Datenschutz in der Pflege: Sicher und pragmatisch umsetzen nach DSGVO 9783748601906

Table of contents :
Inhalt
Vorwort
Kapitel 1. Vorgaben umsetzen
Kapitel 2. Datenschutz in der Praxis
Kapitel 3. IT & Technik
Kapitel 4. Gesetzliche Grundlagen
Stichwortverzeichnis
Autor

Citation preview

Thomas Althammer (Hrsg.)

Datenschutz in der Pflege Sicher und pragmatisch umsetzen nach DSGVO unter Mitarbeit von Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Sämtliche Angaben und Darstellungen in diesem Buch entsprechen dem aktuellen Stand des Wissens und sind bestmöglich aufbereitet. Der Verlag und der Autor können jedoch trotzdem keine Haftung für Schäden übernehmen, die im Zusammenhang mit Inhalten dieses Buches entstehen.

© VINCENTZ NETWORK, Hannover 2019 Besuchen Sie uns im Internet: www.altenheim.net Das Werk ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für die Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen und Handelsnamen in diesem Buch berechtigt nicht zu der Annahme, dass solche Namen ohne Weiteres von jedermann benutzt werden dürfen. Vielmehr handelt es sich häufig um geschützte, eingetragene Warenzeichen. Druck: Gutenberg Beuys Feindruckerei GmbH, Langenhagen Foto Titelseite: AdobeStock, lassedesignen Satz: Heidrun Herschel, Wunstorf ISBN 978-3-7486-0190-6

Thomas Althammer (Hrsg.)

Datenschutz in der Pflege Sicher und pragmatisch umsetzen nach DSGVO unter Mitarbeit von Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock

VINCENTZ NETWORK

Inhalt Vorwort7

4

Kapitel 1 //  Vorgaben umsetzen 1. Datenschutzbeauftragter 2. Webseite und Social Media 3. Datenschutzrichtlinie 4. Sensibilisierung Mitarbeitende 5. Informationspflichten 6. Verzeichnis von Verarbeitungstätigkeiten 7. Technische und organisatorische Maßnahmen 8. Auftragsverarbeitung 9. Bildrechte 10. Videoüberwachung 11. Datenpanne 12. Betroffenenrechte 13. Datenschutz-Folgenabschätzung

9 10 13 15 18 20 23 26 28 31 34 37 40 43

Kapitel 2 //  Datenschutz in der Praxis 1. Stationäre Pflege 2. Ambulante Pflege 3. Öffentlichkeitsarbeit 4. Personal 5. Allgemeine Verwaltung

47 48 66 75 80 90

Kapitel 3 //  IT & Technik 1. Überblick Informationssicherheit 2. Hardware & IT-Systeme 3. Software & cloud-basierte Dienste 4. Administration & IT-Management 5. IT-Sicherheit gestalten

95 96 98 109 120 128

Inhaltsverzeichnis

Kapitel 4 //  Gesetzliche Grundlagen 1. Rechtlicher Rahmen 2. Grundbegriffe des Datenschutzes 3. Rechte der Betroffenen  4. Sanktionen & Strafen

143 144 152 162 169

Stichwortverzeichnis171 Autor175

Datenschutz in der Pflege

5

Vorwort

Vorwort Zur Verwendung des Buchs Am 25.05.2018 wurde in Europa eine neue Ära im Datenschutz eingeläutet. Die Datenschutz-Grundverordnung (DSGVO) hat weltumspannende Aufmerksamkeit und hitzige Debatten mit sich gebracht. In Deutschland gab es auch vorher schon strenge Auflagen, die jedoch häufig nicht ausreichend in der Praxis umgesetzt wurden. Durch Einführung der DSGVO und der neuen Gesetze zum Datenschutz in den Kirchen hat sich hier einiges getan. In Zeiten von Big Data, Digitalisierung und Diskussionen rund um „künstliche Intelligenz“ trat die DSGVO gerade im richtigen Moment in Kraft. Daten sind gerade nicht das Öl des 21. Jahrhunderts, auch wenn es oft anders dargestellt wird. Es geht vielmehr um unsere Persönlichkeitsrechte, um die Grundfeste der Demokratie und weniger um personenbezogene Daten als Ware. Denn im Gegensatz zu Rohstoffen und Erzeugnissen lassen sich Daten beliebig vervielfältigen und verteilen. Das verlangt nach einer angemessenen Regulierung zum Schutz von Persönlichkeitsrechten eines jeden Einzelnen. Doch wie lassen sich die komplexen Vorgaben in der Praxis adäquat umsetzen? Welche Auswirkungen hat die DSGVO auf Dienste und Einrichtungen zur Pflege und Betreuung von Menschen? Mit diesem Buch geben wir Ihnen einen Praxisratgeber an die Hand, mit dem Sie die komplexen Vorgaben für Ihre Einrichtung angemessen und pragmatisch umsetzen können. Dabei haben wir ganz bewusst einen anderen Aufbau gewählt, als dies üblicherweise in Fachbüchern zum Datenschutz der Fall ist. Blättern Sie also ruhig weiter und starten Sie direkt mit unseren Leitfäden, um – nach Priorität geordnet – die notwendigen Dinge für Ihr Unternehmen auf den Weg zu bringen. Im weiteren Verlauf stellen wir die Inhalte für die Datenschutzdokumentation, den Umgang mit IT-Systemen und im letzten Kapitel die rechtlichen Hintergründe im Detail vor. Als Ergänzung haben wir viele Vorlagen und Unterlagen zusammengestellt, die als Download zur Verfügung stehen. Je nach Rechtsform und Trägerschaft gelten unterschiedliche Gesetze im Datenschutz. Für private und öffentliche Einrichtungen sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO) anzuwenden. Einrichtungen und Pflegedienste mit Mitgliedschaft in einem diakonischen Werk haben das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutsch-

Datenschutz in der Pflege

7

land (DSG-EKD) zu beachten. Im Umfeld der Caritas gilt das Gesetz über den Kirchlichen Datenschutz (KDG) und die Kirchliche Datenschutzgerichtsordnung (KDSGO). Dieses Buch wendet sich an alle Einrichtungen und Dienste im Bereich Pflege. Daher haben wir, wenn möglich, auf alle drei Gesetze Bezug genommen. Ganz herzlich danken möchte ich meinem Autorenteam Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock, die mit ihren Beiträgen zum Gelingen dieses Buches beigetragen haben. Dieser Dank gilt auch unseren Familien und Partnern für ihre Geduld und Unterstützung in den vergangenen Monaten. Hannover im Februar 2019 Thomas Althammer P.S. Ihr Feedback ist uns ein wichtiges Anliegen. Für Ihre Anregungen, Lob und Kritik erreichen Sie uns unter [email protected]. Herzlichen Dank!

Unter der Überschrift „Weitere Informationen“ finden Sie unter anderem hilfreiches Material wie etwa bestimmte Vorlagen. Immer, wenn dort keine Internetadresse direkt genannt wird, finden Sie diese Materialien in einem speziellen Downloadbereich zu diesem Buch auf folgender Seite: http://www.altenheim.net/Produkte/Downloads-zu-Buechern   In diesem Buch wird zugunsten der besseren Lesbarkeit auf die Nennung der weiblichen Schreibformen verzichtet. 8



Kapitel 1 //  Vorgaben umsetzen Die wichtigsten Vorgaben auf einen Blick

Mit den folgenden Leitfäden möchten wir Ihnen risikoorientiert die wichtigten Aufgaben im Datenschutz für Ihre Organisation an die Hand geben: 1. Datenschutzbeauftragter 2. Webseite und Social Media 3. Datenschutzrichtlinie 4. Sensibilisierung Mitarbeitende 5. Informationspflichten 6. Verzeichnis von Verarbeitungstätigkeiten 7. Technische und organisatorische Maßnahmen 8. Auftragsverarbeitung 9. Bildrechte 10. Videoüberwachung 11. Datenpanne 12. Betroffenenrechte 13. Datenschutz-Folgenabschätzung

Datenschutz in der Pflege

9

Kapitel 1

Die folgenden Seiten führen Sie in Form von Leitfäden durch die wichtigen Aufgaben im Datenschutz aus Sicht einer Einrichtung bzw. eines Pflegedienstes in der Altenpflege. Sie erhalten zu jedem Thema eine kurze Übersicht mit Hintergrundwissen und Auszügen aus den relevanten gesetzlichen Grundlagen, eine Checkliste anhand derer Sie Ihren Stand zum Thema selbst überprüfen können, sowie Vorlagen und Hinweise zu weiteren Materialien und Informationen.

1. Datenschutzbeauftragter Auf einen Blick –– In vielen Fällen muss ein Datenschutzbeauftragter benannt werden. –– Aufgaben, Funktionen und Fachkunde des Datenschutzbeauftragten sind gesetzlich definiert. –– Der Datenschutzbeauftragte muss an die Aufsichtsbehörde gemeldet werden. Worum geht es? Unternehmen, in denen regelmäßig mindestens zehn Beschäftigte personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten (DSB) benennen. Ein DSB ist bei bestimmten Verarbeitungstätigkeiten auch unabhängig von der Beschäftigtenzahl zu benennen. Hierzu gehören z. B. –– Markt- und Meinungsforschung –– Verarbeitungen die einer Datenschutz-Folgenabschätzung unterliegen –– Umfangreiche Verarbeitungen besonderer Arten von Daten Wenn kein DSB benannt ist, werden die Aufgaben von der Geschäftsführung übernommen. Warum ist das wichtig? Der Datenschutzbeauftragte berät Geschäftsführung und Mitarbeitend. h. nsichtlich ihrer Pflichten aus den geltenden Datenschutzgesetzen und anderer Datenschutzvorschriften. Er überwacht und prüft die im Unternehmen durchgeführten Verarbeitungen personenbezogener Daten. Weiter führt er Sensibilisierungsmaßnahmen durch und unterstützt bei der Umsetzung datenschutzrelevanter Maßnahmen. Ein DSB unterliegt der Verschwiegenheit und ist in seiner Tätigkeit weisungsfrei. Der Datenschutzbeauftragte ist an die zuständige Aufsichtsbehörde zu melden.

10

1. Datenschutzbeauftragter

Folgende Funktionen scheiden deshalb regelmäßig aus –– Mitglieder der Geschäftsführung, Inhaber –– Beschäftigte der IT-Abteilung –– Beschäftigte der Personalabteilung Datenschutzbeauftragte haben einen besonderen Kündigungsschutz und müssen sich regelmäßig fortbilden. Eine Alternative zur Benennung eines internen DSB ist die Benennung eines externen Datenschutzbeauftragten. Aus dem Gesetz §§ 38 BDSG (1) Ergänzend (…) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung (…) unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen. Vergleichbare Vorgaben finden sich unter §§ 36 ff. DSG-EKD und §§ 36 ff. KDG.

Datenschutz in der Pflege

11

Kapitel 1

Welche Möglichkeiten gibt es? Ein Unternehmen kann einen Beschäftigten zum Datenschutzbeauftragten benennen. Hierbei ist aber darauf zu achten, dass es zu keinem Interessenskonflikt kommt.

  Kurz-Check – An alles gedacht? 1. Datenschutzbeauftragten benannt Verarbeiten mehr als 9 Personen regelmäßig personenbezogene Daten, ist ein DSB zu benennen. Mit dem externen DSB ist ein Dienstvertrag zu schließen. 2. Meldung des Datenschutzbeauftragten Der DSB ist an die zuständige Aufsichtsbehörde zu melden. 3. Veröffentlichen Kontaktdaten des DSB Die Kontaktdaten des DSB sind auf der Homepage zu veröffentlichen.

Weitere Informationen –– Vorlage Benennung Datenschutzbeauftragter –– DSK-Kurzpapier Nr. 12 – Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern (https://www.datenschutzkonferenz-online.de/ media/kp/dsk_kpnr_12.pdf (letzter Abruf 12.12.2018)) –– Leitlinie der Artikel 29 Gruppe zur Benennung des DSB (https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp243_rev01.pdf (letzter Abruf 17.12.2018))

12

1. Datenschutzbeauftragter

2.  Webseite und Social Media

–– Die Datenschutzerklärung muss transparent und leicht zu erreichen sein. –– Vergleichbare Vorgaben sind für Seiten auf Social Media-Diensten zu beachten. Worum geht es? Unternehmen müssen auf ihren Internetpräsenzen ein Impressum und eine Datenschutzerklärung haben, um Besucher der Seite zu informieren und über ihre Rechte aufzuklären. Außerdem sollte man sich als Unternehmen darüber im Klaren sein, welche Technologien man auf seiner Webseite einsetzt, um diese beurteilen zu können. Das Tracking von Besuchern spielt dabei eine besondere Rolle (Analyse der Besucherströme und des Klick-Verhaltens auf einer Website). Besonders zu beachten sind hierbei auch sogenannte Fanpages, z. B. bei Facebook, ein YouTube-Kanal, eine Verkäuferseite auf eBay oder ein gewerbliches Verkäuferprofil bei Amazon. Warum ist das wichtig? Vollständige Angaben sind gesetzlich vorgeschrieben und verringern das Risiko, abgemahnt zu werden. Die deutschen Datenschutzaufsichtsbehörden haben im April 2018 beschlossen, dass Tracking nur noch mit Einwilligung des Nutzers möglich sein soll. Welche Möglichkeiten gibt es? Unrechtmäßige Verarbeitungen sollten abgeschaltet werden. Werden mehrere Seiten betrieben, für die das gleiche Impressum und die gleiche Datenschutzerklärung gelten, bietet es sich an, die Daten an einer Stelle zentral zu pflegen und auf diese zu verlinken.

Datenschutz in der Pflege

13

Kapitel 1

Auf einen Blick –– Ein vollständiges Impressum schützt vor Abmahnungen.

  Kurz-Check – An alles gedacht? 1. Notwendige Angaben im Impressum –– Name und Anschrift der verantwortlichen Stelle –– Rechtsform –– Vertretungsberechtigte –– Angaben zur schnellen elektronischen Kontaktaufnahme, inkl. E-Mail-Adresse –– Ggf. Angaben zur zuständigen Aufsichtsbehörde (wenn die Tätigkeit einer behördlichen Zulassung bedarf) –– Handelsregister/Vereinsregister/Partnerschaftsregister/Genossenschaftsregister und zugehörige Registernummer –– Angaben zur Kammerzugehörigkeit inkl. gesetzl. Berufsbezeichnung und Land, in dem diese verliehen worden ist, sowie ggf. weitere berufsrechtlich erforderliche Angaben –– Umsatzsteueridentifikationsnummer/Wirtschafts-Identifikationsnummer –– Angaben zur Bildnutzung –– Verantwortlicher gem. § 55 RStV 2. Notwendige Angaben Datenschutzerklärung –– Verantwortliche Stelle –– Datenschutzbeauftragter inkl. Kontaktdaten –– Art der Verarbeitung inkl. Rechtsgrundlage –– Betroffenenrechte –– Eingesetzte Dienste und Plug-ins 3. Social Media-Auftritte –– Eigenes Impressum und Datenschutzerklärung bzw. Rück-Verlinkung auf Homepage einbauen

Weitere Informationen –– Vorlage Datenschutzerklärung –– Vorlage Impressum –– DSK-Entschließung zu Facebook vom 6. Juni 2018 ) https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf (letzter Abruf 17.12.2018))

14

2.  Webseite und Social Media

3. Datenschutzrichtlinie

–– Bei der Erfüllung der Rechenschaftspflichten ist die Datenschutzrichtlinie sehr hilfreich. Worum geht es? Unternehmen und Verbände stehen vor vielen Aufgaben bei der Umsetzung der weitreichenden Vorgaben der DSGVO bzw. entsprechender Kirchengesetze. Hierfür sollte ein „geordneter Prozess“ implementiert werden, um den gesetzlichen Vorgaben nachzukommen und um haftungs- und sanktionsrechtlich einen Fahrlässigkeitsvorwurf abweisen zu können. Solche „geordneten Prozesse“ werden häufig als Qualitätsmanagement bzw. Management-Systeme bezeichnet. Eine Datenschutzrichtlinie oder ein Datenschutzhandbuch unterstützen das Unternehmen bei der Einhaltung und Sicherstellung der Qualität und geben den Mitarbeitenden einen Handlungsrahmen. Warum ist das wichtig? Eine vergleichsweise knapp formulierte Vorschrift der Datenschutz-Grundverordnung hat es besonders in sich, die sogenannte „Rechenschaftspflicht“. Dabei müssen Verantwortliche den Datenschutz nicht nur einhalten, sondern dies auch nachweisen können (Art. 5 DSGVO bzw. § 5 DSG-EKD und § 7 KDG). Dadurch ergibt sich eine Beweispflicht, teils sogar eine Umkehr der Beweislast gegenüber der bisherigen Rechtslage. Die Vorgaben werden in Art. 24 Abs. 1 DSGVO präzisiert, in dem Verantwortliche „angemessene technische und organisatorische Maßnahmen“ treffen müssen, um die Einhaltung der DSGVO sicherzustellen und um hierfür auch den Nachweis erbringen zu können. Die Nichterfüllung der Rechenschaftspflicht kann zu Bußgeldern führen.

Datenschutz in der Pflege

15

Kapitel 1

Auf einen Blick –– Die Datenschutzrichtlinie gibt dem Unternehmen und den Mitarbeitenden einen klaren Handlungsrahmen.

Welche Möglichkeiten gibt es? Die relevanten Themen sollten im Rahmen einer Richtlinie geregelt werden. Ein bewährtes Set von Richtlinien in einem Datenschutzmanagementsystem (DSMS) beinhaltet z. B. folgende Dokumente: –– Leitlinie zu Datenschutz und Informationssicherheit –– Richtlinie zum Datenschutz (für Beschäftigte) –– Richtlinie zur Umsetzung von Datenschutzmaßnahmen –– Richtlinie für die Umsetzung von Betroffenenrechten –– IT-Richtlinie für Nutzer –– Richtlinie für die Nutzung mobiler IT-Systeme –– Richtlinie für die Nutzung mobiler Datenträger –– Richtlinie für Sicherheitsvorfälle –– Notfallplan

Aus dem Gesetz Art. 24 DSGVO (Auszug) (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. Vergleichbare Vorgaben finden sich unter §§ 27 DSG-EKD und §§ 26 KDG.

16

3. Datenschutzrichtlinie

  Kurz-Check – an alles gedacht? Kapitel 1

1. Erstellen einer Datenschutzrichtlinie oder eines Datenschutzhandbuchs zur Sicherstellung der Einhaltung der DSGVO Mit einer Richtlinie oder einem Datenschutzhandbuch, das für alle Mitarbeitenden im Unternehmen gilt, dokumentieren Sie, dass wesentliche Aufgaben übertragen wurden und Sie vermeiden so, dass möglicherweise ein „Organisationsverschulden“ unterstellt wird. 2. Mitarbeiterinformation Mitarbeitende auf die Geltung der Richtlinie verpflichten und deren Inhalte vermitteln bzw. schulen.

Weitere Informationen –– Vorlage Datenschutzrichtlinie –– Vorlage Vertraulichkeitsverpflichtung/Datengeheimnis

Datenschutz in der Pflege

17

4.  Sensibilisierung Mitarbeitende Auf einen Blick –– Die Sensibilisierung der Mitarbeitenden ist eine essenzielle Aufgabe zur Erfüllung der Rechenschaftspflichten. –– Es gibt verschiedene Möglichkeiten der Sensibilisierung wie z. B. Präsenzschulungen, E-Learning, Merkblatt. –– Zusätzlich sind alle Mitarbeitenden auf die Vertraulichkeit bzw. das Datengeheimnis zu verpflichten. Worum geht es? Mitarbeitende, die mit personenbezogenen Daten arbeiten oder in Kontakt kommen, sollen auf die Vertraulichkeit verpflichtet und mit den ihren Tätigkeitsbereich betreffenden Datenschutzregeln vertraut gemacht werden, um diese anwenden und einhalten zu können. Im Bereich der Kirchengesetze ist neben der allgemein gegebenen Vertraulichkeit das „Datengeheimnis“ zu beachten. Warum ist das wichtig? Nur wenn Regeln und Gesetze bekannt sind, können diese eingehalten werden. Zugleich erfüllt das Unternehmen durch Sensibilisierung und Verpflichtung seine Rechenschaftspflichten aus Art. 5 DSGVO. Welche Möglichkeiten gibt es? Die Datenschutz-Grundverordnung macht hierzu keine konkreten Vorschriften. Das DSG-EKD und das KDG schreiben eine schriftliche Verpflichtung auf das Datengeheimnis vor. Folgendes Vorgehen hat sich bewährt –– Die Verpflichtung auf die Vertraulichkeit sollte bereits bei der Einstellung durch ein entsprechendes Formular durchgeführt werden. –– Es empfiehlt sich, Mitarbeitenden ergänzend ein Merkblatt mit Hinweisen zum Datenschutz zu übergeben, kombiniert mit einer persönlichen Erläuterung oder einem E-Learning-Modul.

18

4.  Sensibilisierung Mitarbeitende

Noch konkreter ist das Datengeheimnis in § 26 DSG-EKD und § 5 KDG formuliert.

  Kurz-Check – an alles gedacht? 1. Prüfen ob alle Mitarbeitenden, inkl. Praktikanten, Ehrenamtler und Honorarkräfte auf die Vertraulichkeit bzw. das Datengeheimnis verpflichtet sind. Fehlende Verpflichtungen sind nachzuholen. Geben Sie ein Exemplar in die Personalakte und händigen Sie dem Mitarbeiter eine Kopie aus. 2. Prüfen, ob es regelmäßige Unterweisungen zum Datenschutz gibt und wann diese zuletzt durchgeführt wurden Wenn es noch keine Unterweisungen gibt, sollten diese nachgeholt werden. Denken Sie hier auch an das Führen von Teilnahmelisten. Unterweisungen können als Präsenzveranstaltungen oder z. B. über E-Learning durchgeführt werden. 3. Prüfen, ob Informationen zum Datenschutz den Mitarbeitenden auf anderen Wegen zur Verfügung gestellt werden können Beispiele sind: Merkblatt zum Datenschutz, Beiträge für das Intranet oder die Mitarbeiterzeitung 4. Thema Datenschutz in den Schulungsplan aufnehmen Beschäftigte sollten regelmäßig an die Vorgaben erinnert bzw. auf den neuesten Stand gebracht werden (mind. jährlich). Sinnvoll ist eine Bereitstellung von Tipps zum datenschutzgerechten Umgang und zu aktuellen Themen im Bereich IT-Sicherheit.

Weitere Informationen –– DSK-Kurzpapier Nr. 19 – Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO –– Bezugshinweise zu Merkblättern und E-Learning-Angeboten

Datenschutz in der Pflege

19

Kapitel 1

Aus dem Gesetz Art. 32 Abs. 4 DSGVO Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

5. Informationspflichten Auf einen Blick –– Unternehmen müssen Betroffene schon bei der Erhebung personenbezogener Daten transparent informieren. –– Zu den Betroffenen zählen z. B. Mitarbeitende, Bewerber, Kunden und Interessenten eines Unternehmens. –– Art und Umfang der Informationspflichten sind gesetzlich vorgegeben. Alle Prozesse mit personenbezogenen Daten müssen berücksichtigt werden. Worum geht es? Betroffene Personen sollen über die mit ihren Daten durchgeführten Verarbeitungen aufgeklärt und informiert werden. Dies soll transparent und in einer einfachen Sprache geschehen. Die Informationen müssen nicht bereitgestellt werden, wenn sie der betroffenen Person bereits vorliegen, wenn also anzunehmen ist, dass ein typischer, durchschnittlich verständiger Teilnehmer am Rechtsverkehr über diese Informationen verfügt. Im Bereich des DSG-EKD sind Informationspflichten nur auf Verlangen des Betroffenen zu erfüllen. Warum ist das wichtig? Betroffene können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch nur wahrnehmen, wenn sie darüber informiert sind, wer welche Daten verarbeitet, an wen weitergibt und wann löscht. Welche Möglichkeiten gibt es? Zum einen können Informationsblätter erstellt werden, die Betroffenen überreicht bzw. als Anlage zu einem Vertrag gegeben werden. Eine weitere Möglichkeit ist die elektronische Information – also der Hinweis an den Betroffenen, an welcher Stelle die entsprechenden Informationen zur Verfügung gestellt werden.

20

5. Informationspflichten

Datenschutz in der Pflege

21

Kapitel 1

Aus dem Gesetz Art. 13 DSGVO (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. Weitere Informationspflichten sind in Art. 14 DSGVO geregelt. In den Kirchengesetzen finden sich vergleichbare – leicht abgemilderte – Regelungen in §§ 17 f. DSG-EKD und §§ 15 f. KDG.

  Kurz-Check – an alles gedacht? 1. Notwendige Informationen sind zusammengestellt In den verschiedenen Bereichen wurden die notwendigen Informationen gesammelt und zusammengetragen. 2. Infoblatt ist erstellt Betroffene werden in transparenter und leicht verständlicher Form aufklärt über: –– Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten –– Verarbeitungszwecke und Kategorien verarbeiteter Daten –– Rechtsgrundlage für die Verarbeitung –– Empfänger bzw. Kategorien von Empfängern –– Verarbeitung außerhalb der EU/des EWR –– Speicherdauer –– Betroffenenrechte 3. Übergabeprozess definiert Es ist klar geregelt, wann und wie die Informationen im jeweiligen Anwendungsfall zur Verfügung gestellt werden.

Weitere Informationen –– Vorlage Information für Mitarbeitende –– Vorlage Information für Kunden –– Vorlage Information für Bewerber –– DSK-Kurzpapier Nr. 10 – Informationspflichten bei Dritt- und Direkterhebung (https://www.datenschutzkonferenz-online.de/media/kp/dsk_ kpnr_10.pdf (letzter Abruf 17.12.2018))

22

5. Informationspflichten

6.  Verzeichnis von Verarbeitungstätigkeiten

–– Die Verarbeitungsübersicht hilft bei vielen Datenschutzpflichten wie bspw. Auskunftsersuchen und Informationspflichten weiter. –– Eine vollständige Verarbeitungsübersicht kann dem Unternehmen helfen, unstrukturierte Prozesse zu erkennen und Maßnahmen zur IT-Sicherheit zu verbessern. Worum geht es? Das Verzeichnis der Verarbeitungstätigkeiten dient dazu, die Prozesse des Unternehmens zu dokumentieren, in denen personenbezogene Daten verarbeitet werden. In Art. 30 DSGVO sind die Mindestinhalte definiert. Das Gesetz macht keine Angaben dazu, in welcher Form das Verzeichnis zu führen ist. Es gibt Erleichterungen für Unternehmen mit weniger als 250 Beschäftigten, sofern keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung kein Risiko für die Rechte und Freiheiten von Betroffenen birgt. In der Pflege ist häufig auch für kleine Unternehmen ein Verzeichnis zu führen. Warum ist das wichtig? Die Dokumentation muss auf Verlangen der Aufsichtsbehörde vorgelegt werden. Wenn diese Aufstellung fehlt oder unvollständig ist, kann das zu Bußgeldern führen. Zum anderen hilft es dem Unternehmen selbst, den Fachabteilungen, den Mitarbeitenden und dem Datenschutzbeauftragten, die Rechtmäßigkeit der Verarbeitungen zu beurteilen. Wobei hilft es dem Unternehmen? Wenn das Verzeichnis erstellt ist, hat man automatisch die Informationen verfügbar, die zur Erfüllung der Informationspflichten, der Beantwortung von Auskunftsersuchen und im Fall einer Datenpanne zur Risikoabschätzung notwendig sind.

Datenschutz in der Pflege

23

Kapitel 1

Auf einen Blick –– Alle Vorgänge im Umgang mit personenbezogenen Daten sind in einer Verarbeitungsübersicht mit Zweck, Gesetzesgrundlage und weiteren Details zu dokumentieren.

Außerdem hilft es auch dabei, Verarbeitungen aufzuspüren, die überflüssig (geworden) sind und somit Arbeitsabläufe zu vereinfachen. Anhand des Verzeichnisses können diejenigen Prozesse und Verarbeitungen leichter identifiziert werden, die im Rahmen einer Datenschutz-Folgenabschätzung besonders betrachtet werden müssen. Aus dem Gesetz Anforderungen nach Art. 30 DSGVO Pflichtangaben Optionale Angaben Name und Kontaktdaten des Verantwortli- Zugriffsberechtigte Personen/Funktionen chen und des DSB Angaben zu den Informationspflichten Verarbeitungszwecke Risikoabschätzung Beschreibung der Kategorien betroffener Angaben zu einer Datenschutz-FolgenabPersonen und Daten schätzung Kategorien von Empfängern, einschließlich Angaben zu Auftragsverarbeitungen Empfängern in Drittländern oder intern. Organisationen Ggf. Übermittlungen an ein Drittland oder intern. Organisation Löschfristen Allgemeine Beschreibung der technischorganisatorischen Maßnahmen

Die Regelungen in den Kirchengesetzen finden sich in § 31 DSG-EKD und § 31 KDG.

24

6.  Verzeichnis von Verarbeitungstätigkeiten

  Kurz-Check – an alles gedacht? 1. Alle Verarbeitungen sind in das Verzeichnis aufgenommen. 2. Es gibt einen Prozess für eine regelmäßige Überprüfung.

Kapitel 1

3. Es ist ein Prozess definiert, der die Aufnahme neuer Verarbeitungen in die Übersicht sicherstellt.

Weitere Informationen –– Vorlage Erhebungsbogen Verzeichnis von Verarbeitungstätigkeiten –– Vorlage Verzeichnis von Verarbeitungstätigkeiten mit Beispieleinträgen –– DSK-Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten – –– Art. 30 DS-GVO (https://www.datenschutzkonferenz-online.de/media/ kp/dsk_kpnr_1.pdf (letzter Abruf 17.12.2018))

Datenschutz in der Pflege

25

7.  Technische und organisatorische Maßnahmen Auf einen Blick –– Zum Schutz personenbezogener Daten müssen angemessene technische und organisatorische Maßnahmen getroffen und dokumentiert werden. –– Maßnahmen müssen den Stand der Technik berücksichtigen und unter anderem die Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen gewährleisten. –– Bemühungen im Bereich der IT-Sicherheit sind regelmäßig zu überprüfen und zu bewerten. Worum geht es? Die Dokumentation der technisch-organisatorischen Maßnahmen (ToM) ist eine zentrale Forderung der Datenschutz-Grundverordnung. Sie hilft unter anderem dabei zu bestimmen, ob das für die Daten notwendige Schutzniveau in Form angemessener IT-Sicherheit eingehalten wird. Die ToM-Dokumentation ist besonders kritisch zu prüfen im Zusammenhang mit der Auftragsverarbeitung und im Abgleich mit dem Schutzbedarf für die selbst im Unternehmen verarbeiteten Daten. Warum ist das wichtig? Die Dokumentation muss auf Verlangen der Aufsichtsbehörde vorgelegt werden. Fehlt die Unterlage, ist diese unvollständig oder entspricht diese nicht dem Stand der Technik, kann dies ein Bußgeld zur Folge haben. Die Angemessenheit der Maßnahmen kann durch die Dokumentation regelmäßig überprüft, bewertet und evaluiert werden. Ein Abgleich mit der Praxis hilft, Lücken festzustellen. Wobei hilft es dem Unternehmen? Schutzmaßnahmen müssen laufend im Blick behalten und an den Stand der Technik angepasst werden, z. B. wenn neue Bedrohungen im Umfeld der ITSicherheit bekannt werden. Für die Durchführung der Datenschutz-Folgenabschätzung ist eine Dokumentation der Sicherheitsmaßnahmen erforderlich.

