Mitteilungen aus dem 42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragen 2013

Transkript

1 Mitteilungen aus dem 42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragen 2013 (Auswahl einiger für PP und KJP besonders relevanter Punkte von Dr. Rainer Doubrawa, Datenschutzbeauftragter Psychotherapeutenkammer Hessen) Aus dem umfangreichen, 343 Seiten umfassenden Jahresbericht 2013 des HDSB möchte ich einige Punkte herausgreifen, die ich für uns Psychologische PsychotherapeutInnen sowie Kinder- und Jugendlichen-PsychotherapeutInnen für besonders relevant halte. Ich werde mich dabei möglichst kurz fassen. Wer mehr dazu lesen möchte, sei auf den Originalbericht verwiesen. Dieser findet sich auf der Homepage des HDSB: Die Abschnitte, auf die ich mich beziehe, nenne ich dazu jeweils mit ihren Ziffern, so dass sie im Original leicht aufzufinden sind Rollen- und Berechtigungskonzepte für das Klinikinformationssystem in hessischen Krankenhäusern Hinsichtlich der Zugriffsgestaltung hat es bundesweit Probleme gegeben. Eine Orientierungshilfe Krankenhausinformationssysteme, über die im 40. Tätigkeitsbericht Ziff berichtet wurde, ermöglicht allen Anwendern eine detaillierte Orientierung bezüglich der datenschutzrechtlichen Anforderungen insbesondere an ein Rollen- und Berechtigungskonzept. Dadurch soll gewährleistet werden, dass Patienten vor einem unbefugtem Zugriff auf ihre sensiblen medizinischen Daten durch Beschäftigte des Krankenhauses geschützt sind. In Hessen ist die Notwendigkeit der Zugriffsbegrenzung ausdrücklich in 12 Abs. 3 HKHG geregelt. Grundsätzlich gilt, das dürfte genauso für die Rehakliniken gelten, dass Krankenhausbeschäftigten nur dann ein Zugriff auf die Daten eines Patienten bzw. einer Patientin möglich sein darf, wenn sie in die Behandlung einbezogen sind oder die Behandlung verwaltungsmäßig abwickeln. Gefordert wird, dass ohne Eingabe einer (inhaltlichen) Begründung ein erweiterter Datenzugriff nicht möglich sein darf. Die Zugriffe müssen protokolliert werden. Für eine effektive Kontrolle wird ein schlüssiges Gesamtkonzept gefordert, ebenso müsse ein Konzept für die Sperrung und Löschung von Patientendaten erarbeitet und umgesetzt werden Behördliche Datenschutzbeauftragte sind nicht nur interne Ansprechpartner für Behördenleitung und Mitarbeiter, sondern auch Anlaufstelle für Außenstehende und den Hessischen Datenschutzbeauftragten. Dies muss intern und extern namentlich bekannt sein (Homepage, Telefonzentrale). Der behördliche DSB ist im Organisationsplan - als Stabsstelle - unmittelbar der Behördenleitung zuzuordnen Eingrenzung der Datenübermittlungen vom MDK an die Krankenkasse Die Mitteilungspflichten des MDK gegenüber der Krankenkasse werden in 277 SGB V geregelt. Die Übermittlung der Daten ist auf das Ergebnis der Begutachtung und die erforderlichen Angaben über den Befund zu beschränken ( 277 Abs. 1 S.1). Ein komplettes 1

2 umfangreiches Gutachten des MDK darf demnach nicht an die Krankenkasse übermittelt werden, vielmehr nur die Informationen daraus, die die Krankenkasse in die Lage versetzen, eine Leistungsentscheidung zu treffen Ahndung von Datenschutzverstößen als Ordnungswidrigkeit Die Aufsichtsbehörde nach 38 BDSG, in Hessen der HDSB, kann Datenschutzverstöße als Ordnungswidrigkeiten ahnden. Mögliche Ordnungswidrigkeiten nach 43 BDSG werden in dem Bericht genannt. Ordnungswidrigkeiten können je nach Fall mit Geldbußen in Höhe von bis zu fünfzigtausend bzw. dreihunderttausend Euro geahndet werden. Die im Berichtsjahr insgesamt verhängten Bußgelder lagen laut Bericht jedoch im niedrigen fünfstelligen Euro-Bereich Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Bei Verlust von personenbezogenen