In dieser Woche beschäftigen wir uns im Blog mit dem Thema „Datenpanne“. Dass Datenpannen auch schnell durch ein falsches Rollen- und Berechtigungskonzept beim Zugriff auf personenbezogene Daten entstehen können, zeigt der Fall aus einem Krankenhaus in Thüringen.

Das Verhalten eines Klinikmitarbeiters war nicht nur moralisch verwerflich, sondern machte auf ein allgemeines datenschutzrechtliches Problem in einem Thüringer Klinikum aufmerksam. Gemeldet wurde dieser Vorfall dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse, welcher diesen Fall in seinem aktuellen Tätigkeitsbericht für das Jahr 2020 erörterte.

Was war vorgefallen?

Besagter Klinikmitarbeiter wollte Informationen aus der elektronisch gespeicherten Patientenakte seiner ehemaligen Lebensgefährtin. Diese hatte in dem Klinikum ein Kind zur Welt gebracht, von welchem der Klinikmitarbeiter angibt, dass dieses sein Kind sei. Als Mitarbeiter des Fachbereiches „Psychiatrie / Psychotherapie“ griff der Mitarbeiter auf die Patientenakte des Fachbereiches „Frauenheilkunde und Geburtshilfe“ zu.

Datenschutzrechtliche Aufarbeitung

Diese Datenpanne meldete das Klinikum an Herrn Dr. Hasse, welcher daraufhin eine Überprüfung durchführte. Durch diese Prüfung und die Stellungnahme des Klinikums wurde festgestellt, dass alle Mitarbeitenden des Klinikums auf alle Patientendaten des Klinikums Zugriffsrechte hatten. Dieser Umstand ist besonders problematisch, da es sich bei Patientendaten um sog. Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt. Diese sensible Art von Daten erfahren durch die DSGVO einen besonderen Schutz, indem die Verarbeitung grundsätzlich untersagt ist. Nur in bestimmten, genau zu prüfenden, Ausnahmefällen ist die Verarbeitung von Gesundheitsdaten erlaubt. Diese lagen hier allesamt nicht vor.

Rollen- und Berechtigungskonzept

Grundsätzlich schreibt die DSGVO in Art. 5 Abs. 1 lit. f und Art. 32 vor, dass technische und organisatorische Maßnahmen (TOM) getroffen werden müssen, um die Sicherheit der Verarbeitung zu gewährleisten. Dazu gehört auch, Daten vor einem unbefugten Zugriff wie dem obigen zu schützen. Für einen besonders sensiblen Bereich wie den im vorliegenden Fall sollten insbesondere die folgenden Punkte beachtet werden:

  • Nur befugte Personen sollten Zugriff auf die Akten haben, z. B. wenn dieser für die Behandlung oder Pflege notwendig ist.
  • Falls ein erweiterter Zugriff für die Behandlung notwendig ist (erweiterter Anwender- oder Stationsbereich), müssen die Rechte punktuell und nachvollziehbar – und eben nicht automatisch – vergeben werden.

Was waren die Konsequenzen?

Gemäß Art. 58 Abs. 2 lit. d DSGVO verfügt jede Aufsichtsbehörde über verschiedene Möglichkeiten, Abhilfe zu fordern. Im vorliegenden Fall hat der TLfDI das Klinikum zu folgenden Maßnahmen aufgefordert:

  • Die Zugriffsbefugnisse der einzelnen Rollen sofort einzuschränken und Rollenwechsel in der IT-Abteilung des Klinikums prioritär zu bearbeiten.
  • Den elektronischen „Behandlungsauftrag für Notfälle“ in Betrieb zu nehmen, um abzusichern, dass jeder Zugriff auf Patientenakten, der außerhalb des jeweiligen Fachbereichs liegt, nicht ohne fachliche Begründung erfolgen kann und in den Logfiles vermerkt wird. Durch diese „Überwachungsposition“ wird die psychologische Schranke für einen solchen Zugriff erhöht.

Diese Maßnahmen hat das Klinikum erfüllt. Darüber hinaus hat das Klinikum bei jedem Zugriff außerhalb des eigenen Zuständigkeitsbereiches einen Warnhinweis zwischengeschaltet: „Achtung! Zugriff darf nur erfolgen, wenn für Behandlung erforderlich!“.

Wie ging es weiter?

Neben der Umsetzung der Maßnahmen stellte sich das Klinikum weitere Fragen:

  1. Durch welchen Geschäftsbereich des Klinikums sind missbräuchliche Zugriffe auf Patientenakten zu identifizieren?
  2. In welchen zeitlichen Abständen sind missbräuchliche Zugriffe datenschutzkonform zu identifizieren?
  3. Wie ist mit dem Verdacht missbräuchlicher Zugriffe umzugehen?

Die Empfehlung des TLfDI lautet wie folgt:

Zu 1.: Zugriffe auf die Logfiles sollten immer im Vier-Augen-Prinzip mit dem Personalrat/Betriebsrat und sinnvollerweise in Anwesenheit des betrieblichen Datenschutzbeauftragten erfolgen.

Bei dem gesamten Vorgang sind auch weitere datenschutzrechtliche Verpflichtungen zu beachten:

  1. Über die Auswertung der Logfiles ist ein Bericht zu erstellen.
  2. Die Mitarbeitenden müssen gem. Art. 12 iVm Art. 13 DSGVO über das Vorgehen der gezielten Kontrolle bzw. der Stichproben und den Grund für dieses Vorgehen – z. B. der Verdacht auf Missbrauchsfälle – und die damit verbundene Verarbeitung ihrer personenbezogenen Daten informiert werden.

Zu 2.: Alle drei Monate soll eine Stichprobenziehung mit ca. 20 Proben erfolgen, um hierbei auch eine abschreckende Wirkung zu erzielen. Sobald die Protokollierung des Zugriffsgrundes technisch umgesetzt ist, können Menge und Häufigkeit der Stichproben so angepasst werden, dass der Stichprobenumfang einen vom Klinikum konkret festgelegten Prozentsatz der Belegschaft erfasst, um Missbrauchsfälle zu identifizieren.

Zu 3.: Bei einer regelmäßigen Stichprobe aus den Logfiles ist der Zugriffsgrund beim Mitarbeitenden persönlich zu erfragen.

Fazit

Der vorliegende Fall zeigt anschaulich, was für positive Auswirkungen die datenschutzrechtlichen Grundsätze auf verschiedenste Personenkreise haben können – wenn diese denn umgesetzt werden. Um solche Datenpannen zu vermeiden, ist es zu empfehlen, das hauseigene Rollen- und Rechtekonzept einer Überprüfung zu unterziehen und diese turnusmäßig zu wiederholen. Gerne stehen wir Ihnen dabei beratend zur Seite.