26

7.  Technische und organisatorische Maßnahmen

Vergleichbare Anforderungen sind in § 27 DSG-EKD und § 26 KDG geregelt.

  Kurz-Check – an alles gedacht? 1. Die technisch-organisatorischen Maßnahmen sind dokumentiert 2. Die Wirksamkeit der Maßnahmen wird regelmäßig geprüft 3. Es gibt einen Prozess, der prüft, dass die Maßnahmen wie geplant durchgeführt werden

Weitere Informationen –– Vorlage einer Aufstellung von technischen und organisatorischen Maßnahmen mit Beispieleinträgen

Datenschutz in der Pflege

27

Kapitel 1

Aus dem Gesetz Art. 32 Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

8. Auftragsverarbeitung Auf einen Blick –– Mit externen Dienstleistern müssen Verträge zur Auftragsverarbeitung geschlossen werden, wenn diese mit personenbezogenen Daten in Kontakt kommen. –– Neben den allgemeinen vertraglichen Pflichten ist ein besonderes Augenmerk auf die Gestaltung technischer und organisatorischer Maßnahmen zu legen. –– Dienstleister sollten sorgfältig ausgewählt und regelmäßig kontrolliert werden, um sicherzustellen, dass der Schutz personenbezogener Daten gewährleistet ist. Worum geht es? Bei der Auftragsverarbeitung (AV) verarbeitet ein Dienstleister (Auftragnehmer) personenbezogene Daten des Unternehmens (Auftraggeber) im Auftrag. Der Vertrag regelt die Rechte und Pflichten der Vertragsparteien. Wesentliche Inhalte sind in der DSGVO bzw. den beiden Kirchengesetzen zum Datenschutz vorgeschrieben. Typische Beispiele für Auftragsverarbeitungen sind: –– Hosting und IT-Systembetreuung –– Wartung und Support für Software-Programme –– Externe Personalverwaltung/-abrechnung Warum ist das wichtig? Durch den Vertrag wird dem Auftraggeber zugesichert, dass der Auftragnehmer die Daten nur nach Weisung verarbeitet und dass bestimmte Sicherheitsmaßnahmen (ToM) eingehalten werden. Außerdem wird dem Auftraggeber über den Vertrag ein Kontrollrecht zugesichert. Dienstleister verpflichten sich, bei der Beantwortung von Betroffenenanfragen oder bei Kontrollen durch die Aufsichtsbehörde zu unterstützen.

28

8. Auftragsverarbeitung

Aus dem Gesetz Art. 28 Abs. 3 DSGVO (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet … Die entsprechenden Regelungen in den Kirchengesetzen finden sich im § 30 DSG-EKD und im § 29 KDG.

Datenschutz in der Pflege

29

Kapitel 1

Welche Möglichkeiten gibt es? Der Vertrag ist schriftlich zu abzufassen; dies darf aber auch in einem elektronischen Format erfolgen. Die Auftragsverarbeitungen eines Unternehmens lassen sich oft auch gut über eine Liste der Kreditoren identifizieren.

  Kurz-Check – an alles gedacht? 1. Bestehende Verträge überprüft Bereits vorhandene Verträge zur Auftragsverarbeitung sind auf Aktualität und Rechtmäßigkeit überprüft worden. 2. Fehlende AV-Verträge sind abgeschlossen Noch fehlende AV-Verträge wurden mit den Dienstleistern verhandelt und abgeschlossen. 3. Prozess für neue Dienstleister ist definiert Es gibt einen Prozess, der sicherstellt, dass mit neuen Dienstleistern ein AV-Vertrag geschlossen wird. 4. Regelmäßige Kontrolle vorgesehen Die Verträge werden regelmäßig überprüft und die Einhaltung der getroffenen Vereinbarung wird kontrolliert.

Weitere Informationen –– Mustervertrag zur Auftragsverarbeitung der GDD (https://www.gdd.de/ downloads/praxishilfen/Mustervertrag_zur_Auftragsverarbeitung_DSGVO.docx (letzter Abruf 17.12.2018)) –– Mustervertrag zur Auftragsverarbeitung im Gesundheitswesen (https:// www.gdd.de/arbeitskreise/datenschutz-und-datensicherheit-im-gesundheits-und-sozialwesen/materialien-und-links/auftragsverarbeitungs-mustervertrag-fuer-das-gesundheitswesen/muster-vertrag-docx (letzter Abruf 17.12.2018)) –– DSK-Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DSGVO (https:// www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf (letzter Abruf 17.12.2018))

30

8. Auftragsverarbeitung

9. Bildrechte

–– An die Gestaltung von Einwilligungen sind bestimmte Anforderungen geknüpft, damit diese im Zweifel auch Gültigkeit haben. –– Im Beschäftigungsverhältnis gibt es besondere Anforderungen zu beachten. Worum geht es? Für die Veröffentlichung von Bildern, die Personen zeigen, wird eine Einwilligung der jeweiligen Person benötigt. Diese Anforderungen sind in der DSGVO und im Kunsturhebergesetz (KunstUrhG) geregelt. Ausnahmen gelten für Bilder der Zeitgeschichte, Bilder von öffentlichen Veranstaltungen und in einigen anderen Fällen. Mit Wirksamwerden der DSGVO verliert das Kunsturhebergesetz an vielen Stellen den Regelungsvorrang. Trotzdem sind an die Aufnahme, Verarbeitung und Veröffentlichung von Bildern weiterhin enge Vorgaben geknüpft. Warum ist das wichtig? Nach aktueller Auffassung ist ein Rückgriff auf das KunstUrhG nur noch in den Fällen gestattet, in denen die Bilder zu –– journalistischen, –– künstlerischen, –– wissenschaftlichen oder –– literarischen Zwecken verwendet werden sollen. Wofür man in der Vergangenheit eine Einwilligung benötigte, benötigt man auch heute eine. Die Einwilligung gilt so lange, bis sie widerrufen wird.

Datenschutz in der Pflege

31

Kapitel 1

Auf einen Blick –– Für die Verwendung von Bildern, Ton- und Videoaufnahmen ist in vielen Fällen die Einwilligung der Person erforderlich.

Welche Möglichkeiten gibt es? Es wird empfohlen, die Einwilligung schriftlich einzuholen. Dieses Vorgehen ist grundsätzlich empfehlenswert, da so im Streitfall das für den konkreten Fall vorliegende Einverständnis nachgewiesen werden kann. Wichtig ist es darauf zu achten, dass der Betroffene transparent darüber informiert wird, was mit seinen Bildern geschehen soll. Außerdem ist ein Hinweis auf die Widerrufsmöglichkeit für die Zukunft zu geben. Für die zentrale Verwaltung und Organisation von Bildern empfiehlt sich eine Bildverwaltungssoftware, um die Nutzung der Motive nachverfolgen zu können. Aus dem Gesetz Seit dem 25. Mai 2018 muss jede Verarbeitung von personenbezogenen Daten, die nicht unter den Anwendungsbereich des KunstUrhG fällt, auf eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO gestützt werden. Hier kommen u. a. in Betracht: –– eine Einwilligungserklärung (Art. 6 Abs. 1 lit. a DSGVO), –– ein Vertrag (Art. 6 Abs. 1 lit. b DSGVO) oder –– eine Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO). § 23 KunstUrhG Ohne die nach […] Einwilligung dürfen verbreitet und zur Schau gestellt werden: 1. Bildnisse aus dem Bereiche der Zeitgeschichte; 2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen; 3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben; 4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient. (2) Die Befugnis erstreckt sich jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird.

32

9. Bildrechte

  Kurz-Check – an alles gedacht? 1. Zentrale Organisation der Bilder Bilder und zugehörige Einwilligungen werden an einer zentralen Stelle verwaltet.

Kapitel 1

2. Einwilligungen liegen vor Von den betroffenen Personen liegen wirksame Einwilligungen vor. 3. Widerrufsprozess ist geregelt Es gibt einen Prozess, der sicherstellt, dass einem Widerruf gegen die Nutzung in angemessener Zeit entsprochen werden kann.

Weitere Informationen –– Vorlage Einwilligung Bildnutzung –– Merkblatt zur Anfertigung und Veröffentlichung von Fotos nach dem 25. Mai 2018 (https://www.lfd.niedersachsen.de/download/132460/Merkblatt_zur_Anfertigung_und_Veroeffentlichung_von_Personenfotografien_ nach_dem_25._Mai_2018_im_nicht-oeffentlichen_Bereich.pdf (letzter Abruf 17.12.2018))

Datenschutz in der Pflege

33

10. Videoüberwachung Auf einen Blick –– Bei Einsatz einer Videoüberwachung ist ein Hinweisschild mit Pflichtangaben anzubringen. –– Es gibt enge Grenzen für die Zulässigkeit der Videoüberwachung. –– Die Speicherdauer ist begrenzt und an enge Vorgaben geknüpft. Worum geht es? Videoüberwachung bedeutet die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen. Von diesem Begriff werden nicht nur handelsübliche Videokameras, sondern jegliche Geräte, die sich zur Beobachtung eignen, erfasst. Problematisch ist dabei die Erhebung personenbezogener Daten. Das heißt, dass Personen auf den Aufnahmen erkennbar oder sonst Rückschlüsse auf die Identität einer Person möglich sind. Vor dem Einsatz einer Videoüberwachung ist in vielen Fällen eine Datenschutz-Folgenabschätzung durchzuführen. Außerdem sind überwachte Bereiche zu kennzeichnen und die Informationspflichten gegenüber den Betroffenen zu erfüllen. Es gelten enge Vorgaben zur Speicherdauer der Aufnahmen. Warum ist das wichtig? Für das Unternehmen ist die Erfüllung der gesetzlichen Pflichten wichtig, um Bußgelder zu vermeiden. Eine Speicherung von 48 – 72 Stunden wird von den Aufsichtsbehörden in der Regel als unkritisch angesehen. Eine länger erforderliche Aufzeichnung bedarf einer ausführlichen Begründung. Für Betroffene ist die Erfüllung der Kennzeichnungspflicht wichtig, damit zum einen die bestehenden Rechte wahrgenommen werden können und zum anderen auch darüber entschieden werden kann, ggf. den überwachten Bereich zu vermeiden.

34

10. Videoüberwachung

Aus dem Gesetz §§ 4 BDSG (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Bei der Videoüberwachung von 1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder 2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse. […] (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

Datenschutz in der Pflege

35

Kapitel 1

Welche Möglichkeiten gibt es? Auf überwachte Bereiche ist mit einem Hinweisschild gut sichtbar hinzuweisen. Auch für Kameraattrappen wird eine entsprechende Kennzeichnung benötigt.

  Kurz-Check – an alles gedacht? 4. Verzeichnis der Kameras und Dokumentation erstellt Für die Videoüberwachungen sind Verarbeitungsübersichten zu erstellen und die Art, Position und der Erfassungsbereich der Kameras zu dokumentieren. 5. Bereiche kennzeichnen Hinweisschilder sind gut sichtbar angebracht und erfüllen die Transparenz- und Informationspflichten. 6. Datenschutz-Folgenabschätzung wurde durchgeführt Eine Datenschutz-Folgenabschätzung wurde durchgeführt und dokumentiert.

Weitere Informationen –– Musterschild Videoüberwachung –– Vorlage Information Videoüberwachung –– DSK-Kurzpapier Nr. 15 – Videoüberwachung nach der DatenschutzGrundverordnung (https://www.datenschutzkonferenz-online.de/media/ kp/dsk_kpnr_15.pdf (letzter Abruf 17.12.2018))

36

10. Videoüberwachung

11. Datenpanne

–– Die Meldung muss vollständig mit einer Reihe von Angaben und Details abgegeben werden. –– Nicht alles zählt als Datenpanne und eine Meldung ist nur in bestimmten Fällen erforderlich. Worum geht es? Gehen personenbezogene Daten verloren oder werden diese unrechtmäßig Dritten verfügbar gemacht, handelt es sich dabei um eine Datenpanne. Datenpannen müssen gem. Art. 33 DSGVO innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde und ggf. auch den/ dem Betroffenen gemeldet werden. Das KDG enthält eine vergleichbare Regelung in § 33, während das DSG-EKD eine „unverzügliche“ Meldung ohne konkrete Zeitspanne vorsieht. Von einer Meldung kann nur abgesehen werden, wenn nachgewiesen werden kann, dass die Panne nicht zu einer Verletzung der Rechte und Freiheiten der betroffenen Person(en) geführt hat. Die Panne ist in jedem Fall zu Nachweiszwecken zu dokumentieren. Warum ist das wichtig? Der Verlust personenbezogener Daten kann einen Schaden für die Betroffenen verursachen. Wenn Gesundheitsdaten oder Identitätsdaten in fremde Hände gelangen, kann dies zu Diskriminierung, Identitätsmissbrauch, Betrug, Rufschädigung oder finanziellen Verlusten führen. Betroffene haben das Recht darauf, dass ihre Daten unter einem angemessenen Schutz verarbeitet werden.

Datenschutz in der Pflege

37

Kapitel 1

Auf einen Blick –– Innerhalb von 72 Stunden muss eine Datenpanne der Aufsichtsbehörde gemeldet werden.

Welche Möglichkeiten gibt es? Es empfiehlt sich, im Unternehmen einen Prozess zu implementieren, der den Weg der Meldung genau regelt. Es sollte definiert werden, wer zu welchem Zeitpunkt anzusprechen ist und vor allem auch, wie die Dokumentation erfolgen soll. Folgende Inhalte gehören in die Meldung –– Beschreibung der Art der Verletzung inkl. Anzahl betroffener Datensätze und Datenkategorien –– Name und Kontaktdaten des DSB –– Beschreibung der Folgen für den/die Betroffenen –– Beschreibung der getroffenen Maßnahmen des Verantwortlichen, um den Schaden einzudämmen Die Aufsichtsbehörden haben Formulare auf ihren Webseiten bereitgestellt, um Datenpannen online zu melden. Aus dem Gesetz Art. 33 DSGVO Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Ähnlich lautende Vorgaben, teils mit kleineren Abweichungen, finden sich im § 32 DSG-EKD und im § 33 KDG.

38

11. Datenpanne

  Kurz-Check – an alles gedacht? Kapitel 1

1. Meldeprozess definiert Es gibt einen definierten Prozess für die interne Meldung von Datenpannen und die Einschaltung der Aufsichtsbehörde. 2. Meldeprozess bekannt gemacht Alle Mitarbeitenden kennen und verstehen den Prozess und wissen, zu welchem Zeitpunkt sie sich an wen wenden müssen. 3. Vorgehen getestet Anhand einer fiktiven Datenpanne ist der Prozess getestet worden. Schwachstellen wurden erkannt und beseitigt.

Weitere Informationen –– Checkliste Datenpanne –– Vorlage Meldung Datenpanne –– Vorlage Reaktionsplan Datenpanne –– DSK-Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen (https://www.datenschutzkonferenz-online.de/media/kp/dsk_ kpnr_18.pdf (letzter Abruf 17.12.2018))

Datenschutz in der Pflege

39

12. Betroffenenrechte Auf einen Blick –– Betroffene haben verschiedene Rechte gegenüber Unternehmen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. –– Der Umgang mit Anfragen ist gesetzlich geregelt – Reaktionszeiten sind zu beachten. –– Der Umgang mit Betroffenenrechten sollte als Unternehmensprozess verankert und allen Mitarbeitenden bekannt gemacht werden. Worum geht es? Betroffene können verschiedene Rechte aus dem Datenschutz beanspruchen. –– Recht auf transparente Information (Art. 12 DSGVO) –– Recht auf Auskunft (Art. 15 DSGVO) –– Recht auf Berichtigung (Art. 16 DSGVO) –– Recht auf Löschung – Vergessenwerden (Art. 17 DSGVO) –– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) –– Recht auf Datenübertragbarkeit (At. 20 DSGVO) –– Recht auf Widerspruch (Art. 21 DSGVO) –– Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein (Art. 22 DSGVO) Vergleichbare Regelungen finden sich in den Kirchengesetzen zum Datenschutz. Warum ist das wichtig? Die Betroffenenrechte sollen ermöglichen, das Recht auf Schutz personenbezogener Daten – also das Recht auf informationelle Selbstbestimmung – wahrzunehmen. Hierfür ist es notwendig, dass die Verarbeitung und Nutzung durch das Unternehmen transparent gemacht wird. Aus diesem Grund sieht die DSGVO eine Reihe von Informationspflichten auf der Seite der Unternehmen vor.

40

12. Betroffenenrechte

Aus dem Gesetz Art. 12 DSGVO (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. ... (3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. […] Ähnlich lautende Vorgaben, teils mit kleineren Abweichungen, finden sich in §§ 16 – 25 DSG-EKD und §§ 14 – 25 KDG

Datenschutz in der Pflege

41

Kapitel 1

Welche Möglichkeiten gibt es? Zur Erfüllung des Rechts auf transparente Information bietet es sich an, ein Papier zu erstellen, welches Betroffenen ausgehändigt werden kann. Es ist nicht erforderlich, dieses unterzeichnen zu lassen, wohl aber wichtig, einen definierten Prozess für die zur Verfügungstellung zu haben. Auch für die Wahrung der Betroffenenrechte wie bspw. das Auskunftsrecht sollte ein fester Prozess im Unternehmen implementiert werden, der eine zeitnahe und vollständige Bearbeitung der Anfrage garantiert.

  Kurz-Check – an alles gedacht? 1. Vorhandene Systeme und Daten überprüfen Sämtliche Verfahren und IT-Systeme wurden überprüft und dokumentiert, wie die einzelnen Betroffenenrechte im Unternehmen umgesetzt werden können. 2. Informationen stehen auf Abruf bereit Wenn angefordert, können die notwendigen Informationen auf Knopfdruck bereitgestellt bzw. weitere Rechte kurzfristig umgesetzt werden. Es ist bekannt, welche personenbezogenen Daten wie verarbeitet werden. 3. Prozess Betroffenenrechte ist implementiert Der Prozess zur Erfüllung der Betroffenenrechte ist definiert und allen Mitarbeitenden bekannt gemacht.

Weitere Informationen –– Vorlage für die Beantwortung eines Auskunftsersuchens –– DSK-Kurzpapier Nr. 6 – Auskunftsrecht der betroffenen Person, Art. 15 DSGVO (https://www.datenschutzkonferenz-online.de/media/kp/dsk_ kpnr_6.pdf (letzter Abruf 17.12.2018))

42

12. Betroffenenrechte

13. Datenschutz-Folgenabschätzung

–– Zur Dokumentation gehören einige Pflichtangaben zusammen mit einer Bewertung von Risiko und Eintrittswahrscheinlichkeit. –– Die Erforderlichkeit richtet sich nach Vorgaben von Aufsichtsbehörden und gesetzlichen Kriterien. Worum geht es? Wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen darstellt, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Das Ziel der DSFA ist, die Risiken einer Verarbeitung zu erkennen und zu minimieren und ein angemessenes Schutzniveau der Daten zu gewährleisten. Ein ähnliches Instrument war die aus der Vergangenheit bekannte Vorabkontrolle. Die DSFA ist immer dann durchzuführen, wenn –– eine systematische und umfassende Bewertung persönlicher Aspekte stattfindet, –– eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten stattfindet, oder –– eine systematische und weiträumige Überwachung öffentlich zugänglicher Bereiche geplant ist. Die Aufsichtsbehörden stellen auf ihren Seiten sogenannte Black- und WhiteLists zur Verfügung, in denen Verarbeitungen, für die eine DSFA unumgänglich bzw. entbehrlich ist, beschrieben werden. Warum ist das wichtig? Nur durch eine umfassende Risikobetrachtung und Einbeziehung aller verfügbaren und relevanten Informationen und ggf. die zusätzliche Hinzuziehung von

Datenschutz in der Pflege

43

Kapitel 1

Auf einen Blick –– Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn Datenverarbeitungsverfahren mit bestimmten Risiken verbunden sind.

Betroffenenvertretern kann sichergestellt werden, dass die Rechte und Freiheiten der betroffenen Personen nicht über die Maßen durch die Verarbeitung beeinträchtigt werden. Dies ist besonders relevant bei sehr umfangreichen Datenverarbeitungen wie bspw. dem Tracking von Personen (vgl. Demenz-/Wegläuferschutz oder Nutzung bzw. GPS-Lösung in Fahrzeugen) oder auch der Verwendung sehr neuer Technologien, für die noch keine oder wenig Erfahrungswerte vorliegen, bspw. bei der Verarbeitung biometrischer Daten. Es ist in regelmäßigen Abständen zu prüfen, ob sich an den Risiken der Verarbeitung etwas geändert hat. Eine Datenschutz-Folgenabschätzung ist also kein einmaliger Vorgang. Welche Möglichkeiten gibt es? Die DSFA sollte nach einem standardisierten Prozess durchgeführt und dokumentiert werden. Vor allem der Dokumentation kommt eine hohe Bedeutung zu, da nur so nachvollzogen werden kann, dass die relevanten Aspekte berücksichtigt wurden. Der Datenschutzbeauftragte ist in das Verfahren einzubinden. Eine DSFA enthält zumindest folgende Angaben: –– Systematische Beschreibung der Verarbeitungen, Verarbeitungszwecke und verfolgten Interessen –– Bewertung über die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen im Verhältnis zum verfolgten Zweck –– Risikobewertung für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen –– Risikobewältigungsmaßnahmen, die den Schutz der Daten sicherstellen Aus dem Gesetz Art. 35 DSGVO (1) 1Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener

44

13. Datenschutz-Folgenabschätzung

  Kurz Check – an alles gedacht? 1. Identifikation der Verarbeitungen, für die eine DSFA durchgeführt werden muss Es ist bekannt, für welche bestehenden und bereits geplanten Verarbeitungen eine DSFA durchzuführen ist. 2. Werkzeuge und Hilfsmittel für die Durchführung sind vorhanden Es existieren im Unternehmen entsprechende Tools für die Durchführung der DSFA, es wurde ein Prozess dafür definiert. 3. Revisionsturnus für bereits erfolgte DSFA definiert Es gibt einen festen Turnus, in dem bereits durchgeführte DSFA auf ihre Aktualität geprüft und ggf. angepasst werden.

Weitere Informationen –– Definition Risikoermittlung –– DSFA Formular –– DSK-Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (https://www.datenschutzkonferenz-online.de/media/kp/dsk_ kpnr_5.pdf (letzter Abruf 17.12.2018))

Datenschutz in der Pflege

45

Kapitel 1

Daten durch. 2Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. ... (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche; Vergleichbare Regelungen finden sich in § 34 DSG-EKD und § 35 KDG.

46

13. Datenschutz-Folgenabschätzung

Kapitel 2 //  Datenschutz in der Praxis Datenschutz in Abteilungen und Prozessen organisieren

Auf den nächsten Seiten beschäftigen wir uns mit den folgenden Bereichen und Prozessen: 1. Stationäre Pflege 2. Ambulante Pflege 3. Öffentlichkeitsarbeit 4. Personal 5. Allgemeine Verwaltung

Datenschutz in der Pflege

47

Kapitel 2

Nachdem wir uns im ersten Kapitel mit den Leitfäden für die wichtigsten Aufgaben im Datenschutz aus Sicht des Unternehmens befasst haben, wenden wir uns im zweiten Kapitel nun den praktischen Anforderungen des Arbeitsalltags zu. Zunächst werden wir uns die einzelnen speziellen Themen und Fragestellungen der stationären und ambulanten Pflege, wie bspw. Aufnahme, Abrechnung oder Auskünfte, ansehen und dann zu den übergreifenden Verwaltungsthemen wie Marketing, Personal oder Zeiterfassung kommen. Am Ende eines jeweiligen Themas fassen wir die wichtigsten Punkte zusammen. Hier finden Sie eine tabellarische Übersicht mit allen relevanten Inhalten für die Ergänzung Ihres Verzeichnisses von Verarbeitungstätigkeiten (vgl. Leitfaden Verzeichnis von Verarbeitungstätigkeiten). In der ersten Zeile der Tabelle finden Sie jeweils einen Hinweis, ob das Verfahren beim Erfüllen von Informationspflichten zu erwähnen ist.

1.  Stationäre Pflege Interessenten & Anfragen Erste Daten zu künftigen Kunden fallen häufig schon vor der Aufnahme eines Bewohners an: In der Regel wird zunächst ein Interessentengespräch geführt, bei dem sich eine Pflegeeinrichtung vorstellt, aber auch der potenzielle Bewohner seine Erwartungshaltung und Wünsche schildert. Um einen Interessenten besser kennenzulernen und um zu entscheiden, ob die Einrichtung den Wünschen nachkommen kann, wird daher in der Regel ein Interessentenbogen ausgefüllt. Neben dem Interessentengespräch, bei dem der zukünftige Bewohner oder dessen Angehörige aktiv auf das Unternehmen zukommen, kann es jedoch auch vorkommen, dass ein Krankenhaus bzgl. eines freien Pflegeplatzes für einen Patienten anfragt. Auch hier werden meist schon vorab sensible Datensätze übermittelt, die ebenso wie ein Interessentenbogen datenschutzkonform aufzubewahren sind. Zu diesen Daten zählen allgemeine Kontaktdaten wie Namen und Adresse, gesundheitliche Historie sowie Daten zur Versicherung, zum Pflegegrad usw. Im Laufe eines Jahres können daher durch Erstgespräche oder Anfragen von Krankenhäusern viele personenbezogene Datensätze anfallen. Nicht bei allen Interessenten kommt es zu einem Vertragsabschluss, sodass sich für die Einrichtung die Frage stellt, wie mit den übrigen Datensätzen zu verfahren ist. Sofern sich ein potenzieller Bewohner nicht für das Unternehmen entscheidet, sind die Daten gem. dem Prinzip der Datenminimierung nach Zweckwegfall datenschutzkonform zu vernichten. Als Faustregel gilt hier: Ein Jahr nach Ausfüllen des Interessentenbogens bzw. umgehend nach Absage durch den potenziellen Bewohner sind die Daten zu löschen und Unterlagen zu entsorgen. Hinweise zum Datenschutz sollten möglichst im Erstgespräch und als Teil der vorvertraglichen Informationen ausgehändigt werden. Der Interessentenbogen kann mit einer Einwilligungsklausel versehen werden, z. B. um Anrufe oder die Aufnahme in einen Adressverteiler zu legitimieren.

48

1.  Stationäre Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Anbahnung eines Heim-/Pflegevertrages Interessenten, Angehörige Name, Adressdaten, Geburtsdaten, Kontodaten, Gesundheitsdaten etc. Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DSGVO

Kapitel 2

§ 6 Nr. 5, § 13 Abs. 2 Nr. 8 DSG-EKD Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. c, § 11 Abs. 2 lit. h KDG max. 12 Monate Prinzip der Datensparsamkeit beachten, Einwilligung für Kontaktdaten Angehöriger

Auskünfte und Gespräche Eingangsbereich & Empfang Der Empfang im Eingangsbereich ist in vielen stationären Einrichtungen die erste Anlaufstelle für Angehörige, Bewohner und sonstige Besucher. Hier werden Anfragen, Bedürfnisse und Wünsche entgegengenommen. Darüber hinaus kann der Empfang auch zur telefonischen Beantwortung von Anfragen Angehöriger oder sonstiger Dritter sowie als Poststelle fungieren. Das Spektrum der zu verarbeitenden personenbezogenen Daten am Empfang richtet sich daher immer nach der Organisation des Unternehmens und den individuellen Abläufen im Haus. In jedem Fall ist die Vertraulichkeit der personenbezogenen Daten, die am Empfang verarbeitet werden, zu wahren. Das bedeutet, dass Unterlagen von Bewohnern und Mitarbeitenden in verschlossenen Behältnissen wie z. B. abschließbaren Schränken oder Containern aufzubewahren sind. Auch sind Computer bei Abwesenheit zu sperren sowie Notizen beiseite zu schaffen. Für den Fall, dass am Empfang vertrauliche Informationen telefonisch mitgeteilt werden, ist von Besuchern oder anderen Anwesenden ein Diskretionsabstand einzufordern.

Datenschutz in der Pflege

49

  Praxistipp Ablageboxen erfreuen sich in Büros und am Empfang großer Beliebtheit. Ein Besucher am Tresen kann leicht obenliegende Papiere und damit möglicherweise vertrauliche Informationen einsehen. Eine einfache Pappe im DIN A4-Format mit der Aufschrift „Datenschutz“ kann hier als Deckblatt fungieren.

Bewohner und Angehörige im Gespräch Wenn Mitarbeitende vertrauliche Gespräche mit einem Bewohner oder Angehörigen führen möchten, gilt es einige Grundsätze zu beachten. Insbesondere sollte darauf geachtet werden, dass unbefugte Personen möglichst keine Kenntnis über das Gespräch erlangen bzw. dieses unbewusst mithören können. Daher ist vor Gesprächsbeginn ein geeigneter Ort aufzusuchen, z. B. ein separater Raum mit der Möglichkeit, diesen zu verschließen. Dies gilt ebenfalls, wenn ein Bewohner selbst das Gespräch sucht. Hier ist die Aufmerksamkeit der Mitarbeitenden gefragt: Falls Bewohner selbst nicht imstande sind, die Gesprächsatmosphäre zu überblicken bzw. richtig einzuschätzen, besteht Gefahr, dass sensible Informationen unbefugten Personen, z. B. anderen Bewohnern, Angehörigen oder externen Dienstleistern zugänglich gemacht werden. Im hektischen Alltag ist es gar nicht so einfach, diese Grundsätze zu beachten und umzusetzen. Für viele Pflegekräfte ist der angemessene Umgang mit Vertraulichkeit selbstverständlich. Dennoch sollten Mitarbeitende geschult werden, um solche Situationen zu erkennen und um dann im Zweifel angemessen reagieren zu können. Anfragen per Telefon & E-Mail Besonders schwierig sind Situationen, in denen von Angehörigen oder Bekannten eines Bewohners Informationen angefordert werden. Ob es sich hierbei jedoch tatsächlich um ein (Enkel-)Kind oder einen alten Freund handelt, ist für die Mitarbeitenden am Telefon oder per E-Mail nur schwer einschätzbar. Es sollte vom Bewohner oder dessen Betreuer, bevollmächtigten Angehörigen entschieden werden, ob und an wen persönliche Informationen weitergegeben werden. Daher ist im Vorfeld und im Beisein des Bewohners Klarheit zu schaffen. Es empfiehlt sich, die auskunftsberechtigten Personen festzulegen und weitere Auskünfte nur nach vorheriger Freigabe durch den Bewohner oder dessen befugte Angehörige zu geben. 50

1.  Stationäre Pflege

  Praxistipp Die Verarbeitung von personenbezogenen Daten Angehöriger bedarf des Einverständnisses der betroffenen Personen und ist ebenfalls einzuholen.

Datenschutz in der Pflege

51

Kapitel 2

Das Unternehmen sollte für telefonische Auskünfte und Auskünfte per E-Mail an Dritte einen einheitlichen Prozess definieren und an alle Mitarbeitenden kommunizieren. Dieser Prozess muss einfach zu handhaben und praxistauglich sein. Bewährt hat sich ein Verfahren, das im Vorfeld den Bewohner in die Fragestellung „An wen dürfen Informationen herausgegeben werden?“ mit einbezieht. Der Bewohner selbst legt fest, an welche Personen und in welchem Umfang Auskünfte erteilt werden dürfen. Zur Sicherheit und zum Abgleich wird zusätzlich eine persönliche Frage notiert, die nur ein legitimierter Anrufer bzw. E-Mail-Absender beantworten kann. Der Versand personenbezogener Daten per E-Mail ist mit Risiken verbunden. Nähere Informationen haben wir im Abschnitt E-Mail-Dienste & Verschlüsselung (Kapitel 3) zusammengetragen. Hinweise für die Erteilung von Auskünften nach dem Tod des Bewohners finden sich im Abschnitt Vertragsende & Austritt.

Verwaltung Aufnahme & Heimvertrag Im Rahmen von Interessenten & Anfragen wird die Datenverarbeitung durch die Anbahnung des Geschäftsverhältnisses oder durch eine gegebene Einwilligung legitimiert, je nach Umstand und Verfahrensweise in der Einrichtung. Mit Abschluss des Heimvertrages darf eine Vielzahl weiterer Daten erhoben und erfasst werden, um die vereinbarten Dienstleistungen erbringen zu können. Vereinbarungen zum Datenschutz sollten in den Heimvertrag mit aufgenommen werden. Für Einrichtungen in der stationären Pflege ist es von besonderer Bedeutung, mit behandelnden Ärzten, Therapeuten und der Apotheke über den Bewohner sprechen zu dürfen. Diesbezüglich ist das Einholen einer Schweigepflichtsentbindung unumgänglich. Ob dies bereits im Vertragstext zum Datenschutz oder mittels einer Anlage geschieht, bleibt der Einrichtung überlassen. Darüber hinaus sollte man sich bereits bei der Aufnahme Gedanken machen, ob z. B. Bilder vom Bewohner in der Einrichtung für jeden ersichtlich ausgehängt werden sollen. Sofern dies gewünscht ist, sollten entsprechende Einwilligungen bereits bei der Aufnahme eingeholt werden. Gewöhnlich fallen viele personenbezogenen Daten beim Ausfüllen des Interessentenbogens an. Diese werden nach Abschluss des Heimvertrages um weitere Kontaktdaten, Bankverbindung für Lastschriften sowie Versicherungsnummern, Rentenüberleitungen etc. ergänzt.

  Praxistipp Sofern das Unternehmen die Kontaktdaten der Angehörigen einholen möchte, bedarf dies der vorherigen Zustimmung. Eine bloße Annahme, dass die Speicherung der Kontaktdaten in Ordnung sei, reicht nicht aus.

52

1.  Stationäre Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Aufnahme des Bewohners in der Pflegeeinrichtung Bewohner Name, Adressdaten, Geburtsdaten, Kontodaten, Gesundheitsdaten, etc. Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DSGVO

Speicherdauer:

Besonderheiten:

§ 6 Abs. 1 lit. c, § 11 Abs. 2 lit. h KDG 6 Jahre nach Beendigung der Vertragsbeziehung ­ (ggf. regionale Abweichungen durch Landesgesetze ­berücksichtigen) Das Einholen von Kontaktdaten der Angehörigen bedarf der Einwilligung

Verwahrgeldkonto In vielen Fällen ist es Bewohnern nicht mehr möglich, den zur Verfügung stehenden Barbetrag selbst zu verwalten. Wenn der gesetzliche Betreuer bzw. die Angehörigen dieser Aufgabe nicht nachkommen können, wird von Einrichtungen häufig als Service-Leistung angeboten, das Bargeld für Bewohner zu verwahren. Da es sich hierbei nicht um die klassische Pflegeleistung handelt, ist das Einholen einer Einwilligung in diese Art der Datenverarbeitung notwendig. Das Geld sowie die Quittungen sind gesondert und vor dem Zugriff durch unbefugte Personen für jeden Bewohner separat aufzubewahren. Darüber hinaus sind die Fristen zur Archivierung zu beachten – nach Wegfall des Verarbeitungszwecks bzw. sofern keine gesetzlichen Aufbewahrungsfristen existieren, sind die Unterlagen zu vernichten.

Datenschutz in der Pflege

53

Kapitel 2

§ 6 Nr. 5, § 13 Abs. 2 Nr. 8 DSG-EKD

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Verwahrung von Barbeträgen Bewohner z. B. Einnahmen und Ausgaben im Rahmen der persönlichen Verfügung, Bevollmächtigte Art. 6 Abs. 1 lit. a oder b DSGVO § 6 Nr. 2 oder 5 DSG-EKD

Speicherdauer:

Besonderheiten:

§ 6 Abs. 1 lit. b oder c KDG Gemäß Vereinbarung bzw. 6 Jahre nach Beendigung der Vertragsbeziehung (ggf. regionale Abweichungen durch Landesgesetze berücksichtigen) Das Einholen von Kontaktdaten der Angehörigen bedarf der Einwilligung

Ausweiskopien Viele Einrichtungen fertigen im Rahmen der Heimaufnahme Personalausweiskopien der Bewohner an. Diese dienen der Identifikation z. B. im Todesfall oder schlicht zur Abschrift der relevanten personenbezogenen Daten. Neben den allgemeinen Kontaktdaten wie Name, Adresse und Geburtstag sind auf einem Ausweis auch andere schützenswerte Daten enthalten. So verrät der Personalausweis zum Beispiel die Größe, die Augenfarbe, die Ausweisnummer sowie, bei neuen Ausweisen, die Zugangsnummer zu Onlinediensten. Kopien von Personalausweisen dürfen, mit wenigen Ausnahmen, nur vom Inhaber des Ausweises bzw. nur mit dessen Einverständnis angefertigt werden. Die Kopie muss als solche dauerhaft erkennbar sein, auch sind nicht benötigte Inhalte (bestenfalls) vom Ausweisinhaber selbst dauerhaft zu schwärzen. Eine Weitergabe der Ausweiskopie an Dritte ist nicht zulässig. Als Sonderfall ist das Verwahren des Personalausweises zwecks Identifikation des Bewohners im Sterbefall zu betrachten. Sofern der Personalausweis freiwillig zur Aufbewahrung überreicht wird, ist dieser ausreichend vor unbefugtem Zugriff Dritter zu schützen, beispielweise in einem Tresor. Sollte der Bewohner mit der Aufbewahrung jedoch nicht einverstanden sein, sollten man mit diesem oder mit dessen Angehörigen vereinbaren, wer den Personalausweis schlussendlich aufbewahrt und in dringenden Fällen schnellstmöglich vorlegen kann.

54

1.  Stationäre Pflege

  Praxistipp Bewohner in Pflegeeinrichtungen können sich beim Bürgerbüro/Einwohnermeldeamt von der Personalausweispflicht befreien lassen. Die Bestätigung über die Befreiung von der Ausweispflicht sollte gut aufbewahrt werden. Ja Identifikation gegenüber Behörden, Ärzten, etc. Bewohner Daten aus dem Personalausweis

Kapitel 2

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO § 6 Nr. 2 DSG-EKD § 6 Abs. 1 lit. b KDG § 20 PAuswG (Personalausweisgesetz)

Speicherdauer: Besonderheiten:

§ 18 PaßG (Paßgesetz) Bis zum Widerruf Kopien dürfen nur vom Ausweisinhaber oder nach dessen Erlaubnis angefertigt werden. Nicht benötigte Inhalte sind zu schwärzen.

Zimmerbeschriftung Das Anbringen von Namensschildern an den Bewohnerzimmern ist für viele Einrichtungen selbstverständlich und wird oft ohne vorheriges Einverständnis, vermeintlich im Sinne des Betroffenen entschieden. Auch wenn dies in guter Absicht geschieht, ist vor der Veröffentlichung eines Namens eine datenschutzrechtliche Betrachtung sowie eine Rechtsgrundlage unerlässlich. Da die Anbringung des Namens nicht im unmittelbaren Zusammenhang mit dem Heimvertrag und seiner Erfüllung steht, bedarf es gegebenenfalls einer gesonderten Einwilligung durch den Bewohner, die im Vorhinein einzuholen ist. Zudem muss es dem Bewohner freistehen, die Einwilligung nicht zu erteilen, wobei zu beachten ist, dass eine Nichterteilung mit keinerlei Nachteilen verbunden sein darf. Im Falle einer Einwilligung muss es zudem möglich sein, diese jederzeit widerrufen zu können. Einrichtungen sollten daher vorab um Erlaubnis bitten und eine mögliche Nichterteilung respektieren. Datenschutz in der Pflege

55

Aushänge & Fotos Bildergalerien sowie Aushänge und Fotos von Mitarbeitenden wie Bewohnern gehören zum Alltag in Pflegeeinrichtungen. Sie erinnern an Feste und Aktivitäten oder geben Hilfestellung, um Mitarbeitende und Bewohner mit dem richtigen Namen anzusprechen. Aushänge geben die Möglichkeit, einander kennenzulernen und eine vertraute Atmosphäre zu schaffen. Jedoch kann es vereinzelt vorkommen, dass ein Mitarbeitender bzw. ein Bewohner mit dem Aushang des eigenen Fotos nicht einverstanden ist.

  Praxistipp Das Aushängen von Fotos und/oder Namen von Bewohnern bzw. Mitarbeitenden ist eine Verarbeitung unter datenschutzrechtlichen Gesichtspunkten und bedarf daher einer Rechtsgrundlage.

Da das Veröffentlichen von Fotomaterial bzw. des Namens nicht im Zusammenhang mit den eigentlichen vertraglichen Beziehungen steht, ist zwingend die Einwilligung des Mitarbeitenden bzw. des Bewohners einzuholen (vgl. Personalverwaltung bzw. Aufnahme & Heimvertrag). Auch hier gilt, dass eine Nichterteilung keinerlei Nachteil mit sich bringen darf. Darüber hinaus muss es der betroffenen Person freistehen, die erteilte Einwilligung jederzeit für die Zukunft zu widerrufen.

  Praxistipp Die Pflicht zur Einholung einer Einwilligung besteht im Übrigen nicht beim Auslegen eines Kondolenzbuches zum Gedenken eines verstorbenen Bewohners.

56

1.  Stationäre Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Veröffentlichung von Aushängen und Bildern Bewohner, Mitarbeitende Fotos, ggf. Name, Berufsbezeichnung, Zimmernummer Art. 6 Abs. 1 lit. a DSGVO

Kapitel 2

§ 6 Nr. 2 DSG-EKD Speicherdauer: Besonderheiten:

§ 6 Abs. 1 Nr. 2 KDG Keine Vor Veröffentlichung des Aushanges ist eine Einwilligung einzuholen.

Heimaufsicht Die Heimaufsicht kontrolliert und berät Pflegeheime und andere stationäre Einrichtungen. Ebenso fallen Wohnstätten der Behindertenhilfe, Hospize sowie teilstationäre Angebote, Einrichtungen des Betreuten Wohnens etc. in den Tätigkeitsbereich der Heimaufsicht. Die oben genannten Pflegeeinrichtungen sind gem. dem elften Sozialgesetzbuch gegenüber der Heimaufsicht berechtigt und verpflichtet, die für die Qualitätsprüfung erforderlichen Daten zur Verfügung zu stellen. Sofern das jeweilige bundeslandbezogene Heimgesetz eine Verarbeitung von personenbezogenen Daten, z. B. zur Qualitätsprüfung, vorschreibt, ist die Verarbeitung legitimiert und zu befolgen. Für Pflegeeinrichtungen ist es ratsam, sich mit den Befugnissen der jeweils zuständigen Heimaufsicht zu befassen, um bei Anfragen datenschutzkonform handeln zu können. Der Umfang der erforderlichen Daten hängt dabei stark vom Heimgesetz des jeweiligen Bundeslandes ab. Medizinischer Dienst der Krankenversicherung Der Medizinische Dienst der Krankenversicherung (MDK) ist der sozialmedizinische Beratungs- und Begutachtungsdienst der Leistungsträger. Er soll sicherstellen, dass die Leistungen der Kranken- und Pflegeversicherung nach objektiven medizinischen Kriterien allen Versicherten zu gleichen Bedingungen zugutekommen. Um seinen Aufgaben nachkommen zu können, benötigt

Datenschutz in der Pflege

57

der MDK eine Vielzahl von Informationen und kommt somit auch mit personenbezogenen Daten der Bewohner in Berührung. Grundsätzlich handelt es sich bei der Begutachtung durch den MDK um personenbezogene Daten aus der Pflegedokumentation. Diese können daher von den allgemeinen Angaben zur Person (z. B. Name, Adresse, Geburtsdatum) bis hin zu besonders schützenswerten Daten reichen (z. B. Gesundheitsdaten). Zu beachten ist jedoch, dass dem MDK im Rahmen der Qualitätsprüfung und Begutachtung nicht ohne Weiteres Einsicht in die Pflegedokumentation gewährt werden darf (vgl. Richtlinien auf Basis des § 114 SGB XI bzw. § 275 SGB V). Vielmehr muss der betroffene Bewohner grundsätzlich zuvor schriftlich einwilligen. In Ausnahmefällen ist auch eine mündliche Einwilligung akzeptabel. In jedem Fall muss dabei der Prüfer des MDK rechtzeitig Aufklärung gegenüber dem Bewohner betreiben. Abrechnung Für Pflegeeinrichtungen stellt sich oftmals die Frage, in welchem Umfang vertrauliche Daten an Kostenträger weitergegeben werden dürfen, wie Rechnungen zu übermitteln sind und ob zur Überprüfung der Abrechnung ein Einsichtsrecht in die Pflegedokumentation besteht. Vielfach werden Rechnungen noch per Papier mit Kostenträgern ausgetauscht. In einigen Teilbereichen gibt es den Datenträgeraustausch (DTA), mit dem ein verschlüsseltes Verfahren für die Übertragung von Rechnungen bereitsteht. Bei den meisten Pflegekassen, privaten Krankenkassen und weiteren Trägern im Bereich Sozialhilfe/Ämter gibt es noch keine solchen Standards. Bei der Abrechnung werden zum Teil hoch sensible personenbezogene Daten verarbeitet, deren Schutz zwingend zu gewährleisten ist – auch auf dem Transportweg. Wenn der Versand von Rechnungen nicht per Post erfolgen soll, ist ein verschlüsseltes Verfahren einzusetzen. Bei DTA mit dem Programm „dakota“ bzw. alternativen Lösungen ist diese Verschlüsselung realisiert. Werden Rechnungen per E-Mail an Angehörige oder Kostenträger verschickt, sind meist zusätzliche Maßnahmen zu treffen (vgl. E-Mail-Dienste & Verschlüsselung).

58

1.  Stationäre Pflege

  Praxistipp Die Einsichtsrechte der Kostenträger sind auf die Abrechnungsunterlagen beschränkt, lediglich dem Medizinischen Dienst der Krankenversicherung ist eine Einsichtnahme in die Pflegedokumentation im Rahmen von Prüfungen gestattet. Ja Abrechnung mit Kostenträgern Bewohner Abrechnungsbezogene Unterlagen

Kapitel 2

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO § 6 Nr. 5 DSG-EKD § 6 Abs. 1 lit. c KDG

Speicherdauer: Besonderheiten:

Datenschutz in der Pflege

§ 147 Abgabenordnung 10 Jahre Der Datenträgeraustausch muss mittels eines verschlüsselten Verfahrens stattfinden (gegeben durch „dakota“ oder vergleichbare Lösungen). Kostenträger dürfen nur in abrechnungsrelevante Unterlagen Einsicht bekommen.

59

Pflege Pflegedokumentation Die Pflegedokumentation dient als Nachweis der geplanten und durchgeführten Pflege am Bewohner. Hierzu zählen Assessments, die Strukturierte Informationssammlung (SIS), die Planung und Dokumentation von Maßnahmen, Vitalwerte, Lagerungsprotokolle, verordnete Medikamente und viele weitere Bereiche. Sie umfasst alle Berichte und Formulare über den Pflegeverlauf des Bewohners. Viele Unternehmen haben aufgrund der besseren Handhabung mittlerweile auf eine Software für Pflegedokumentation umgestellt, obgleich auch noch klassische Papierakten in Einrichtungen vorzufinden sind. Die Pflegedokumentation beinhaltet somit alle relevanten Informationen über die (geplanten) pflegerischen Leistungen für Bewohner. Daher sind neben den allgemeinen personenbezogenen Daten wie z. B. Name, Anschrift und Geburtsdatum auch besonders schützenswerte Daten wie Gesundheitsdaten enthalten. Beim Führen der Pflegedokumentation gilt es, das informationelle Selbstbestimmungsrecht der Bewohner zu wahren. Daher haben Bewohner das Recht, Kenntnis über den Pflege- und Behandlungsverlauf zu erhalten und können ihr Recht auf Einsicht in die sie betreffende Pflegedokumentation geltend machen. In welcher Form die Einsichtnahme stattfindet, obliegt der Pflegeeinrichtung. Sie kann z. B. die Originalakte zur Einsichtnahme aushändigen oder auch Kopien der darin befindlichen Dokumente anfertigen. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Führen der Pflegedokumentation Bewohner Pflegerische und abrechnungsrelevante Unterlagen des Bewohners Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO § 6 Nr. 5 DSG-EKD i.V.m. § 13 DSG-EKG

Speicherdauer: Besonderheiten:

60

§ 6 Abs. 1 lit. c KDG i.V.m. § 11 KDG 10 Jahre, ggf. kann eine Aufbewahrung von 30 Jahren gem. § 197 BGB erforderlich sein. Der Bewohner hat das Recht auf Einsichtnahme.

1.  Stationäre Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja (Fotografische) Wunddokumentation Bewohner Gesundheitsdaten Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO § 6 Nr. 5 DSG-EKD i.V.m. § 13 DSG-EKD

Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. c KDG i.V.m. § 11 KDG 10 Jahre, ggf. kann eine Aufbewahrung von 30 Jahren gem. § 197 BGB sinnvoll sein. Eine fotografische Wunddokumentation darf ohne explizite Einwilligung des Bewohners erfolgen.

1  Vgl. https://www.baden-wuerttemberg.datenschutz.de/faq-datenschutz-in-der-pflege/ (letzter Abruf 22.10.2018)

Datenschutz in der Pflege

61

Kapitel 2

Wunddokumentation Von Beginn der Pflege an sind Wunden umfassend zu beschreiben, denn nur so können der Verlauf und der Heilungserfolg sichtbar und nachvollziehbar gemacht werden. Zur besseren Handhabung haben sich viele Einrichtungen dazu entschlossen, die Dokumentation mit fotografischem Bildmaterial zu unterstützen. Was auf den ersten Blick plausibel erscheint, wirft jedoch auf den zweiten Blick datenschutzrechtliche Fragestellungen auf. Und anders als bei der fotografischen Ablichtung von Personen, für die eine Einwilligung erforderlich ist, ist dies bei der Foto-Dokumentation von Wunden nicht erforderlich. Das Dokumentieren von Wunden, auch in fotografischer Form, ist als Teilleistung der Pflege zu verstehen und daher ohne expli1 zite Einwilligung des Bewohners möglich. Jedoch ist darauf zu achten, dass das entsprechende Speichermedium geeignete technische Maßnahmen aufweist, um die Vertraulichkeit dieser besonders schützenswerten personenbezogenen Daten zu wahren.

Verlegung ins Krankenhaus Bei der Verlegung von Bewohnern in ein Krankenhaus spielt die Weitergabe wichtiger persönlicher Daten eine große Rolle. Ein solcher Verlegungsbericht bzw. ein Notfallblatt enthält wichtige Angaben, die für eine Weiterbehandlung des Bewohners erforderlich sind. Nach einem Sturz oder im Fall einer Erkrankung bleibt meist keine Zeit, die Rechtmäßigkeit der Datenweitergabe zu klären. Hier wird im Zweifel nach „gesundem Menschenverstand“ entschieden und ein Übergabeblatt mitgegeben. Damit verlassen aber auch hoch sensible Daten den Verantwortungsbereich der Einrichtung. Es stellt sich die Frage, ob diese Weitergabe von Daten rechtens ist und ob hierfür eine Einwilligung einzuholen ist. Im konkreten Fall, beispielsweise nach einem Sturz, kann eine ordnungsgemäße Einwilligung möglicherweise nicht gegeben werden. Nach Abwägung der Interessen ist es in den meisten Fällen nicht erforderlich, nach einer Einwilligung zur Weitergabe von Auszügen aus der Bewohnerakte an das Krankenhaus zu fragen. Unumstritten ist ja, dass dieser Vorgang zum Schutz der lebenswichtigen Interessen der betroffenen Person legitimiert und notwendig ist (vgl. Art. 6 Abs. 1 lit. d i.V.m. Art. 9 Abs. 2 lit. c DSGVO). Einrichtungen sollten daher stehts darauf achten, das Notfallblatt aktuell zu halten und vor unbefugtem Zugriff zu schützen, sofern die Daten nicht über ein IT-System ausgedruckt werden können.

  Praxistipp Berufsgeheimnisträger, u.a. Ärzte, sind keine Auftragsverarbeiter im Sinne geltender Datenschutzgesetze. Daher ist das Schließen eines Vertrages zur Auftragsverarbeitung nicht notwendig.

Lichtrufanlage Sogenannte Licht- und Notrufsysteme, auch Schwesternrufsysteme, gehören zu den technischen Systemen wie Telefonanlagen, Gebäudesteuerung oder IoT-Anwendungen. Bei Rufanlagen handelt es sich um elektro-optische Meldesysteme, welche das Herbeirufen des Pflegepersonals durch den Bewohner ermöglichen sollen.

62

1.  Stationäre Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Ruf und Alarmierung von Mitarbeitenden Bewohner, Mitarbeitende Aufenthaltsort, Reaktions-, An- und Abwesenheitszeiten Art. 6 Abs. 1 lit. b DSGVO § 6 Nr. 5 DSG-EKD

Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. c KDG 10 Jahre -

Pflegeroboter & neuartige Technologien Neue Technologien wie sprachgesteuerte Assistenzsysteme oder auch Pflegeroboter halten in Pflegeeinrichtungen langsam Einzug. Pflegeroboter werden bisher nur vereinzelt eingesetzt, könnten aufgrund des Personalmangels in Zukunft aber möglicherweise häufiger zum Einsatz kommen. Die Vorteile liegen klar auf der Hand: Pflegeroboter und andere neuartige Technologien könnten Pflegekräfte sowohl zeitlich als auch bei alltäglichen Situationen wie dem Tragen, Umbetten und Aufrichten von Bewohnern entlasten. Grundsätzlich richtet sich das Spektrum der zu verarbeitenden personenbezogenen Daten dabei nach der Konfigurationsmöglichkeit des Pflegerobo-

Datenschutz in der Pflege

63

Kapitel 2

Lichtrufanlagen verfügen aber nicht nur über eine Alarmfunktion, sondern oftmals auch über eine An- bzw. Abwesenheitsfunktion. Darüber hinaus sind diese Systeme häufig mit DECT-Telefonen verbunden und können so bei Anwesenheit des Personals mit Präsenzdaten verknüpft werden. An diesem Punkt stellt sich die Frage, inwiefern solch eine Anlage datenschutzrechtlich überprüft werden muss. Moderne Lichtrufanlagen können, wie auch moderne Telefonanlagen, über einen IP-gestützten Anschluss verfügen, sind also im Netzwerk erreichbar. Somit können von den Wohnbereichen berechtigte Personen auf die Daten der Lichtrufanlage zugreifen und diese gegebenenfalls auswerten. Als personenbezogene Daten kommen u.a. Informationen zu Reaktionszeiten sowie Anwesenheitszeiten der Mitarbeitenden bzw. der Bewohner in Betracht.

ters. Da jedoch ein Pflegeroboter meist auch die Stimme und Sprache des Bewohners (und des Mitarbeitenden) aufzeichnet, interpretiert und ggf. extern verarbeitet, sind datenschutzrechtliche Belange zu prüfen. Besonders dann, wenn der Roboter auch über eine sogenannte künstliche Intelligenz verfügt und durch die Interaktion mit Menschen stetig dazulernt, gilt es Rechtmäßigkeit, Risiken und Sicherheitsmaßnahmen zu bewerten. Die Bewohner und Mitarbeitenden sind daher vor Einführung eines solchen Systems über den Mechanismus und die daraus hervorgehenden Gefahren in transparenter Weise zu informieren, insbesondere weil ein Pflegeroboter mit besonders schützenswerten Daten in Berührung kommt. Aufgrund der Komplexität dieser Systeme wird empfohlen, den Datenschutzbeauftragten frühzeitig einzuschalten. Eine empfehlenswerte Maßnahme ist der Abschluss einer Dienstvereinbarung (vgl. Betriebs- und Kollektivvereinbarungen). Technische Fragen und Kriterien sollten anhand des Abschnitts Technische Systeme wie Telefonanlagen, Gebäudesteuerung oder IoT-Anwendungen überprüft werden. Darüber hinaus ist vor der Inbetriebnahme eine Datenschutz-Folgenabschätzung durchzuführen. Vertragsende & Austritt Wenn ein Bewohner die Pflegeeinrichtung verlässt, sind weitere Verwendung und Aufbewahrung der personenbezogenen Daten, die im Rahmen der Pflegedokumentation erhoben und verarbeitet wurden, zu klären. Grundsätzlich gelten Zweckgebundenheit der Datenverarbeitung und Datenminimierung. Strenggenommen sind personenbezogene Daten nach Erlöschen des Zwecks zu löschen bzw. zu vernichten. Jedoch sind hier noch weitere rechtliche Aspekte zu beachten. Unabhängig von datenschutzrechtlichen Vorschriften sind Unterlagen gemäß der gesetzlichen Archivierungsfristen bis zum Erreichen der Frist aufzubewahren. Die Ausprägung der Aufbewahrungsfristen kann je nach Art der Unterlagen unterschiedlich ausfallen. Es empfiehlt sich, eine Übersicht über die einschlägigen Aufbewahrungsfristen zusammenzustellen. Darüber hinaus können ehemalige Bewohner Betroffenenrechte geltend machen und das Unternehmen auffordern, die sie betreffenden – direkt erhobenen – personenbezogenen Daten einsehen zu dürfen oder in einem gängi-

64

1.  Stationäre Pflege

  Praxistipp Die Pflicht zur Einholung einer Einwilligung besteht im Übrigen nicht beim Auslegen eines Kondolenzbuches zum Gedenken eines verstorbenen Bewohners.

Die Schweigepflicht besteht grundsätzlich über den Tod hinaus. Einsichtsrechte sind nur insoweit zu gewähren, wie ein Einverständnis vorliegt oder soweit von einem vermeintlichen Einverständnis ausgegangen werden kann. Dieser mutmaßliche Wille lässt sich anhand von geäußerten Wünschen des Bewohners sowie des Anliegens der Dritten ermitteln. Die Erben haben ein Recht auf Einsicht in die Bewohnerakte, sofern dies zur Erfüllung vermögensrechtlicher Interessen nötig ist und kein Widerspruch vorliegt. Dieses Recht besteht auch zur Wahrnehmung immaterieller Interessen. Durch den Tod des Betreuten endet das Betreuungsverhältnis ohne einen gerichtlichen Aufhebungsbeschluss. Alle Rechte und Pflichten stehen nunmehr den Erben zu. Einige Heimgesetze enthalten Regelungen zur Einsichtnahme in Bewohnerakten. Die konkrete Rechtslage ist im Einzelfall zu prüfen.

Datenschutz in der Pflege

65

Kapitel 2

gen, strukturierten und maschinenlesbaren Format ausgehändigt zu bekommen. Letzteres beruht auf dem Recht auf Datenübertragbarkeit. Nimmt ein ehemaliger Bewohner sein Recht auf Löschung in Anspruch, sind ebenfalls die gesetzlichen Archivierungsfristen einzuhalten, d. h. an Stelle der Löschung tritt die Einschränkung der Verarbeitung (Sperren von Daten), bis die Aufbewahrungsfristen abgelaufen sind. Für Unternehmen ist es ratsam, einen gesamtheitlichen Prozess (Archivierung bzw. Löschung der Daten) für das Ausscheiden von Bewohnern zu implementieren. Zum einen, um gesetzliche Archivierungsfristen einhalten zu können, und zum anderen, um die Rechte der Betroffenen zu wahren.

2.  Ambulante Pflege Interessenten & Anfragen Der erste persönliche Kontakt erfolgt häufig vor Ort beim potenziellen Patienten: Der Pflegedienst stellt sich und klärt zugleich Anforderungen und Erwartungshaltung an zu erbringende Pflegeleistungen. Sofern nicht gleich ein Pflegevertrag abgeschlossen wird, werden möglicherweise erste Grunddaten in einem Interessentenbogen aufgenommen. Der Bedarf an einer ambulanten Versorgung kann nach einem Krankenhausaufenthalt entstehen. Hier unterstützen Sozialdienste bei der Suche nach einer Betreuungsmöglichkeit. Dadurch können beim Pflegedienst bereits sensible Datensätze noch vor Abschluss des Pflegevertrages anfallen, die ebenso wie ein Interessentenbogen datenschutzkonform aufzubewahren sind. Neben den allgemeinen Kontaktdaten wie Namen und Adresse werden an dieser Stelle oftmals schon Daten zur gesundheitlichen Historie sowie Daten zur Versicherung, zum Pflegegrad und der Diagnose abgefragt bzw. verarbeitet. Im Laufe eines Jahres können daher durch Erstgespräche oder Anfragen von Krankenhäusern viele personenbezogene Datensätze anfallen. Nicht bei allen Interessenten kommt es zum Abschluss eines Pflegevertrages, sodass sich für den Pflegedienst die Frage stellt, wie mit den nicht mehr benötigten Datensätzen zu verfahren ist. Als Faustregel gilt: Ein Jahr nach Ausfüllen des Interessentenbogens bzw. früher nach Absage durch den potenziellen Patienten sind die Daten zu vernichten. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Interessentenmanagement Interessenten und Angehörige Name, Adressdaten, Geburtsdaten, Kontodaten, Gesundheitsdaten etc. Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DSGVO § 6 Nr. 5, § 13 Abs. 2 Nr. 8 DSG-EKD

Speicherdauer: Besonderheiten:

66

§ 6 Abs. 1 lit. c, § 11 Abs. 2 lit. h KDG max. 12 Monate Prinzip der Datensparsamkeit beachten, Einwilligung für Kontaktdaten Angehöriger

2.  Ambulante Pflege

  Praxistipp Sofern das Unternehmen die Kontaktdaten der Angehörigen einholen möchte, bedarf dies der Zustimmung der Angehörigen. Eine bloße Annahme, dass die Speicherung der Kontaktdaten in Ordnung sei, reicht nicht aus. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Vertragsverwaltung Patienten Name, Adressdaten, Geburtsdaten, Kontodaten, Gesundheitsdaten etc. Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DSGVO § 6 Nr. 5, § 13 Abs. 2 Nr. 8 DSG-EKD

Speicherdauer: Besonderheiten:

Datenschutz in der Pflege

§ 6 Abs. 1 lit. c, § 11 Abs. 2 lit. h KDG 6 Jahre nach Beendigung der Vertragsbeziehung 10 Jahre bei abrechnungsrelevanten Unterlagen Das Einholen von Kontaktdaten der Angehörigen bedarf der Einwilligung.