Daten (z. B. solchen, die einem Berufsgeheimnis unterliegen,, Bank- oder Kreditkartenkonten u. a.) und drohenden schwerwiegenden Beeinträchtigungen dadurch muss die verantwortliche Daten verarbeitende Stelle (nichtöffentliche oder öffentliche Stelle) unverzüglich die Betroffenen sowie die Aufsichtsbehörde benachrichtigen. Die Verletzung der Meldepflicht ist ein Bußgeldtatbestand. Meldepflicht besteht auch bei Hackerangriffen und in Skimming-Fällen Versand mit offenem Verteiler Dies kann eine Ordnungswidrigkeit gemäß 43 Abs. 2 Nr. 1 sein. Nämlich dann, wenn z. B. im Rahmen einer Werbeaktion eine große Zahl von -Adressen im an - oder cc -Feld offen gelistet sind. Persönliche -Adressen sind personenbezogene Daten, nicht dagegen anonymisierte -Adressen oder sog. Funktionsadressen ( z. B. poststelle@...). Heikel ist ferner, wenn es dann um spezifische sensible Inhalte in diesen Mails geht. Wenn die -Adressen allgemein zugänglich sind und von jedermann zur Kenntnis genommen werden können, gilt diese datenschutzrechtliche Einschränkung nicht. (Auch nicht, wenn sich die im offenen Verteiler genannten Personen kennen, z. B. Freunde, Verwandte, Mitglieder einer Arbeitsgruppe o. ä.). Ansonsten gilt, Mail-Adressen von mehreren Personen, die nichts miteinander zu tun haben (d. h. nicht allgemein zugängliche Daten), gehören in das bcc -Feld oder es ist der individuelle Versand der Mails zu wählen, wofür es Computer-Programme gibt Videoüberwachung öffentlich zugänglicher Bereiche durch Privatpersonen Videoüberwachung zur Wahrnehmung des privaten Hausrechts ist grundsätzlich nur innerhalb der Grenzen des eigenen Grundstücks/Hauses zulässig. Der öffentlich zugängliche Bereich (Straße, Gehweg, Parkplatz) darf durch Privatpersonen nicht mittels Videokameras überwacht werden. Auch Kameraattrappen sind als Geräte zur Videoüberwachung zu werten Kundendaten auf defektem, zurückgegebenen Notebook Wird der Kaufvertrag über technisches Gerät mit einem Speichermedium, z. B. ein Notebook, rückabgewickelt, muss der Verkäufer sicherstellen, dass etwaige darauf gespeicherte personenbezogene Daten des Käufers unwiederbringlich gelöscht sind, bevor es nach Reparatur durch Dritte genutzt wird bzw. erneut in den Handel gelangt. Die Löschung muss ordnungsgemäß durch einen kompetenten Mitarbeiter erfolgen. 2

3 4.9 Datenschutz in der Arztpraxis : Routinemäßige Erstellung eines Fotos des Patienten. Die Erstellung von Fotos zur Identifizierung des Patienten ist im Regelfall zur Durchführung der Behandlung nicht erforderlich. Es gibt auch keine gesetzliche Grundlage dafür. Sollte sich eine Praxis dennoch dazu entschließen, ist eine informierte Einwilligung des Patienten erforderlich. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf Verlangen auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform ( 4a Abs. 1 BDSG) elektronische Dokumentation der Behandlung. Hierfür bedarf es (wie in den Krankenhäusern) eines Rollen- und Berechtigungskonzepts für den Zugriff auf die Patientendaten sowie entsprechender technisch-organisatorischer Datensicherheitsmaßnahmen. Auch stellt sich hier die Frage, ob z. B. nachträgliche Änderungen/Ergänzungen der Behandlungsdokumentation revisionssicher im PVS-System dokumentiert werden. Es muss eine möglichst fälschungssichere Organisation der elektronischen Dokumentation sichergestellt werden. Das gilt besonders auch für das Einscannen von in Papierform eingegangenen Befundberichten oder anderen Dokumente in Papierform Übermittlung von Patientendaten an private Abrechnungsdienste Hierzu bedarf es grundsätzlich einer schriftlichen Einwilligung des Patienten, in der erkennbar ist, an welches private Unternehmen, zu welchem Zweck welche Daten übermittelt werden und wo darauf hingewiesen wird, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann Datenschutzgerechte Ausgestaltung des Empfangsbereichs Aus datenschutzrechtlicher Sicht ist der Empfangsbereich ein besonders sensibler Bereich einer Arztpraxis. Der Arzt muss seine Arztpraxis so organisieren, dass persönliche Angaben von Patienten von anderen Besuchern der Praxis nicht zur Kenntnis genommen werden können Dies erfordert i. d. R. die Schaffung einer Diskretionszone. Empfangsund Wartebereich sollten dabei möglichst nicht ineinander übergehen, sondern voneinander getrennt sein. - Gilt entsprechend auch für psychologische/psychotherapeutische Praxen (insbesondere MVZ oder Praxisgemeinschaften) Neues Merkblatt der Landespsychotherapeutenkammer für Hinterbliebene verstorbener Mitglieder Im Hinblick auf die Bedeutung dieses Teils des Berichts des HDSB für unsere Kammermitglieder sei hier der vollständige Text des Abschnitts wiedergegeben: Im Falle einer fehlenden Nachfolgeregelung durch ein verstorbenes Kammermitglied haben die Erben die Aufbewahrungspflicht als vertragliche Nebenpflicht aus dem Behandlungsvertrag zu erfüllen. Gemäß 203 Abs. 3 S. 2 StGB gilt die gesetzliche Schweigepflicht hierbei auch für die Erben. Sofern sich digitale Daten im Nachlass befinden, sind bei der anschließenden Verwahrung einige Besonderheiten zu beachten Hintergrund 3

4 Auch im vergangenen Jahr war ich wieder häufig in beratender Funktion gegenüber einzelnen Kammern und Verbänden aus dem Gesundheitswesen tätig. Hierzu gehörte auch die Landespsychotherapeutenkammer Hessen. Gegenstand der Beratung war unter anderem das Merkblatt Hinweis für Hinterbliebene verstorbener Mitglieder der hessischen Psychotherapeutenkammer zum Umgang mit Patientendaten. Hier galt es unter anderem, das Merkblatt an zwischenzeitlich veränderte technische Gegebenheiten anzupassen Datenschutzrechtliche Vorgaben Ein besonderes Anliegen war es mir zunächst, dass in dem Merkblatt noch einmal deutlich hervorgehoben wird, dass nach 203 Abs. 3 S. 2 StGB auch der Erbe zur Beachtung des beruflichen Geheimnisses verpflichtet ist. Dies gilt mithin auch dann, wenn der Erbe selbst kein Arzt bzw. keine Ärztin ist. Der Gesetzgeber geht letztlich von einem Fortwirken der besonderen Vertrauensbeziehung zwischen Arzt und Patient aus. Auch nach dem Tode des Arztes muss diese durch dessen Erben gewährleistet werden. Eine Einsicht in die Patientenakte durch den Erben ist damit nur mit der Einwilligung des jeweiligen Patienten möglich. Das gleiche gilt für die Herausgabe der Patientenakte an Dritte, sofern keine gesetzliche Grundlage hierfür existiert. In der Regel werden die Erben darum bemüht sein, die Patientendokumentation in die Obhut von in der Region niedergelassenen Psychotherapeuten bzw. Psychotherapeutinnen zu geben. Der Aufgabenschwerpunkt liegt damit für die Erben regelmäßig in der ordnungsgemäßen Verwahrung der Patientenakten bis zu diesem Zeitpunkt. Im Falle von Papierakten lässt sich dies relativ einfach durch die Aufbewahrung in einem verschlossenen Raum gewährleisten. Hier ist in erster Linie sicherzustellen, dass keine anderen Personen Zutritt zu diesen Räumlichkeiten haben. Da allerdings auch in psychotherapeutischen Praxen zunehmend digitale Speichermedien Verwendung finden, stellt sich die Frage nach den hier zu beachtenden Besonderheiten bei der Verwahrung durch die Erben. Auf die folgenden Punkte zum Umgang mit digitalen Dateien habe ich die Kammer hierbei aufmerksam gemacht: Die Daten von Patienten dürfen nicht in der Cloud gespeichert werden. Ein Rechner, auf dem die Daten gespeichert sind, sollte nicht vernetzt sein und ebenso wie portable Speichermedien an einem sicheren Ort untergebracht werden. Die Daten selbst müssen verschlüsselt gespeichert werden 1. Hierzu ist ein etabliertes Verschlüsselungsprogramm mit einem anerkannt sicheren Algorithmus zu nutzen (z.b. AES oder 3DES). Der Schlüssel für die Verschlüsselung wird oft aus einem Passwort abgeleitet. In diesem Fall sollte das Passwort länger als elf Stellen sein und alle Zeichen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) umfassen. Das Passwort selbst sollte nicht zusammen mit dem Speichermedium hinterlegt werden. Selbstverständlich können durch ein entsprechendes Merkblatt nicht alle Fragen im Detail erörtert werden. Zu begrüßen ist es insoweit, dass die Landespsychotherapeutenkammer Hessen auf ihrem Merkblatt auch ausdrücklich anbietet, Erben eines Praxisinhabers bei einzelnen Fragen zu beraten Alternative Regelungsmöglichkeiten 1 Anmerkung des Vorstandes der Psychotherapeutenkammer Hessen: Nach Auffassung des Vorstandes sollteeine Verschlüsselung nicht von Erben verlangt werden. Falls die Patientendokumentationen ausschließlich elektronisch geführt werden, sollten sie auf ein elektronisches Speichermedium wie Stick oder externe Festplatte überführt und gegen unbefugten Zugriff geschützt aufbewahrt werden.nach der Speicherung sollten die Daten sicher auf der Festplatte gelöscht werden. 4

5 Zum Teil werden Erben mit den hier dargelegten Aufgaben zunächst überfordert sein. An dieser Stelle soll deshalb noch auf ein alternatives Modell aufmerksam gemacht werden, das seitens der Psychotherapeutenkammer Niedersachsen Ende 2012 umgesetzt wurde (siehe hierzu die Mitteilungen der Psychotherapeutenkammer Niedersachsen, in: Psychotherapeutenjournal 1/2013). Das zugrundeliegende Konzept könnte sich auch für andere Heilberufskammern des Landes Hessen empfehlen. Ein Hauptanliegen des Modells ist es, Familienangehörige und Erben von Psychologischen Psychotherapeuten und Kinder- und Jugendlichen-Psychotherapeuten vor dem Vorwurf einer Schweigepflichtverletzung bei plötzlicher Verhinderung oder Tod des Praxisinhabers berufsrechtlich und strafrechtlich zu schützen. Zudem sollen Patienten, Krankenkassen oder beispielsweise Rentenversicherungen möglichst schnell eine fachkundige Antwort auf ihre Anfragen erhalten können. Ergänzend wird angeführt, dass gerade in diesem Beruf die Begleitung eines Patienten bei der Akteneinsicht besondere Kenntnisse und Fähigkeiten erfordere. Zu diesem Zweck wurde die Berufsordnung dahingehend geändert, dass alle Mitglieder verpflichtet werden, schon zu Lebzeiten einen approbierten Kollegen als Beauftragten und Ansprechpartner für den Verhinderungs-/Todesfall zu benennen. Durch diese Meldepflicht kann insbesondere den Patienten ohne größeren Zeitverlust ein kompetenter Ansprechpartner benannt werden. Der benannte Kollege übernimmt damit faktisch die Funktion des Erben. Zum Zeitpunkt meiner Anfrage an die Psychotherapeutenkammer Niedersachsen Ende diesen Jahres konnte noch kein abschließendes Fazit zu dem neuen Verfahren gezogen werden. Ich werde jedoch im nächsten Jahr noch einmal um einen kurzen Erfahrungsbericht bitten. Abschließend sei noch besonderes auf folgende Punkte des Jahresberichts hingewiesen: Die Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 1./2. Oktober 2013: 6.7 Stärkung des Datenschutzes im Sozial- und Gesundheitswesen 6.8 Forderungen für die neue Legislaturperiode: Die Datenschutzgrundrechte stärken! 6.10 Sichere elektronische Kommunikation gewährleisten Ende-zu-Ende- Verschlüsselung einsetzen und weiterentwickeln Unter den im Kapitel 8. Materialien aufgeführten Texten sei schließlich auf die Orientierungshilfe Soziale Netzwerke aufmerksam gemacht (S ) 23. Oktober