“, Peter Musterpfleger, gelesen am TTMMJJJJ“) für alle zu diesem bestimmten Patienten Zugriffsberechtigte – wurde vorgebracht, dass der primäre Zweck der Funktionalität darin liege, eine erfolgreiche Abarbeitung von Prozessschritten zu gewährleisten und die am Behandlungsprozess beteiligten Personen zu identifizieren u.a., um die Kommunikation sicherzustellen. Durch die Funktionalität werde zudem die Möglichkeit der Nachvollziehbarkeit unrechtmäßiger Zugriffe für alle berechtigten Nutzer (…) patientenbezogen eröffnet. Eine Löschung der Daten aus der „offenen Protokollierung“ / „Bearbeitungshistorie“ ist derzeit nicht implementiert.

B. In rechtlicher Hinsicht folgt daraus:

I. Zu den Nutzerprofilen

1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass Nutzer/Mitarbeiter auch nach deren Ausscheiden aus der xxxxx in Datenverarbeitungssystemen insoweit zeitlich unbefristet gespeichert bleiben, als lediglich deren Zugangsberechtigung deaktiviert wird, Tätigkeiten des Nutzers aber weiterhin nachvollzogen werden können.

Die Datenschutzbehörde anerkennt, dass dies insofern erforderlich sein könnte, um auch nach dem Ausscheiden eines Mitarbeiters nachvollziehen zu können, welche Handlungen der Nutzer im System gesetzt hat. Auch erscheint dies erforderlich, um Behandlungen von Patienten, die von einem Nutzer in das Patientenverwaltungssystem einzutragen sind, lückenlos zu dokumentieren und den Behandlungsverlauf somit nachweisbar darlegen zu können.

2. Jedoch widerspricht eine zeitlich nicht befristete Speicherung personenbezogener Daten dem Grundsatz des § 6 Abs. 1 Z 5 DSG 2000.

Auch der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Art. 8 EMRK darstellt (vgl. dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr. 19522/09, Rz 35 f mwN). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden.

3. Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

II. Zur angemessenen Stichprobe bei der Zugriffskontrolle

1. Es entspricht dem Amtswissen der Datenschutzbehörde, dass es in Krankenanstalten immer wieder zu unberechtigten Zugriffen auf Patientendaten durch eigene Mitarbeiter kommt oder Zugangsberechtigungen weitergegeben werden. Ein unberechtigter Zugriff wird regelmäßig dann vorliegen, wenn ohne dienstliche Notwendigkeit (etwa aus Interesse) auf Patientendaten zugegriffen wird. Derartige Zugriffe treten insbesondere dann auf, wenn bspw. eigene Mitarbeiter, deren Angehörige oder öffentlich bekannte Personen sich einer Behandlung in der Krankenanstalt unterziehen (vgl. dazu die Empfehlungen vom 18. Mai 2016, GZ DSB-D213.399/0003-DSB/2016, sowie vom 23. Mai 2016, GZ DSB-D210.783/0004-DSB/2016, beide abrufbar im RIS).

2. Gemäß § 6 Abs. 1 Z 1 DSG 2000 dürfen Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden.

Gemäß § 6 Abs. 1 Z 2 DSG 2000 dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

Gemäß § 6 Abs. 1 Z 3 DSG 2000 dürfen Daten nur soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen.

Gemäß § 6 Abs. 2 DSG 2000 trägt der Auftraggeber bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.

3. Aufgrund des oben angeführten Sachverhaltes steht fest, dass die xxxxx zwar Zugriffe ordnungsgemäß protokolliert und auch stichprobenweise monatlich kontrolliert, jedoch scheint angesichts der Größe des Klinikums ** eine Stichprobengröße von vier bis sechs Patienten je Monat zu gering, um eine verlässliche Kontrolle zu gewährleisten, die besonders schützenswerte Personengruppen (wie insbesondere eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen zu schützen (siehe dazu auch die Empfehlung vom 23. Mai 2016, GZ DSB-D210.783/0004-DSB/2016).