67

Kapitel 2

Patientenaufnahme & Pflegevertrag Mit Abschluss des Pflegevertrages beginnt die Betreuung und Versorgung des Patienten. Darin sind die vereinbarten Leistungen, Modalitäten zur Abrechnung und ggf. weitere Einwilligungen festgehalten. Auch eine Vereinbarung zum Datenschutz sollte aus gutem Grund in den Pflegevertrag mit aufgenommen werden. Für Pflegedienste kann es von besonderer Bedeutung sein, im Namen des Patienten mit behandelnden Ärzten, Therapeuten und Apotheken sprechen zu dürfen. Diesbezüglich ist das Einholen einer Schweigepflichtsentbindung unumgänglich. Ob dies bereits im Absatz zum Datenschutz oder mittels einer Anlage geschieht, bleibt dem Anbieter überlassen. Darüber hinaus sollte sich der Pflegedienst bereits bei der Aufnahme eines neuen Patienten Gedanken machen, ob z. B. Bilder in Werbematerialien oder auf der Webseite veröffentlicht werden sollen. Sofern dies gewünscht ist, müssten entsprechende Einwilligungen eingeholt werden.

Auskünfte gegenüber Dritten Oft gibt es Situationen, in denen von Angehörigen eines Patienten Informationen angefordert werden. Ob es sich hierbei jedoch tatsächlich um ein Kind oder einen Enkel des Patienten handelt, ist für die Mitarbeitenden am Telefon oder per E-Mail nur schwer einzuschätzen. Pflegedienste sollten für telefonische Auskünfte und Auskünfte per E-Mail an Dritte einen einheitlichen Prozess definieren und an alle Mitarbeitenden kommunizieren. Dieser Prozess muss einfach zu handhaben und praxistauglich sein. Auskünfte gegenüber dem Medizinischen Dienst der Krankenkassen (MDK) oder direkt an Kostenträger sind in gleicher Weise zu hinterfragen. Es gibt enge Grenzen, was über die Abrechnung und die Leistungsnachweise hinaus den Kassen bzw. dem MDK vorgelegt werden muss. Die Teilnahme bei Qualitätsprüfungen ist beispielsweise freiwillig und hier ist zunächst die Einwilligung des Patienten einzuholen. Bewährt hat sich ein Verfahren, das im Vorhinein den Patienten in die Fragestellung „An wen dürfen Informationen herausgegeben werden?“ mit einbezieht. Der Patient selbst gibt dem Pflegedienst an, an welche Personen und in welchem Umfang Auskünfte erteilt werden dürfen. Zur Sicherheit und zum Abgleich wird zusätzlich eine persönliche Frage notiert, die nur ein legitimierter Anrufer bzw. E-Mail-Absender beantworten kann. Beim Austausch von Informationen über Patienten per E-Mail ist besondere Vorsicht geboten (vgl. Abschnitt E-Mail-Dienste & Verschlüsselung in Kapitel 3).

  Praxistipp Die Verarbeitung von personenbezogenen Daten Angehöriger bedarf des Einverständnisses der betroffenen Personen und ist ebenfalls einzuholen.

Schlüsselverwaltung Um eine Pflege in den eigenen vier Wänden für Patienten zu ermöglichen, benötigen Pflegedienste Haustür- und Wohnungsschlüssel, um sich Zutritt zu den Räumlichkeiten zu verschaffen. Besondere Gefahr besteht hierbei, dass die Schlüssel in unbefugte Hände gelangen und sich hierdurch Zutritt verschafft werden kann.

68

2.  Ambulante Pflege

Transport von sensiblen Unterlagen Im Rahmen der häuslichen Versorgung werden immer wieder Unterlagen und Dokumente mit sensiblen Daten transportiert, z. B. unterschriebene Leistungsnachweise. Pflegekräfte nehmen diese nach einem Besuch auf ihrer Tour mit oder bringen neue Nachweisformulare inkl. Gesundheitsdaten in die Wohnung des Patienten. Dabei besteht die Gefahr, dass diese Dokumente auf dem Transportweg verloren gehen oder Unbefugte durch die Fensterscheiben des Autos Einblick in die Dokumente erhalten können.

  Praxistipp Allein der Umstand, dass eine Person gepflegt wird, fällt unter Geheimhaltungsvorschriften, z. B. § 203 StGB. Die Verantwortung für den Schutz der Daten liegt beim Pflegedienst und der zuständigen Pflegekraft.

Die Risiken einer Datenpanne sollten auf ein Mindestmaß reduziert werden. Bewährt haben sich undurchsichtige Aktenhüllen zum Schutz unbefugten Einblicks bzw. verschließbare Aktentaschen. Durch einen Transport von Unterlagen im Kofferraum kann das Schutzniveau weiter erhöht werden. Darüber hinaus sollten die Mitarbeitenden regelmäßig auf diese Gefahren hingewiesen und Handlungsoptionen angeboten werden.

Datenschutz in der Pflege

69

Kapitel 2

Daher sind von Beginn an organisatorische Maßnahmen zu ergreifen, die das Risiko auf ein Minimum reduzieren, die Handhabung für die Mitarbeitenden des Pflegedienstes jedoch nicht beeinträchtigen. Bewährt hat sich, die Schlüssel in abschließbaren Schränken bzw. Tresoren zu lagern und nur einem definierten Personenkreis verfügbar zu machen. Zudem sollten die Schlüssel nicht die Adresse oder den Namen des Patienten aufweisen, sondern z. B. mit einer Nummer gekennzeichnet sein. Die zur Nummer gehörende Adresse wiederum kann separat abgelegt werden. Zum Beispiel auf einem Zettel an einem separat verschließbaren Ort oder im elektronischen Tourenplan. In jedem Fall ist dafür Sorge zu tragen, den Schlüssel und die dazugehörige Adresse getrennt voneinander und sicher aufzubewahren.

Medizinischer Dienst der Krankenversicherung Die Aufsicht und Kontrolle von ambulanten Pflegediensten erfolgt durch den Medizinischen Dienst der Krankenversicherung (MDK) als Beratungs- und Begutachtungsdienst der gesetzlichen Kranken- und Pflegeversicherung. Er soll sicherstellen, dass die Leistungen der Kranken- und Pflegeversicherung nach objektiven medizinischen Kriterien allen Versicherten zu gleichen Bedingungen zugutekommen. Hierfür gelten die Richtlinien zu Qualitätsprüfungen auf Basis § 275 SGB V bzw. § 114 SGB XI. Um seinen Aufgaben nachkommen zu können, benötigt der MDK eine Vielzahl von Informationen und kommt mit personenbezogenen Daten der Patienten in Berührung. Grundsätzlich handelt es sich bei der Begutachtung durch den MDK um personenbezogene Daten aus der Pflegedokumentation. Diese können daher von den allgemeinen Angaben zur Person (z. B. Name, Adresse, Geburtsdatum) bis hin zu besonders schützenswerten Daten reichen (z. B. Gesundheitsdaten). Zu beachten ist jedoch, dass dem MDK im Rahmen der Qualitätsprüfung und Begutachtung nicht ohne Weiteres Einsicht in die Pflegedokumentation gewährt werden darf. Vielmehr muss die betroffene Person grundsätzlich zuvor schriftlich einwilligen. In Ausnahmefällen ist auch eine mündliche Einwilligung akzeptabel. In jedem Fall muss jedoch der Prüfer des MDK rechtzeitig Aufklärung gegenüber dem Patienten betreiben. Abrechnung Die erbrachten Leistungen werden direkt mit dem jeweiligen Kostenträger des Patienten abgerechnet. Für Pflegedienste stellt sich die Frage, wie die (elektronische) Abrechnung mit dem Kostenträger erfolgen darf und inwieweit Kostenträger selbst im Rahmen der Überprüfung der Rechnungen ein weitergehendes Einsichtsrecht in die Pflegedokumentation haben. Bei der Abrechnung werden zum Teil hoch sensible personenbezogene Daten ausgetauscht, deren Schutz zwingend gewährleistet werden muss – auch auf dem Transportweg. Daher ist zum Zweck des Datenaustauschs ein verschlüsseltes Verfahren einzusetzen. Technisch gesehen ist der Datenträgeraustausch auf Basis der Software „dakota“ bzw. vergleichbarer Lösungen ein dem Stand der Technik entsprechendes Verfahren. Die Rechnungen werden verschlüsselt an Annahmestellen übermittelt, die diese dann an die eigentlichen Rechnungsempfänger weiter-

70

2.  Ambulante Pflege

  Praxistipp Die Einsichtsrechte der Kostenträger sind auf die Abrechnungsunterlagen beschränkt, lediglich dem Medizinischen Dienst der Krankenversicherung ist eine Einsichtnahme in die Pflegedokumentation im Rahmen der Prüfung in Grenzen gestattet. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Abrechnung mit dem Kostenträger Klienten Abrechnungsbezogene Unterlagen, Kontoverbindung, Leistungsnachweise Art. 6 Abs. 1 lit. b DSGVO § 6 Nr. 5 DSG-EKD § 6 Abs. 1 lit. c KDG

Speicherdauer: Besonderheiten:

§ 146 Abgabenverordnung 10 Jahre Der Datenträgeraustausch muss mittels eines verschlüsselten Verfahrens stattfinden. Der Kostenträger darf nur in abrechnungsrelevante Unterlagen Einsicht bekommen.

Pflegedokumentation Der Umgang mit der Pflegedokumentation in der ambulanten Pflege unterscheidet sich deutlich von stationären Einrichtungen. Die meist in Papierform geführten Nachweise verbleiben vor Ort in der Wohnung des Patienten. Bei Einsatz einer mobilen Leistungserfassung werden gleichzeitig die Tätigkeiten in einem Smartphone erfasst und an den Server des Pflegedienstes übermittelt.

Datenschutz in der Pflege

71

Kapitel 2

geben. Innerhalb von „dakota“ wird das Zertifikat und eine regelmäßige Erneuerung der Schlüssel organisiert. Wenn sonstige Stellen und Angehörige Rechnungen per E-Mail erhalten sollen, sind diese zu verschlüsseln oder zumindest mit einem Passwort zu versehen. Das Passwort darf natürlich nicht in der gleichen Nachricht mitgeschickt werden. Weitere Hinweise finden sich im Abschnitt E-Mail-Dienste & Verschlüsselung.

Zugang zur Dokumentationsmappe hat, wer Zugang zur Wohnung des Patienten hat. Damit sind die für den Pflegedienst zu treffenden Schutzmaßnahmen begrenzt. Umso wichtiger ist der datenschutzkonforme Umgang mit dem Smartphone und allen zentral gespeicherten Daten. Diese werden über das öffentliche Mobilfunknetz übertragen. Folglich müssen Maßnahmen getroffen werden, um einen Zugang durch Dritte auszuschließen (vgl. Mobile Geräte: Smartphones und Tablets, s. S. 98). Ein Teil der Pflegemappe ist u. U. die Dokumentation von Wunden. Von Beginn der Pflege an sind Wunden umfassend zu beschreiben, denn nur so können der Verlauf und Heilungserfolg sicht- und nachvollziehbar gemacht werden. Zur besseren Handhabung haben sich viele Pflegedienste dazu entschlossen, die Dokumentation mit fotografischem Bildmaterial zu unterstützen. Was auf den ersten Blick plausibel erscheint, wirft jedoch auf den zweiten Blick datenschutzrechtliche Fragestellungen auf. Anders als bei der fotografischen Ablichtung von Personen, für die eine Einwilligung erforderlich ist, ist dies bei der Wunddokumentation per Foto nicht erforderlich. Das Dokumentieren von Wunden, auch in fotografischer Form, ist als Teilleistung der Pflege zu verstehen und daher ohne explizite Einwilligung des Klienten möglich. Für Speichermedium bzw. Smartphone ist aufgrund der Art der Fotos von einem hohen Schutzbedarf auszugehen. Im Rahmen der informationellen Selbstbestimmung haben Patienten das Recht zu erfahren, welche Daten der Pflegedienst über die beim Patienten verbleibende Akte hinaus erhebt und verarbeitet. Einsichtsrechte sind bei Bedarf zu gewähren. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Nachweis erbrachter Leistungen und Pflegedokumentation Patienten Pflegerische und abrechnungsrelevante Unterlagen des Bewohners Art. 6 Abs. 1 lit. b i.V.m. Art. 9 Abs. 2 lit. h DSGVO § 6 Nr. 5 i.V.m. § 13 DSG-EKD

Speicherdauer: Besonderheiten:

72

§ 6 Abs. 1 lit. c i.V.m. § 11 KDG 10 Jahre, ggf. kann eine Aufbewahrung von 30 Jahren gem. § 197 BGB sinnvoll sein. Patienten haben das Recht auf Einsichtnahme.

2.  Ambulante Pflege

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Betreiben eines Hautnotrufdienstes Patienten Kontaktdaten der Betroffenen, Gesundheitsdaten sowie Kontaktdaten von Angehörigen Art. 6 Abs. 1 lit. b DSGVO § 6 Nr. 5 DSG-EKD

Speicherdauer:

§ 6 Abs. 1 lit. c KDG 10 Jahre für Unterlagen zur Abrechnung/Vertragliches

Besonderheiten:

1 Monat für Protokolldaten –

Datenschutz in der Pflege

73

Kapitel 2

Hausnotruf In vielen Fällen entscheiden sich Patienten für ein Hausnotrufsystem in Ergänzung zur ambulanten Versorgung und Pflege. Mithilfe seniorengerechter Geräte inkl. „Funkfinger“ bzw. Notrufknopf können Patienten schnell und selbstständig Hilfe herbeirufen. Ob im Falle der Notrufauslösung der ambulante Pflegedienst zuständig ist oder zunächst eine Notrufzentrale Kontakt mit dem Patienten aufnimmt, hängt von der Gestaltung im Einzelfall ab. Der Vertrag über den Hausnotruf wird meist zwischen dem Klienten und dem Betreiber des Hausnotrufdienstes abgeschlossen. Sofern der Betreiber selbst keine Hilfe leisten kann und das Anliegen weiterleitet, ist dies gem. der Wahrung von lebenswichtigen Interessen des Klienten legitimiert. Das Personal ist vor Aufnahme der Tätigkeit über die Sensibilität der personenbezogenen Daten aufzuklären sowie darauf zu schulen, dass im Falle eines Notfalls legitimierte Dritte (z. B. ein Notarzt) hinzugezogen werden dürfen. Sofern als Vertragspartner der Pflegedienst fungiert und dieser einen Hausnotrufanbieter als Unterauftragnehmer einschaltet, sind entsprechende Vereinbarungen zu treffen (Auftragsverarbeitung, s. S. 159) oder der Anbieter ist direkt in einem Vertrag von gemeinsam Verantwortlichen einzubeziehen.

Vertragsende & Austritt Wenn ein Patient die Zusammenarbeit beendet, steht der Pflegedienst vor der Frage, wie mit den personenbezogenen Daten, die im Rahmen der Leistungsdokumentation und Abrechnung erhoben und verarbeitet wurden, umzugehen ist. Gemäß dem Aspekt der Zweckbindung sind personenbezogenen Daten nach Erlöschen des Zwecks zu löschen bzw. zu vernichten. Jedoch sind hier weitere rechtliche Aspekte zu beachten. Unabhängig von datenschutzrechtlichen Vorschriften sind Unterlagen gemäß gesetzlicher Archivierungsfristen bis zum Erreichen der Frist aufzubewahren. Daher bietet es sich an, eine Übersicht über die einschlägigen Aufbewahrungsfristen zu erstellen. Darüber hinaus können ehemalige Patienten oder deren Angehörige Rechtsansprüche geltend machen und den Pflegedienst z. B. dazu auffordern, die sie betreffenden personenbezogenen Daten einsehen zu dürfen oder in einem gängigen strukturierten maschinenlesbaren Format ausgehändigt zu bekommen (Recht auf Datenübertragbarkeit, s. S. 166). Hierbei handelt es sich jedoch nur um diejenigen Daten, die ein Patient dem Pflegedienst selbst bereitgestellt hat. Nimmt ein ehemaliger Patient sein Recht auf Löschung in Anspruch, sind ebenfalls die gesetzlichen Archivierungsfristen einzuhalten. Für Pflegedienste ist es ratsam, einen gesamtheitlichen Prozess (Archivierung bzw. Löschung der Daten) für das Ausscheiden von Patienten zu implementieren.

74

2.  Ambulante Pflege

3. Öffentlichkeitsarbeit

–– Bei der Anmeldung zu einem Newsletter muss eine Double-Opt-In-Funktion implementiert sein. –– In einem Kontaktformular oder bei der Newsletter-Anmeldung dürfen nur die Felder als Pflichtfelder markiert sein, die unbedingt für die Durchführung des Dienstes erforderlich sind. –– Alle weiteren Angaben müssen als „freiwillige Angaben“ gekennzeichnet werden. –– Wenn Bildaufnahmen veröffentlicht werden, bedarf es einer Einwilligung der betroffenen Person. In einigen Fällen nutzen Pflegeeinrichtungen und -dienste das Medium Newsletter, um mit Interessenten, Angehörigen und Bewerbern im Kontakt zu bleiben. Seit dem Inkrafttreten der neuen Datenschutzgesetze bestehen jedoch vielfach Unsicherheiten rund um das Thema E-Mail-Verteiler und NewsletterVersand. Typische Fragen, die gestellt werden, beziehen sich auf den Versand von Einladungen zu Veranstaltungen oder den Versand von werblichen Inhal-

Datenschutz in der Pflege

75

Kapitel 2

Webseite & Newsletter Für Unternehmen wird es immer wichtiger, die eigenen Angebote mittels eines Internetauftritts zu präsentieren. Die Webseite sollte jedoch nicht nur aus der Marketingperspektive betrachtet werden, sondern immer auch aus der des Datenschutzes. Das Spektrum der zu verarbeitenden personenbezogenen Daten auf der Webseite variiert je nach Angebot. Durch ein Kontaktformular oder die Möglichkeit der Onlinebewerbung können zusätzlich zur IP-Adresse noch weitere personenbezogene Daten erhoben werden. Häufig eingesetzt werden AnalyseTools, die das Nutzerverhalten analysieren und auswerten (sog. Tracking, bspw. mit Google Analytics). Die Homepage enthält Bild- oder Videoaufnahmen. Der Webseiten-Besucher muss also vollumfänglich über die Verarbeitung der personenbezogenen Daten auf der Webseite informiert werden. Darüber hinaus gilt es die folgenden Grundsätze zu beachten: –– Die Datenschutzerklärung und das Impressum sollten alle notwendigen Angaben enthalten und innerhalb von zwei „Klicks“ zu erreichen sein.

ten, die im Zusammenhang mit der Vorstellung des Unternehmens und den angebotenen Leistungen stehen. Grundsätzlich bedarf es einer vorherigen Einwilligung der betroffenen Person, um einen Newsletter versenden zu dürfen. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Außendarstellung, Werbung, Mitarbeitergewinnung Besucher der Webseite IP-Adresse, Nutzerverhalten, ggf. Vor- und Nachname, ggf. weitere Art. 6 Abs. 1 lit. f DSGVO § 6 Nr. 4 DSG-EKD

Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. g KDG 7 Tage Ohne vorherige Einwilligung ist eine Speicherung von Tracking- oder sonstigen Daten nicht zulässig.

Social Media Die Nutzung von Social-Media-Diensten wie z. B. Facebook, Twitter oder Instagram erfreut sich immer größerer Beliebtheit. Ein Unternehmen, das eine eigene sogenannte „Fanpage“ auf diesen Kanälen betreibt, muss einige Dinge beachten. Am 05.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Betreiber einer Facebook-Fanpage für den Datenschutz (mit-)verantwortlich ist. Die Entscheidung wird sich voraussichtlich auf alle Social Media und weitere Online-Plattformen auswirken. Fanpages bzw. vergleichbare Seiten sind offizielle Auftritte eines Verantwortlichen innerhalb bestehender Plattformen. Hierzu zählen Unternehmensseiten auf Facebook, eBay-Shops, YouTube-Kanäle, etc. Im Gegensatz zu einer Webseite, die autark und unabhängig gestaltet werden kann, müssen sich Fanpages an die gestalterischen und technischen Möglichkeiten der Hauptplattform (bspw. Facebook) anpassen. Facebook und vergleichbare Anbieter erheben und übermitteln im Hintergrund Daten. Auf die Erhebung haben Fanpage-Betreiber keinen Einfluss, sind aber nach dem EuGH-Urteil gemeinsam mit dem Plattformbetreiber für

76

3. Öffentlichkeitsarbeit

die Verarbeitung verantwortlich. Das Betreiben einer solchen Fanpage ist somit mit einem nicht unerheblichen Risiko verbunden und es bleibt abzuwarten, 2 wie die Plattformbetreiber auf das Urteil reagieren werden. Für die Veröffentlichung von Bildaufnahmen von Mitarbeitenden oder Klienten bedarf es einer Einwilligung der betroffenen Person. Ja Außendarstellung, Werbung, Mitarbeitergewinnung Fanpage-Besucher Bildaufnahmen, IP-Adresse, Nutzerverhalten, ggf. weitere Daten (in Abhängigkeit der Plattform) Art. 6 Abs. 1 lit. f DSGVO § 6 Nr. 4 DSG-EKD Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. g KDG Abhängig von Plattform Ohne vorherige Einwilligung ist eine Speicherung von Tracking- oder sonstigen Daten nicht zulässig.

Werbematerialien Um Interessenten, Angehörige und Bewerber über Angebote und geplante Veranstaltungen zu informieren und den Pflegeanbieter vorzustellen, werden im Bereich der Öffentlichkeitsarbeit Broschüren, Prospekte, Zeitschriften oder Flyer erstellt. In der Regel beinhalten solche Publikationen auch Namen und Fotos von Mitarbeitenden oder Klienten, z. B. bei Jubiläen oder in der Funktion als Heimbeirat. Für die Veröffentlichung von Bildaufnahmen von Mitarbeitenden oder Klienten bedarf es einer Einwilligung der betroffenen Person.

2  https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf (letzter Abruf 17.12.2018)

Datenschutz in der Pflege

77

Kapitel 2

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Außendarstellung, Werbung, Mitarbeitergewinnung Mitarbeitende, Klienten, weitere Dritte Bildaufnahmen, Vor- und Nachname, Geburtstag Art. 6 Abs. 1 lit. f DSGVO § 6 Nr. 4 DSG-EKD

Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. g KDG Bis zum Widerruf der Einwilligung Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Fundraising und Spenden Viele soziale Träger werden durch Spenden unterstützt, oft kommen diese von Privatpersonen. Spendenaufrufe haben insbesondere bei Kirchen, Diakonie und Caritas eine lange Tradition. Um möglichst viele Spenden zu erhalten werden, werden potenzielle Spender im Rahmen von Spendenbriefen oder Mailing kontaktiert. Hierzu gehören insbesondere auch diejenigen, die bereits zu einem früheren Zeitpunkt gespendet haben. Die Spendenwerbung stellt vielfach ein berechtigtes Interesse des Verantwortlichen dar, das aber gegen die Interessen der Betroffenen (vgl. Informationelles Selbstbestimmungsrecht) abzuwägen ist. Einige Landeskirchen bzw. Bistümer haben Ergänzungsgesetze oder Datenschutz-Verordnungen zum Fundraising erlassen, um Kirchen und Organisationen bei Diakonie und Caritas mehr Rechtssicherheit für die Werbung um Spender zu geben. Der Versand von Werbung per Post und der Versand von Werbung per EMail sind unterschiedlich zu betrachten. Für den Versand per E-Mail wird eine Einwilligung der betroffenen Person unbedingt benötigt. Für den Versand per Post ist eine Einwilligung nicht zwingend notwendig. In beiden Fällen gilt jedoch: Widerruft die betroffene Person die gegebene Einwilligung oder äußert den Wunsch, keine weitere Werbung erhalten zu wollen, ist dies zwingend zu berücksichtigen. Verschiedene Dienstleister haben sich als Adresshändler auf den Verkauf bzw. die Vermietung von Adressdaten für Spendenkampagnen spezialisiert. Diese übernehmen in der Regel die Garantie für eine rechtmäßige Nutzung

78

3. Öffentlichkeitsarbeit

und Weitergabe der Daten. Zu beachten ist die Kennzeichnung der Datenherkunft. Bei Anreicherung der Daten für eigene Zwecke ist eine Weitergabe an den Dienstleister ohne vorherige Einwilligung nicht zulässig. Gleichzeitig gelten aufgrund der Zweckbindung auch enge Grenzen, ob und in welchem Umfang vorhandene Klienten- oder Angehörigendaten für Spendenwerbung genutzt werden dürfen. Es empfiehlt sich, frühzeitig Einwilligungen einzuholen. Kapitel 2

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Fundraising Klienten, Interessenten, Spender, weitere Dritte Vor- und Nachname, Kontodaten, weitere Dritte Art. 6 Abs. 1 lit. f DSGVO § 6 Nr. 4 DSG-EKD

Speicherdauer: Besonderheiten:

Datenschutz in der Pflege

§ 6 Abs. 1 lit. g KDG Bis zum Widerruf der Einwilligung Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

79

4. Personal Bewerbungen Die Personalsuche erweist sich in der Pflegebranche als eine zunehmend schwierigere Aufgabe, sodass heutzutage vielfältige Möglichkeiten genutzt werden, um Bewerber auf ein Unternehmen aufmerksam zu machen. Stellenausschreibungen werden in Online-Job-Portalen veröffentlicht und Bewerber bekommen die Möglichkeit, ihre Bewerbungsunterlagen direkt auf diesen Plattformen hochzuladen. Die Unternehmen erhalten Zugangsdaten, um auf die Unterlagen zugreifen zu können. Die Bewerbung per E-Mail einzureichen, stellt mittlerweile die beliebteste Variante dar. Aber auch der postalische Versand oder die persönliche Abgabe im Unternehmen gilt es hinsichtlich des Datenschutzes zu berücksichtigen. Neben den allgemeinen Kontaktdaten wie Namen und Adresse werden über die Bewerbungen Qualifikationen, biografische Daten und teilweise bereits Gesundheitsdaten (z. B. Grad der Behinderung) mitgeteilt. Zunächst gilt es bei der ankommenden Bewerbung zwischen zwei Kategorien zu unterscheiden – Initiativbewerbung oder Bewerbung, die im Zuge einer konkreten Stellenausschreibung eingereicht wurde. Diese Unterscheidung hat Auswirkungen auf die zulässige Speicherdauer. Bei einer Initiativbewerbung entfällt der Zweck zur Speicherung, wenn zum Zeitpunkt des Eintreffens kein Bedarf besteht. Bewerbungen, die aufgrund einer Stellenausschreibung eintreffen und nicht von Interesse sind, sollten bis max. sechs Monate nach Abschluss des Bewerbungsverfahrens gespeichert und danach gelöscht werden. Eine Möglichkeit, um Daten länger speichern und Bewerber ggf. zu einem späteren Zeitpunkt kontaktieren zu dürfen, stellt die Aufnahme in einen Bewerberpool dar. Hierzu bedarf es einer aktiven Einwilligung der betroffenen Person. Die Weiterleitung von Bewerbungsmails im Unternehmen ist mit einem hohen Risiko verbunden, da Bewerbungsunterlagen mit jedem Mal weiter dupliziert und in Postfächern gespeichert werden. Es empfiehlt sich, für Online-Bewerbungen ein separates E-Mail-Postfach einzurichten, um auf diese Weise Löschpflichten angemessen nachkommen zu können. Bei Einsatz einer Lösung für die E-Mail-Archivierung kann recht einfach eine Ausnahmeregelung definiert werden.

80

4. Personal

Bei Einstellung dürfen die Bewerbungsunterlagen in die Personalakte überführt werden. Ja Anbahnung eines Beschäftigungsverhältnisses Bewerber Name, Geburtsdatum, Angaben zur Qualifikation, ggf. Bildaufnahme, weitere Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG

Kapitel 2

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

§ 49 Abs. 1 DSG-EKD Speicherdauer:

Besonderheiten:

§ 53 KDG Initiativbewerbung = keine Bewerbung auf eine Stellenausschreibung = bis max. 6 Monate nach Abschluss des Verfahrens Vorherige Einwilligung, wenn Bewerber in einen BewerberPool übernommen werden sollen

Bewerberpool Das Timing ist entscheidend: Um zum richtigen Zeitpunkt auf passende Bewerber zurückgreifen zu können, versuchen Unternehmen häufig, einen Bewerberpool aufzubauen. So können Bewerber zu einem späteren Zeitpunkt, wenn eine Stelle frei geworden ist, direkt und zielgerichtet kontaktiert werden. Hierzu kann man die Bewerber und deren Unterlagen in einen Bewerberpool überführen. Neben den allgemeinen Kontaktdaten wie Name und Adresse werden über die Bewerbungen Qualifikationen, biografische Daten und teilweise bereits Gesundheitsdaten wie der Behinderungsgrad mitgeteilt. Es ist wie auch bei Personaldaten von einem erhöhten Schutzbedarf für die Daten auszugehen. Um die Bewerbungen in einen Bewerberpool überführen zu dürfen, bedarf es einer aktiven Einwilligung der betroffenen Person. Nach Bestätigung des Kandidaten dürfen die Bewerbungsdaten bis zu einem Jahr gespeichert werden.

Datenschutz in der Pflege

81

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Anbahnung eines Beschäftigungsverhältnisses Bewerber Name, Geburtsdatum, Angaben zur Qualifikation, ggf. Bildaufnahme, ggf. weitere Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG § 49 Abs. 1 DSG-EKD

Speicherdauer: Besonderheiten:

§ 53 KDG Max. 1 Jahr Zur Aufnahme in einen Bewerberpool muss eine aktive Einwilligung des Bewerbers vorliegen.

Personalverwaltung Auch wenn das eigentliche Arbeitsverhältnis erst mit der Unterschrift unter dem Arbeitsvertrag beginnt, wurden bereits durch die Bewerbung diverse und teilweise höchst sensible Daten verarbeitet (besondere Kategorien von personenbezogenen Daten). Der Arbeitsvertrag legt neben den Aufgaben und Pflichten des Arbeitnehmers und des Arbeitgebers weitere vertragliche Inhalte fest. Doch auch Vereinbarungen zum Datenschutz sollten – aus gutem Grund – in den Arbeitsvertrag mit aufgenommen oder als Anlage geregelt werden (z. B. Verpflichtung auf die Vertraulichkeit/das Datengeheimnis, Datenschutzerklärung Mitarbeitende). Üblicherweise wird der Großteil der Daten bereits mit der Bewerbung erfasst. Ergänzend werden Zahlungsinformationen (z. B. die Kontoverbindung) erhoben sowie ggf. das Führungszeugnis vorgelegt. Ein entsprechender Fragebogen, mit dem Arbeitgeber gern arbeiten, sollte in der Personalakte aufbewahrt werden. Die Aufnahme von Führungszeugnis oder Ausweiskopie in die Personalakte ist in den meisten Fällen unzulässig. Ein Vermerk über das Ergebnis der Einsicht in das Führungszeugnis genügt. Ein Mehrwert ergibt sich durch das Abheften nicht, da ein Führungszeugnis schnell veraltet sein könnte. Im Sinne der Datensparsamkeit sollte nur bestätigt werden, dass ein aktuelles Führungszeugnis vorgelegt wurde und dass dieses beanstandungsfrei ist. Im Falle eines Ausweises verhält es sich ähnlich: Es genügt, den Personalausweis mit den erfassten Stammdaten abzugleichen.

82

4. Personal

  Praxistipp Alle Mitarbeitenden, auch Praktikanten und geringfügig Beschäftigte, müssen auf die Vertraulichkeit (DSGVO) bzw. auf das Datengeheimnis (DSG-EKD und KDG) verpflichtet werden. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Personalverwaltung Mitarbeitende z. B. Name, Adressdaten, Geburtsdaten, Kontodaten, ggf. Notfallkontakt, ggf. Gesundheitsdaten Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG § 49 Abs. 1 DSG-EKD

Speicherdauer:

§ 53 KDG Mind. Dauer des Beschäftigungsverhältnisses und 10 Jahre darüber hinaus Arbeitsunfähigkeitsbescheinigungen 1 Jahr

Besonderheiten:

Abmahnungen/Zeugnisse 3 Jahre Ausnahmen für individuelle Dokumente der Personalakte beachten, z. B. Zeiterfassungsdaten, Krankmeldungen.

Lohnabrechnung Ein weiteres wesentliches Verfahren neben der Personalverwaltung ist die Lohnbuchhaltung bzw. die Lohnabrechnung. Diese kann intern oder über einen externen Dienstleister erfolgen. Neben den allgemeinen Kontaktdaten wie Namen und Adresse werden auch Zeiterfassungen und Kontodaten für die Lohnabrechnung benötigt.

Datenschutz in der Pflege

83

Kapitel 2

Wenn zukünftig Bildaufnahmen der Mitarbeitenden gemacht und veröffentlicht werden sollen, bedarf es einer expliziten Einwilligung. Zusätzlich sollten mit den Mitarbeitenden datenschutzrechtliche Regelungen in Form von Dienstoder Betriebsanweisungen getroffen werden. Wurde beispielsweise die private Nutzung des betrieblichen E-Mail-Accounts nicht geregelt bzw. untersagt, darf ein Unternehmen in Abwesenheit der betroffenen Person nicht auf das E-Mail-Postfach zugreifen.

Wird die Lohnabrechnung von einem externen Dienstleister durchgeführt, kann ein Auftragsverarbeitungsvertrag (AV-Vertrag) notwendig sein. Wird ein Steuerbüro mit der Lohnabrechnung beauftragt, ist kein AV-Vertrag notwendig, wenn das Steuerbüro auch die Steuerberatung für das Unternehmen durch3 führt. Ansonsten muss ein AV-Vertrag geschlossen werden . Beim Ausfall eines Mitarbeitenden aufgrund von Krankheit oder Krankheit des Kindes erhält das Unternehmen Krankmeldungen oder Atteste der betroffenen Person. Hierbei handelt es sich um Gesundheitsdaten, die unter die Kategorie der besonderen Arten personenbezogener Daten fallen und somit besonders schützenswert sind. Krankmeldungen oder Atteste sollten verschlossen verwahrt werden und nur den Personen zugänglich sein, die diese bearbeiten müssen. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Speicherdauer:

Besonderheiten:

Ja Lohnabrechnung Mitarbeitende Name, Adressdaten, Geburtsdaten, Kontodaten, Lohn- und Gehaltsbestandteile, Krankenkasse, ggf. Gesundheitsdaten § 28f SGV IV § 41 Abs. 1 Satz 9 EStG § 4 Abs. 2 Nr. 6 LStDV Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG § 49 Abs. 1 DSG-EKD § 53 KDG Bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres Lohnjournale 6 Jahre Auch in Archivräumen den Datenschutz beachten. Personalakten verschlossen und getrennt von sonstigen Akten aufbewahren.

3  Dies spiegelt die Meinung der meisten Aufsichtsbehörden in Deutschland Ende 2018 wider. Es gibt auch anderslautende Auffassungen. Im Zweifel ist die richtige Vorgehensweise bei der zuständigen Stelle anzufragen.

84

4. Personal

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Speicherdauer: Besonderheiten:

Ja Arbeitszeiterfassung Mitarbeitende Arbeitszeiten der Mitarbeitenden Art. 88 DSGVO i.V.m. § 26 Abs. 1 BDSG § 16 Abs. 2 ArbZG § 49 Abs. 1 DSG-EKD § 53 KDG Gemäß Arbeitszeitgesetz 2 Jahre Wenn ein Zeiterfassungssystem von einem Dienstleister bezogen oder gewartet wird, ist ein AV-Vertrag abzuschließen.

Dienstplan Für den Einsatz von Mitarbeitenden ist der Dienstplan das zentrale Planungsund Steuerungsinstrument in der Pflege. Er gewährleistet, dass jederzeit ausreichend Mitarbeitende für die Pflege und Betreuung der Klienten zur Verfügung stehen. Der Dienstplan wird laufend an die aktuellen Gegebenheiten angepasst und dynamisch weitergeführt. Datenschutz in der Pflege

85

Kapitel 2

Zeiterfassung Um die Arbeitszeiten der Mitarbeitenden zu erfassen, werden von Unternehmen verschiedenste Varianten zur Zeiterfassung genutzt, von Papier über die PC-Erfassung bis hin zu Transponder-gestützten Lösungen. Diese Systeme können durch einen Dienstleister zur Verfügung gestellt oder durch das Unternehmen selbst verwaltet werden. Die erfassten Daten dürfen nicht jedem zugänglich sein und solltennicht dauerhaft gespeichert werden. Durch die Aufzeichnung der Arbeitszeiten lässt sich auf Gewohnheiten der betroffenen Person schließen. Zudem sollte durch eine Dienst- bzw. Betriebsvereinbarung klar definiert werden, welche Daten erhoben werden und zu welchem Zweck, um einem Missbrauch, wie z. B. Verhaltens- und Leistungskontrolle, vorzubeugen. Hat der eingesetzte Dienstleister die Möglichkeit, sich zu Wartungszwecken auf das Zeiterfassungssystem zu schalten oder werden die Daten auf den Servern des Dienstleisters gespeichert, wird ein Vertrag zur Auftragsverarbeitung mit dem Dienstleister benötigt.

Üblicherweise werden auf einem Dienstplan die Namen der Mitarbeitenden, deren Arbeitszeiten und die Einteilung in den entsprechenden Stationen oder Touren vermerkt. Oft sind auch weitere Daten wie das monatliche Stundenkontingent, Plus- und Minusstunden sowie die Qualifikation auf dem Plan notiert. Im Falle einer software-gestützten Planung ist der Dienstplan vorab in Papierform auszuhängen. Der Dienstplan sollte nur von befugten Personen eingesehen werden können. Es ist also darauf zu achten, dass dem alltäglichen Besucherverkehr eine Einsichtnahme nicht ohne Weiteres möglich ist. Weiter ist zu beachten, dass nicht allen Mitarbeitenden die Abwesenheitsgründe der Kolleginnen und Kollegen bekannt gemacht werden. So sind Abwesenheiten aufgrund von Krankheit nach Möglichkeit nicht mit einem „K“ oder Urlaube mit einem „U“ zu versehen, sondern vielmehr mit einem allgemeinen Kürzel wie z. B. „A“ für „Abwesend“. Für die Mitarbeitenden ist es vorrangig wichtig zu erfahren, dass jemand abwesend ist, jedoch nicht zwingend, warum dies der Fall ist. Das Abfotografieren oder Kopieren von Dienstplänen durch die Mitarbeitenden ist unter dem Aspekt des Datenschutzes zu betrachten, da durch den Aushang am heimischen Kühlschrank oder die Weitergabe des privaten Mobiltelefons an Dritte die Daten der Kollegen unbefugt veröffentlicht werden können. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Planung von Arbeitszeit und Einsatzort Mitarbeitende, ggf. Klienten Name, Arbeitszeit, Stundenkonto, Qualifikation, Abwesenheiten Art. 6 Abs.1 lit. c DSGVO i.V.m. § 26 BDSG § 6 Nr. 5 und §49 DSG-EKD

Speicherdauer: Besonderheiten:

§ 6 Abs. 1 lit. c und § 53 KDG üblicherweise 3 Jahre (§ 195 BGB), je nach Bundesland ggf. länger (altes HeimG: 5 Jahre) Der Dienstplan sollte von unbefugten Personen (z. B. Angehörigen) nicht eingesehen werden können. Der Grund der Abwesenheit sollte nur befugten Mitarbeitenden (z. B. der Pflegedienstleitung) bekannt gemacht werden.

86

4. Personal

Betriebliches Eingliederungsmanagement Das betriebliche Eingliederungsmanagement (BEM) kommt dann zum Einsatz, wenn Arbeitnehmer länger als sechs Wochen ununterbrochen oder wiederholt krank sind. Das BEM ist vorgesehen, um eine schrittweise Rückkehr an den Arbeitsplatz zu ermöglichen. Die Gründe für die Arbeitsunfähigkeit sollen ermittelt und beseitigt werden. Darüber hinaus soll der Arbeitsplatz an die geänderten Bedürfnisse des Arbeitnehmers angepasst werden. Während der Arbeitgeber dazu verpflichtet ist, BEM anzubieten, ist die Teilnahme für den Beschäftigten freiwillig und darf von diesem ausgeschlagen werden. Da während eines BEM-Verfahrens in den meisten Fällen auch Gesundheitsdaten des Beschäftigten erhoben werden, ist zuvor eine schriftliche Datenschutz in der Pflege

87

Kapitel 2

Tourenplan In vielen Pflegediensten wird mittlerweile eine Software für die Tourenplanung eingesetzt. Diese verknüpft Dienstzeiten der Mitarbeiter, verfügbare Fahrzeuge und die zu erbringenden Leistungen bei Patienten. Auch in der stationären Pflege finden sich aufgrund neuer Organisationsformen in den letzten Jahren vermehrt Lösungen für eine Tourenplanung – also die gezielte Einsatzplanung als Ersatz für Plan- oder Stecktafeln. Je nach Softwarelösung können unter Umständen Bewegungsprofile oder Aufenthaltsstandorte des Mitarbeitenden mittels GPS auf dem Mobilgerät aufgezeichnet werden. Auch werden, sofern die Software eine Integration der Pflegedokumentation zulässt, Gesundheitsdaten übertragen und verarbeitet. Die Tourenplanung wird häufig in Echtzeit mit Smartphones der Mitarbeitenden abgeglichen. In dem Zuge werden erfasste Leistungen direkt in die Leistungsabrechnung mit übernommen. Beim Einsatz von mobiler Tourenplansoftware ist insbesondere auf den Aspekt der Vertraulichkeit und der Integrität der personenbezogenen Daten zu achten. Die Mobilgeräte müssen vor unbefugtem Zugriff geschützt werden, z. B. durch eine Bildschirmsperre, die nur mit einem Passwort aufgehoben werden kann. Geräte sollten nur verschlüsselt in Betrieb genommen werden (vgl. Mobile Geräte: Smartphones und Tablets, s. S. 98). Weiter sollte das Unternehmen die Möglichkeit besitzen, gestohlene oder verloren gegangene Geräte aus der Ferne löschen zu können. Ein permanentes GPS-Tracking bietet die Möglichkeit missbräuchlicher Mitarbeiterüberwachung. Die Erstellung einer entsprechenden Dienstvereinbarung sollte demnach in Betracht gezogen werden.

Einwilligung einzuholen. Auch obliegt es dem Beschäftigten, ob und welche Teilnehmer am betrieblichen Eingliederungsmanagement teilnehmen dürfen. Mitschriften und Ergebnisse sind in einer eigenständigen BEM-Akte getrennt von der eigentlichen Personalakte, zu führen, welche wiederum in einem besonders gesicherten Behältnis (z. B. abgeschlossener Schrank) aufzubewahren ist. Auch hier sind die gesetzlichen Aufbewahrungspflichten zu wahren. Unterlagen sind nach Zweckvollendung, spätestens jedoch nach drei Jahren datenschutzkonform zu vernichten. Die Akten sind stets vertraulich zu behandeln und die Zugriffsrechte auf das Notwendigste zu reduzieren. Da diese Akten Gesundheitsdaten enthalten, ist Art. 9 DSGVO bzw. die relevanten Regelungen in den Kirchengesetzen zusätzlich zu beachten (besondere Kategorien personenbezogener Daten). Bei der elektronischen Übermittlung der Daten ist eine Verschlüsselungstechnik einzusetzen. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage: Speicherdauer: Besonderheiten:

Ja Betriebliches Eingliederungsmanagement Mitarbeitende Name, Gesundheitsdaten § 167 SGB IX Bis 3 Jahre nach Abschluss des BEM-Verfahrens Einwilligung ist erforderlich und Mitwirkung durch Kollegen ist vorgesehen. Die BEM-Akte ist separat von der Personalakte aufzubewahren. Die einbezogenen Mitarbeitenden sind gesondert auf die Vertraulichkeit zu verpflichten.

Ausscheiden von Mitarbeitenden Wenn Mitarbeitende ein Unternehmen verlassen, kann dies durchaus datenschutzrechtliche Auswirkungen haben. Grundsätzlich gelten Verschwiegenheitspflichten auch über das Beschäftigungsverhältnis hinaus. Ein ausgeschiedener Mitarbeiter kennt i.d.R. die Schwachstellen in einem Unternehmen und kann diese Aufsichtsbehörden melden oder im schlimmsten Fall bewusst eine Datenpanne verursachen. Nach einer Trennung im Streit ist dies nicht ausgeschlossen.

88

4. Personal

  Praxistipp Nach Austritt wird empfohlen, Mitarbeitende an die weitere Geltung von Vertraulichkeits- und Verschwiegenheitspflichten schriftlich zu erinnern.

Datenschutz in der Pflege

89

Kapitel 2

Es muss sichergestellt werden, dass von jedem ausgeschiedenen Mitarbeitenden die Zugänge zu den verwendeten Systemen gesperrt werden. Zudem müssen alle Abteilungen über das Ausscheiden informiert werden, falls bei Besuchen der Zugang zu Räumen mit vertraulichen Daten erbeten wird. Berechtigungen in dezentral organisierten Systemen oder vergebene Schlüssel für Spezialräume sind zu entziehen bzw. zurückzugeben. Mit dem Austritt sind auch die datenschutzrechtlichen Belange des Mitarbeitenden zu prüfen: Die Daten müssen nach Abschluss der Lohnabrechnung gesperrt werden, um nur noch die gesetzlichen Aufbewahrungsfristen zu wahren. Je nach Umfang und Art der gespeicherten Daten der betroffenen Person können die Löschfristen stark variieren.

5.  Allgemeine Verwaltung Fuhrpark & Flottenmanagement In der ambulanten Pflege und in der Tagespflege werden häufig Dienstwagen eingesetzt, um die häuslichen Besuche durchzuführen oder die Tagespflegegäste abzuholen bzw. nach Hause zu fahren. Viele Unternehmen bieten ihren Mitarbeitenden aber auch die Möglichkeit, einen Dienstwagen für berufliche und private Zwecke zu nutzen. Um den Aufenthaltsort der Fahrzeuge feststellen zu können und somit Einsätze besser planen zu können, wird in manchen Fällen eine GPS-gestützte Fahrzeugüberwachung verwendet. Neben den Aufenthaltsdaten können zusätzlich Daten über das Fahrverhalten (Beschleunigung, Bremsen, Verbrauch, Fahrrouten) des Fahrers gespeichert werden (sog. Telematik-Daten). Eine systematische und dauerhafte GPS-Überwachung bedarf der Zustimmung der Mitarbeitenden und einer Datenschutz-Folgenabschätzung, in der die verantwortliche Stelle schildert, warum das unternehmerische Interesse dem schutzwürdigen Interesse der betroffenen Person überwiegt. Es muss deutlich werden, dass diese Überwachung für die Steuerung und Planung des Geschäftsablaufes erforderlich ist und nicht für die Überwachung von Mitarbeitenden. Zusätzlich müssen Mitarbeitende über die Details der Vorgehensweise informiert werden. Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja Fuhrparkverwaltung, Tourenoptimierung Mitarbeitende Bewegungs- und Aufenthaltsdaten, ggf. Fahrverhalten Art. 6 Abs. 1 lit. f DSGVO § 6 Abs. 1 DSG-EKD

Speicherdauer: Besonderheiten:

90

§ 6 Abs. 1 lit. g KDG max. 90 Tage Die Aufzeichnung des Fahrverhaltens ist (wenn überhaupt) nur in sehr engen Grenzen erlaubt.

5.  Allgemeine Verwaltung

Typische Dienstleister, mit denen ein AV-Vertrag geschlossen werden muss, sind unter anderem –– IT-Dienstleistungsunternehmen, die auf die Systeme zugreifen können und somit Einblick auf personenbezogene Daten erlangen, –– Dienstleistungsunternehmen, die die Lohnabrechnung machen (Ausnahme: die Lohnabrechnung erfolgt über einen Steuerberater), –– Cloud-Anbieter/Rechenzentrum, –– Daten- und Aktenvernichtungsunternehmen. Einen AV-Vertrag mit einem Dienstleistungsunternehmen gilt es zu schließen, wenn die Verarbeitung der personenbezogenen Daten die primäre Tätigkeit darstellt (Beispiel: die Speicherung der Daten in einer externen Cloud oder in einem Rechenzentrum).

Datenschutz in der Pflege

91

Kapitel 2

Externe Dienstleister „Make or Buy?“ ist eine Frage, die sich Einrichtungen wie Pflegedienste oft stellen. Häufig sind personelle Faktoren ausschlaggebend, um sich für eine Auslagerung von bestimmten Aufgaben zu entscheiden. Das betrifft z. B. IT-Dienstleistungen oder die monatliche Lohnabrechnung. Wenn man sich für die Verwendung einer Dienstplan-Software oder für eine andere Fachanwendung entscheidet, ist immer mal wieder die Unterstützung des Software-Anbieters erforderlich. Mithilfe von Hotline und Fernwartung kann auch aus der Ferne auf das System vor Ort zugegriffen und bei der Bewältigung von Fehlern geholfen werden. Der Dienstleister ist somit in der Lage, von außen auf das System des Unternehmens zuzugreifen. In diesen Fällen kann ein Kontakt mit personenbezogenen Daten nicht ausgeschlossen werden. Daher muss zusätzlich zu dem eigentlichen Dienstvertrag ein Vertrag zur Auftragsverarbeitung (vgl. Auftragsverarbeitung und Empfänger, s. S. 159) mit dem Dienstleister geschlossen werden, der den datenschutzkonformen Umgang der personenbezogenen Daten regelt.

Kein AV-Vertrag muss geschlossen werden, wenn personenbezogene Daten nur übermittelt werden, um bei der eigentlichen Tätigkeit zu unterstützen (Beispiel: Der Blumenhändler erhält eine Liste von Adressen und Namen, an die die Blumen versandt werden sollen). Eine Abgrenzung ist mitunter nicht einfach vorzunehmen. Videoüberwachung Die Gründe für die Installation einer Videoüberwachung können sehr unterschiedlich sein. Unternehmen möchten sich vor Diebstahl oder Vandalismus schützen oder bei einem Verschwinden von Klienten der Polizei Auskunft über die Kleidung der vermissten Person geben können. Es gilt aus Sicht des Datenschutzes einige Aspekte zu beachten. Gespeichert werden z. B. Aufnahmen von Mitarbeitenden, Klienten, Besuchern und ggf. von weiteren Dritten. Bei Planung und Einsatz von Videoüberwachung gilt es, bestimmte Auflagen zu beachten und umzusetzen. Diese ergeben sich aus § 4 BDSG bzw. den entsprechenden Regelungen in den Kirchengesetzen zum Datenschutz. Die Anforderung an den Inhalt der Hinweise für Videoüberwachung sind mit der DSGVO und dem neuen BDSG gestiegen. Die gesetzlich zulässige Speicherdauer liegt in der Regel bei 48 Stunden. In gut begründeten Einzelfällen kann eine längere Speicherung zulässig sein, hieran sind jedoch enge Grenzen geknüpft. Eine Videoüberwachung sollte nur in begründeten Ausnahmefällen verwendet werden. Zusätzlich ist Folgendes zu berücksichtigen: –– Erfolgt eine dauerhafte und systematische Aufzeichnung von öffentlichem Raum, bedarf es einer Datenschutz-Folgenabschätzung (DSFA). –– Die Beschilderung muss den Informationspflichten der DSGVO entsprechen. –– Speicherfristen sind einzuhalten. –– Das Filmen von öffentlichem Grund sollte unbedingt vermieden werden. Absolut kritisch ist das Filmen von z. B. Schul- oder Kindergartenwegen. –– Innerhalb des Unternehmens sollten keine Wege zu sanitären Einrichtungen oder Umkleide- und Pausenräumen gefilmt werden. –– Eine Videoüberwachung darf nicht den Zweck verfolgen, Mitarbeitende zu kontrollieren. 92

5.  Allgemeine Verwaltung

Informationspflicht: Zweck: Betroffene Personen: Kategorie der personen­ bezogenen Daten: Rechtsgrundlage:

Ja z. B. Diebstahlprävention, Vandalismusprävention Mitarbeitende, Klienten, Besucher, weitere Bild- und Videoaufnahmen Art. 6 Abs. 1 lit. f i.V.m. § 4 Abs. 1 Nr. 2/3 BDSG

Speicherdauer: Besonderheiten:

§ 52 Abs. 1 KDG 72 Stunden Eine Datenschutz-Folgenabschätzung kann erforderlich sein.

Akten- und Datenträgervernichtung Zum Ende der gesetzlichen Aufbewahrungsfrist müssen personenbezogene Daten, ob auf elektronischen Datenträgern oder in Papierform gespeichert, sofort vernichtet werden, da der Speicherzweck entfallen ist. Das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z. B. Akten, CD-ROMs, Festplatten) ist eine Form der Verarbeitung im Sinne der DSGVO und muss nach bestimmten Vorschriften erfolgen. Hierzu kann man externe Dienstleister beauftragen, die eine zulässige Vernichtung durchführen und ein Zertifikat über die Vernichtung ausstellen. Zusätzlich sollte innerhalb des Unternehmens der Müll getrennt werden: Personenbezogene Unterlagen gehören separat vernichtet und sollten sich nicht mit dem normalen Müll vermischen. Der Datenschutzmüll ist gesondert zu sammeln und persönlich in einen für die datenschutzgerechte Entsorgung ausgewiesenen Müllcontainer zu werfen.

  Praxistipp Besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) sind besonders schützenswert. Der Aktenschredder muss mindestens die Schutzklasse 2 und die Sicherheitsstufe 4 aufweisen. Empfehlenswert ist jedoch, einen Aktenschredder der Schutzklasse 3 und mit den Sicherheitsstufen nach DIN 66399 einzusetzen.

Datenschutz in der Pflege

93

Kapitel 2

§ 52 Abs. 1 DSG-EKD

Kapitel 3 //  IT & Technik IT-Systeme schützen und absichern

Dieser Abschnitt behandelt die folgenden Themen und Fragestellungen: 1. 2. 3. 4. 5.

Überblick Informationssicherheit Hardware & IT-Systeme Software & Cloud-basierte Dienste Administration & IT-Management IT-Sicherheit gestalten

Datenschutz in der Pflege

95

Kapitel 3

Nachdem wir uns in den ersten beiden Kapiteln den Datenschutzprozessen und der praktischen Umsetzung und Anwendung im Arbeitsalltag gewidmet haben, schauen wir uns nun IT-bezogene Fragen im Detail an. Sie erfahren in diesem Kapitel etwas über die technisch-organisatorischen Maßnahmen (ToM) bei Hardware- und Softwaresystemen, um ein angemessenes Datenschutzniveau zu erreichen. Sprechen Sie mit Ihrem Administrator auf Augenhöhe: In den folgenden Abschnitten erläutern wir die Schutzziele der IT-Sicherheit und wie Sie Vertraulichkeit, Integrität, Verfügbarkeit sowie weitere Kernaufgaben der Informationssicherheit gestalten.

1.  Überblick Informationssicherheit Die Begriffe Datenschutz, IT-Sicherheit und Informationssicherheit sind eng miteinander verbunden: –– Datenschutz nimmt Persönlichkeitsrechte in den Fokus und soll Einzelne davor schützen, dass ihre personenbezogenen Daten in unbefugte Hände gelangen oder unrechtmäßig verarbeitet werden. –– IT-Sicherheit soll den Schutz von Hardware, Software und darin gespeicherten Informationen erreichen. Der Blickwinkel ist die Unternehmenssicht: Unabhängig von der Art der Daten sollen IT-Systeme möglichst geschützt und zuverlässig funktionieren. –– Informationssicherheit hat den Schutz von Informationen insgesamt als Ziel. Dabei können Informationen sowohl auf Papier, auf Computern oder auch in Köpfen gespeichert sein. Informationssicherheit

Datenschutz Schutz personenbezogener Daten (Persönlichkeitsrecht)

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO bzw. § 27 DSG-EKD bzw. § 26 KDG

IT-Sicherheit Schutz von Hardware/Software, Vermeidung Datenverlust (Unternehmenswerte)

Datenschutz ist heutzutage eng mit der Gestaltung der IT-Sicherheit verknüpft: Ein Großteil personenbezogener Daten ist elektronisch gespeichert und wird digital weiterverarbeitet. Daher sind organisatorische und technische Maßnahmen zu treffen, um Einzelne in ihren Persönlichkeitsrechten nicht zu beeinträchtigen. Die Gestaltung der IT-Sicherheit wird wesentlich durch den Datenschutz mitbestimmt. Der Einsatz von Sicherungsmaßnahmen ist meist aus beiden Blinkwinkeln – Persönlichkeitsrechten wie auch Unternehmenswerten – sinnvoll. Es gibt aber

96

1.  Überblick Informationssicherheit

auch Unterschiede: Aus Sicht der IT-Sicherheit sollte „auf Vorrat“ möglichst viel protokolliert werden, um bei Unregelmäßigkeiten Ursachen und Verantwortliche identifizieren zu können. Hier setzt der Datenschutz im Gegenzug enge Grenzen und fordert einen sparsamen Umgang bei der Erhebung und Verarbeitung von personenbezogenen Daten.

Die Unterlagen beim BSI sind unter folgender Adresse zu finden: https://www. bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ itgrundschutzKompendium_node.html

Datenschutz in der Pflege

97

Kapitel 3

Auf den kommenden Seiten werden wesentliche IT-Komponenten vorgestellt und Tipps für deren Absicherung gegeben. Dabei verweisen wir an vielen Stellen auf das IT-Grundschutz-Kompendium, eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Sammlung von Empfehlungen zur Gestaltung der IT-Sicherheit. Auch wenn der Inhalt umfangreich erscheinen mag, die Hinweise sind öffentlich verfügbar, werden regelmäßig aktualisiert und sind weithin anerkannt. Es lohnt also, sich an den Empfehlungen des BSI zu orientieren, auch wenn der Umfang der Dokumente groß erscheinen mag. Aufgrund der Strukturierung und Systematik der Bausteine, Gefährdungen und Maßnahmen erhalten Sie recht schnell einen Überblick, worauf es beim Betrieb von Systemen ankommt.

