Grundlagen des Datenschutzes: Zugriff richtig regeln
In der vernetzten Welt ist die Kooperation mit Dritten der Regelfall – für den Datenschutz eine ganz besondere Herausforderung.
Beim Einsatz von EDV in der Praxis ist der Arzt verpflichtet, die Sicherheit der Patientendaten zu gewährleisten. Neben den berufsrechtlichen Vorgaben zur ärztlichen Schweigepflicht enthält die Datenschutzgrundverordnung (DSGVO) Vorgaben für die Datenverarbeitung und -sicherheit. Bundesärztekammer (BÄK) und Kassenärztliche Bundesvereinigung (KBV) hatten angekündigt, die hierfür geltenden Empfehlungen an die DSGVO anzupassen. Am 9. März 2018 haben BÄK und KVB die Änderungen veröffentlicht: www.bundesaerztekammer.de/recht/aktuelle-rechtliche-themen/datenschutzrecht.
Die DSGVO schreibt eine „Datenschutzfolgenabschätzung“ vor, wenn umfangreich besondere Kategorien von Daten verarbeitet werden, zu denen Gesundheitsdaten zählen. Im Rahmen der Datenschutzfolgenabschätzung kommt den technischen und organisatorischen Maßnahmen, die zur Einhaltung des Datenschutzes und zur Sicherheit der Datenverarbeitung getroffen wurden, erhebliche Bedeutung zu. Ärzte und andere Verarbeiter von Gesundheitsdaten, wie Kliniken oder Pflegeeinrichtungen und -dienste, sollten daher diesen Maßnahmen besondere Beachtung schenken.
Beim Einsatz von EDV sollten die folgenden Punkte immer umgesetzt werden:
- der Einsatz von Passwörtern,
- ein stets aktueller Virenschutz sowie
- die Einführung eines Zugriffs- und Berechtigungskonzepts.
Passwörter richtig vergeben
Nach wie vor wird oft für die Mitarbeiter zusammen lediglich ein gemeinsames Passwort eingerichtet, zum Beispiel „Schwester“, weil häufig wechselnde Anmeldungen und die angebliche Vergesslichkeit der Mitarbeiter individuelle Passwörter als unpraktikabel erscheinen lassen. „Allerdings erfüllt das nicht die Anforderungen an eine Lese- und Zugriffsprotokollierung. Dieses Vorgehen ist datenschutzrechtlich problematisch“, sagt Axel Keller. Um angemessenen Schutz zu erhalten, empfiehlt Rechtsanwalt Keller:
- Für jeden Mitarbeiter ist ein eigenes, individuelles Passwort einzurichten;
- Passwörter sind regelmäßig zu erneuern und
- dabei ist auf die Länge und die Verwendung von verschiedenen Zeichen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) zu achten.
Sich gegen Angriffe von außen gut wappnen
In jüngster Zeit hat es immer wieder größere Angriffe mit Schadsoftware gegeben, die auch Auswirkungen auf den Endanwender solcher Software hatten. „Aktuelle Viren-Schutzprogramme sind unverzichtbar. E-Mails und jegliche Kommunikation über das Internet sollten zentral auf Viren untersucht werden“, empfiehlt Keller. Zusätzlich sollte jeder Computer mit einem lokalen Viren-Schutzprogramm ausgestattet sein, das ständig im Hintergrund läuft. Im Rahmen eines Zugriffs- und Berechtigungskonzepts sollten daher
- rollen- oder personenbezogene Zugriffsrechte auf das EDV-System eingeräumt werden, die sich auf das Notwendigste beschränken, und
- keine Administratorrechte für einfache Nutzer vergeben werden.
„Daneben sind Vorgaben zur Datensicherung und -wiederherstellung zu erarbeiten, damit im Notfall kurzfristig zumindest eine eingeschränkte Funktionsfähigkeit des Betriebs und der Patientenversorgung hergestellt werden kann“, rät Keller.
Der Dritte im Bunde
In der Zusammenarbeit mit Dritten ist vor allem der Auftragsverarbeiter von Bedeutung. In aller Regel sind dies Rechenzentren oder die Abteilung Fernwartung von Softwareunternehmen, aber auch – im Rahmen der Lohn- und Finanzbuchhaltung – der Steuerberater. „Zwischen Auftraggeber und Auftragsverarbeiter ist ein Vertrag über die Auftragsverarbeitung zu schließen, in dem verschiedene Aspekte zwingend geregelt sein müssen“, sagt Keller. Dazu gehören beispielsweise, dass die Verarbeitung von Daten nur auf dokumentierte Weisung des Verantwortlichen stattfinden darf, die Verpflichtung der Mitarbeiter zur Vertraulichkeit sowie die Gewährleistung der Sicherheit der Datenverarbeitung.
Tipps
- Überlegen Sie, ob an den Arbeitsplätzen tatsächlich überall USB-Anschlüsse erforderlich sind. Sie lassen sich deaktivieren, was die Datensicherheit deutlich erhöht.
- Haben Sie Ihren Laptop oder PC mit einem Passwort geschützt? Sehr gut! Leider schützt dies die Daten auf der Festplatte gar nicht. Denken Sie daher an den Einsatz einer Festplattenverschlüsselung.
Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter