Mitteilungen aus dem 43. Tätigkeitsbericht des HDSB 2014 - Psychotherapeutenkammer Hessen

Mitteilungen aus dem 43. Tätigkeitsbericht des HDSB 2014

Aus dem im Herbst 2015 veröffentlichten 43. Jahresbericht des Hessischen Datenschutzbeauftragten Prof. Dr. Michael Ronellenfitsch möchte ich auf einige Punkte aufmerksam machen, von denen ich denke, dass sie für die Psychologischen PsychotherapeutInnen und die Kinder- und Jugendlichen-PsychotherapeutInnen, von besonderem Interesse sind. Der Bericht umfasst insgesamt 296 Seiten. Was ich berichte sind nur knappe Auszüge. Ergänzende Lektüre im Original möchte ich empfehlen. Dazu gebe ich jeweils die Nrn. der entsprechenden Kapitel bzw. Abschnitte an. Der Originalbericht kann im Internet aufgerufen und auch als PDF-Datei heruntergeladen werden: www.datenschutz-hessen.de, da unter „Datenschutz“ „Tätigkeitsberichte“ wählen.

Nach der Einführung im Kapitel 1 geht es im Kapitel 2 um datenschutzrechtliche Themen im Bereich Europa.
Kapitel 3 behandelt dann Querschnittsthemen:

Im Abschnitt 3.1.1. wird über den Umgang mit Patientendaten nach Schließung von Krankenhäusern berichtet. Als konkrete Beispiele werden zwei bereits vor Jahren geschlossene und seither ungenutzte Kliniken in Homberg/Efze sowie Neukirchen/Hessen genannt, in denen durch Einbrüche und Vandalismus Unbefugte Zugang zu den dort ungenügend gesichert aufbewahrten Patientenakten sowie auch Personalakten bekommen hatten.
Seitens des HDSB wurden in Zusammenarbeit mit den früheren Trägern bzw. Kostenträgern erforderliche Sicherungsmaßnahmen veranlasst und dafür gesorgt, dass die Patientenakten, bei denen die Aufbewahrungsfrist von 10 Jahren bereits verstrichen war, ordnungsgemäß vernichtet wurden.
Ende 2014 fand zu dieser Problematik eine Konferenz im Hessischen Sozialministerium statt, zu der u. a. Vertreter der Landesärztekammer, auch unserer Landespsychotherapeutenkammer, der Hessischen Krankenhausgesellschaft, des Landesverbands der Privatkliniken in Hessen, des Berufsverbands der Insolvenzverwalter in Deutschland eingeladen waren. Mit hoher Mehrheit wurde hier ein Regelungsbedarf festgestellt, beispielsweise in Form einer Fondslösung, in der betroffene Einrichtungen verpflichtet werden, für entsprechende Fälle vorzusorgen, oder mittels ergänzender Regelungen in den Krankenhausgesetzen.

Weiter in der Diskussion waren die Regelungen und die Ausgestaltung der Zugriffsberechtigungen in den (elektronischen) Krankenhausinformationssystemen (3.1.2).
Über die Aktualisierung der „Orientierungshilfe Krankenhausinformationssysteme“ mit den notwendigen Klarstellungen, Konkretisierungen und den notwendigen regelmäßigen Prüfungen wird in den Abschnitten 3.1.2.1 und 3.1.2.2 berichtet. In diesem Bereich bestehen offenbar weiter nicht unerhebliche Gefahren unbefugter Zugriffe auf Patientendaten. Hier sollten m. E. die in Kliniken tätigen PsychotherapeutInnen und PsychologInnen angesichts der meist besonders sensiblen Daten ihrer Dokumentationen und Berichte besonders achtsam sein. (Ich empfehle die Lektüre des Berichts im Original S. 74 – 77.)

Im Abschnitt 3.2.1 wird auf den technischen Datenschutz und die IT-Sicherheit ausführlich eingegangen. Ein vertraulicher Nachrichtenaustausch sollte auf jeden Fall nur in verschlüsselter Form erfolgen, wobei das neuere System der TSL-Verschlüsselungen gegenüber SSL-Verschlüsselungen Vorrang haben sollte und auf Ende-zu-Ende-Verschlüsselungen geachtet werden muss. Vorteil dabei ist, dass die Nachricht auf keinem Rechner im Klartext vorliegt. Allerdings müssen sich Sender und Empfänger dabei jeweils auf das Verschlüsselungsverfahren und den/die Schlüssel einigen (z. B. PGP bei der E-Mail-Verschlüsselung).

Auf schwerwiegende Sicherheitslücken bei der Internetkommunikation wird im Abschnitt 3.2.1.2.2 ausführlich eingegangen (Heartbleed, Poodle – S. 81 -83).

Auch in psychotherapeutischen und psychologischen Praxen wird wahrscheinlich in Zukunft zunehmend Cloud-Computing genutzt. Im Abschnitt 3.2.2 wird ausführlich auf die „Orientierungshilfe Cloud Computing“ der Datenschutzbeauftragten des Bundes und der Länder eingegangen.
Diese Orientierungshilfe wurde aufgrund der aktuellen Geschehnisse, insbesondere der NSA-Affäre, unter der Federführung des HDSB überarbeitet. Die Probleme des Cloud Computing wurden bereits in früheren Tätigkeitsberichten angesprochen – sie seien seither nicht weniger geworden. Die aktuelle Fassung der „Orientierungshilfe“ ist auf der Homepage des HDSB einsehbar – die entspr. Internetadresse findet sich in dem genannten Abschnitt auf S. 84. Die Orientierungshilfe wird mit ihren einzelnen Kapiteln in dem hier referierten Tätigkeitsbericht in Kürze erläutert. Allen in ihrer beruflichen Tätigkeit mit Cloud Computing befassten KollegInnen möchte ich die Lektüre zumindest dieser Abschnitte oder besser der Originalfassung der „Orientierungshilfe“ dringend empfehlen.

Kapitel 4 behandelt Datenschutzprobleme im öffentlichen Bereich, z. B. die Datenübermittlung zwischen verschiedenen Ämtern einer Kreisverwaltung ( – nur unter besonderen Bedingungen zulässig), die Veröffentlichung eines Stellenplans oder einer Vorschlagsliste für die Schöffenwahl im Internet ( – bei begrenzter Öffentlichkeit nicht zulässig, Abgrenzung von öffentlicher Auslegung, öffentlicher Bekanntmachung und Internetöffentlichkeit), Auftragsdatenverarbeitung durch einen privaten Dienstleister (- vertraglich ist sicherzustellen, dass die Bestimmungen des HDSG befolgt werden und die Kontrollfunktion des HDSB anerkannt wird), Einsatz von BodyCams bei der hessischen Polizei (zulässig unter gesetzlich geregelten sowie vom HDSB bestimmten Rahmenbedingungen, kritische Fragen zur Verhältnismäßigkeit), ferner Sozialdatenschutz, Gesundheitsdatenschutz u.a.

Kurz erwähnt sei Abschnitt 4.1.5.8: Einführung von per Funk auslesbaren Wasserzählern, die bereits mancherorts geplant sind – relevant für alle betroffenen Verbraucher – detaillierte datenschutzrechtliche und technische Anforderungen – siehe S. 131ff.

Abschnitt 4.5.3 „Keine Speicherung von Dissertationsurkunden und Scheidungsurteilen in Meldebehörden“ ist sicher auch für unsere Berufsgruppen von Interesse. Diese Dokumente enthalten viel mehr Informationen als sie für die Eintragung der Berechtigung der Titelführung oder der Namensänderung relevant und erforderlich sind. Es ist nicht zulässig, dass eine Meldebehörde Kopien solcher Urkunden fertigt und speichert. Es genügt jeweils die Benennung der Urkunde und der Nachweis der ausstellendenden Behörde oder des Gerichts mit Aktenzeichen, Tag der Ausstellung oder des Ereignisses und dass die Urkunde vorgelegen hat. Vor der unbegrenzten Erhebung und Speicherung persönlicher Daten ist der Einzelne zu schützen.

Besonders hinweisen möchte ich ferner auf den Abschnitt 5.4.2 „Datenverarbeitung im Kraftfahrzeug“, in dem auf Probleme des Datenschutzes bei den modernen vernetzten Kraftfahrzeugen eingegangen wird: Bis zu 80 Steuergeräte im modernen Auto verarbeiten die durch das Verhalten des Fahrers verursachten Daten, die z. T. personenbezogen oder personenbeziehbar sind und an die Automobilhersteller gesandt werden können.. Aus diesem Grund haben die Datenschutzbeauftragten des Bundes und der Länder 2014 eine Entschließung gefasst (abgedruckt unter 7.9), die wiederum die Automobilindustrie zur Entwicklung von „Datenschutzprinzipien für vernetzte Fahrzeuge“ veranlasst hat (Internetadresse s. S. 200). Diese wird von den Datenschutzbeauftragten nach vorläufiger Bewertung als ein guter Anfang gesehen, z. T. werden die dort dargestellten Prinzipien aber noch für zu pauschal gehalten.

Psychotherapeutische Praxen nutzen vermutlich keine privaten Abrechnungsdienstleister wie die PVS Büdingen für ihre Privatliquidationen. Falls doch oder falls wir als PKV-Versicherte selbst Arztrechnungen von einem solchen Abrechnungsunternehmen erhalten, dann dürfte der Abschnitt 5.6.4. „Prüfung der PVS Büdingen“ von Interesse sein (S. 218 – 223), auf den ich hiermit aufmerksam machen möchte. Der Marktanteil der PVS Büdingen beträgt nach deren Angaben ca. 35 % (bei insgesamt ungefähr 250 gewerblichen Abrechnungsunternehmen).
Für die Weiterleitung von Patientendaten zu Abrechnungszwecken an eine Abrechnungsstelle ist grundsätzlich eine informierte Einwilligung des Patienten erforderlich. D. h. der Patient muss darüber aufgeklärt werden, an wen, zu welchem Zweck und in welchem Umfang seine Daten weitergegeben werden (§ 4a BDSG), was gelegentlich nur unzureichend geschieht. Die Abläufe bei der PVS, auch zur elektronischen Patientendaten-Übermittlung, werden in dem Bericht, der sich auch auf eine persönliche Begehung bezieht, unter datenschutzrechtlichen Aspekten detailliert beschrieben.
Im Falle stationärer Behandlungen wird i. d. R. die vollständige Krankenakte zur Feststellung und Abrechnung aller erbrachten Leistungen an die PVS übergeben. Hierüber müssen die Patienten in ihrer Einwilligungserklärung auch entsprechend informiert werden. Die PVS Büdingen hat ihre Muster für die Einwilligungserklärung für die Vertragspartner Krankenhaus inzwischen entsprechend umgestellt.

Kapitel 7 enthält die Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, wobei ich insbesondere die folgenden nennen möchte:

7.2: Gewährleistung der Menschenrechte bei der elektronischen Kommunikation

Hierzu wurde von der Konferenz die Prüfung und Umsetzung folgender Maßnahmen beschlossen:

  1. „Sichere Verschlüsselung beim Transport und bei der Speicherung von Daten,
  2. Bereitstellung einer einfach bedienbaren Verschlüsselungs-Infrastruktur,
  3. Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbindungsverschlüsselung,
  4. Sichere und vertrauenswürdige Bereitstellung von Internetangeboten,
  5. Weiterentwicklung innovativer Vorkehrungen zum Schutz von Verkehrsdaten,
  6. Ausbau der Angeboten und Förderung anonymer Kommunikation,
  7. Angebot für eine Kommunikation über kontrollierte Routen,
  8. Sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Geolokalisierung,
  9. Beschränkung des Cloud Computing mit personenbezogenen Daten auf vertrauenswürdige Anbieter mit zertifizierter Informationssicherheit,
  10. Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch Zertifizierung,
  11. Sensibilisierung von Nutzerinnen und Nutzern moderner Technik,
  12. Ausreichende Finanzierung von Maßnahmen der Informationssicherheit.“

Weiter enthält Kapitel 7 u. a. Ausführungen zu den folgenden Punkten, auf die ich hier jedoch nicht weiter eingehen möchte:

7.5: Biometrische Gesichtserkennung durch Internetdienste
7.6: Ende der Vorratsdatenspeicherung in Europa (EGH-Entscheidung)
7.9: Datenschutz im Kraftfahrzeug
7.11: Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen
7.12.1: Datenübermittlung zwischen medizinischen Leistungserbringern und klinischen Krebsregistern
7.14: Schluss mit datenschutzrechtlichen Missständen beim Umgang mit Krankentagegeldbescheinigungen

Kapitel 8 enthält Beschlüsse des Düsseldorfer Kreises, u. a.:
8.4: Smartes Fernsehen nur mit smartem Datenschutz

gez. Dr. R. Doubrawa
Datenschutzbeauftragter der LPPKJP Hessen –
Jan. 2016