2.  Hardware & IT-Systeme Für die Verarbeitung von Daten in der Pflege sind verschiedene IT-Systeme erforderlich. Diese lassen sich grob in sechs Kategorien aufteilen: –– Server übernehmen zentrale Funktionen, z. B. die Speicherung von Daten oder die Bereitstellung von Informationen im Netzwerk. –– Clients stellen für Mitarbeitende den Zugang zu zentralen Diensten bereit, z. B. in Form von PCs, Notebooks oder Thin Clients (häufig auf Basis des Windows-Betriebssystems). –– Mobile Geräte sind eine Sonderform von Clients dar mit teils fließenden Übergängen: Smartphones und Tablets – teilweise auch Notebooks – zeichnen sich dadurch aus, dass sie mitgenommen werden, von außen auf interne Systeme zugreifen und andere Betriebssysteme nutzen, die für die Bedienung per Finger oder Stift ausgelegt sind (z. B. Android und iOS). –– Netzwerk-Infrastruktur in Form von Verkabelung, Firewall, Switches und ähnlichen Geräten ist erforderlich, um die IT-Systeme miteinander zu verbinden. –– Zusatzgeräte wie Drucker, Kopierer oder Multifunktionssysteme werden genutzt, um Unterlagen auszudrucken oder Papier einzuscannen. –– Technische Systeme wie Telefonanlagen, Licht- und Notrufsysteme, Gebäudesteuerung, aber auch Zeiterfassung oder Videoüberwachungssysteme finden sich vielfach im stationären Bereich. Diese lassen sich der Kategorie Server zuordnen, da sie bestimmte Teilfunktionen im Netzwerk bereitstellen. Server: Zentrale Dienste, Datenbanken und NAS Das Herz eines Netzwerks mit verschiedenen IT-Systemen sind die zentralen Komponenten. In der Pflege finden sich häufig Server für die Dateiablage, gemeinsam genutzte Datenbanken, E-Mail-Server und ähnliche Dienste, die von mehreren Clients genutzt werden. Wer an Server gelangt, hat Zugriff auf sämtliche Daten – das erfordert ein besonderes Schutzniveau. Eine weitere Herausforderung liegt in den Anforderungen an die Verfügbarkeit. Zentral genutzte Dienste laufen häufig 24 Stunden am Tag, 7 Tage in

98

2.  Hardware & IT-Systeme

Datenschutz in der Pflege

99

Kapitel 3

der Woche. Eine IT-gestützte Pflegedokumentation muss tags wie nachts im Zugriff stehen und rund um die Uhr nutzbar sein. Die Absicherung dieser Dienste gestaltet sich in der Praxis gar nicht so einfach: Es handelt sich meist um große, anwachsende Datenmengen. Eine Verschlüsselung ist serverseitig zwar möglich, in vielen Fällen aber relativ wirkungslos, da Datenbestände nur entschlüsselt bearbeitet und durchsucht werden können. Die Entschlüsselung muss also beim Start des Servers oder beim Laden der Datenbank erfolgen. Ein weiterer Grund, warum auf Verschlüsselung serverseitig häufig verzichtet wird, ist die Geschwindigkeit. Durch das Ver- und Entschlüsseln der Daten verringert sich die Verarbeitungsgeschwindigkeit, was zu längeren Wartezeiten für die Nutzer führen würde. Umso wichtiger ist aber, dass nur Befugte Zutritt zu den zentralen Systemkomponenten haben. Ideal ist ein eigener Serverraum, für den nur wenige den Schlüssel besitzen. Wichtige Faktoren sind Kühlung/Klimatisierung, schnelle Verfügbarkeit von Austauschkomponenten bei Defekten und eine funktionierende Datensicherung im Fall von Systemausfällen oder nach Eingabefehlern. Ein immer wieder anzutreffendes Problem ist der Umgang mit Datensicherung und NAS-Systemen (Network Attached Storage – eine Festplatte mit Netzwerk-Anschluss). Bis vor wenigen Jahren wurden häufig Bandlaufwerke für die Datensicherung genutzt und die Magnetbänder täglich gewechselt. An deren Stelle sind günstige NAS-Systeme getreten, die große Datenmengen aufnehmen und verwalten können. Beim Einsatz dieser Systeme in der Praxis finden sich häufig zwei Schwachstellen: Zum einen wird die Datensicherung oft nur als Kopie des aktuellen Zustands vorgenommen (sogenannte Spiegelung). Wenn eine Datei versehentlich gelöscht wird und dies erst Tage später erkannt wird, ist das vorherige Backup dann häufig schon überschrieben. Es empfiehlt sich, auf mehrere wiederherstellbare Zustände zurückgreifen zu können. Ein weiteres Problem ist die mangelnde Absicherung solcher NAS-Systeme. Oftmals werden diese im Netzwerk ohne Passwortschutz oder mit leicht erratbaren Passwörtern betrieben, damit verschiedene Systeme ihre Datensicherung ohne Hürden auf das NAS kopieren können. Damit stehen dann aber eigentlich geschützte Datenbestände frei zugänglich im Netzwerk zur Verfügung und können von Unberechtigten eingesehen werden. Bei Angriffswellen durch Ransomware (übersetzt: Verschlüsselungstrojaner) haben die genannten Schwachstellen in der Konfiguration von NAS-Systemen zu einem weiteren Problem geführt. Über das Netzwerk konnten nach

Befall einer lokalen Festplatte die nicht geschützten Dateifreigaben des NAS angegriffen und ebenfalls verschlüsselt werden. Die Datensicherung war damit unbrauchbar. Die aufgezeigten Beispiele beim Einsatz von NAS-Systemen für die Datensicherung sind allesamt leicht zu beheben: Häufig liegt es nicht an den Funktionen oder technischen Eigenschaften der verwendeten Geräte, sondern schlichtweg an einer durchdachten Konfiguration. Die IT-Grundschutz-Bausteine enthalten wertvolle Checklisten und Hinweise, um typische Stolperfallen zu umgehen. Typische Gefährdungen: –– Zentrale IT-Systeme sind nicht verschlossen aufgestellt oder unzureichend gegen fremde Zugriffe geschützt –– Datensicherung ist bei einem Ausfall nicht lesbar, unvollständig oder veraltet Empfohlene IT-Grund- –– SYS.1.1 Allgemeiner Server schutz-Bausteine: –– INF.2 Rechenzentrum sowie Serverraum –– APP.3.3 Fileserver –– APP.4.3 Relationale Datenbanken Datenschutz-Tipps: –– Zentrale Systeme in verschlossenen Räumen aufstellen –– Auf Updates und Patches regelmäßig prüfen und diese installieren –– Zugriffsrechte einschränken: möglichst wenige Administratoren und Vertretung organisieren –– Ausfälle simulieren: Was passiert bei einem „Abschalten“ von Diensten? Ist das Backup wiederherstellbar?

100

2.  Hardware & IT-Systeme

Datenschutz in der Pflege

101

Kapitel 3

Clients: PCs, Notebooks und Thin Clients Bei der Bedeutung und der Rolle von Clients hat sich jahrelang eine wechselhafte Entwicklung gezeigt. In den 70er- und 80er- Jahren waren IT-Ressourcen sehr teuer und Clients wurden ausschließlich als Bildschirme mit Eingabemöglichkeiten genutzt (sogenannte Terminals, heute noch manchmal in Möbelhäusern und bei Fluggesellschaften zu finden). Jegliche Verarbeitung fand auf dem Server statt. Die Rolle der Clients ab Mitte der 90er ist heute vielfach noch vorzufinden. Beim Client/Server-Prinzip werden dank leistungsfähiger PCs und Notebooks einige Aufgaben vom Server auf den Client beim Anwender verlagert: Datenspeicherung erfolgt lokal auf der Festplatte, Berechnungen werden auf dem Client durchgeführt und die Aufgaben der zentralen Systeme reduzierten sich im Laufe der Jahre. Das brachte eine größere Flexibilität und ein „Empowerment“ der Anwender mit sich. Nachteile sind Herausforderungen bei der Datensicherung, mangelnde Übersicht über Art und Umfang der vorhandenen Daten und neue Angriffsmöglichkeiten auf IT-Systeme. Die Verbreitung von Viren und Trojanern wurden durch erstarkte Clients erst so richtig möglich. Die zentral organisierte Datensicherung von PCs und Laptops ist im Vergleich zum Backup von Servern eine nur schwer zu meisternde Aufgabe. Eine Gegenbewegung sind Terminal-Dienste und Produkte der Firma Citrix, die zugunsten von einem besseren Management die früheren Konzepte zurückgebracht haben. Web-Dienste funktionieren auf eine ähnliche Art: Der Internet-Browser fungiert als Anzeige und Eingabemedium, die Darstellung, Berechnung und Speicherung findet größtenteils auf Internet-Servern statt. Aus Sicht des Datenschutzes sind zentral organisierte Systeme zu bevorzugen: Bei Bestandsaufnahmen stellen lokal gespeicherte Dateien auf Festplatten immer ein Problem dar, da für diese die Rechtsgrundlagen, Aufbewahrungsfristen etc. nicht zentral erfasst werden können (Verzeichnis von Verarbeitungstätigkeiten, s. S. 129). Im Fall von Notebooks oder Geräten in öffentlichen Bereichen ist der Schutz lokal gespeicherter Daten eine Herausforderung: Bei Diebstahl oder Verlust können lokal gespeicherte Daten durch Unbefugte eingesehen werden, was aufgrund der sensiblen Daten in der Pflege mit besonderen Risiken verbunden ist (Datenpanne).

Nach einer Studie des Ponemon Institute gehen allein auf europäischen Flughafen jährlich rund 175.000 IT-Geräte wie Laptops oder Smartphones verloren.

Der Verlust von Daten geht mit zwei Herausforderungen einher: Zum einen können Fremde Einblick nehmen in vertrauliche Informationen. Zum anderen sind lokale gespeicherte Daten möglicherweise nicht gesichert und damit endgültig verloren. Ein Backup von PCs, Notebooks und anderen mobilen Geräten ist häufig nicht zentral organisiert. Typische Gefährdungen: –– Auf PCs und Notebooks werden Daten lokal gespeichert, die im Fall eines Verlusts in fremde Hände gelangen können. –– Lokal gespeicherte Daten sind häufig nicht über die zentrale Datensicherung erfasst. Empfohlene IT-Grund- –– SYS.2.1 Allgemeiner Client schutz-Bausteine: –– SYS.3.1 Laptops –– NET.2.2 WLAN-Nutzung –– INF.7 Büroarbeitsplatz –– INF.8Häuslicher Arbeitsplatz –– INF.9 Mobiler Arbeitsplatz Datenschutz-Tipps: –– Speicherung von Daten auf lokalen Festplatten möglichst vermeiden oder Synchronisierungslösungen verwenden –– Mobile Datenträger und Datenspeicher in Notebooks und bei Geräten in öffentlichen Bereichen verschlüsseln –– Auf Updates und Patches regelmäßig prüfen und diese installieren –– Geräte vor der Entsorgung/Weitergabe vollständig löschen und zurücksetzen

102

2.  Hardware & IT-Systeme

Datenschutz in der Pflege

103

Kapitel 3

Mobile Geräte: Smartphones und Tablets Die meisten Kriterien für den sicheren Einsatz von Clients gelten analog auch für mobile Geräte. Dieser fließende Übergang ist besonders gut bei Notebooks und Tablets erkennbar: Notebooks können heute meist auch ohne Tastatur bedient werden, während Tastatur-Adapter für Tablets diese in einen (fast) vollwertigen mobilen Arbeitsplatz umfunktionieren. Eine in diesem Buch relevante Trennline sind Unterschiede beim Betriebssystem (z. B. Microsoft Windows vs. Apple iOS oder Google Android) und der Funktionsweise von installierter Software (eine vollwertige Pflegedokumentation vs. „Apps“ aus den App-Stores von Apple und Google bzw. anderen weniger verbreiteten Anbietern für mobile Betriebssysteme). Weitere Unterschiede gibt es häufig, weil insbesondere auch Smartphones mit nach Hause genommen und teils für private Zwecke genutzt werden. Umgekehrt sind in der Pflege vereinzelt auch Privatgeräte für berufliche Zwecke im Einsatz, was besondere Herausforderungen mit sich bringt (sog. „Bring your own device“, abgekürzt BYOD – zu regeln in einer Datenschutzrichtlinie oder an anderer Stelle). Mobile Geräte enthalten heutzutage eine Vielzahl sensibler und personenbezogener Daten. Neben Telefonbuch, Fotos und Chatverläufen sind insbesondere E-Mails eine interessante Informationsquelle für vertrauliche Informationen. Nachrichten enthalten Unternehmensinterna oder Persönliches zu Klienten und Mitarbeitenden. Wird eine App für die Pflegedokumentation oder das Online-Banking eingesetzt, steigt der Schutzbedarf dieser Geräte. Aktuelle Versionen mobiler Betriebssysteme unterstützen eine Verschlüsselung des eingebauten Speichers. Weiterhin geachtet werden sollte auf eine möglichst sicherere Form der Entsperrung (mind. 6-stelliger PIN-Code oder nicht leicht erratbare Wisch-Geste). Beim Einsatz des Fingerabdruckscanners ist zu beachten, dass damit eine Erfassung biometrischer Daten von Mitarbeitenden erfolgt, was bei Firmengeräten aus datenschutzrechtlicher Sicht überprüft werden sollte. Zur Verwaltung der Geräte bieten sich Mobile Device Management-Lösungen an (MDM). Diese erlauben die Steuerung zentraler Sicherheitsvorgaben, z. B. wann sich ein Gerät automatisch bei Nicht-Benutzung sperrt. Viele MDM ermöglichen bei Diebstahl oder Verlust ein „Remote Wipe“, d. h. das Gerät wird aus der Ferne auf Werkseinstellungen zurückgesetzt. Auch wenn nicht garantiert werden kann, dass dies zuverlässig funktioniert, z. B. durch Wechsel

der SIM-Karte, ist es dennoch eine hilfreiche Maßnahme, um die Wahrscheinlichkeit einer Kenntnisnahme vertraulicher Daten durch Dritte zu verringern. Typische Gefährdungen: –– Mobile Geräte können leicht verloren gehen oder in fremde Hände gelangen –– Der Einsatz privater Geräte für berufliche Zwecke bringt besondere Anforderungen mit sich, da Vorgaben zur ITSicherheit im Zweifel nicht durchgesetzt werden können –– Es ist schwer, den Überblick über installierte Apps und deren Funktionsweise zu behalten. Apps können Schadfunktionen enthalten und an vertrauliche Daten gelangen Empfohlene IT-Grund- –– SYS.3.2.1 Allgemeine Smartphones und Tablets schutz-Bausteine: –– SYS.3.2.2 Mobile Device Management (MDM) –– SYS.3.2.3 iOS (for Enterprise) –– SYS 3.2.4 Android –– NET.2.2 WLAN-Nutzung –– INF.9 Mobiler Arbeitsplatz Datenschutz-Tipps: –– Verschlüsselung auf mobilen Geräten aktivieren –– Geräte mit einer sicheren Sperre versehen, die sich automatisch bei Nicht-Benutzung aktiviert –– Gestohlene oder verloren gegangene Geräte umgehend melden und eine Fernlöschung versuchen –– Möglichst wenige Daten auf mobilen Geräten mitnehmen und speichern

Netzwerk-Infrastruktur: Firewall, Switch und WLAN All die Technik, die die vorgenannten Geräte miteinander vernetzt, findet vergleichsweise wenig Beachtung: Virenscanner sind vielen Anwendern vertraut, bei Firewall, Switch, Hotspot und Netzwerk-Technik fehlt es häufig an Bewusstsein, dass diese auch einen wesentlichen Einfluss auf die Gestaltung des Datenschutzes haben. Die Aufgabe ist, Zugriff und Einflussnahme durch Unbefugte zu verhindern, da sonst die Vertraulichkeit, Integrität und Verfügbarkeit des gesamten Netzwerkes und damit aller verbundenen Geräte in Mitleidenschaft geraten kann. Doch das ist gar nicht so einfach: Je nach Art des Netzwerks und der eingesetzten Komponente sind unterschiedliche Maßnahmen zu ergreifen. Für die firewall- und funk-basierte Komponenten (WLAN-Hotspot, Repeater, auch DECT-Sender) spielt das Einspielen von Updates und Patches eine wich-

104

2.  Hardware & IT-Systeme

Typische Gefährdungen: –– Offene Netzwerke, die unbekannte Geräte ungeprüft kommunizieren lassen –– Veraltete Systeme oder veraltete Software-Stände der Firewall und bei aktiven Netzwerk-Komponenten Empfohlene IT-Grund- –– NET.2.1 WLAN-Betrieb schutz-Bausteine: –– NET.3.1 Router und Switches –– NET.3.3 Firewall –– INF.4 IT-Verkabelung Datenschutz-Tipps: –– Netzwerke segmentieren, Netzwerk-Zugänge im öffentlichen Bereich möglichst nicht schalten –– Firewall, WLAN und andere aktive Komponenten stets auf dem aktuellen Stand halten (Updates/Patches) –– Nutzung eines Port-Security-Konzepts prüfen

Datenschutz in der Pflege

105

Kapitel 3

tige Rolle. Angreifer würden versuchen, Sicherheitslücken auszunutzen. Wenn es bekannte Angriffsmuster gibt und die eingesetzte Technik noch nicht dagegen geschützt ist, haben Kriminelle je nach Art der Lücke unter Umständen leichtes Spiel. Veraltete Software und ungeschützte Systeme sind bis heute die häufigste Ursache für erfolgreiche Angriffe. Bei kabelbasierten Systemen ist der Aufwand für eine Nutzung durch Unbefugte größer. Hier kann man nicht von außerhalb des Gebäudes oder über das Internet versuchen, in ein Netzwerk zu gelangen. Stattdessen wird ein physischer Zugang benötigt. Ungenutzte Netzwerkdosen sollten in öffentlichen Bereichen möglichst nicht geschaltet sein. Es empfiehlt sich auch eine Netzwerk-Segmentierung, die Server und zentrale Systeme von Clients bzw. GastZugängen trennt, um zusätzliche Hürden für einen Zugriff auf besonders relevante Systeme zu schaffen. Eine gute, wenngleich teurere Form der Absicherung bieten sogenannte Port-Security-Konzepte, die in der Altenpflege nur selten vorzufinden sind. Wenn ein unbekanntes Gerät mit einem entsprechend geschützten Netzwerk verbunden wird, laufen Verbindungsversuche ins Leere. Der Administrationsaufwand steigt hierdurch, die Absicherung profitiert aber auch deutlich.

Zusatzgeräte: Drucker, Kopierer und Multifunktionssysteme In Zeiten der Digitalisierung nimmt Papier nach wie vor eine wichtige Rolle ein. Beim Datenschutz werden Drucker, Kopierer und Multifunktionsgeräte häufig übersehen. Zunächst einmal ist wichtig zu verstehen, dass es sich bei diesen Geräten eigentlich auch um Computer handelt – ohne Tastatur und Maus. Jeder der genannten Gerätetypen enthält umfangreiche IT-Technik und ist häufig per WLAN oder Ethernet an das Netzwerk angeschlossen. Moderne Geräte melden sich eigenständig bei externen Dienstleistern, die dann selbstständig Papier nachfüllen oder Toner tauschen. Damit gelten für Zusatzgeräte die gleichen Anforderungen wie bei Servern und Clients zuvor: Das Patch-Management nimmt eine wichtige Rolle ein. Es sollte geklärt werden, wer für das Aktualisieren der Systemsoftware auf den Geräten zuständig ist. Veraltete Software-Stände mit Sicherheitslücken könnten als Hintertür für ein Angriff auf die IT-Sicherheit des gesamten Netzwerks genutzt werden. Bei Multifunktionsgeräten ist häufig eine Festplatte verbaut, die vor Austausch eines Geräts vollständig gelöscht werden sollte. Gleiches gilt auch bei der Entsorgung von IT-Technik generell: Alte Festplatten enthalten interessante Funde, die immer wieder in der Presse landen und eine leicht vermeidbare Datenpanne darstellen. Typische Gefährdungen: –– Veraltete Software-Stände mit potenziellen Sicherheitslücken können für Geräte mit Netzwerk-Anschluss eine Gefahr für andere Systeme darstellen –– Administrations- und Konfigurationsbereiche sind frei zugänglich und können manipuliert werden –– Verbaute Festplatten enthalten personenbezogene Daten der letzten kopierten Seiten Empfohlene IT-Grund- –– SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte schutz-Bausteine: –– NET.4.3 Fax Datenschutz-Tipps: –– Zusatzgeräte stets auf dem aktuellen Stand halten (Updates/Patches) und mit Passwörtern schützen –– Festplatte (sofern vorhanden) vor Austausch eines Gerätes vollständig löschen lassen –– Datentonne oder Schredder in der Nähe eines jeden Geräts aufstellen –– Vertrag zur Auftragsverarbeitung mit externem Dienstleister für Gerätewartung abschließen

106

2.  Hardware & IT-Systeme

Datenschutz in der Pflege

107

Kapitel 3

Technische Systeme wie Telefonanlagen, Gebäudesteuerung oder IoT-Anwendungen Die Menge an Geräten in den Netzwerken von Pflegeunternehmen steigt zunehmend: Telefonanlagen, Schwesternrufsysteme, Systeme für den Schutz von Menschen mit Hin- oder Wegläufertendenz finden sich ebenso an das Netzwerk angeschlossen wie Geräte zur Gebäudesteuerung oder mit Smart Home-Funktionen. In die gleiche Kategorie fallen Systeme für die Arbeitszeiterfassung, für Zutrittssteuerung (Transponder/Chipkarte) oder für die Videoüberwachung sowie Hausnotrufsysteme, Desorientiertenschutzsysteme und Anwendungen im Bereich Ambient Assisted Living. So manche Installation dieser Nebentechnik im Netzwerk geschieht unbemerkt und bezogen auf die IT-Funktionen möglicherweise nicht abgesprochen. Welche Funktion haben diese Geräte? Für welchen Zweck ist ein Netzwerkanschluss erforderlich? Bei der Durchführung von Netzwerkscans treten immer wieder Überraschungen zutage, was sich neben Servern und Clients im Netzwerk befindet und welche Datenströme es gibt. Die Vorteile der Digitalisierung und Vernetzung liegen auf der Hand: Manch mühsame und manuelle Tätigkeit aus früheren Zeiten wird vermieden. So gelangen die Einzelverbindungsnachweise aus der Telefonanlage heute meist automatisch in die Abrechnungssoftware für die Rechnungsstellung. Früher war es üblich, dass Lichtrufanlagen im Keller der Einrichtung Protokolle der Rufe auf Endlospapier druckten. Bei Beschwerden von Angehörigen müssen diese nun nicht mehr einzeln von Hand ausgewertet werden, sondern das Personal kann direkt vom PC des Wohnbereichs Einblick in die Protokolle der Lichtrufanlage nehmen und komfortable Suchfunktionen nutzen. Es handelt sich bei all diesen Geräten um Spezialsysteme, die meist nicht vom Systembetreuer oder Administrator des Netzwerks verwaltet werden. Stattdessen bringen Telefonanlagen, Videoüberwachungssysteme und vergleichbare Anlagen eine eigene Steuerungssoftware und häufig auch eigene PCs oder Geräte mit, die in das Netzwerk der Einrichtung eingebunden werden. Dadurch entsteht eine der größten Lücken im Sicherheitsmanagement für Pflegeeinrichtungen: Es besteht kein Überblick über Art und Umfang dieser Systeme. Nicht selten finden sich bei der Überprüfung, ob Updates auf den Clients auf dem neuesten Stand gehalten werden, dann noch PCs mit veralteten Windows-Versionen, die mit der Telefonanlage oder anderer Technik ausgeliefert wurden.

Häufig ist nicht geregelt, wer Sicherheitsupdates installiert oder die Konfiguration von Firewall und anderen Schutzmechanismen im Blick behält. Um die Funktionsweise nicht zu gefährden, werden Ausnahmen in den systemweiten Sicherheitseinstellungen vorgenommen, die dann einen Schwachpunkt für Angreifer von außen darstellen können. Es ist also ratsam, die Funktionsweise und technischen Details dieser Systeme zu hinterfragen und zielgerichtet nur notwendigste Anpassungen vorzunehmen. Lieferanten sollten verpflichtet werden, regelmäßig für Sicherheitsupdates zu sorgen. Typische Gefährdungen: –– Veraltete System- oder Software-Versionen mit Sicherheitslücken können für Geräte mit Netzwerk-Anschluss eine Gefahr für andere Systeme darstellen –– Administrations- und Konfigurationsbereiche sind frei zugänglich und können manipuliert werden –– Verbaute Festplatten enthalten personenbezogene Daten, die bei Austausch in fremde Hände gelangen –– IT-Sicherheitsprobleme sind schwer zu erkennen, da Verantwortung für fremde Geräte oft in externer Hand liegt und keine regelmäßige Überwachung der IT-Sicherheit erfolgt –– Vertragsbedingungen sehen vor, dass Konfiguration und Sicherheitseinstellungen nicht verändert werden dürfen, um die Funktionsweise nicht zu beeinträchtigen Empfohlene IT-Grund- –– SYS.1.1 Allgemeiner Server schutz-Bausteine: –– SYS.4.3 Eingebettete Systeme –– SYS.4.4 Allgemeines IoT-Gerät –– IND.1 Betriebs- und Steuerungstechnik –– IND.2.3 Sensoren und Aktoren –– NET.4.1 TK-Anlage –– NET.4.2 VoIP Datenschutz-Tipps: –– Verantwortung klären und sicherstellen, dass insbesondere für alle Komponenten regelmäßig Updates installiert werden –– Zusatzgeräte stets auf dem aktuellen Stand halten (Updates/Patches) und mit Passwörtern schützen –– Netzwerkverkehr segmentieren und Datenaustausch mit sonstigen Geräten nach Möglichkeit begrenzen –– Festplatte (sofern vorhanden) vor Austausch eines Gerätes vollständig löschen lassen –– Vertrag zur Auftragsverarbeitung mit externem Dienstleister für Gerätewartung abschließen

108

2.  Hardware & IT-Systeme

3.  Software & cloud-basierte Dienste

Software für Verwaltung & Abrechnung Beim Einsatz von Programmen für administrative Prozesse sind einige Besonderheiten zu beachten. Meist bestehen weitreichende Zugriffsrechte auf Verwaltungs- und Finanzdaten, die in einer zentralen Datenbank zusammenlaufen. Die Datenschutzanforderungen lassen sich heute durch einen sicheren ITArbeitsplatz und mit dem „Clean-Desk“-Prinzip erfüllen. In der Praxis finden sich immer wieder Beispiele, bei denen die Passwort-Sicherheit in der Fachanwendung deutlich schwächer ist als im Netzwerk. Kennwörter werden jahrelang nicht geändert oder sind einfach zu erraten. Auch hier gelten die Passwort-Empfehlungen des BSI als gute Orientierung. Innerhalb der Software-Lösungen sollten Funktionen zur Bearbeitung datenschutzrechtlicher Anforderungen vorhanden sein. Dies ist eine Aufgabe für Software-Hersteller, bei denen mit Einführung der DSGVO leider erst wenige die neuen gesetzlichen Vorgaben berücksichtigen. Hierzu gehören u. a. die folgenden Punkte:

Datenschutz in der Pflege

109

Kapitel 3

Nach den grundlegenden IT-Systemen in Form von Hardware und NetzwerkKomponenten werfen wir im folgenden Abschnitt einen Blick auf den datenschutzkonformen Einsatz von Software-Lösungen. Dabei spielen cloud-basierte Systeme eine zunehmende Rolle, die per se keine eigene Hardware benötigen. Letztendlich handelt es sich dabei auch „nur“ um software-basierte Systeme, nur werden diese von anderer Stelle bereitgestellt. Für den Nutzer Vorteil und Herausforderung zugleich: Wartung, Sicherung und Schutz liegen in der Verantwortung des Cloud-Anbieters, datenschutzrechtlich bleibt aber auch eine Verantwortung beim Kunden, der auf die grundlegenden Schutzmaßnahmen meist keinen direkten Einfluss hat. Umso wichtiger sind eine sorgfältige Auswahl und die vertragliche Gestaltung beim Einsatz von Cloud-Lösungen.

Anforderung Funktion zur Beantwortung von Auskunftsersuchen

Rechtsgrundlage –– Art. 15 DSGVO –– § 19 DSG-EKD –– § 17 KDG Funktion zur Berich- Korrektur unrichtiger Daten auf Anforderung –– Art. 16 DSGVO tigung von Daten der/des Betroffenen –– § 20 DSG-EKD –– § 18 KDG Löschen nicht mehr Nach Ablauf von Aufbewahrungsfristen sind –– Art. 17 DSGVO benötigter Daten personenbezogene Daten zu löschen –– § 21 DSG-EKD –– § 19 KDG Sperren nicht mehr Der Zugriff auf Daten ist einzuschränken, –– Art. 18 DSGVO erforderlicher Daten wenn der originäre Zweck erfüllt ist und nur –– § 22 DSG-EKD noch zur Erfüllung von Aufbewahrungs­ –– § 20 KDG zwecken darauf zurückgegriffen werden soll Dokumentation Einsichtsmöglichkeit, um Fragen im Bedarfs- –– Art. 7 DSGVO erteilter Einwilligun- fall schnell klären zu können, z. B. Datenwei- –– § 11 DSG-EKD tergabe gen –– § 8 KDG

Export und Weitergabe von Daten

Zweck Ermittlung der erforderlichen Informationen aus den vorhandenen Datenbeständen

Bei IT-gestützten Verfahren: elektronische Dokumentation als Nachweis Wahrnehmung des Rechts auf Datenübertragbarkeit (soweit relevant in der Pflege)

–– Art. 20 DSGVO –– § 24 DSG-EKD –– § 22 KDG Direkter E-Mail-Ver- Wenn Fachanwendungen den Versand ver- –– Art. 32 DSGVO sand mit vordefinier- traulicher Unterlagen direkt aus der Software –– § 27 DSG-EKD heraus ermöglichen, sollte dies verschlüsselt –– § 26 KDG ten Passwörtern erfolgen, z. B. durch zentrales Festlegen eines mit dem Arzt vereinbarten Kennworts im Programm, das automatisch verwendet wird

110

3.  Software & cloud-basierte Dienste

Software für Pflegedokumentation In der Pflege gelten vergleichbare Anforderungen an Fachanwendungen wie in der Verwaltung. Meist besteht hier kein direkter Zugriff auf Finanzdaten, dafür haben Mitarbeitende umfangreichen Einblick in Gesundheits- und Pflegedaten. Als besondere Herausforderung sind IT-Systeme im öffentlichen Bereich einer Einrichtung zu sehen. Wenn beispielsweise Touchscreens in Fluren installiert sind oder Laptops auf Pflegewagen mitgenommen werden, können Klienten und Angehörige leicht an vertrauliche Daten gelangen. Diese Geräte müssen besonders abgesichert und gegen Diebstahl geschützt werden.

  Handzeichen, Passwörter und Schweigepflicht In stationären Einrichtungen teilen sich Pflegekräfte häufig ein oder mehrere Geräte für die Datenerfassung in Dienstzimmern. Das erfordert einen schnellen Benutzerwechsel, der dann in der Fachanwendung erfolgt, ohne sich vollständig vom Betriebssystem ab- und wieder anzumelden. Bei diesen Benutzerwechseln ist darauf zu achten, dass Kennwörter stets vertraulich behandelt werden. Das elektronische Handzeichen der Mitarbeitenden tritt an die Stelle einer Kürzel-Unterschrift auf Papier. Somit nimmt die IT-gestützte Dokumentation als Nachweis der Tätigkeiten des Pflegepersonals eine wichtige Rolle ein, die in der Praxis nicht immer so gesehen wird.

Datenschutz in der Pflege

111

Kapitel 3

Typische Gefährdungen: –– Schwache Passwörter, die zu selten geändert werden –– Mangelnde Verschlüsselung von Daten im Netzwerk –– Weitergabe von Screenshots erfolgt nicht geschwärzt Empfohlene IT-Grund- –– CON.4 Auswahl und Einsatz von Standardsoftware schutz-Bausteine: –– OPS.2.4 Fernwartung –– APP.1.1 Office-Produkte –– APP.4.3 Relationale Datenbanksysteme –– INF.7 Büroarbeitsplatz Datenschutz-Tipps: –– Kennwörter regelmäßig ändern und darauf achten, dass diese nicht leicht erratbar sind; alternativ: Software-Login an Windows-Anmeldung koppeln –– Weitergabe von Fehlern oder Testdaten an Hersteller nur in geschwärzter oder pseudonymisierter Form

Für die datenschutzfreundlichen Einsatz von Fachanwendungen in der Pflege gilt eine Vielzahl von weiteren Anforderungen. Der Autor dieses Buches hat im Jahr 2015 die „Orientierungshilfe Informationssysteme im Sozialwesen“ veröffentlicht. Darin werden rund 200 Anforderungen an die Hersteller und Betreiber von Informationssystemen in Pflege und Sozialwirtschaft vorgestellt. Für einen vertiefenden Einblick in die detaillierten Anforderungen kann das Dokument über www.althammer-kill.de bezogen werden. Stand 2018 haben sich die Unternehmen Connext Communication GmbH und CGM Clinical Deutschland nach diesen Vorgaben erfolgreich überprüfen und zertifizieren lassen, um so die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen zu können. Das Zertifikat bescheinigt auf Grundlage von DSGVO, DSG-EKD und KDG, dass die gesetzlichen Bestimmungen erfüllt werden. Typische Gefährdungen: –– Passwörter sind zu einfach, werden nicht geändert und sind im Kollegenkreis auch anderen bekannt –– Unberechtigte können Einblick oder Zugang erhalten –– Mangelnde Verschlüsselung von Daten im Netzwerk –– Weitergabe von Screenshots erfolgt nicht geschwärzt Empfohlene IT-Grund- –– CON.4 Auswahl und Einsatz von Standardsoftware schutz-Bausteine: –– OPS.2.4 Fernwartung –– APP.1.1 Office-Produkte –– APP.4.3 Relationale Datenbanksysteme –– INF.7 Büroarbeitsplatz Datenschutz-Tipps: –– Kennwörter regelmäßig ändern und darauf achten, dass diese nicht leicht erratbar sind –– Blickschutzfilter installieren, Zugang zu Dienstzimmern ­verschlossen halten, wenn niemand anwesend ist –– Automatische Abmeldung und Nutzen der Funktion , um den Bildschirm zu sperren bei Verlassen des Arbeitsplatzes –– Weitergabe von Fehlern oder Testdaten an Hersteller nur in geschwärzter oder pseudonymisierter Form

Cloud-Angebote und Software-as-a-Service Heutige Fachanwendungen für die Pflege basieren meist auf dem Microsoft Windows-Betriebssystem und werden lokal auf Clients installiert oder mithilfe von Terminal-Services/Citrix bereitgestellt. In den letzten Jahren drängen mehr

112

3.  Software & cloud-basierte Dienste

Typische Gefährdungen: –– Unzureichende Vertragsgestaltung und Lücken in den Verträgen zur Auftragsverarbeitung –– Einsichtnahme in Pflege- und Gesundheitsdaten durch Unbefugte –– Unzureichende Absicherung/Verschlüsselung der Transportwege über das Internet –– Gestaltung von Maßnahmen für Datenschutz und IT-Sicherheit liegt fast ausschließlich in der Hand des Anbieters mit wenig Transparenz über die tatsächliche Absicherung Empfohlene IT-Grund- –– CON.4 Auswahl und Einsatz von Standardsoftware schutz-Bausteine: –– APP.2.2 Webanwendungen –– OPS.2.1 Outsourcing für Kunden –– OPS.2.2 Cloud-Nutzung Datenschutz-Tipps: –– Sorgfältige Auswahl von Anbieter und Lösung bei Nutzung cloud-basierter Angebote –– Intensive Prüfung technischer und organisatorischer Maßnahmen, Verhandlung und Abschluss eines Vertrages zur Auftragsverarbeitung –– Erarbeitung von Konzepten für regelmäßige Datenexporte und Überbrückung von (Leitungs-)Ausfällen

Datenschutz in der Pflege

113

Kapitel 3

cloud-basierte Produkte auf den Markt, die ausschließlich über Internet-Browser bedient werden können. Dann ist keine lokale Installation erforderlich, da die Software „as a Service“ (SaaS) bereitgestellt wird. Die Anforderungen an diese Produkte und deren Einsatz sind die gleichen wie in den vorherigen Kapiteln. Der wesentliche Unterschied: die Daten werden bei einem externen Dienstleister gespeichert und über das Internet abgerufen. Das stellt zusätzliche Anforderungen an die Gestaltung und Absicherung der Systeme. Eine weitere Herausforderung liegt in der Abhängigkeit von einem Anbieter. Grundsätzlich stellt jede Fachanwendung einen sog. Lock-inEffekt dar. Dieser ist bei einer SaaS-Lösung noch größer. Aus Sicht des Datenschutzes sind cloud-basierte Lösungen per se keine schlechte Idee, wenn die rechtlichen Anforderungen erfüllt sind. Für einzelne Einrichtungen oder kleinere ambulante Dienste ist es häufig schwer, IT-Sicherheitsvorgaben angemessen gerecht zu werden und einen stabilen IT-Einsatz rund um die Uhr zu organisieren. Spezialisierte SaaS-Anbieter können mit ihren Lösungen eine sichere und zuverlässige Alternative darstellen, wenn die notwendigen Voraussetzungen erfüllt sind.

E-Mail-Dienste & Verschlüsselung Der Gebrauch von E-Mail außerhalb einer Einrichtung birgt erhebliche Gefahren, insbesondere in Bezug auf die Integrität und die Vertraulichkeit von Nachrichten. Zum einen erfolgt ein Großteil von Angriffen auf IT-Systeme über gefälschte E-Mails (als Viren, Trojaner oder als Phishing-Versuche), zum anderen ist E-Mail als Dienst in der Grundkonzeption keine vertrauliche Kommunikation: Nachrichten werden im Klartext vom Sender an den Empfänger geschickt. Damit ist ein Zugriff von weiterleitenden Servern im Internet möglich (so wie auch ein Postbote eine Postkarte lesen kann). Die Absicherung des Posteingangs ist äußerst wichtig und der Umgang mit eingehenden E-Mails sollte nach den Angriffswellen der letzten Jahre entsprechend vorsichtig sein. Aus Sicht des Datenschutzes ist aber insbesondere der Versand vertraulicher Daten problematisch. Angehörige und Kostenträger greifen gern auf das Medium E-Mail zurück und fordern Leistungserbringer auf, Gesundheitsdaten und anderes Persönliches schnell und unkompliziert per E-Mail anstatt per Post oder per Fax zu versenden. Die Verschlüsselung von E-Mails ist naheliegend, in der Praxis aber nicht so einfach zu lösen. So wichtig eine Verschlüsselung im Internet auch ist: So manche Darstellung ist übertrieben und verkürzt die Forderungen der Datenschutz-Grundverordnung derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken wäre grundsätzlich eine Datenschutzverletzung. Es kommt auf die Angemessenheit und den Schutzbedarf an. Ein Großteil der ein- und ausgehenden E-Mails von Pflegeeinrichtungen und Pflegediensten enthält personenbezogene Daten, teils besonders sensible Gesundheitsdaten. Hier ist von einem hohen Schutzbedarf auszugehen, für den zu Recht eine Ende-zu-Ende-Verschlüsselung seitens der Aufsichtsbehörden gefordert wird.

  Ende-zu-Ende-Verschlüsselung Der Begriff Ende-zu-Ende bedeutet, dass aufseiten des Senders und des Empfängers entsprechend kompatible Systeme eingesetzt werden müssen. Trotz der recht eindeutigen Gesetzeslage hat sich keine flächendeckende Lösung bis jetzt durchgesetzt und die Abstimmung einer durchgehenden Verschlüsselungslösung gestaltet sich als sehr schwierig. Initiativen seitens des Gesetzgebers (wie z. B. De-Mail) gelten als gescheitert.

114

3.  Software & cloud-basierte Dienste

Neben den bekannten Lösungen S/MIME und PGP gibt es auch ganz pragmatische Lösungen für den Versand vertraulicher Daten per E-Mail, wie die folgende Tabelle illustriert: Verfahren TLS (Transport-Verschlüsselung)

(Ende-zu-EndeVerschlüsselung)

PGP (Ende-zu-EndeVerschlüsselung) PDF-Dateien mit Passwort-Schutz

Kosten & Aufwand Einfach zu nutzen, ggf. nicht ausreichend bei Gesundheitsdaten

Für den Laien ist nicht erkennbar und auch nicht verlässlich, ob TLS aktiv ist Empfänger benötigt einen S/MIME ist in vielen Programmen und öffentlichen und einen priva- Betriebssystemen integriert ten Schlüssel, der öffentliche Schlüsselmanagement aufwendig Schlüssel muss dem Komund (meist) mit Kosten verbunden munikationspartner bekannt gemacht werden Ein ähnliches Verfahren, bei PGP für den Privatbereich durch dem Sender und Empfänger Software oder Hilfsprogramme recht ihre öffentlichen Schlüssel einfach einsetzbar, im beruflichen im Internet auf Key-Servern Kontext wenig verbreitet veröffentlichen müssen Sender muss eine Software PDF-Viewer sind weit verbreitet und beschaffen, mit der sich in PDF-Dateien lassen sich nutzen, um PDF-Dateien ein Passwort eingebettet mehrere Dateien mitzusetzen lässt schicken

(Verschlüsselung von Datei-Anhängen) Das Passwort sollte separat übertragen werden (z. B. telefonisch, per SMS) ZIP-Dateien mit Sender benötigt eine SoftPasswort-Schutz ware mit Passwort-Unterstützung (Verschlüsselung von Datei-Anhän- Das Passwort sollte separat gen) übertragen werden (z. B. telefonisch, per SMS)

Spezielle Versand-Tools mit E-MailIntegration sind für wenig Geld erhältlich, z. B. crypted.co ZIP-Programme sind in Betriebssysteme integriert oder kostenlos erhältlich; es können mehrere Dateien in einer ZIP-Datei verschickt werden Kostenfreie Tools, z. B. 7-Zip

Der einfachste und zuverlässigste Weg ist aktuell, auf das PDF-Format für den Versand vertraulicher Daten zu setzen. Dies lässt sich mit wenig Aufwand und sehr bequem in Programmen wie Microsoft Outlook umsetzen.

Datenschutz in der Pflege

115

Kapitel 3

S/MIME

Anforderung E-Mail-Server zwischen Sender und Empfänger bauen direkt eine verschlüsselte Verbindung auf

Typische Gefährdungen:

Datenschutz-Tipps:

–– E-Mails können auf dem Weg vom Sender zum Empfänger möglicherweise unterwegs eingesehen werden (Prinzip Postkarte) –– Der Einsatz von Verschlüsselung ist trotz ausgereifter Technik nicht ganz einfach, da Sender und Empfänger sich auf ein kompatibles System einigen müssen –– Einsatz einer Verschlüsselungslösung, die möglichst einfach zu bedienen ist (Empfehlung: PDF mit Passwörtern) –– Möglichst wenig persönliche Daten per E-Mail versenden, wenn, dann nur verschlüsselt –– Passwort über einen separaten Kanal (z. B. telefonisch) mitteilen –– Sicherheitsvorgaben für den Umgang mit E-Mails festlegen und beachten –– Kolleginnen und Kollegen sensibilisieren

Messenger Dienste und Chat-Programme Messenger-Dienste wie WhatsApp, Snapchat oder Facebook Messenger erfreuen sich wachsender Beliebtheit. Im Gegensatz zu den jahrelang genutzten SMS bieten sie den schnellen und meist kostenlosen Versand von Nachrichten, Emojis, Bildern, Videos inkl. Versandbestätigung. Zu den erweiterten Funktionen gehören Gruppenchats, Sprachnachrichten und Videoanrufe. Diese Dienste sind sehr anwenderfreundlich gestaltet, aus Sicht des Datenschutzes aber an mehreren Stellen problematisch: Viele Messenger-Dienste synchronisieren nach der Installation automatisch alle auf dem Gerät vorhandenen Kontakte (Name, Telefonnummer, E-Mail-Adresse) mit einem Server des Diensteanbieters, die häufig nicht in Deutschland oder dem europäischen Ausland stehen, sondern in Ländern mit einem deutlich abgeschwächten Datenschutz (z. B. USA, China). Selbst Kontakte im Adressbuch, die nicht auch Kunden des Dienstes sind, werden an diese Server übertragen. Der Nutzer des Smartphones veranlasst auf diese Weise eine Datenweitergabe ohne Einwilligung. Bei Dienstgeräten oder selbst beruflich genutzten Privathandys ist damit der Arbeitgeber verantwortliche Stelle im datenschutzrechtlichen Sinne. Die Anbieter solcher Lösungen, wie z. B. WhatsApp, versuchen durch die Nutzungsbedingungen die Verantwortung für die rechtmäßige Verarbeitung auf den Endanwender abzuwälzen. Dem Nutzer liegen aber in der Regel keine Einwilligungen seiner Kontakte in die Datenübermittlung vor.

116

3.  Software & cloud-basierte Dienste

  Alternativen zu WhatsApp & Co. Es gibt andere Messenger-Dienste, die datenschutzrechtlich eine Alternative zu WhatsApp darstellen. Hierzu zählen beispielsweise simsMe oder Threema. Zu den Vorteilen zählen ein optionaler Verzicht auf den Zugriff der Kontaktliste, Identifikation der Nutzer anhand eines Pseudonyms und nicht anhand der Rufnummer, aber auch der Betrieb der Server in Europa bzw. der Schweiz, sodass von Gesetzes wegen andere Datenschutzstandards anzuwenden sind. Typische Gefährdungen:

Datenschutz-Tipps:

Datenschutz in der Pflege

–– Messenger-Dienste übertragen ungefragt Adressbücher –– Nachrichten werden nicht ausreichend verschlüsselt oder sind nicht zweifelsfrei gegen Einblick Dritter geschützt –– Kostenlose Dienste finanzieren sich über Werbung und eine Ausspähung des Nutzerverhaltens –– Der Einsatz vieler Messenger-Dienste verstößt gegen die datenschutzrechtlichen Bestimmungen –– Alternative Messenger-Dienste prüfen, die die gesetzlichen Auflagen erfüllen –– Keine vertraulichen Daten per Messenger austauschen –– Sicherheitsvorgaben für den Umgang mit MessengerDiensten festlegen und beachten –– Kolleginnen und Kollegen sensibilisieren

117

Kapitel 3

Eine rechtssichere Lösung ist, Dienste wie WhatsApp auf dienstlichen Geräten zu verbieten. Da die Kommunikation über solche Dienste aber mittlerweile eine hohe Selbstverständlichkeit unter Kollegen und auch bei Kunden hat (und oft auch erwartet wird) ist dies wenig praktikabel. Eine weitere Herausforderung liegt im Inhalt der übermittelten Daten: Wenn Vertrauliches oder gar persönliche Informationen verschickt werden, ist ein Zugriff durch Externe (der Diensteanbieter) nicht ausgeschlossen. Es wird häufig mit Ende-zu-Ende-Verschlüsselung geworben, es gibt aber Zweifel an der Glaubwürdigkeit dieser Versprechen, zumal viele Anbieter ihren Sitz in den USA haben und hier allein schon aufgrund der geltenden Gesetze weitgehende Einsichtsmöglichkeiten für Behörden sichergestellt sein müssen.

Internet-Seiten, Homepage & Social-Media Die Präsenz im Netz ist wichtiger denn je: Praktisch jede Einrichtung und jeder Pflegedienst betreibt eine eigene Homepage und darüber hinaus häufig Zusatzseiten in sozialen Netzwerken. Die rechtlichen Anforderungen sind komplex, da Wettbewerbsrecht, Verbraucherrecht, Medienrecht und Datenschutzvorgaben zusammentreffen. Im Fall von sogenannten Fanpages auf Facebook & Co. besteht die besondere Herausforderung, dass eine eigene Seite innerhalb eines ausländischen (meist amerikanischen) Diensteanbieters eingerichtet werden muss. Eine Kernthema der letzten Jahre ist das Tracking.

  Tracking Ziel ist die möglichst exakte (webseiten-übergreifende) Wiedererkennung eines Nutzers und die Analyse seines Internetnutzungsverhaltens. Tracking erfolgt beim Einsatz von Webanalyse-Technologien, wie z. B. Google Analytics, Matomo (Piwik) oder online-basierten Werbenetzwerken.

Die deutschen Datenschutz-Aufsichtsbehörden haben am 26.04.2018 beschlossen, dass Tracking nur noch mit Einwilligung des Nutzers zulässig sein soll. Es handelt sich dabei um eine gemeinsame Positionierung. Dieser Beschluss ist keine rechtliche Bestimmung, dürfte aber die Haltung der Aufsichtsbehörden im Rahmen von Datenschutzkontrollen darstellen. Zum Zeitpunkt der Veröffentlichung dieses Buches ist die ePrivacy-Verordnung noch nicht verabschiedet, die auf Tracking und den Umgang mit Cookies Einfluss haben wird. Eine weitere Herausforderung ist die rechtskonforme Nutzung und Veröffentlichung von Seiten auf Facebook und vergleichbaren Seiten. Es handelt sich um offizielle Auftritte eines Verantwortlichen innerhalb bestehender Plattformen. Hierzu zählen auch Amazon- oder eBay-Shops, YouTube-Kanäle etc. Im Gegensatz zu einer Webseite, die autark und unabhängig gestaltet werden kann, müssen sich Fanpages an die gestalterischen und technischen Möglichkeiten der Hauptplattform (hier: Facebook) anpassen. Diese Anbieter erheben im Hintergrund Daten, z. B. durch Tracking, ohne dass der Seitenbetreiber (das Unternehmen) darauf Einfluss nehmen kann. Am 05.06.2018 hat der EuGH entschieden, dass der Betreiber einer Facebook-Fanpage für den Datenschutz (mit-)verantwortlich ist. Allerdings haben Fanpage-Betreiber häufig keine Möglichkeit, auf die Datenverarbeitung durch Facebook Einfluss zu nehmen. Am 05.09.2018 hat die Konferenz der

118

3.  Software & cloud-basierte Dienste

unabhängigen Datenschutzaufsichtsbehörden (DSK) mit einem Beschluss alle Facebook-Fanpages für rechtswidrig erklärt. Es handelt sich also um ein umstrittenes Thema, über das es regelmäßig Neues zu berichten gibt. Die Nutzung von Facebook und anderen Diensten für die Unternehmenspräsentation ist mit Risiken behaftet. Typische Gefährdungen:

Datenschutz in der Pflege

119

Kapitel 3

Datenschutz-Tipps:

–– Tracking-Tools auf eigenen Seiten wie auch vorgegebene Plattformen anderer Anbieter verletzten Persönlichkeitsrechte der Besucher –– Für die Einhaltung datenschutzrechtlicher Vorgaben ist der Seitenbetreiber ganz oder teilweise verantwortlich –– Die Rechtslage ist unübersichtlich und ändert sich ­laufend –– Für alle angebotenen Seiten Impressum und Datenschutzerklärung sorgfältig ausarbeiten und aktuell halten –– Eigene Website möglichst ohne Tracking-Dienste ­betreiben oder eine Einwilligung vorab per Opt-In einholen (sog. Cookie-Bot) – alternativ Möglichkeiten einer Interessensabwägung mit den engen Grenzen prüfen –– Fanpages auf Facebook und anderen Plattformen ­schließen, alternativ alle unnötigen Funktionen abschalten und Vereinbarungen mit Anbieter abschließen (Auftragsverarbeitung oder Vereinbarung für gemeinsam Verantwortliche) –– Bildrechte und andere Persönlichkeitsrechte beachten –– Vorgaben für den Umgang mit Tracking-Tools und für Aktivitäten auf Social-Media-Seiten festlegen und ­beachten; Kolleginnen und Kollegen sensibilisieren –– Rechtliche Entwicklungen im Auge behalten

4.  Administration & IT-Management Die vorangegangenen Kapitel haben gezeigt, dass die Betreuung von IT-Systemen in der Pflege umfangreiches Fachwissen erfordert. IT-Sicherheit gilt als Herausforderung für jedes Unternehmen. Aufgrund des hohen Schutzbedarfs mit den verarbeiteten Gesundheitsdaten ist aus Sicht des Datenschutzes für die Pflege ein hoher Maßstab bei der Gestaltung der Informationssicherheit anzulegen. Zugleich sind Einrichtungen nur selten in der Lage, eigenes Fachpersonal für IT-Fragen zu beschäftigen. Bei größeren Trägern oder Einrichtungsverbünden lassen sich solche Ressourcen gemeinsam nutzen. Einzelne Pflegedienste oder kleinere Häuser im stationären Umfeld haben nur begrenzte Möglichkeiten, im Bereich der zunehmenden Digitalisierung eigenes Personal einzusetzen. Die Verantwortung für den Betrieb der Systeme und für die Erfüllung der gesetzlichen Vorgaben bleibt aber bei der verantwortlichen Stelle und den handelnden Akteuren. Umso wichtiger ist der Austausch mit externen Dienstleistern auf Augenhöhe, um die wesentlichen Anforderungen im Blick zu behalten. Die folgenden Abschnitte sollen dabei eine Hilfestellung geben. Systembetreuung und Fernwartung IT-Spezialisten übernehmen eine wichtige Aufgabe bei der Betreuung der ITSysteme. Sie können auf alle Daten und Systeme zugreifen und sorgen für einen möglichst reibungslosen Betrieb. Das erfordert eine Menge Fachwissen und Kenntnisse über tatsächliche Prozesse und Abläufe. Wer sind relevante Ansprechpartner im Unternehmen? Wer benötigt worauf Zugriff? Antworten auf diese Fragen fließen direkt in die Konfiguration ein. Wichtig sind die Erstellung und laufende Aktualisierung einer Dokumentation. Nur so sind auch Jahre später wichtige Dinge nachvollziehbar oder durch einen Vertreter/Nachfolger weiter zu betreuen. Häufig fällt es gar nicht leicht, eine entsprechende IT-Dokumentation anzulegen. Folgende grundlegende Elemente haben sich bewährt: –– Verzeichnis aller Netzwerkkomponenten, Server, Clients (Details zu Anschaffung, Garantie/Gewährleistung, Hersteller, Seriennummer und Aufstellungsort)

120

4.  Administration & IT-Management

–– Verzeichnis aller Programme und Software-Lizenzen (Anschaffung, Lizenznachweis, Lizenzschlüssel/Zugänge, Wartungsvertrag, Nutzungsumfang) –– Berechtigungskonzept (Gruppen und deren Aufgabe/Zuordnung, Berechtigungszuordnung, Liste der Key-User)

–– Backup-konzept (Art und Umfang der Datensicherung, Schritte zur (vollständigen) Wiederherstellung) –– Laufendes Protokoll (laufendes Logbuch mit allen Veränderungen und Anpassungen) Weniger ist mehr: Es geht nicht um eine möglichst umfangreiche Dokumentation, sondern vielmehr um die wichtigsten Informationen auf einen Blick zum Nachlesen.

  Wer ist verantwortlich? Verantwortlichkeiten für einzelne Themen sollten klar definiert sein. Bei internem wie externem Personal ist wichtig zu klären, wer wofür zuständig ist. Liegt die Kontrolle der Firewall-Einstellungen beim internen Systembetreuer oder beim Lieferanten für die Firewall-Lösung? Ist die Kontrolle der Backup-Medien Aufgabe des Administrators oder der Verwaltungskraft, die täglich die Datensicherungsbänder wechselt?

Eine Reihe von Datenschutz- und IT-Sicherheitsvorfällen der vergangenen Jahre waren auf mangelnde Festlegung von Zuständigkeit und die Klärung von Schnittstellen zurückzuführen.

Datenschutz in der Pflege

121

Kapitel 3

–– Sicherheitskonzept (Einstellungen zur IT-Sicherheit, Firewall-Konfiguration, Notfallzugänge, Passwort-Datenbank)

Typische Gefährdungen: –– Mangelnde Dokumentation der vorhandenen Systeme –– Keine Vertretung bei Ausfall oder Weggang des Systembetreuers organisiert –– Zugänge von außen nicht unter Kontrolle der verantwortlichen Stelle Empfohlene IT-Grund- –– OPS.1.1.2 Ordnungsgemäße IT-Administration schutz-Bausteine: –– OPS.2.4 Fernwartung Datenschutz-Tipps: –– Vorgaben und Umsetzung regelmäßig dokumentieren bzw. dokumentieren lassen –– Getroffene Maßnahmen wie z. B. laufendes Patch-Management oder Backup-Verfahren überprüfen und sich von der Wirksamkeit selbst überzeugen oder andere mit einer Überprüfung beauftragen –– Regelmäßige externe Überprüfung der IT-Sicherheit und der IT-Konfiguration vorsehen

Umgang mit Passwörtern „Das meiste von dem, was ich getan habe, bereue ich jetzt.“ Das sagte der Erfinder der heute noch vielfach geltenden Komplexitätsvorgaben für Passwörter, Bill Burr, im Jahr 2017. Rund 15 Jahre zuvor erdachte er Regeln, wie möglichst sichere Kennwörter zu gestalten sind. Dafür lagen ihm keine Statistiken vor. Die Vorgabe, ein Passwort müsse Buchstaben, Zahlen und Sonderzeichen enthalten, ist aufgrund rein theoretischer Überlegungen entstanden. Heute ist ein Passwort wie „Baum Katze acht Grün“ deutlich sicherer als „M3TgjMz$“ (Kurzform des Merksatzes „Meine 3 Töchter gehen jeden Mor4 gen zur $chule“) . Mit einer sogenannten Brute Force-Attacke dürften aktuelle Computer-Generationen bei 15 und mehr Buchstaben Jahre beschäftigt sein, um ein solch langes Passwort durch simples Ausprobieren zu entschlüsseln. Die Aneinanderreihung von vier allgemeinen Begriffen lässt sich für das menschliche Gehirn aber deutlich leichter merken, sodass schwer merkbare Kennwörter bald der Vergangenheit angehören dürften, wenn sich die neuen Regeln überall durchgesetzt haben.

4  Passwörter aus Büchern abzuschreiben ist keine gute Idee: Bitte denken Sie sich ein eigenes Passwort aus! ;-)

122

4.  Administration & IT-Management

  Ist Ihr Passwort in fremde Hände gelangt? Es gilt als überholt, dass Passwörter alle 90 Tage geändert werden müssen. Tatsächlich ist eine Änderung nur erforderlich, wenn das Passwort in fremde Hände gelangt ist. Leider wird ein Passwort-Diebstahl selten bekannt, daher sollte vorsorglich das Kennwort von Zeit zu Zeit angepasst werden. Mittlerweile gibt es Informationsdienste im Internet, die bei Missbrauch des Loginnamens warnen und so den Zeitpunkt für eine Änderung des Passworts ermitteln (z. B. Identity Leak Checker des Hasso-Plattner-Instituts: https://sec.hpi.de/ilc/).

Typische Gefährdungen: –– Identitätsdiebstahl durch Erraten oder Ermitteln von Passwörtern –– Komplexe Passwörter lassen sich schlecht merken und sorgen dafür, dass Passwörter notiert werden Empfohlene IT-Grund- –– ORP.4 Identitäts- und Berechtigungsmanagement schutz-Bausteine: –– https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/ Passwoerter/passwoerter_node.html Datenschutz-Tipps: –– Eher lange und einfach zu merkende Kennwörter nutzen statt kurze Passwörter mit komplexen Vorgaben –– Regelung des Passwortgebrauchs festlegen –– Kolleginnen und Kollegen sensibilisieren –– Möglichkeiten zum Ausspähen von Passwörtern unterbinden und sichere Systeme verwenden –– 2-Faktor-Authentifizierng einsetzen –– Passwort-Datenbank für die IT-Administration nutzen

Datenschutz in der Pflege

123

Kapitel 3

Für die Mitarbeitenden in Pflegeunternehmen gilt, möglichst lange Kennwörter verwenden, die absolut vertraulich zu behandeln sind. Eine Änderung des Passworts kann von Zeit zu Zeit erfolgen, sollte systemseitig aber nicht zu oft eingefordert werden (z. B. jährlich). Stattdessen sind Kennwörter mit 12 oder mehr Zeichen Länge wünschenswert, die dafür gern auch ohne komplexe Vorgaben wie Sonderzeichen auskommen dürfen.

Datensicherung & Wiederherstellung Seit Jahren zeigen Studien und eigene Beobachtungen zum Thema Datensicherung ein ähnliches Bild: Trotz etablierter Lösungen und Verfahren gibt es immer wieder Lücken in der Umsetzung. Einer Umfrage der Firma Ontrack zufolge konnten im Jahr 2017 weniger als die Hälfte der Betroffenen eines Datenverlusts mindestens 75 Prozent ihrer Daten erfolgreich wiederherstellen. Backups werden durchgeführt, sind aber offensichtlich nicht immer eine verlässliche Versicherung für den Fall der Fälle.

  Vollständiger Datenverlust: Besser vorbeugen! Der vollständige Verlust von Daten kann für Einrichtungen und Pflegedienste katastrophale Folgen haben. Stellen Sie sich vor, dass von einem Moment auf den anderen sämtliche Daten unwiederbringlich verloren sind: die Pflegedokumentation, die Abrechnung, die Buchhaltung, sämtliche Verwaltungsdaten, Dateien, E-Mails und Kalendereinträge. Wenn dann die Datensicherung nicht funktioniert, hat das für Betroffene verheerende Auswirkungen. Der Aufwand für eine Neueingabe der Daten ist immens, ganz abgesehen vom finanziellen Schaden und dem zwangsläufigen Imageverlust, da so eine Panne selten geheim gehalten werden kann.