Überprüfungen in anderen Krankenanstalten durch die Datenschutzbehörde haben ergeben, dass effektive die Zugriffskontrollen auf verschiedene Arten ausgeführt werden können (vgl. dazu bspw. die Empfehlungen vom 17. Mai 2015, GZ DSB-D213.397/0005-DSB/2016, GZ DSB-D213.395/0003-DSB/2016 sowie jene vom 18. Mai 2016, GZ DSB-D213.398/0003-DSB/2016, abrufbar im RIS).

Zur Hintanhaltung unberechtigter Zugriffe empfiehlt es sich, die Bediensteten der xxxxx auf die Durchführung nachprüfender Zugriffskontrollen nachweislich aufmerksam zu machen.

III. Zur Implementierung einer Löschroutine

Wie unter I. dargelegt, dürfen Daten in personenbezogener Form nur zeitlich begrenzt aufbewahrt werden.

Die zulässige Aufbewahrungsdauer von Patientendaten bzw. von Protokolldaten richtet sich nach den einschlägigen Materiengesetzen.

Zur Sicherstellung, dass diese Daten nach Ablauf der zulässigen Speicherdauer gelöscht werden bzw. der Personenbezug beseitigt wird, war diese Empfehlung auszusprechen.

IV. Zur Einholung der Zustimmung für die „offene Protokollierung“

1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass O****-Benutzer im Rahmen der zugeteilten Berechtigungsrolle und der dadurch erlangten Berechtigung auf die Protokolldaten „ihrer“ Patienten zugreifen können. Da im Zuge dieser „offenen Protokollierung“ die Namen aller Mitarbeiter angezeigt werden, die ebenfalls Teil der Bearbeitungshistorie einer Patientenakte sind, sind somit schutzwürdige Geheimhaltungsinteressen dieser Mitarbeiter betroffen. Bei einer derartigen Verwendung nicht-sensibler Daten sind die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nur in den unter § 8 Abs. 1 DSG 2000 festgelegten Fällen nicht verletzt.

2. Um Sicherzustellen, dass es zu keiner Verletzung der schutzwürdigen Geheimhaltungsinteressen bei Verwendung von Protokolldaten kommt, ist daher im Rahmen der Betriebsvereinbarung die Zustimmung der Betroffenen gem. § 8 Abs. 1 Z 2 DSG 2000 einzuholen.

V. Zur „Nutzerwarnung“ bei einem doppelten „Sessionaufbau“ / Verkürzung des Session Log - Off:

Die Datenschutzbehörde verkennt die Notwendigkeit eines raschen Sessionwechsels / Sessionaufbaus im Klinikbereich - um etwa bei einer Betreuung mehrerer „Kabinen“ im ambulanten Bereich eine effiziente Abarbeitung zu gewährleisten - nicht. Wegen der sensiblen Daten, die im Rahmen offener ***-Sessions bearbeitet werden, und der Dauer eines „automatischen Session Log off“ von 15 Minuten „Nichtbearbeitung“, scheint es jedoch erforderlich, dass Nutzer, die vergessen haben sich an einem Desktop mittels „Benutzerwechsel“ abzumelden, beim Aufbau der „Parallel-Session“ auf die offene Session am anderen Desktop hingewiesen werden.

Aus Gründen der Datensicherheit – insbesondere bei der Verarbeitung sensibler Daten im Sinne des § 4 Z 2 DSG 2000 – erscheint der automatische Session Log off von 15 Minuten „Nichtbearbeitung“ darüber hinaus zu lang bemessen.

VI. Zusammenfassung

Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten scheint für die Umsetzung dieser Empfehlung angemessen.

European Case Law Identifier

ECLI:AT:DSB:2017:DSB.D213.471.0005.DSB.2016

1  „O****“ ™ der Fa. A*** H***** Care , Näheres siehe http://www.a************.com