Modellprojekt Mammographie-Screening

Im letzten Jahr hatte ich von dem Modellprojekt zur Einführung einer qualitätsgesicherten Brustkrebsfrüherkennung mittels Mammographie-Screening in Wiesbaden berichtet. Gegenstand des Modellprojekts ist die praktische Erprobung von Strukturen, innerhalb derer künftig qualitätsgesichertes Mammographie-Screening in Deutschland flächendeckend durchgeführt werden kann.

Die Umsetzung des Konzepts haben das für den privaten Bereich - und damit auch für den Verein Mammographie-Screening - zuständige Dezernat Datenschutz des Regierungspräsidiums Darmstadt und ich - soweit es grundsätzliche Fragen des Konzepts betrifft - überprüft.

Bei der Prüfung der getroffenen technischen und organisatorischen Sicherungsmaßnahmen konnten wir feststellen, dass die im Datenschutzkonzept vorgesehenen Maßnahmen weitgehend umgesetzt waren. Die beiden wesentlichen vorgefundenen Mängel sind wie folgt zu skizzieren.

• - Das Konzept sah eine personelle Trennung von zwei Administrationsfunktionen vor. Ein Administrator sollte die Datenbank mit den medizinischen Daten betreuen, ein anderer die Datenbank mit den Einladungsdaten. Zum Zeitpunkt der Prüfung musste jedoch eine Person in Personalunion die Aufgaben wahrnehmen. Es wurde dazu mitgeteilt, dass eine Mitarbeiterin beziehungsweise ein Mitarbeiter eingestellt werden soll, um entsprechend dem Konzept zu verfahren.
  
• - Entgegen dem Konzept waren die BIOS-Einstellungen der Server so, dass ein Booten von Disketten aus möglich war. An einem der Server war das BIOS auch nicht durch ein Passwort gegen unbefugte Änderungen geschützt. Kurze Zeit vorher hatte eine Wartung stattgefunden. Es wurde daher vermutet, dass der Techniker die ursprünglichen Einstellungen für die Wartung geändert hatte, ohne sie anschließend wieder zurück zu setzen. Die nach dem Konzept erforderlichen Einstellungen wurden noch während der Prüfung vorgenommen. Ausreichende räumliche Sicherungsmaßnahmen waren getroffen, denn die Server sind in abgeschlossenen Serverschränken in einem nur wenigen Personen zugänglichen Raum untergebracht. Der beschriebene Mangel konnte kaum durch Personen ohne Zutrittsrechte ausgenutzt werden.

Im Ergebnis war das Konzept in einer Art und Weise umgesetzt, dass ich keine Bedenken wegen unzureichender Sicherungsmaßnahmen habe, wenn Einwohnermeldeämter dem Verein die vorgesehenen Daten übermitteln.

zurück, weiter, Inhalt 31.TB, Sachwortverzeichnis zum 31.TB