Schlagwort: Beanstandung

HmbBfDI: Beanstandung von Notfallzugriffen auf Patientendaten im Universitätsklinikum Hamburg-Eppendorf

9. März 2012

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar (HmbBfDI) hat mitgeteilt, das Universitätsklinikum Hamburg-Eppendorf (UKE) formell beanstandet zu haben. Hintergrund dessen sei, dass jedem Arzt im UKE ein Notfallzugriff auf das Krankenhausinformationssystem und damit ein Zugriff auf alle zu dem Patienten vorgehaltenen Daten ermöglicht werde, unabhängig davon, ob er eine Behandlung durchführt oder nicht. Dies könne zwar in zeitkritischen Situationen medizinisch geboten sein, allerdings fehlten die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instrumentes. Der einen Notfallzugriff nutzende Arzt bekomme lediglich einen Warnhinweis nebst Aufforderung, einen Grund für einen Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine (stichprobenartige) Kontrolle finde nicht statt, so dass ein Missbrauch kaum entdeckt werden könne. Da über den Notfallzugriff der Nutzer alle jemals zu dem Patientenkreis des UKE und dessen Tochterunternehmen erfassten Daten einsehen könne, sei das Missbrauchspotential hoch. Das UKE soll eingeräumt haben, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Aktuellere Zahlen lägen nicht vor. Die hohen Zugriffszahlen seien auf Prozessablaufschwierigkeiten zurückzuführen.

Der HmbBfDI fordere daher nun einen regelmäßigen Bericht über Anzahl und Gründe der Notfallzugriffe sowie die Erstellung und Umsetzung eines Konzepts zur Auswertung der Zugriffsprotokolle. Weiterhin müsse eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Der Notzugriff müsse in seinen Ausmaßen deutlich eingedämmt und auf seine eigentliche Bestimmung begrenzt werden. Dem UKE werde eine Frist von drei Wochen zu einer schriftlichen Stellungnahme sowie eine dreimonatige Frist zur Umsetzung geeigneter Kontrollmaßnahmen gesetzt. „Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, kommentierte Caspar seine Schritte.

Sächsischer Landesdatenschutzbeauftragter zur Dresdner Datenschutzaffäre

12. September 2011

Der Sächsische Landesdatenschutzbeauftragte  hat in einem Bericht zu der nichtindividualisierten Funkzellenabfrage und anderen Maßnahmen der Telekommunikationsüberwachung, die von Ermittlungsbehörden in Dresden im Februar dieses Jahres durchgeführt wurden, kritisch Stellung bezogen. Seiner Ansicht nach ist die Funkzellenabfrage der SoKO 19/2 über “das Ziel hinausgeschossen”. Zwar sei ein Konzept zur Reduzierung der Daten auf das für die Strafverfolgung erforderliche Maß vorhanden gewesen, eine über die zeitliche und örtliche Beschränkung hinausgehende Prüfung der Verhältnismäßigkeit sei jedoch ausgeblieben. Die Funkzellenabfragen des LKA Sachsen wiederum sollen  “weit über das Ziel” hinaus gegangen sein, da die zeitlichen und örtlichen Ausmaße unangemessen gewesen seien und überdies auf eine Verhältnismäßigkeitsprüfung sowie ein Konzept zur Reduzierung der Daten auf das erforderliche Maß gänzlich verzichtet worden sei. Daher hat der Sächsische Landesdatenschutzbeauftragte die Polizeidirektion Dresden, das Landeskriminalamt sowie die Staatsanwaltschaft Dresden jeweils nach § 29 SächsDSG beanstandet.

Er verlangt nun, dass die namentlich bekannt gewordenen Betroffenen rückwirkend informiert und die gespeicherten Datenbestände in den Arbeitsdateien unverzüglich reduziert werden. Die für die Strafverfolgung nicht erforderlichen Daten sollen gelöscht, Rohdaten wiederum gesperrt werden. Für die Zukunft sollen Funkzellendaten nicht für Gefahrenabwehrzwecke gespeichert und der Kennzeichnungspflicht der erhobenen Daten nachgekommen werden. Des weiteren solle diese Enscheidung über die Verwendung von Verkehrsdaten aus den Funkzellenabfragen künftig bei anderen Verfahren Berücksichtigung finden. Dies bedinge, dass in den zu stellenden Anträgen die genaue Bezeichnung der Rechtsgrundlagen erfolge und anhand eines allgemeinen Reduzierungskonzepts, welches für solche Fälle zu erstellen ist, vorgegangen werde. Explizit fordert er ferner, die Schaffung untergesetzlicher Handlungsanweisungen und die Präzisierung der gesetzlichen Grundlagen. (sa)