Krankenhäuser verarbeiten in zunehmendem Umfang Patientendaten in elektronischer Form im Krankenhausinformationssystem (KIS) und daran angegliederten Subsystemen. Bereits im Jahr 2014 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hierzu eine Orientierungshilfe (OH KIS, 2. verabschiedet, die Anforderungen an eine datenschutzgerechte rechtliche und technisch-organisatorische Ausgestaltung des KIS formuliert.
Umfangreiche Mängel wurden in einem bayerischen öffentlichen Klinikum bereits 2019 im Rahmen einer Vor-Ort-Prüfung festgestellt. Hier bestand weder ein schriftlich dokumentiertes noch im KIS in ausreichendem Maße implementiertes Rollen- und Berechtigungskonzept. Dies führe dazu, dass im Klinikum tätiges medizinisches Personal (sowohl Ärztinnen und Ärzte als auch Pflegekräfte) weit über ihren Zuständigkeits- und Fachbereich hinaus Zugriffsrechte auf sensible Patientendaten hatte. Über die für einen weiten Kreis der Mitarbeiterschaft zugängliche Suchfunktion konnten letztlich Daten zu allen seit Einführung des KIS behandelten Patientinnen und Patienten abgerufen werden.
Das Klinikum wurde – auch in Anbetracht der COVID-19-Pandemie – über einen längeren Zeitraum bei dem Versuch begleitet, die festgestellten Mängel zu beheben. Dabei kam es immer wieder zu Verzögerungen und Problemen bei der Umsetzung eines geeigneten Rollen- und Berechtigungskonzepts, sodass im Berichtszeitraum vermehrt Art. 33 DSGVO-Meldungen zu unbefugten Zugriffen durch Beschäftigte bei der Datenschutzbehörde eingingen. Dabei wurden mehrmals Personen im Verwandten- und Bekanntenkreis ohne deren Kenntnis abgefragt und die gewonnenen Informationen zu eigenen Zwecken verwendet. Es blieb schließlich nur, das Klinikum nach Art. 58 Abs. 2 Buchst. d DSGVO unter Androhung eines Zwangsgelds zur Umsetzung eines adäquaten Rollen- und Berechtigungskonzepts anzuweisen, um eine Behebung der bestehenden Missstände zu erreichen. Da sich das Klinikum im Wettbewerb mit nicht öffentlichen Krankenhäusern befindet, wäre auch die Verhängung eines Bußgelds nach Art. 83 DSGVO möglich gewesen. Da es jedoch nicht primäres Ziel ist, das Klinikum finanziell zu schädigen, sondern einen datenschutzkonformen Zustand herzustellen, wurde von dieser Möglichkeit einstweilen noch Abstand genommen. Die Datenschutzbehörde behält sich dies aber für vergleichbare Fälle ausdrücklich vor.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Sind Sie sicher, dass Ihr Unternehmen oder Ihre medizinische Einrichtung im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks