Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der Enderledigung.

Transkript

1 GZ: DSB-D /0003-DSB/2016 vom [Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und -Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatikund Satzzeichenfehler wurden korrigiert.] Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der Enderledigung. Enderledigung A. Verfahrensgang 1. Die Datenschutzbehörde leitete in Umsetzung des Prüfungsschwerpunktes 2015 mit Schreiben an den K*** [Krankenanstaltenträger] vom 3. September 2015 ein amtswegiges Verfahren nach 30 des Datenschutzgesetzes 2000 DSG 2000 ein und übermittelte einen Fragebogen. 2. Der K***, vertreten durch den ****, nahm dazu mit Schreiben vom 2. Oktober 2015 Stellung und führte zusammengefasst aus, dass es für die Verarbeitung von Patientendaten eine ausreichende Rechtsgrundlage gebe und Datensicherheitsmaßnahmen eingehalten würden. Weiters wurde die Unternehmensstruktur des K*** erklärt. Es gebe einen Datenschutzbeauftragten in der Zentrale des K*** sowie in jeder Dienststelle einen vom jeweiligen Leiter bestellten Datenschutzbeauftragten. Einmal jährlich werde ein Datenschutzbericht auf Basis einer Selbstauditierung erstellt. Im Intranet gebe es ein Datenschutzhandbuch und Schulungen für Datenschutzbeauftragte. 3. Die Datenschutzbehörde forderte den K*** mit Schreiben vom 6. November und 21. Dezember 2015 auf, zu ergänzenden Fragen Stellung zu nehmen. 4. Der K*** nahm dazu mit Schreiben vom 3. Dezember 2015 und vom 18. Jänner 2016 Stellung und übermittelte ergänzende Unterlagen. 5. Mit Schreiben der Datenschutzbehörde vom 26. Februar 2016 wurde der K*** informiert, dass am 5. April 2016 eine Einschau nach 30 Abs. 4 DSG 2000 auf den Liegenschaften X*-Krankenhaus und Y*-Krankenhaus durchgeführt und der Schwerpunkt der Einschau auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten liegen werde.

2 6. Im Zuge dieser Einschau wurden von den Vertretern des K*** die Fragen dazu beantwortet, entsprechende Konzepte vorgelegt, Zugriffsberechtigungen an EDV- Arbeitsplätzen demonstriert sowie die Überprüfung der Zugriffe dargelegt. 7. Das Protokoll dieser Einschau wurde dem K*** übermittelt. Dieser nahm dazu mit Schreiben vom 20. April 2016 Stellung. B. Sachverhaltsfeststellungen Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen im Rahmen der Einschau am 5. April 2016 ergibt: 1. Der K*** ist Träger diverser Krankenanstalten, Geriatriezentren und Pflegewohnhäuser in V***. 2. Zur Verwaltung von Patientendaten steht in den Krankenanstalten ein einheitliches Patientenverwaltungssystem zur Verfügung; lediglich das A*-Krankenhaus bedient sich eines anderen Systems, das aber über eine Schnittstelle mit dem Patientenverwaltungssystem des K*** verbunden ist. 3. Das Patientenverwaltungssystem unterscheidet zwischen verschiedenen Berufsgruppen (ärztliches Personal, Pflegepersonal etc.). Für jede Berufsgruppe gibt es ein Rollenkonzept mit verschiedenen Zugriffsberechtigungen. Das ärztliche Personal hat die Möglichkeit, mittels Notfallzugriff auf Patientendaten zuzugreifen, auch wenn der betreffende Patient nicht der Station, auf der der Arzt seinen Dienst versieht, zugewiesen ist. Dieser Zugriff wird protokolliert. 4. Bei neu eintretenden Mitarbeitern wird ein Benutzer-Anforderungsformular vom Vorgesetzten ausgefüllt. Nach Prüfung der Zugehörigkeit des Dienstnehmers zum K*** erfolgt das Anlegen eines Nutzerprofils. Bei einem Austritt von Mitarbeitern wird deren Benutzerberechtigung deaktiviert, es erfolgt jedoch keine Löschung des konkreten Nutzers im System. 5. Alle Zugriffe auf das Patientenverwaltungssystem (lesend und schreibend) werden geloggt. Einmal pro Monat ist von der Leitung der Krankenanstalt eine Logüberprüfung durchzuführen. Dazu wurde ein eigenes System implementiert, das folgende automationsunterstützte Überprüfungen ermöglicht: Verlaufsdiagramm der Notfallzugriffe pro Monat

3 Zugriffshäufigkeit pro Patient für bestimmte erweiterte Situationsgruppen Zugriffshäufigkeit pro User für bestimmte erweiterte Situationsgruppen Zugriffshäufigkeit pro User für Notfallzugriffe mit Begründungen 10 zufällige Zugriffe Zugriffsliste für einen bestimmten Patienten Zugriffsliste von einem bestimmten Benutzer Wird im Zuge dessen eine Abnormalität festgestellt, hat dies interne Nachforschungen und gegebenenfalls dienstrechtliche Konsequenzen zur Folge. 6. Die Speicherung der Daten erfolgt an zwei gesicherten, räumlich (ca. 3,5 km) voneinander getrennten Serverstandorten in V***. Das Back-up erfolgt laufend, bei einem Ausfall des Primärsystems kann das redundante System den Betrieb übernehmen. Es liegen Notfallpläne für ein derartiges Szenario vor. 7. Externe Zugriffe sind derzeit Administratoren vorbehalten, können aber für den Fall der Einführung einer Rufbereitschaft auch auf Ärzte ausgeweitet werden. Bei einem externen Zugriff wird zusätzlich zu Benutzername und Passwort an eine hinterlegte Handynummer ein fünf Minuten gültiges Passwort gesendet, welches zusätzlich einzugeben ist. Der Zugriff erfolgt über K***-eigene Endgeräte mit verschlüsselter Festplatte. C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung 1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob der K*** gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepten, routinemäßiger Überprüfung der Zugriffe auf Patientendaten, Überprüfung von herangezogenen Dienstleistern, allfälliger Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag. Bei Daten zur Gesundheit handelt es sich um sensible Daten im Sinne des 4 Z 2 DSG 2000, die einem besondere Schutz unterliegen. 2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden. Besonders hervorzuheben sind folgende Bemühungen des K***:

4 a) das Vorhandensein eines Datenschutzhandbuches b) die Bestellung eines zentralen Datenschutzbeauftragten sowie von Datenschutzbeauftragten in den Dienststellen, einschließlich deren Schulungen c) die Erstellung eines jährlichen internen Datenschutzkontrollberichts d) das Vorliegen eines Rollen- und Berechtigungskonzepts e) das Vorhandensein eines umfassenden Protokollierungssystems f) das Vorliegen eines Konzeptes zur Überprüfung von Logfiles (Prüfungsroutine) g) ein festgelegtes System für das Anlegen und Deaktivieren von Usern h) das Vorliegen eines Passwortsystems, das Komplexitätsanforderungen an ein Passwort stellt, eine Passwort-History aufweist und Nutzer regelmäßig auffordert, das Passwort zu ändern i) das Vorhandensein von zwei räumlich getrennten Serverstandorten mit der Fähigkeit zur Redundanz und das Vorliegen von Notfallplänen j) die Möglichkeit zur Schnellabmeldung im System bei einem Benutzerwechsel am EDV-Arbeitsplatz (z.b. in Ambulanzen) k) die Überprüfung herangezogener Dienstleister l) das zusätzliche Sicherungselement bei externen Zugriffen m) Überlegungen hinsichtlich der Löschungsroutine elektronischer Krankengeschichten 3. Hinsichtlich der Nichtdurchführung einer Löschung ehemaliger User war jedoch die beiliegende Empfehlung auszusprechen.

5 E M P F E H L U N G Die Datenschutzbehörde spricht aus Anlass der Überprüfung des K*** folgende Empfehlung aus: 1. Der K*** möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben. 2. Für die Umsetzung dieser Empfehlung wird eine Frist von sechs Monaten gesetzt. Rechtsgrundlagen: 1, 6 und 30 des Datenschutzgesetzes 2000 DSG 2000, BGBl. I Nr. 165/1999 idgf. G r ü n d e f ü r d i e s e E m p f e h l u n g A. Verfahrensgang Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des Prüfungsschwerpunktes 2015 diente, wurden auch Fragen zur Vorgangsweise bei einem Austritt eines Mitarbeiters gestellt. Dazu gab der K*** an, dass bei einem Austritt das Nutzerprofil des austretenden Nutzers deaktiviert werde, sodass dieser keinen Zugriff mehr auf Daten habe. Es erfolge jedoch keine Löschung des Nutzers, um auch nach dessen Austritt dessen Tätigkeiten im Datenverarbeitungssystem nachvollziehen zu können. B. In rechtlicher Hinsicht folgt daraus: 1. Aufgrund des oben angeführten Sachverhaltes steht fest, dass Nutzer auch nach deren Austritt aus dem K*** in Datenverarbeitungssystemen insoweit zeitlich unbefristet gespeichert bleiben, als lediglich deren Zugangsberechtigung deaktiviert wird, Tätigkeiten des Nutzers aber weiterhin nachvollzogen werden können. Die Datenschutzbehörde anerkennt, dass dies insofern erforderlich sein könnte, um auch nach dem Austritt eines Mitarbeiters nachvollziehen zu können, welche Handlungen der Nutzer im System gesetzt hat. Auch erscheint dies erforderlich, um Behandlungen von Patienten, die von einem Nutzer in das Patientenverwaltungssystem einzutragen sind, lückenlos zu dokumentieren und den Behandlungsverlauf somit nachweisbar darlegen zu können.

6 2. Jedoch widerspricht eine zeitlich nicht befristete Speicherung personenbezogener Daten dem Grundsatz des 6 Abs. 1 Z 5 DSG Auch der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Art. 8 EMRK darstellt (vgl. dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr /09, Rz 35 f mwn). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden. 3. Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden. 4. Es war folglich gemäß 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von sechs Monaten scheint für die Umsetzung dieser Empfehlung angemessen.