9.2
Prüfung Universitätsklinikum Frankfurt
1993 habe ich die Verarbeitung personenbezogener Patientendaten im Universitätsklinikum Frankfurt geprüft. Gegenstand der Prüfung war das Verfahren bei der Patientenaufnahme, die Umsetzung der neuen Vorschriften des Gesundheitsstrukturgesetzes, die vom Hessischen Krankenhausgesetz (HKHG) vorgeschriebene Abschottung der Datenbestände der Fachabteilungen untereinander und die Verarbeitung personenbezogener Daten in zwei - stichprobenhaft ausgewählten - Fachabteilungen.
9.2.1
Patientenaufnahme
Wöchentlich werden im Universitätsklinikum etwa 600 Patienten stationär aufgenommen. Die Aufnahme erfolgt - mit Ausnahme der Notfälle, die direkt in den Behandlungseinheiten aufgenommen werden - zentral für alle Behandlungseinheiten in der Aufnahme- und Abrechnungsabteilung der Verwaltung. Zum Zeitpunkt der Prüfung war die Aufnahme- und Abrechnungabteilung aus baulichen Gründen provisorisch im Zentrum für Innere Medizin untergebracht.
Bei der Prüfung der räumlichen und organisatorischen Sicherungsmaßnahmen habe ich trotzdem keine gravierenden Mängel vorgefunden.
Die räumlichen Sicherungsmaßnahmen können für dieses Provisorium als ausreichend bezeichnet werden. Der Zugang ist mit einer Stahltür, die mit einem Sicherheitsschloß ausgestattet ist, gesichert. Die Schlüsselvergabe wird restriktiv gehandhabt. Die Fensterfront befindet sich im ersten Stock des Gebäudes.
Die neuen Patienten werden zunächst im vorderen Teil der Patientenaufnahme, einem Großraumbüro, das mit ca. 20 Mitarbeitern besetzt ist, an vier Bildschirmarbeitsplätzen bedient.
Diese Bildschirmarbeitsplätze sind relativ nahe aneinander plaziert, so daß ein Mithören von unberechtigten Personen nicht ausgeschlossen werden kann. Mir wurde versichert, daß die Mitarbeiter der Patientenaufnahme sich dessen bewußt sind und versuchen, die notwendigen Gespräche so zu führen, daß ein Mithören nach Möglichkeit vermieden wird. In den Fällen, in denen nach der Erfassung der Daten noch Fragen zur Krankenversicherung bzw. zur Kostenübernahme zu klären sind, werden die Patienten zu den für ihren Namen zuständigen Mitarbeitern im hinteren Teil des Raumes verwiesen. Dort sind jeweils zwei Mitarbeiter an aneinander gestellten Schreibtischen für jeweils eine "Buchstabengruppe" zuständig. Es konnte nicht ausgeschlossen werden, daß gleichzeitig zwei Patienten an diesen Arbeitsplätzen bedient werden. In diesen Fällen ist es den Patienten zum einen möglich, die Gesprächsinhalte Dritter zur Kenntnis zu nehmen, und zum anderen die auf den Schreibtischen liegenden Unterlagen zu lesen, den dort installierten Bildschirm einzusehen und die Telefonate der Mitarbeiter zu verfolgen. Nach meiner Beratung wurde mir zugesagt, diese Praxis sofort zu ändern. Zukünftig wird auch bei größerem Andrang in der Patientenaufnahme nur noch ein Patient pro "Buchstabengruppe" bedient.
Die Patientenakten werden auf den Schreibtischen der Sachbearbeiter bis zur Rechnungstellung offen in Karteikästen aufbewahrt. Die Aufstellung von Aktenschränken, in denen diese Unterlagen nach Dienstschluß aufbewahrt werden können, ist aus räumlichen Gründen nicht möglich.
Ein Zugriff auf die Patientendaten über die an den Zentralrechner angeschlossenen Bildschirme ist nur durch Eingabe einer Benutzeridentifikation und eines Paßwortes zu erreichen. Wird innerhalb von ca. drei Minuten an diesen Bildschirmen keine Eingabe getätigt, erfolgt durch das System automatisch eine Inaktivierung, d.h. daß die Sachbearbeiter erst nach erneuter Eingabe des Paßwortes Daten abrufen oder erfassen können.
Zwei "Stand-alone PC's" in der Patientenaufnahme waren nicht durch eine Datensicherungssoftware geschützt. Dies habe ich bemängelt. Mir wurde die Installation einer entsprechenden Schutzsoftware zugesagt.
Eine Besichtigung der sich z.Zt. im Bau befindlichen neuen Räumlichkeiten der Patientenaufnahme zeigte, daß zukünftig gewährleistet werden kann, daß die von mir in der "provisorischen" Patientenaufnahme festgestellten Mängel z.B. durch Einbau von sog. Besprechungskabinen und Aufstellung von Aktenschränken und Raumteilern nicht mehr relevant sein werden.
Bei der Aufnahme in der Verwaltung muß der Patient zunächst das Krankenhaus-Aufnahmeformular ausfüllen. In meinen beiden letzten Tätigkeitsberichten hatte ich darüber berichtet, daß die Aufnahmeformulare zahlreicher Krankenhäuser noch nicht den Anforderungen des Hessischen Krankenhausgesetzes entsprechen und daß als Hilfestellung für die Kliniken gemeinsam von der Hessischen Krankenhausgesellschaft und meiner Dienststelle ein Musterformular entwickelt wurde (21. Tätigkeitsbericht, Ziff. 18.5). Das vom Universitätsklinikum Frankfurt verwendete Aufnahmeformular war bereits in neuerer Zeit überarbeitet, entsprach aber noch nicht vollständig den rechtlichen Vorgaben. Die durch §§ 12 Abs. 1 HKHG, 12 Abs. 4, 18 Abs. 2 Hessisches Datenschutzgesetz (HDSG) vorgeschriebene Information und Benachrichtigung der Patienten (vgl. hierzu 9.8) über die Verarbeitung ihrer Daten im Krankenhaus war unzureichend. Mir wurde mitgeteilt, daß der Vorrat an Formularen nur noch bis zum Frühjahr 1994 reicht und derzeit ein Entwurf für ein neues Formular von allen Universitätskliniken gemeinsam erstellt wird, das mir zur Stellungnahme übersandt wird.
In dem zum Zeitpunkt der Prüfung verwendeten Formular war - entsprechend den datenschutzrechtlichen Forderungen - bereits vorgesehen, daß der Patient bei der Aufnahme darüber entscheiden kann, ob seine Daten an der Pforte an Dritte weitergegeben werden. Der Patient kann hierzu auf dem Aufnahmeformular seine Einwilligung erteilen. Der Pförtner erhält täglich eine aktualisierte Liste der im Klinikum befindlichen stationären Patienten. Sofern ein Patient bei der Aufnahme nicht in die Weitergabe seiner Daten an der Pforte eingewilligt hat, ist auf der Liste eine Auskunftssperre vermerkt.
In der Aufnahme- und Abrechnungsabteilung werden die in dem Aufnahmeformular erhobenen sog. "Patientenstammdaten" auch automatisiert erfaßt. Hinsichtlich Umfang und Dauer der Datenspeicherungen habe ich keine datenschutzrechtlichen Probleme festgestellt. Konkret handelt es sich um ingesamt 43 Datensätze, insbesondere die Patienten-Aufnahmenummer, Name, Geburtsdatum, Geschlecht, Adresse, Behandlungseinheit, Aufnahme- und Entlassungsdatum, Angaben zum Hauptversicherten und zur Abrechnungsart. Ein Teil dieser Patientenstammdaten wird in regelmäßigen Zeitabständen (etwa zwei bis drei Jahre) archiviert und ist für die Mitarbeiter in der Aufnahme- und Abrechnungsabteilung nicht mehr abrufbar. Im Direktzugriff bleibt für die Mitarbeiter dann nur ein sog. "Rumpfdatensatz", aus dem bei einer Neuaufnahme des Patienten insbesondere ersichtlich ist, in welcher Behandlungseinheit sich die bereits zu einem früheren Zeitpunkt angelegte Krankenakte befindet. Bei der Neuaufnahme wird dann dieser "Rumpfdatensatz" um die vom Patienten aktuell angegebenen weiteren Daten ergänzt.
9.2.2
Umsetzung des Gesundheitsstrukturgesetzes
Mit den Neuregelungen des Gesundheitsreformgesetzes vom 20. Dezember 1988 (BGBl. I S. 2477) und des Gesundheitsstrukturgesetzes vom 21. Dezember 1992 (BGBl. I S. 2266), durch die der Gesetzgeber "Transparenz des Leistungsgeschehens" und Kostenbegrenzung im Gesundheitswesen erreichen will, sind u.a. die Leistungserbringer verpflichtet worden, den Krankenkassen zusätzliche medizinische Daten über die Versicherten zu übermitteln. So sieht die Neufassung des § 301 Sozialgesetzbuch V (SGB V) einen erheblich erweiterten Datenkatalog für die routinemäßige Übermittlung von den Krankenhäusern an die Krankenkassen in jedem Behandlungsfall vor. Die Daten müssen künftig auch maschinenlesbar übermittelt werden, damit sie von den Krankenkassen umfassender ausgewertet werden können. Bei meiner Prüfung habe ich festgestellt, daß das Universitätsklinikum wegen der notwendigen Umstellungen der EDV-Programme die Vorschriften bisher noch nicht vollständig umsetzen konnte. Nach mir vorliegenden Informationen ist dies auch in anderen Krankenhäusern der Fall.
9.2.3
Abschottung der Fachabteilungen untereinander
Das Krankenhaus ist keine Einheit, innerhalb der personenbezogene Patientendaten beliebig weitergegeben werden dürfen. Der Grundsatz der Zweckbindung der Daten ist zu beachten (§ 12 Abs. 1 HKHG, §§ 13, 12 HDSG). Die ärztliche Schweigepflicht i.S.v. § 203 Strafgesetzbuch gilt grundsätzlich auch innerhalb des Krankenhauses, auch im Verhältnis der Ärzte untereinander. Das Hessische Krankenhausgesetz regelt daher, daß die Vorschriften über die Übermittlung von Patientendaten vom Krankenhaus an externe Stellen in Krankenhäusern mit Behandlungseinrichtungen verschiedener Fachrichtungen (Fachabteilungen) auch zwischen diesen gelten (§ 12 Abs. 3 HKHG).
Bei meiner stichprobenhaften Überprüfung der Ausgestaltung der Direktzugriffe auf die automatisiert gespeicherten medizinischen Patientendaten in den Fachabteilungen habe ich festgestellt, daß diese rechtlichen Vorgaben beachtet werden. In verschiedenen Fachabteilungen wird das Verfahren "Befunddokumentation und Arztbriefschreibung in Krankenhäusern (BAIK)" eingesetzt. Zugriff auf die medizinischen Patientendaten hat jeweils nur die behandelnde Fachabteilung selbst.
Da das Verfahren der abteilungsübergreifenden Weitergabe von Patientendaten zu Forschungszwecken während der Prüfung nicht geklärt werden konnte, habe ich zu diesem Punkt noch um eine schriftliche Auskunft gebeten.
9.2.4
Verarbeitung von Patientendaten in der Abteilung Thorax-, Herz-
und Gefäßchirurgie des Zentrums der Chirurgie
1983 wurde in der Abteilung Thorax-, Herz- und Gefäßchirurgie des Zentrums der Chirurgie begonnen, Patientendaten - Patientenstammdaten, ausgewählte Diagnose- und Therapiedaten - parallel zur herkömmlichen Krankenakte mit dem Einsatz des Verfahrens zur "Befunddokumentation und Arztbriefschreibung in Krankenhäusern (BAIK)" zu speichern. Zum Zeitpunkt der Prüfung waren die Daten von etwa 12.000 Patienten in der BAIK-Datei gespeichert. Die Anwendung ist auf zwei vernetzten PC's implementiert. Auf einem PC sind die Daten gespeichert, auf dem anderen PC werden Teile des Datenbestandes zur Sicherung gegen Ausfall gespiegelt. Die Fachabteilung erhält die in der zentralen Aufnahme- und Abrechnungsabteilung ausgedruckten Patientenetiketten. Diesen Etiketten entnimmt die Fachabteilung die Aufnahmenummer, gibt diese in den PC ein und läßt sich sodann von der Aufnahme- und Abrechnungsabteilung einen Teil der dazugehörigen Patientenstammdaten überspielen. Die medizinischen Daten werden in der Fachabteilung in die BAIK-Datei eingegeben. Der Umfang der gespeicherten Daten wirft keine datenschutzrechtlichen Probleme auf, jedoch sind noch Fragen zum Zweck und zur Dauer der automatisierten Speicherung der Daten zu klären.
Die automatisierte Verarbeitung der Patientendaten soll der Routineunterstützung der Dokumentation, der automatischen Erstellung von Arztbriefen, Patientenanschreiben und OP-Berichten sowie statistischen und wissenschaftlichen Auswertungen dienen. Fristen für die Löschung von Patientendaten in der BAIK-Datei sind bisher nicht festgelegt worden und auch nicht geplant. Die Speicherung der Patientendaten soll "dauerhaft" erfolgen.
Ich habe Zweifel, daß es erforderlich ist, die personenbezogenen Daten sämtlicher Patienten im Direktzugriff auf unbegrenzte Zeit - also sogar noch über die Aufbewahrungsfristen für die Krankenakten hinaus, vorzuhalten. (Nach § 11 der Berufsordnung für Ärztinnen und Ärzte in Hessen sind ärztliche Aufzeichnungen zehn Jahre nach Abschluß der Behandlung aufzubewahren, soweit nicht nach anderen Vorschriften eine längere Aufbewahrungsfrist besteht. Eine längere Aufbewahrung ist auch dann erforderlich, wenn sie nach ärztlicher Erfahrung geboten ist.) Über die Länge der Fristen einer Speicherung kann sicherlich diskutiert werden, die automatisiert geführte BAIK-Datei darf jedoch nicht völlig losgelöst vom Behandlungszusammenhang verwendet werden. Soll die BAIK-Datei für wissenschaftliche Zwecke weiterverwendet werden, muß sie entsprechend strukturiert und muß auch so weit wie möglich mit anonymisierten Daten gearbeitet werden. Zu diesem Punkt habe ich das Universitätsklinikum um Stellungnahme gebeten, auch im Hinblick auf die in den anderen Fachabteilungen entsprechend vorhandene Problematik.
Die Fachabteilung beteiligt sich seit dem 1. Januar 1992 an bundesweit durchgeführten Qualitätssicherungsmaßnahmen in der Herzchirurgie. Mit diesen Maßnahmen werden die gesetzlichen Vorgaben der §§ 137, 112 SGB V für externe Qualitätssicherungsmaßnahmen erfüllt. Für die organisatorische und fachliche Durchführung dieser Maßnahmen hat die Ärztekammer Nordrhein in Düsseldorf eine Projektgeschäftsstelle unter ärztlicher Leitung eingerichtet. Bestimmte in der Herzchirurgie vorgenommene Eingriffe unterliegen der Dokumentationspflicht. Aufgrund der erhobenen Daten muß die Projektgeschäftsstelle mindestens einmal jährlich pro Klinik eine Gesamtstatistik mit einem Vergleich der Gesamtheit aller Kliniken herausgeben. Daran kann jede Klinik erkennen, inwieweit sie von den Werten der Gesamtstatistik abweicht. Eine vom Bundeskuratorium eingesetzte Fachkommission hat die Möglichkeit, die Gesamtstatistik zu kontrollieren und bei evtl. vorhandenen statistischen Abweichungen beratend in einer Klinik tätig zu werden.
Die Landesärztekammer erhält von der Fachabteilung nicht die vollständigen Patientenstammdaten, sondern lediglich die Kliniknummer, die Fallnummer, das Geburtsdatum, Geschlecht, Aufnahme- und Entlassungsdatum bzw. Todesdatum der Patienten und medizinische Angaben zu den durchgeführten Operationen. Diese Angaben habe ich im konkreten Verwendungszusammenhang als hinreichend anonymisiert angesehen.
Trotz einer Reihe von technischen und organisatorischen Datensicherungsmaßnahmen zeigten sich Schwachstellen, die beseitigt werden müssen.
Die PC's sind in einem separaten Raum installiert, dessen Tür mit einem Sicherheitsschloß versehen ist. Schlüssel besitzen nur die Erfassungskräfte, der zuständige Arzt und der EDV-Betreuer. Es gilt die Anweisung, den Raum abzuschließen, wenn keine berechtigte Person anwesend ist. Diese Maßnahmen sind grundsätzlich geeignet, die Zugangskontrolle zu gewährleisten. Es war jedoch zweifelhaft, ob auch der EDV-Betreuer als zutrittsberechtigte Person zu anzusehen ist. Aufgabe des EDV-Betreuers ist es, Fehler zu beheben und sporadisch neue Anwendungsfunktionen nach den Wünschen der Anwender zu erstellen. Die PC's in der Herz-Thorax-Klinik sind für die medizinische Anwendung bestimmt; die Programmierung und der Test neuer Anwendungsfunktionen darf nur auf einem getrennten Rechner mit Testdaten erfolgen. Die Nutzung der beiden PC's zur Anwendungsentwicklung ist somit nicht zulässig. Stellen Benutzer Fehler fest, rufen sie den Betreuer, der dann in Anwesenheit der berechtigten Person den Fehler behebt. Folglich benötigt der EDV-Betreuer auch für diesen Fall keinen Schlüssel zu dem Raum. Ich habe daher gefordert, den Kreis der zutrittsberechtigten Personen auf die Erfassungskräfte und den zuständigen Arzt zu beschränken. Dies wurde mir inzwischen zugesagt.
Die PC's sind durch Hardware-Paßwörter geschützt. Um mit der Anwendung arbeiten zu können, mußte zusätzlich eine Anmeldeprozedur durchlaufen werden, in der Benutzerkennungen und Paßwörter abgefragt wurden. Defizite ergaben sich dadurch, daß die Standardanforderungen an eine Paßwortverwaltung nicht erfüllt waren und durch Booten von den Diskettenlaufwerken die Anmeldeprozedur umgangen werden konnte. Eine Protokollierung, wer wann mit der Anwendung gearbeitet hat, erfolgt nicht. Da alle berechtigten Personen umfassende Zugriffsrechte auf die Daten haben, geht es vorrangig darum, die Nachvollziehbarkeit der Datenverarbeitung zu erreichen. Hierzu sollten die PC's mit einer Datenschutzsoftware ausgestattet werden. Damit könnten die Daten außerdem verschlüsselt werden, so daß weitere Risiken für den Datenschutz minimiert würden.
9.2.5
Verarbeitung von Patientendaten im Zentrum der Radiologie
Im Zentrum der Radiologie, Abteilung für Allgemeine Röntgendiagnostik, werden seit März 1987 alle Patientendaten auf dem DV-System RADOS, einem modular strukturierten Informationssystem für die Radiologie im Krankenhaus/Röntgeninstitut, das in zahlreichen Krankenhäusern eingesetzt wird, gespeichert. Es dient insbesondere der Patientenadministration, dem Ausdruck von Patientenpapieren (Etiketten, Formularen, Bestrahlungsplänen etc.), der Befundschreibung, Leistungskontrolle, Abrechnung, Erstellung von Listen, Statistiken und medizinischen Auswertungen sowie der Filmtüten-Verwaltung. Außerdem wird RADOS eingesetzt für die in § 28 Röntgen-Verordnung vorgeschriebene Dokumentation jeder Anwendung von Röntgenstrahlen. Eine Dokumentation in Papierform bzw. in einer manuellen Kartei ist in der Fachabteilung nicht mehr vorhanden. Zum Zeitpunkt der Prüfung waren die Daten von etwa 80.000 Patienten in RADOS gespeichert.
9.2.5.1
Die Technik von RADOS
- Betriebssystem
RADOS ist eine unter MUMPS programmierte Anwendung. Bei MUMPS handelt es sich um eine offene Datenverarbeitungstechnologie, die aus Programmiersprache, Daten-Speicherungs- und Retrievalsystem, Transaktionsmonitor (multiuser, multitasking), Dialogmonitor, Netzwerkmanagement und Grafik-Interface besteht. MUMPS ist ein ISO-Standard und auf viele Rechnerplattformen portiert. Im Fall des Uniklinikums läuft RADOS auf einem PC mit MS-DOS als Basis-Betriebssystem.
Wenn MUMPS gestartet wird, verwandelt sich der PC in einen Rechner mit einem multiuser, multitasking Betriebssystem. Aus einem Rechner, an dem nur eine Person arbeiten kann, wird so ein Rechner, an dem viele Personen mit ihren Terminals gleichzeitig arbeiten können. Dabei ist dieser PC leistungsfähiger als z.B. PDP-11 Rechner, auf denen vor einigen Jahren die ersten RADOS-Installationen erfolgten.
- Vernetzung
Im Rechenzentrum des Uniklinikums gibt es keinen Zentralrechner, sondern die Anwendungen sind auf mehrere Rechner verteilt. Welches Terminal mit welchem Rechner und daher mit welchen Anwendungen arbeiten kann, wird über einen Vermittlungsrechner gesteuert.
Die Terminals sind an den Vermittlungsrechner angeschlossen, der über Terminalserver die Verbindung zu den verschiedenen Rechnern herstellen kann. An der physischen Leitung, über die eine Anfrage erfolgt, erkennt der Verbindungsrechner ein Terminal. Wenn ein Benutzer mit verschiedenen Rechnern arbeiten darf, muß er sich mit einem eigenen Paßwort ausweisen. Anschließend kann er seinen Verbindungswunsch angeben.
Wenn, wie im Fall der RADOS-Terminals, nur mit einem Rechner gearbeitet werden darf, wird die Verbindung direkt hergestellt. Ein Zugriff auf andere Rechner oder ein Verbindungswunsch anderer Terminals wird unterbunden. Auf dem RADOS-Rechner sind die Terminals im MUMPS als sog. "Tied-Terminals" definiert. Das bedeutet, die Terminals werden nur mit der Anwendung verbunden. Es ist nicht möglich, auf die Betriebssystemebene zu gelangen oder andere Anwendungen aufzurufen. Ein Zugriff auf RADOS ist daher nur von den zugelassenen Terminals aus möglich und von diesen Terminals, mit Ausnahme des Terminals des Systemverwalters, kann nur mit RADOS gearbeitet werden.
9.2.5.2
Schutzfunktionen bei RADOS
Benutzerkontrolle
Um mit RADOS arbeiten zu können, muß ein Benutzer eine gültige Benutzerkennung besitzen, mit der er sich unter RADOS anmeldet. Jede Benutzerkennung ist an eine Benutzergruppe gekoppelt, der gewisse Zugriffsrechte gegeben sind.
Ohne eine Anmeldung an RADOS ist es nicht möglich, mit der Anwendung zu arbeiten. Hierzu müssen die Benutzerkennung und das zugehörige Paßwort eingegeben werden. Im Bereich der Paßwortverwaltung gibt es dabei Schwachstellen. In der neuesten Version, die im Uniklinikum Frankfurt zum Zeitpunkt der Prüfung unmittelbar vor dem Einsatz stand, sind diese teilweise behoben. Es soll daher dieser Stand geschildert werden.
In weiten Teilen entspricht die Paßwortverwaltung den von
mir im
19. Tätigkeitsbericht (Ziff. 15.5.4) dargelegten Vorstellungen.
Dies gilt z.B. für den Ablauf bei der Vergabe von Paßwörtern,
der verschlüsselten Speicherung oder der Mindestlänge
von sechs
Stellen. Auch erfolgt ab der dritten Fehleingabe eines Paßwortes
eine Zwangspause von mehreren Sekunden vor der nächsten
Anmeldung. Trotz der Verbesserungen zum alten Stand sind noch
einige Anpassungen vorzunehmen:
- Es muß möglich sein, eine maximale Gültigkeitsdauer
von
Paßwörtern festzulegen.
- Es sollte eine Historie von Paßwörtern existieren,
damit nicht
nur zwischen zwei Paßwörtern gewechselt wird.
- Es sollte eine Mindestgültigkeit einstellbar sein, damit
nicht, wenn ein neues Paßwort verlangt wird, so lange neue
Paßwörter vergeben werden, bis das alte wieder gültig
ist.
- Es sollte eine Anzeige erfolgen, wann die letzte Anmeldung mit
dieser Kennung erfolgte.
Speicherkontrolle
Wenn fünf Minuten lang keine Eingaben über das Terminal erfolgen, wird die Anwendung mit einem Zwangs-Logoff beendet. Die Modularisierung der Anwendung würde es allerdings auch gestatten, in Abhängigkeit von der jeweiligen Funktion das Zeitintervall festzulegen. Ob und welche Anforderungen zu stellen sind, wird in der Universitätsklinik geklärt.
Zugriffskontrolle
Die Anwendung ist in Form eines Menü-Baumes aufgebaut. Hinter jedem Menüpunkt steht entweder ein Untermenü oder ein Anwendungsprogramm. Einer Benutzergruppe kann der Zugriff auf einen Menüpunkt, d.h. auf die Anwendung oder die Untermenüs, erlaubt oder verwehrt werden. So werden für jede Benutzergruppe spezifische Sichten der Anwendung geschaffen. Es ist möglich, diese Anwendungssicht noch für jede Benutzergruppe nach dem Terminal, von dem aus der Zugriff erfolgt, unterschiedlich zu gestalten.
Eine Differenzierung der Zugriffe auf Daten innerhalb der Anwendungsfunktion ist nicht möglich. Eine Ausnahme bilden Befunde. Hier kann der Zugriff explizit für jeden Befund geregelt werden. Dazu wird für den Befund ein Paßwort vergeben. Ein Zugriff ist nur möglich, wenn dieses eingegeben wird.
Protokollierung
Es gibt derzeit keine Systemprotokolle, mit denen die Revision der Datenschutzmaßnahmen unterstützt wird. Welche Protokolle sinnvoll eingesetzt werden können, muß im Einzelfall geklärt werden. Anhaltspunkte habe ich im 20. Tätigkeitsbericht (Ziff. 15.2.2.2) gegeben.
Reaktion des Herstellers
Ich habe dem Uniklinikum die Schwachstellen genannt. Parallel dazu ist es zu Kontakten mit dem Hersteller von RADOS gekommen. Nach dem jetzigen Stand der Dinge ist zu erwarten, daß die Schwachstellen schnell behoben werden.
Zugangskontrolle
Neben den aus der Anwendung kommenden Schutzfunktionen gibt es Maßnahmen baulicher Art, die das Klinikum zu treffen hat. Der PC steht im Rechenzentrum der Universitätsklinik. Es gelten daher die gleichen Zugangsbeschränkungen wie für die anderen Zentralrechner der Verwaltung. Die Sicherheit des PC's selbst ist analog dem Vorgehen bei Stand-alone PC's zu erreichen.
9.2.5.3
Ergebnisse
Datenschutzrechtliche Probleme habe ich hinsichtlich der Ausgestaltung der Zugriffsberechtigungen festgestellt. Nahezu alle eingerichteten Benutzergruppen (Sekretariate, Professoren, Oberärzte, Ärzte, Leitende medizinisch-technische Röntgenassistenten, Vertretung Leitende medizinisch-technische Röntgenassistenten, medizinisch-technische Röntgenassistenten, Patientenanmeldung, Schreibkräfte, Hilfskräfte) haben Zugriff auf die Funktionen Archivauskunft, d.h. auf die Grunddaten sämtlicher bisher in der Abteilung behandelten - derzeit ca. 80.000 - Patienten, und alle in RADOS zu diesen Patienten gespeicherten Befunde. Die gegebene technische Möglichkeit, den Zugriff auf einzelne Befunde einzuschränken, wird in der Regel nicht genutzt. Ferner hat die überwiegende Anzahl der Benutzergruppen Zugriff auf die Funktion Terminbuchung, die alle detaillierten Angaben zu sämtlichen jemals in der Abteilung behandelten Patienten anzeigt. Den Umfang dieser Berechtigungen zum jederzeitigen Direktzugriff auf die Daten aller in dieser Abteilung in der Vergangenheit behandelten Patienten sehe ich als zu weitgehend an. Während meiner Prüfung wurde mir bereits zugesagt, daß eine Eingrenzung der Berechtigungen vorgenommen und mir ein schriftlicher Vorschlag hierzu übersandt wird.
Da auch hinsichtlich der Speicherung von Patientendaten in RADOS keine Speicherungsfristen festgelegt werden, die Patientendaten vielmehr dauerhaft gespeichert werden sollen, habe ich auch zu diesem Punkt noch um schriftliche Stellungnahme gebeten.
Ferner müssen noch technische und organisatorische Datenschutzmaßnahmen ergriffen werden. Für die Anwendung RADOS ist insbesondere der Hersteller gefordert. Im Bereich der organisatorischen Maßnahmen muß das Klinikum aktiv werden. Es muß ein Datenschutzkonzept erstellt werden, in dem Schutzmaßnahmen festgelegt werden. Beim Einsatz von PC's (vgl. 9.2.4) gehört beispielsweise die Datenverschlüsselung als Stand der Technik zu den in Betracht kommenden Mechanismen. Als weiterer regelungsbedürftiger Punkt ist die Revision der Datenverarbeitung zu nennen. So muß bei RADOS im Rahmen einer Revision die korrekte Implementierung der "Tied-Terminals" kontrolliert werden, damit die Anwendung gesetzeskonform eingesetzt wird.
Unter RADOS werden Teile der Patientenakte elektronisch gespeichert. Solange ein Ausdruck der Daten in der normalen Patientenakte abgelegt wird, gibt es qualitativ keine Änderung zu den bisherigen Abläufen.
Die ausschließliche Speicherung der Patientendaten in RADOS wirft Fragen hinsichtlich der Fälschungssicherheit auf. In der Anwendung ist es nicht mehr möglich, archivierte Daten zu ändern. Personen, die Zugriff auf die Systemebene von MUMPS oder MS-DOS haben, also an RADOS vorbei auf Daten zugreifen, können aber archivierte Informationen durchaus ändern. Derartige Änderungen sind dann kaum nachweisbar.
Unter welchen Voraussetzungen elektronisch gespeicherte Informationen als echt anzusehen sind, muß noch allgemein festgelegt werden. Das Problem wird immer drängender, da rechtswirksame Informationen verstärkt elektronisch gespeichert werden, mit dem Ziel, auf Originaldokumente, auf Papier oder andere dokumentenechte Speichermedien zu verzichten.