Datenschutz im Krankenhaus: Wenn der Expartner die Patientenakte „filzt“
Gesundheitsdaten unterliegen einem besonderen Schutz. Ein datenschutzkonformes Rollen- und Rechtekonzept für Zugriffe von Krankenhausmitarbeitern auf Patientenakten muss technisch so gestaltet sein, dass jeder Mitarbeiter nur über Zugriffsrechte für seinen medizinischen Anwenderbereich (beispielsweise „Pflege“) in seinem eigenen klinischen Fachbereich beziehungsweise auf seiner Station verfügt.
Mitte September 2020 meldete ein Thüringer Klinikum dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) eine Datenpanne, bei der ein Klinikmitarbeiter unbefugt Einsicht in die elektronisch gespeicherte Patientenakte seiner ehemaligen Lebensgefährtin und deren neugeborenem Kind genommen hat. Als Begründung hatte der Klinikmitarbeiter angegeben, dass es sich beim Kind seiner ehemaligen Lebensgefährtin um sein Kind handele. Die datenschutzrechtliche Prüfung der Angelegenheit auf Grundlage von Art. 58 Abs. 1 Datenschutz-Grundverordnung (DSGVO) durch den TLfDI ergab, dass der Klinikmitarbeiter, der im Fachbereich „Psychiatrie/ Psychotherapie“ des Klinikums tätig war, auch über Zugriffsrechte auf Patientenakten des Fachbereichs „Frauenheilkunde und Geburtshilfe“ verfügte. Aus der vom TLfDI hierzu geforderten Stellungnahme des Klinikums ging hervor, dass offensichtlich alle Mitarbeiter des Klinikums nicht nur Zugriffsrechte auf Patientendaten ihrer eigenen Arbeitsbereiche, sondern auch auf Patientendaten anderer Stationen des Klinikums besaßen.
Für Zugriffe auf Patientenakten muss datenschutzrechtlich sichergestellt sein, dass nur befugte Personen (behandelnde Ärzte, Schwestern, Pfleger) Zugriff auf die Akten haben, das heißt jeder Mitarbeiter nur Zugriffsrechte auf Patientenakten „seines“ klinischen Fachbereichs beziehungsweise „seiner“ Station besitzt. Falls ein patientenbezogener erweiterter Zugriff (beispielsweise ein erweiterter Anwender- oder Stationsbereich) von Mitarbeitern erforderlich sein sollte, müssen entsprechende erweiterte Rechte punktuell und nachvollziehbar durch die IT im elektronischen Krankenhausinformationssystem (KIS) vergeben werden. Diese Vorgehensweise wurde jedoch im Klinikum nicht praktiziert. Somit war das Rollen- und Rechtekonzept des KIS für Zugriffe auf Patientenkaten nicht datenschutzkonform im Sinne von Art. 32 DSGVO, das heißt, die geforderten organisatorischen und technischen Maßnahmen, um personenbezogene (Gesundheits-)Daten vor dem unbefugten Zugriff zu schützen, wurden nicht eingehalten. Der TLfDI forderte vom Klinikum, das Rollen- und Rechtekonzept für Zugriffe von Klinikmitarbeitern auf Patientenakten umgehend datenschutzkonform einzurichten. Auf der Grundlage von Art. 58 Abs. 2 Buchstabe d) DSGVO forderte der TLfDI das Klinikum auf, folgende Maßnahmen gemäß Art. 32 DSGVO sofort umzusetzen:
- die Zugriffsbefugnisse der einzelnen Rollen sofort einzuschränken und Rollenwechsel in der IT-Abteilung des Klinikums prioritär zu bearbeiten,
- den elektronischen „Behandlungsauftrag für Notfälle“ in Betrieb zu nehmen, um abzusichern, dass jeder Zugriff auf Patientenakten, der außerhalb des jeweiligen Fachbereichs liegt, nicht ohne fachliche Begründung erfolgen kann und in den Logfiles (Protokolldateien über erfolgte Zugriffe) vermerkt wird. Durch diese „Überwachungsoption“ wird die psychologische Schranke für eine solchen Zugriff erhöht.
Das Klinikum erfüllte die Forderung und teilte dem TLfDI mit, dass zum 1. Dezember 2020 „…alle Zugriffe auf Patienten außerhalb des eigenen Zuständigkeitsbereiches uneingeschränkt protokolliert [werden].“ Außerdem werden die Mitarbeiter bei jedem Zugriff außerhalb des eigenen Zuständigkeitsbereiches durch einen schriftlichen Hinweis vor einem unberechtigten Zugriff gewarnt: „Achtung! Zugriff darf nur erfolgen, wenn für Behandlung erforderlich!“
Das Klinikum fragte beim TLfDI noch nach, durch welchen Geschäftsbereich des Klinikums missbräuchliche Zugriffe auf Patientenakten in welchen zeitlichen Abständen datenschutzkonform zu identifizieren sind und wie mit dem Verdacht missbräuchlicher Zugriffe umzugehen ist. Der TLfDI empfahl dem Klinikum, regelmäßig eine Stichprobe aus den Logfiles zu ziehen und den Zugriffsgrund zunächst beim Mitarbeiter persönlich zu erfragen. Nach Auffassung des TLfDI sollte hier eine Stichprobenziehung mit circa 20 Proben alle drei Monate genügen, um auch auf die abschreckende Wirkung der Prüfmaßnahmen zu setzen. Sobald auch die Protokollierung des Zugriffsgrundes technisch umgesetzt ist, können Menge und Häufigkeit der Stichproben so angepasst werden, dass der Stichprobenumfang einen vom Klinikum konkret festgelegten Prozentsatz der Belegschaft erfasst, um Missbrauchsfälle zu identifizieren.
Zur Frage, durch welches Klinikpersonal beziehungsweise welchen Geschäftsbereich missbräuchliche Zugriffe ausgewertet und erörtert werden sollten, wies der TLfDI das Klinikum darauf hin, dass der Zugriff auf die Logfiles immer im 4-Augen-Prinzip mit dem Personalrat/ Betriebsrat zu erfolgen hat und sinnvollerweise auch in Anwesenheit des betrieblichen Datenschutzbeauftragten. Hierzu ist zudem ein Bericht zu erstellen. Die Angestellten müssen gemäß Art. 12 in Verbindung mit Art. 13 DSGVO über das Vorgehen der gezielten Kontrolle beziehungsweise der Stichproben (sowie den Grund für dieses Vorgehen, beispielsweise tatsächliche und/oder Verdacht auf Missbrauchsfälle) und die damit verbundene Verarbeitung ihrer personenbezogenen Daten umfänglich informiert werden.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks