Entschließung der DSK
Die Datenschutzkonferenz der Aufsichtsbehörden in Bund und Ländern (DSK) hat auf ihrer letzten Sitzung in Trier am 6./7.11.2019 (98. Datenschutzkonferenz) sich intensiv mit dem Datenschutz in Krankenhäusern befasst. Der Gesundheitsbereich bildete einen Schwerpunkt der Konferenz. Dabei wurden für Krankenhäuser eine neue Entschließung und eine Orientierungshilfe erarbeitet:
Gesundheitseinrichtungen müssen unabhängig von ihrer Größe den Schutz von Patientendaten gewährleisten
In dieser Entschließung wird noch einmal betont, dass Patientendaten im Rahmen der elektronischen Verarbeitung keineswegs sicher sind und datenschutzkonform gespeichert werden. In jüngster Zeit sind dabei zwei wesentliche Bedrohungen aufgetreten:
- Der Befall von Krankenhausinformationssystemen mit Schadsoftware, durch die Patientendaten durch die Angreifer verschlüsselt wurden, so dass sie für die Klinik nicht mehr zugänglich waren. Dies führte zu einer erheblichen Behinderung des Krankenhausbetriebs.
- Die DSK wies daraufhin, dass im September dieses Jahres bekannt wurde, dass 16 Millionen Patientendatensätze, davon 13000 aus deutschen Gesundheitseinrichtungen offen im Netz zugänglich waren. Als Ursache hierfür wurden unzureichende technische und-organisatorische Vorkehrungen benannt.
Die DSK hat deshalb dazu aufgefordert, dass auch in kleineren Einrichtungen, die finanziellen Möglichkeiten geschaffen werden, das die nach dem Stand der Technik gesetzlich gebotenen Vorkehrungen ergriffen werden können.
OH Messenger-Dienste im Krankenhausbereich
Die DSK hat am 7.11.2019 ein „Whitepaper zu technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich“ als Orientierungshilfe veröffentlicht. Die Notwendigkeit solche Dienste auch im Gesundheitsbereich zu nutzen, wird auf Grund der Vielseitigkeit, Kostengünstigkeit und großer Verbreitung auch im persönlichen Bereich, nicht in Frage gestellt. Dabei müssen jedoch, gerade bei der Übermittlung medizinischer Daten die Anforderungen nach § 11 KDG (Art. 9 DSGVO) gewahrt bleiben. Die DSK führt hierzu folgendes aus:
„Der berufliche oder gewerbliche Einsatz von Messenger-Diensten unterliegt gesetzlichen Datenschutz-Vorgaben, denen gängige Messenger-Dienste bislang nicht oder nur bedingt entsprechen. Insbesondere der verbreitet genutzte Dienst WhatsApp führt bei einer geschäftliche Nutzung zu einer Reihe von Problemen, die einen Einsatz im Krankenhaus weitgehend ausschließen. Ähnliches gilt für andere im privaten Bereich häufig genutzte Dienste.“
Deshalb sind für die Auswahl von Messenger-Diensten im Krankenhaus die in dieser Orientierungshilfe genannten Datenschutzanforderungen zu berücksichtigen.
- Hinsichtlich der eingesetzten Applikation werden 13 Punkte benannt. Sie umfassen unter anderem die Information der Nutzer, ihre Authentifizierung, die Sicherstellung der Verfügbarkeit der Daten, bis hin zur Konfiguration datenschutzgerechter Einstellungen und automatischer Update-Verfahren.
- Zur Kommunikation sind 4 Stichworte genannt: Hierbei wird die Vertraulichkeit über Ende-zu-Ende-Verschlüsselung gefordert, ebenso wie die Speicherung der Verbindungsdaten ausschließlich für den Zeitraum der Dauer der Verbindung. Meta-Daten dürfen nur vom Krankenhaus selbst aber nicht vom Provider genutzt werden. Ferner sollen zumindest optional die Nutzung offener Protokolle möglich sein.
- Die Sicherheit der Endgeräte wird durch wirksamen Zugriffsschutz, regelmäßige Sicherheitspatches und Unterwerfung unter ein Mobile Device Management (3 Anforderungen) sichergestellt.
- Schließlich werden Anforderungen an die Plattform / den ggf. externen Betrieb des Messenger-Dienstes in in 9 Punkten geregelt. Diese umfassen einerseits die Beachtung der Vorschriften nach DSGVO und TKG bei öffentlich zugänglichen Diensten. Andererseits darf die Teilnahme am Dienst darf nur innerhalb einer geschlossenen Nutzergruppe bei entsprechender Autorisierung und Registrierung möglich sein. Für die Nutzung der mit dem Messenger-Dienst verbundenen Verarbeitungstätigkeiten muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Auftragsdatenverarbeiter können unter den geltenden Regelungen einbezogen werden. Empfohlen werden Dienstleister aus Deutschland, der Europäischen Union bzw. dem europäischen Wirtschaftsraum. Schließlich ist eine regelmäßige Kontrolle durch das Krankenhaus als verantwortliche Stelle vorzunehmen. Ferner sind zur Verfügung stehende Updates zeitnah einzuspielen. Idealerweise erlaubt die eingesetzte Messenger-Lösung auch einen Betrieb auf der Infrastruktur des Krankenhauses.
„Whitepaper“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 07.11.2019“
In diesem Zusammenhang sei auch noch einmal auf den Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche in Deutschland zur Beurteilung von Messenger- und anderen Social Media-Diensten hingewiesen.