Datenschutz-Jahresrückblick 2013 – Teil 2/3

Mittwoch, 8. Januar 2014

Wie bereits in unserem ersten Teil des Jahresrückblicks 2013 angekündigt, waren auch die Monate Mai bis September ständig in Bewegung wenn es um das Thema Datenschutz ging:

Im Mai erklärt der Bundesbeauftragte für den Datenschutz Peter Schaar gegenüber der taz[1], dass Informationen von Journalisten, die in Cloud-Diensten ausgelagert werden, nicht mehr dem Beschlagnahmeschutz nach §97 StPO unterliegen. Der gleiche Paragraph schützt auch die Daten von Ärzten, die der Schweigepflicht unterliegen, vor einer möglichen Beschlagnahmung. Deswegen lohnt sich ein genauer Blick in die StPO, ob für das Gesundheitswesen die selben Bedingungen gelten, wie für Journalisten. Im Gegensatz zu den Journalisten wird im zweiten Absatz dieses Paragraphen der Beschlagnahmeschutz für Heilberufler und ihre Dienstleister ausgeweitet und somit besteht aus Sicht der Beschlagnahmung kein Problem für die Nutzung von Cloud-Diensten durch Ärzte. Trotzdem werden für die Speicherung von Daten in der Cloud, Sicherheitsmaßnahmen durch den Anwender empfohlen, zum Beispiel die Daten verschlüsselt in der Cloud zu speichern.[1]

Im Juni sorgten die Spionage-Enthüllungen durch den ehemaligen NSA-Mitarbeiter Edward Snowden weltweit für Schlagzeilen. Wie bekannt wurde, hat die NSA jahrelang die weltweite Kommunikation abgehört und mitgeschnitten. Snowden hatte während seiner Zeit bei der NSA Informationen gesammelt und diese der Öffentlichkeit zur Verfügung gestellt. In diesen Informationen wird auch das Spionageprogramm „Prism“, das die NSA einsetzt, beschrieben.

Des Weiteren haben wir in einem Fachbeitrag das Thema „Datenschutzunterweisungen“ aufgegriffen.[2] Der Praxisinhaber ist für die Unterweisung seiner Medizinischen Fachangestellten verantwortlich. Eine gesetzliche Regelung über Frequenz und Umfang existiert laut BDSG nicht. Gerade in Hinblick auf die stetige Weiterentwicklung des technologischen Fortschritts ist es aus Sicht des ISDSG notwendig, regelmäßige Datenschutzunterweisungen durchzuführen. Als Empfehlung wurde ausgesprochen, die Datenschutzunterweisung der Mitarbeiter mit anderen Schulungen, wie zum Beispiel Arbeitsschutzschulungen o.ä., zusammen zu veranstalten.

Im Juli berichten wir in einem Fachbeitrag über die organisatorischen Schwachstellen von TLS.[3] In ihrem Arbeitspapier „Trust Darknet: Control and Compromise in the Internet’s Certificate Authority Model“[2] zeigten die Wissenschaftler Steven Roosa und Stephen Schultze verschiedene Schwachstellen auf. Zum einen wird bemängelt, dass die Zertifikatsanbieter und deren Unteranbieter unterschiedliche Sicherheitsanforderungen stellen, zum anderen wird die Inflexibilität der in der Software implementierten Zertifikatsanbieter-Listen kritisiert.

Weiterhin berichteten wir über den Einsatz von Patienteninformationssystemen in Wartezimmer - ,das sogenannte „Wartezimmer-TV“ - und die damit verbundenen datenschutzrechtlichen Anforderungen.[4] Bei der Installation sollte darauf geachtet werden, dass keine sensiblen medizinischen Daten an den Anbieter zur Analyse der Patientenstammdaten übertragen werden. Generell sollte eine Einbindung dieser Infotainmentlösung in das Praxisnetz vermieden werden, zum Beispiel durch einen eigenen Internetzugang für das System.

Außerdem lud das Institut für Sicherheit und Datenschutz im Gesundheitswesen zu einer Datenschutzschulung für medizinische Fachangestellte ein.[5] Neben einem Einblick in die gesetzlichen Regelungen und Datenschutz im Praxisalltag konnten sich die Teilnehmerinnen und Teilnehmer individuelle Fragen durch den ISDSG Institutsleiter, Prof. Dr. Thomas Jäschke, beantworten lassen.

Eine Handlungsempfehlung für die Protokollierung von personenbezogenen Daten war das Thema im August.[6] Der Grund für das Thema sind die Anforderungen an die Protokollierung von Daten in Krankenhausinformationssystemen, welche in der Orientierungshilfe Krankenhausinformationssysteme (OH-KIS) verfasst sind. Wichtige, bei der Protokollierung zu beachtende Punkte sind die Aufbewahrungsfrist, die Zugriff auf Protokollierungsdaten durch das Mehr-Augen-Prinzip und die Trennung von Protokoll- und Inhaltsdaten.

Im September veröffentlichte das ISDSG Institut für Sicherheit und Datenschutz im Gesundheitswesen einen Fachbeitrag über die viel diskutierte elektronische Gesundheitskarte.[7] Hierbei ist festzuhalten, dass durch den richtigen Einsatz von Informationstechnologie ein hohes Datenschutzniveau erreicht werden kann, das häufig sogar über dem Niveau der Papierhaltung liegt. Um eine höhere Akzeptanz in der Bevölkerung zu schaffen, besteht die Notwendigkeit der Transparenz. Auch müssen jahrelange Missverständnisse zwischen den Beteiligten aus dem Weg geschafft werden.

Ein weiteres Thema war die Pflicht der Datenschutzerklärung für Webseitenbetreiber.[8] Mittels verschiedenen Checklisten und kostenfreien Ratgeber kann die Datenschutzerklärung bausteinartig erstellt und individuell angepasst werden. In der Erklärung müssen Angaben zum Ansprechpartner, Auskunftsrecht und Einsatz von Webanalysesoftware und Cookies enthalten sein. Außerdem ist die Option zur Deaktivierung des Webtrackings zu integrieren.

Der letzte Teil unserer Trilogie befasst sich mit den Monaten Oktober bis Dezember.

 

Alle ausführlichen Berichte erhalten Sie unter:

[1] – Artikel vom 17.05.2013

[2] – Artikel vom 25.06.2013

[3] – Artikel vom 10.07.2013

[4] – Artikel vom 30.07.2013

[5] – Pressemitteilung vom 25.07.2013

[6] – Artikel vom 20.08.2013

[7] – Artikel vom 16.09.2013

[8] – Artikel vom 30.09.2013

Autor: 
Prof. Dr. Thomas Jäschke, Alexander Vogel
Copy: 
Erledigt

Buchhinweis Datenschutz und Informationssicherheit im Gesundheitswesen

Bild

Neue Studie

ISDSG-Kundenmagazin

News