Auch wenn viele Unternehmen eine Datensicherung durchführen, die wenigsten überprüfen, ob eine Wiederherstellung wirklich möglich ist. Während bei Autos oder Brandmeldesystemen selbstverständlich die Funktion regelmäßig auf dem Prüfstand steht, wird beim Thema Datensicherung gern weggesehen. Nur selten erfolgen vollständige Tests auf Wiederherstellung, in der weit überwiegenden Zahl der Fälle verlassen sich Verantwortliche auf Protokolldateien und Integritätschecks der Backup-Programme. Ein Grund dafür ist sicherlich der Aufwand für Investitionen in ein Zweitsystem. Eine versehentlich gelöschte Datei ist schnell wiederhergestellt und nicht unbedingt eine repräsentative Wirksamkeitskontrolle für das Backup. Wichtiger ist, die Fachanwendungen vollständig zurückzuspielen und dann zu testen, ob wirklich auf alle Daten zugegriffen werden kann. Im Vergleich zu einzelnen Dateien eines Dateisystems sind Datenbank- und Systemsicherungen vergleichsweise komplex und mit Abhängigkeiten versehen. Ein vollwertes Parallelsystem mag von den Anschaffungskosten abschrecken. Neben dieser Komplett-Wiederherstellung sind aber auch abgemilderte Prüfungen denkbar. Wenn die Datenbank der hauptsächlich genutzten Fach-

124

4.  Administration & IT-Management

anwendung voll wiederhergestellt werden kann, wird sich die restliche Konfiguration mithilfe der Hersteller-Hotline in überschaubarer Zeit auch wieder in einen betriebsbereiten Zustand versetzen lassen. Auf diese Weise kann zwischen Sicherheitsbedarf und Kostenbetrachtungen eine Abwägung gefunden werden. Es gibt vielfältige Möglichkeiten und Vorgehensweisen für die Datensicherung. Bewährt haben sich unter anderem folgende Konzepte: –– Laufende Sicherung (stündlich), bei der sämtliche Änderungen festgehalten werden, z. B. seit der letzten vollständigen Tagessicherung

–– Wochensicherung (vollständig), mit dem gesamten Datenbestand zum letzten Wochenanfang –– Monatssicherung (vollständig), mit dem gesamten Datenbestand zum letzten Monatswechsel Hierbei handelt es sich um ein mögliches Beispiel: Weitere Schritte wie Quartals- und Jahressicherungen sind denkbar und es können andere Varianten für Datensicherungen sinnvoll sein. Dabei sollten ein Medienwechsel erfolgen und Medien sollten separat vom Serverstandort gelagert werden. Typische Gefährdungen: –– Fehlerhafte Konfiguration und unvollständige Sicherung von Daten –– Backup-Medien sind im Bedarfsfall nicht verfügbar oder nicht lesbar –– Qualifiziertes Personal oder Ersatz-Hardware fehlen für eine vollständige Wiederherstellung Empfohlene IT-Grund- –– CON.3 Datensicherungskonzept schutz-Bausteine: Datenschutz-Tipps: –– Vorgaben, Verantwortung und Umsetzung dokumentieren und mit Beteiligten absprechen –– Backup-Konzept schriftlich festhalten inkl. Anleitung zur Wiederherstellung –– Regelmäßige Kontrolle, ob eine vollständige Wiederherstellung möglich ist, insbesondere bei Fachanwendungen/ Datenbanken

Datenschutz in der Pflege

125

Kapitel 3

–– Tagessicherung (vollständig), mit dem gesamten Datenbestand zu Beginn eines Tages

IT-Notfallmanagement Im Abschnitt Datensicherung wurden Szenarien und Risiken angesprochen, wie längere Ausfälle vermieden und im Fall eines Datenverlusts wiederhergestellt werden können. Das IT-Notfallmanagement beschäftigt sich mit der Aufrechterhaltung von Geschäftsprozessen generell und definiert drei Bereiche, um mit Ausnahmesituationen im IT-Betrieb bestmöglich umzugehen: –– Notfallvorsorge –– Notfallbewältigung –– Tests und Übungen Ein teilweiser oder vollständiger Ausfall von IT-Systemen kann unterschiedliche Gründe haben. Neben Stromausfall, Feuer oder Wasserschäden führen häufig Hardware- oder Software-Fehler zu nachhaltigen Störungen. Durch Fehlbedienungen oder Cyber-Kriminalität (Hacker-Angriffe, Viren, Trojaner) können ebenfalls schwerwiegende Funktionsstörungen oder Ausfälle auftreten.

  Systemausfall im Krankenhaus Im Jahr 2016 wurden 800 Endgeräte, Server und Datenspeicher im Lukas-Krankenhaus Neuss von einem Erpressungstrojaner befallen, der zunächst nicht von den eingesetzten Firewall-Systemen erkannt wurde. Der Klinik entstand durch die Cyberangriff ein Schaden in Höhe von 1 Million Euro allein für die Bekämpfung und Eindämmung des Schadens mit externer Hilfe. Dabei sind Kosten für die Wiederherstellung, Umsatzausfälle und Zusatzkosten durch Verlegung in andere Kliniken nicht eingerechnet.

Solche Szenarien sind schwer planbar und können nicht gänzlich vermieden werden. Andere seltene Ursachen für IT-Notfälle können Brände, Überschwemmungen, Wasserrohrbrüche und ähnliche Ereignisse sein. Mögliche Gefahren lassen sich leicht für die Situation einschätzen. Für den Fall der Fälle lohnt es sich, eine IT-Dokumentation anzulegen und in einem IT-Notfallhandbuch u. a. folgende Informationen zusammenzutragen:

126

4.  Administration & IT-Management

Inhalt Kontaktdaten wichtiger Ansprechpartner Alarmierungsplan und Meldewege

Es versteht sich von selbst, dass Passwörter und das IT-Notfallhandbuch nicht auf den IT-Systemen selbst, sondern an einem sicheren Ort abgelegt werden sollten. Typische Gefährdungen: –– Ausfall von Personal, IT-Systemen oder Netzwerk­ verbindungen –– Anwendungen und Systeme stehen nicht im erforderlichen Umfang bereit, sodass Prozesse behindert werden oder nicht mehr durchgeführt werden können Empfohlene IT-Grund- –– DER.4 Notfallmanagement schutz-Bausteine: –– BSI-Notfallstandard 100-4 Datenschutz-Tipps: –– Konzept zur Notfallvorsorge erarbeiten –– Handbuch zur Bewältigung eines Notfalls erarbeiten –– Ausfallsicherheit durch Tests, systematische Beurteilung von Schwachstellen und gezielte Maßnahmen erhöhen

Datenschutz in der Pflege

127

Kapitel 3

Fragestellung Wer ist für die Bewältigung des Ausfalls erforderlich und wie erreiche ich die Personen? Wer ist bei einem weitreichenden Ausfall der ITSysteme zu informieren? Beschaffungsprozesse für den Notfall Wo steht im Bedarfsfall Ersatz-Hardware zur Verfügung? Können Software-Programme zeitnah installiert werden? Wiederherstellungspläne für IT-Syste- In welcher Reihenfolge und aus welchen Backupme und technische Geräte Quellen können die Systeme wiederhergestellt werden?

5.  IT-Sicherheit gestalten Das vorige Kapitel hat aus Praxissicht wesentliche Anforderungen an die Gestaltung der IT-Sicherheit zum Schutz personenbezogener Daten dargestellt. Hiermit soll ein erster Einblick entstehen, der keinen Anspruch auf Vollständigkeit erhebt. Seit Einführung der DSGVO ist ein konzeptioneller Ansatz für die Gestaltung der IT-Sicherheit auch gesetzlich vorgesehen: Die Auswahl der Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus ist „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung“ zu treffen. Weiterhin sind Eintrittswahrscheinlichkeit und Risikoschwere zu beachten. Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden (Art. 32 DSGVO). Nahezu identische Vorgaben finden sich in § 27 DSGEKD und § 26 KDG. Alle drei Gesetzestexte fordern, dass die Maßnahmen dokumentiert und nachgewiesen werden können. Weitere Vorgaben für die Erstellung von IT-Sicherheitskonzepten finden sich –– im IT-Sicherheitsgesetz (relevant für einige Branchen und Unternehmen), –– in der IT-Sicherheitsverordnung der EKD (verbindlich für ev. Kirche und Diakonie) sowie –– im Aktiengesetz und GmbH-Gesetz (mit Ausstrahlungswirkung auf andere Rechtsformen). Die Herangehensweise hängt vom Umsetzungsgrad im Unternehmen ab: Wurden Fragen zur IT-Sicherheit und zum Datenschutz bisher eher stiefmütterlich behandelt, bietet sich zunächst ein praxisorientierter Ansatz an, um Systeme abzusichern und wichtige Lücken zu schließen. Der konzeptionelle Unterbau sollte dann ergänzt werden, um als Grundlage für eine weitere strukturierte Vorgehensweise im Bereich IT-Sicherheit zu dienen.

128

5.  IT-Sicherheit gestalten

Erstellung eines IT-Sicherheitskonzepts Ziel eines IT-Sicherheitskonzepts ist es, wesentliche Schutzmaßnahmen für die in der Organisation eingesetzten Verarbeitungsprozesse vorzugeben. Ein IT-Sicherheitskonzept definiert verbindliche Regeln, die von Administratoren, Dienstleistern und Mitarbeitenden umzusetzen sind. Es sollten folgende Elemente enthalten sein: –– Leitlinie zur Informationssicherheit –– Verzeichnis von Kapitel 3

–– Infrastruktur/Räumlichkeiten –– Servern –– Clients –– Mobilen Geräten j eweils mit Angaben zum Schutzbedarf (gering/mittel/hoch/sehr hoch) und mit Sollvorgaben zu den zu treffenden IT-Sicherheitsmaßnahmen –– Netzwerkplan (vereinfacht mit Kategorisierung von Systemen) –– Schwachstellen- und Risikoanalyse anhand von Gefährdungen (z. B. nach IT-Grundschutz) –– Verzeichnis von technischen und organisatorischen Maßnahmen (je ITSystem oder alternativ in einem übergreifenden Dokument) –– Verzeichnis von Auftragsverarbeitern –– Konzepte und Dokumente als Vorgabe für Mitarbeitende –– Passwortrichtlinie –– Vorgaben zum Umgang mit IT-Systemen –– IT-Notfallkonzept –– Dokumentenlenkung wie Geltungsdauer, Aktualisierung, Weiterentwicklung Viele der oben beschriebenen Themen sind in diesem Buch bereits behandelt worden oder werden weiter unten vorgestellt. Es darf wiederverwendet werden: Ein Verzeichnis von Verarbeitungstätigkeiten kann im IT-Sicherheitskonzept re-

Datenschutz in der Pflege

129

ferenziert werden und muss nicht dupliziert werden. So hält sich der Aufwand in Grenzen und die Dokumentationsvorgaben werden erfüllt. Für die Erarbeitung eines IT-Sicherheitskonzepts sind verschiedene Vorlagen frei erhältlich. Bewährt haben sich – je nach Unternehmen, Anforderung und Vorgehensmodell – die folgenden Quellen und Arbeitsgrundlagen: –– Muster IT-Sicherheitskonzepte für kleine bzw. mittlere und große Einrichtungen der EKD (erhältlich unter https://datenschutz.ekd.de) –– Leitfaden für die Erstellung eines IT-Sicherheitskonzepts in Zusammenarbeit von bvitg, gmds, ZTG (erhältlich unter http://www.ztg-nrw.de) –– IT-Grundschutz-Baustein ISMS.1 Sicherheitsmanagement (erhältlich unter https://www.bsi.bund.de) Schutzziele der Informationssicherheit Die Informationstechnologie entwickelt sich rasant weiter. Während Computer im Hosentaschenformat vor Jahren noch undenkbar schienen, sind Smartphones heute überall vorzufinden. Daher fällt es schwer, mit feststehenden Maßnahmen zum Schutz von IT-Systemen oder Daten zu arbeiten. Was heute aktuell ist, kann für Technik von morgen möglicherweise nicht mehr relevant sein. Um mit diesem Dilemma umzugehen, hat sich die Orientierung an Schutzzielen in der Informationssicherheit als hilfreich erwiesen. Mit einem übergreifenden Konzept lassen sich konkrete Maßnahmen einfacher definieren. Diese Schutzziele sind weltweit verbreitet und werden häufig auch in Englisch genutzt (Abkürzung CIA), wie die folgende Tabelle illustriert:

130

5.  IT-Sicherheit gestalten

Schutzziel Vertraulichkeit (confidentiality)

Bedeutung Daten dürfen nur von Berechtigten eingesehen oder verändert werden. Es muss vermieden werden, dass Daten in fremde Hände gelangen.

Verfügbarkeit (availability)

Beispiel: Änderungen in der Pflegedokumentation werden mit Datum, Uhrzeit und Handzeichen versehen. Daten sollen im erwarteten Rahmen zur Verfügung stehen. Es gilt Systemausfälle zu vermeiden.

Int 101 10100 000001

Datenschutz in der Pflege

t kei

Informations­ sicherheit

ich

l rau

t Ver

egr

itä

t

Beispiel: Im Fall eines Server-Ausfalls können Daten über die Datensicherung wiederhergestellt werden.

Verfügbarkeit

131

Kapitel 3

Integrität (integrity)

Beispiel: Personalunterlagen und Lohnabrechnung dürfen nicht in fremde Hände gelangen. Daten dürfen nicht unbemerkt verändert werden. Änderungen müssen nachvollziehbar und zuordbar sein.

Neben den allgemeinen Vorgaben gibt es noch weitergehende Schutzziele der Informationssicherheit: Erweitertes Schutzziel Authentizität (authenticity)

Bedeutung Daten sind echt und die Vertrauenswürdigkeit lässt sich nachvollziehen und überprüfen, um Manipulation zu vermeiden.

Zurechenbarkeit (accountability)

Beispiel: Daten in der Pflegedokumentation sind gegen Manipulationen angemessen geschützt. Nachträgliche Änderungen werden kenntlich gemacht. Der Zugriff auf oder die Veränderung von Daten kann relevanten Personen zugeordnet werden.

Verbindlichkeit (non-repudiation)

Beispiel: Es ist nachvollziehbar, wer eine Eintragung oder Änderung in der Pflegedokumentation vorgenommen hat. Handlungen in IT-Systemen sind aufgrund getroffener Maßnahmen verbindlich und können nicht abgestritten werden. Beispiel: Eine elektronische Signatur hat die gleiche Bedeutung wie eine persönliche Unterschrift auf Papier.

Die erweiterten Schutzziele sind eng miteinander verknüpft. Die Beispiele aus dem Umfeld Pflegedokumentation zeigen, wie wichtig eine sichere und datenschutzkonforme Gestaltung von IT-Systemen ist. Damit eine IT-gestützte Pflegedokumentation den gleichen Stellenwert hat wie eine papiergeführte Mappe, müssen die Schutzziele erfüllt sein. Gibt es Zweifel an der Authentizität, Zurechenbarkeit oder Verbindlichkeit, z. B. aufgrund von Programmierfehlern oder einer fehlerhaften Konfiguration, können Datenpannen entstehen oder die Glaubwürdigkeit der Daten angezweifelt werden. Im Datenschutz wurde die Kategorisierung von Schutzmaßnahmen vor Einführung der DSGVO anhand von Kontrollprinzipien vorgenommen. Diese stehen nicht im Widerspruch zu den Schutzzielen und werden im nachfolgenden Abschnitt erläutert. In der DSGVO erfolgte eine engere Verzahnung des Datenschutzes mit der Gestaltung der Informationssicherheit, sodass sich Konzepte und Vorgehensweisen gut für beide Organisationsfelder entwickeln lassen.

132

5.  IT-Sicherheit gestalten

–– Zugangskontrolle –– Zugriffskontrolle –– Weitergabekontrolle –– Eingabekontrolle –– Auftragskontrolle –– Verfügbarkeitskontrolle –– Trennbarkeit

  Schutzziele oder Kontrollvorgaben? Beide Herangehensweisen, Schutzziele sowie „alte“ Maßnahmenstruktur, lassen sich gut miteinander verknüpfen und nutzen, um die Liste der technischen und organisatorischen Maßnahmen zu strukturieren. Dabei ist die Zuordnung konkreter Maßnahmen nicht immer trennscharf möglich und Dopplungen können entstehen. Das soll von der eigentlichen Aufgabe nicht ablenken: Wichtiger als die Einsortierung und Strukturierung ist vielmehr, das Vorhandensein und die Wirksamkeit der vorgesehenen Maßnahmen sicherzustellen.

Datenschutz in der Pflege

133

Kapitel 3

Technische und organisatorische Maßnahmen Mithilfe des IT-Sicherheitskonzepts und definierter Schutzziele wird der grobe Rahmen definiert. Daraus leiten sich technische und organisatorische Maßnahmen ab, um konkret personenbezogene Daten und andere vertrauliche Informationen angemessen zu schützen. In den folgenden Abschnitten werden einige Beispiele und Formulierungshilfen vorgestellt, die sich in der Praxis bewährt haben. Gemessen am Einsatzzweck, dem Schutzbedarf und den individuellen Gegebenheiten vor Ort sind die Maßnahmen in den eigenen Kontext zu übertragen und anzupassen. Im alten Bundesdatenschutzgesetz wurden die Vorgaben zu technischen und organisatorischen Maßnahmen auf andere Weise beschrieben, die sich nicht direkt an den Schutzzielen der Informationssicherheit orientiert haben. Diese Struktur ist vielfach in IT-Konzepten vorzufinden und wird beispielsweise in der Durchführungsverordnung zum KDG aufgegriffen. Es handelt sich um folgende Begrifflichkeiten: –– Zutrittskontrolle

Pseudonymisierung und Verschlüsselung Ziel: Die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Technische Maßnahmen Kürzung von Datensätzen um identifizierende Merkmale, wenn möglich (z. B. die IP-Adresse) Ausschluss der (Re-)Identifizierung von Merkmalen durch Berechtigungen

Organisatorische Maßnahmen Anweisungen/Regelungen zur möglichst frühzeitigen Verfremdung von Datensätzen

Interne Anweisung, personenbezogene Daten bei Weitergabe zu schwärzen bzw. zu anonymisieren Einsatz von verschlüsselten Verbindungen Erstellung von Verfremdungskonzepten und (SSL) bei Zugriff auf externe Systeme Festlegung entsprechender Regeln Einwahl von außen nur über verschlüsselte Dokumentation von Einsatzbereichen der Verbindungen (VPN) Verfremdungsregeln/-konzepte Anonymisierung von Daten vor Weitergabe … an Softwarehersteller (Support/Fehlersuche) …

Vertraulichkeit Zutrittskontrolle (Räume und Gebäude) Ziel: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden. Technische Maßnahmen Videoüberwachung der Zugänge Chipkarten-/Transponder-Schließsystem Manuelles Schließsystem Bewegungsmelder im Serverraum Separate Schlüsselregelung für Serverraum …

134

Organisatorische Maßnahmen Personenkontrolle beim Empfang Schlüsselregelung/Schlüsselbuch Separate Zutrittsberechtigung Verwaltung Serverraum nicht beschriftet Verschlossenes Gebäude von 20 Uhr bis 6 Uhr …

5.  IT-Sicherheit gestalten

Zugangskontrolle (IT-Systeme und Anwendungen) Ziel: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Technische Maßnahmen Authentifikation mit Benutzer + Passwort Authentifikation mit Fingerabdruck

Zugriffskontrolle (Daten und Informationen) Ziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Technische Maßnahmen Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) Physische Löschung von Datenträgern vor deren Wiederverwendung

Organisatorische Maßnahmen Anzahl der Administratoren auf das „Notwendigste“ reduzieren Einsatz von Dienstleistern zur Akten- und Datenvernichtung (nach Möglichkeit mit Zertifikat) Protokollierung der Vernichtung von Daten Sichere Aufbewahrung von Datenträgern Protokollierung von Zugriffen auf Anwen- Verwaltung der Benutzerrechte durch Sysdungen, insbesondere bei der Eingabe, temadministratoren Änderung und Löschung von Daten Verschlüsselung von mobilen Datenträgern Vier-Augen-Prinzip bei Systemadministration Verschlüsselung von Smartphones Einsatz von Datentonnen … …

Datenschutz in der Pflege

135

Kapitel 3

Zwei-Faktor-Authentifizierung Einsatz von Firewalls Einsatz von Mobile Device Management Einsatz von VPN-Technologie Gehäuseverriegelungen Sperren von externen Schnittstellen (z. B. USB-Anschlüsse) Einsatz von Anti-Viren-Software Einsatz automatischer Bildschirmschoner …

Organisatorische Maßnahmen Zugriffskonzept und Benutzerverwaltung Regelmäßige Überprüfung der Berechtigungen Definierte Passwortregeln Passwortfreigabeverfahren Passwortrücksetzungsverfahren IT-Nutzungsrichtlinie …

Trennbarkeit Ziel: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden. Technische Maßnahmen Trennung von Produktiv- und Testsystem Logische Mandantentrennung (softwareseitig) Sperrung inaktiver Datensätze Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern …

Organisatorische Maßnahmen Berechtigungskonzept berücksichtigt gesperrte Datensätze Festlegung von Datenbankrechten Unterschiedliche Administratorenkonten je nach Aufgabengebiet …

Integrität Weitergabekontrolle Ziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Technische Maßnahmen Einrichtung von VPN-Tunneln

Verschlüsselung von E-Mail-Anhängen Sichere Transportbehälter/-verpackungen Elektronische Signatur beim Datenträgeraustausch (z. B. mit dakota) …

136

Organisatorische Maßnahmen Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen Weitergabe von Daten in anonymisierter oder pseudonymisierter Form …

5.  IT-Sicherheit gestalten

Eingabekontrolle Ziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Organisatorische Maßnahmen Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Erstellen einer Übersicht, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts …

Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle Ziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Technische Maßnahmen Feuerlöschgeräte in Serverräumen Feuer- und Rauchmeldeanlagen Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Klimaanlage in Serverräumen Schutzsteckdosenleisten in Serverräumen Unterbrechungsfreie Stromversorgung (USV) …

Datenschutz in der Pflege

Organisatorische Maßnahmen Regelmäßige Durchführung von Krisen-/ Notfallübungen Erstellen eines Notfallplans Festlegung von Meldewegen Regelmäßige Wartung von IT-Systemen Serverräume nicht unter sanitären Anlagen …

137

Kapitel 3

Technische Maßnahmen Protokollierung der Eingabe, Änderung und Löschung von Daten in der Fachanwendung …

Wiederherstellbarkeit Ziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Technische Maßnahmen Doppelte Datensicherung (laufende Spiegelung und separate Backup-Datenträger) Betrieb Backup-System in separatem Brandabschnitt Einsatz von Virtualisierung zur vereinfachten Wiederherstellung von Systemen Inkrementelle Log-Backups von Datenbanken …

Organisatorische Maßnahmen Datensicherungskonzept Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Testen von Datenwiederherstellung …

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Leitlinien, Richtlinien, Arbeitsanweisungen und Sicherheitskonzepte Ziel: Definition von Vorgaben und Vorgehensweisen zur Erfüllung der gesetzlichen Rahmenbedingungen zum Datenschutz für alle Mitarbeitenden. Technische Maßnahmen Intranet mit Lesebestätigung für Richtlinien Elektronische Dokumentenlenkung und Versionierung für Organisationsregelungen …

138

Organisatorische Maßnahmen Datenschutzkonzept vorhanden IT-Sicherheitskonzept vorhanden Mitarbeitende auf Vertraulichkeit verpflichtet Richtlinien zu IT-Nutzung, Passwort-Gebrauch, Umgang mit mobilen Geräten Berechtigungskonzept Datensicherungskonzept …

5.  IT-Sicherheit gestalten

Regelmäßige Kontrollen, Dokumentation und Optimierung Ziel: Überprüfung der Wirksamkeit getroffener Vorgaben und gesetzlicher Anforderungen zur laufenden Optimierung der Maßnahmen im Datenschutz. Technische Maßnahmen Datenschutz-Management-Software im Einsatz und regelmäßige Dokumentation

Datenschutzfreundliche Voreinstellungen Ziel: Gewährleistung, dass datenschutzrechtliche Vorgaben durch eine angemessene Gestaltung der Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) umgesetzt werden. Technische Maßnahmen Zertifizierte Software-Lösung auf Basis der „Orientierungshilfe Informationssysteme im Sozialwesen“ (OH-SOZ) im Einsatz Härtung neuer Server und Clients vor Einsatz anhand von Checklisten Jährlicher PenTest/Überprüfung des Netzwerk-Verkehrs Zweckgebundene Erhebung personenbezogener Daten …

Datenschutz in der Pflege

Organisatorische Maßnahmen Berechtigungskonzepte werden regelmäßig mit Einstellungen abgeglichen, überprüft und angepasst Vorgaben für den Umgang mit Datenexporten, Screenshots etc. Datenschutz-Dokumentation und Datenschutz-Tipps je Arbeitsbereich Regelmäßige Sperrung/Löschung von Daten Einhaltung von Branchenstandards …

139

Kapitel 3

Organisatorische Maßnahmen Mind. jährliche Schulung der Mitarbeitenden in Sachen Datenschutz und ITSicherheit Erinnerungen an Aufgaben/Fälligkeit Regelmäßige Audits durch den Datenschutzbeauftragten Laufende Überprüfung von Sicherheitsein- Beratung und Überprüfung der Informastellungen und Prüfung auf Sicherheitslü- tionssicherheit durch Beratungsunternehcken (Firewall, Virenscanner, Spamfilter) men … Einbindung des Datenschutzbeauftragten bei Datenpannen oder vermuteten Sicherheitslücken Prozesse zum Umgang mit Datenpannen und vermeintlichen Sicherheitslücken definiert …

Auftragskontrolle und IT-Sicherheit bei Auftragnehmern und Unterauftragnehmern Ziel: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers und mit einem angemessenen IT-Sicherheitsniveau verarbeitet werden können. Technische Maßnahmen Einsatz von E-Mail-Verschlüsselung beim Austausch von Weisungen mit Auftragnehmern Sonstige Zugriffe über verschlüsselte Datenverbindungen

…

Organisatorische Maßnahmen Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Informationssicherheit) Vorherige Prüfung der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen und entsprechende Dokumentation mit Nachweisen Regelmäßige Überprüfung des Auftragnehmers Abschluss von Verträgen zur Auftragsverarbeitung unter Berücksichtigung aller gesetzlichen Anforderungen (Art. 28 DSGVO) Überprüfung aller vertraglich zugesicherten technischen Maßnahmen (ggf. vor Ort) …

Risikobewertung In den vorangegangenen Abschnitten sind einige Beispiele für die Gestaltung von Maßnahmen im Bereich Datenschutz genannt worden. Diese dürften für einen kleinen Pflegedienst mit rudimentärer IT-Technik bereits viel zu umfangreich sein, während Banken oder Versicherungen noch ganz andere Anstrengungen unternehmen sollten, um den Anforderungen von Datenschutz und IT-Sicherheit gerecht zu werden.

140

5.  IT-Sicherheit gestalten

  Angemessenheit der Umsetzung Bei der Erarbeitung eines angemessenen Datenschutzniveaus dürfen Implementierungskosten, Stand der Technik, aber auch Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenen berücksichtigt werden. Damit gibt die DatenschutzGrundverordnung einen risiko-orientierten Ansatz vor. Die Herausforderung ist, aus dieser abstrakten Definition nun eine konkrete und angemessene Vorgehensweise abzuleiten.

–– Manipulation von Daten –– Identitätsdiebstahl –– Missbrauch personenbezogener Daten –– Unbefugtes Eindringen in IT-Systeme –– Datenverlust –– Integritätsverlust schützenswerter Informationen Für die Kategorisierung der Eintrittswahrscheinlichkeit haben sich die Abstufungen geringfügig, überschaubar, gravierend/substanziell und groß bewährt, die auch von den Aufsichtsbehörden benannt werden. Daraus lässt sich die folgende Matrix für eine Risikobewertung ermitteln:

Datenschutz in der Pflege

141

Kapitel 3

Eintrittswahrscheinlichkeit und Schadenspotenzial einer Verletzung von Persönlichkeitsrechten sollten bei der Definition der Verfahren im Verzeichnis der Verarbeitungstätigkeiten vorgenommen werden. Datenschutz-Risiken und Bedrohungen können bereits hier benannt werden. Häufige Gefährdungen im Bereich Datenschutz sind –– Offenlegung schützenswerter Informationen

Risikobewertung Schwere des möglichen Schadens Groß

Gravierend

Risikobereiche nach DS-GVO Geringes Risiko

Überschaubar Risiko Hohes Risiko

Risikobereich Geringes Risiko

Mittleres Risiko („normal“)

Hohes Risiko

Gr oß

ier en

d

Eintrittswahrscheinlichkeit Gr av

au ch ers Üb

Ge

rin

gfü

gig

ba

r

Geringfügig

Bedeutung Weder Eintrittswahrscheinlichkeit noch Schwere des Schadens sind als hoch einzustufen. Bei Datenschutzverletzungen ist die Aufsichtsbehörde nicht zu informieren. Risiken sind häufig bei der Verarbeitung personenbezogener Daten anzunehmen. Jedoch ist bei der Verarbeitung besonderer Daten in der Pflege das Risiko nicht immer gleich als hoch einzustufen. Rechte und Freiheiten von Betroffenen können durch Schäden gravierend verletzt werden.

Im Fall von Verarbeitungen mit hohen Risiken ist die Durchführung einer Datenschutz-Folgenabschätzung zu prüfen, die für einige Verarbeitung auch zwingend vorgeschrieben ist. Der Schutzbedarf für IT-Systeme und zu treffende Sicherungsmaßnahmen bei Auftragsverarbeitern sollte sich durch die Risikobewertung des Verzeichnisses von Verarbeitungstätigkeiten ergeben. Das Ergebnis liegt in vielen Fällen auf der Hand: Ein Server in einer Pflegeeinrichtung hat einen hohen Schutzbedarf aufgrund der darauf verarbeiteten Daten. Eine solche Dokumentation hilft dennoch bei der Auswahl und Überprüfung getroffener Maßnahmen und sollte zur Erfüllung der gesetzlichen Vorgaben erstellt und laufend aktualisiert werden.

142

5.  IT-Sicherheit gestalten

Kapitel 4 //  Gesetzliche Grundlagen Rechtliche Aspekte im Datenschutz Zum Abschluss beleuchten wir noch einmal die rechtlichen Hintergründe ausführlicher. Nach einem handlungsleitenden und praxisorientierten Einstieg in das Thema Datenschutz werden rechtliche Details und Hintergründe zu einzelnen Begrifflichkeiten auf den folgenden Seiten näher erläutert, die in den vorangegangenen Kapiteln noch nicht zur Sprache kamen. Zu jedem der genannten Aspekte gibt es umfangreiche Fachliteratur. Daher haben wir uns auf die wesentlichen Aspekte beschränkt.

1. 2. 3. 4.

Rechtlicher Rahmen Grundbegriffe des Datenschutzes Rechte der Betroffenen Sanktionen & Strafen

Datenschutz in der Pflege

143

Kapitel 4

Welche Rechtsgrundlagen gilt es im Datenschutz zu beachten, woher kommt der Datenschutz überhaupt und welche Prinzipien gibt es? Diesen und einigen weiteren Fragen gehen wir in den folgenden Abschnitten nach:

1.  Rechtlicher Rahmen Entwicklung der Datenschutzgesetze Die ersten Datenschutzgesetze sind in den 1970er-Jahren in Deutschland verabschiedet worden. Ursprünglich ging es dabei um technische Aspekte wie den Schutz der Daten vor Verlust. Mit der zunehmenden Verbreitung von Computern entbrannte eine Debatte um Persönlichkeitsrechte bei der Speicherung personenbezogener Daten. Datenschutz ist Teil des Verwaltungsrechts und in verschiedenen Vorschriften geregelt. Welche im Einzelnen zur Anwendung kommen, bestimmt sich nach der verantwortlichen Stelle und dem Bereich der Datenverarbeitung. Die Herausforderung besteht darin, das Richtige für einen konkreten Anwendungsfall zu finden. Mit Stichtag 25. Mai 2018 wurden die bisher geltenden Bundes- und Landesdatenschutzgesetze durch die EU-Datenschutz-Grundverordnung (DSGVO) abgelöst, die die bisherige deutsche Regelungspraxis in ihren Kerngedanken auf europäischer Ebene weitestgehend fortführt. Zuvor galt europaweit eine EG-Richtlinie aus dem Jahr 1995, die jeweils in nationales Recht übernommen werden musste. Das führte zu entsprechend großen Unterschieden in der nationalen Gestaltung des Datenschutzes. Eine einzelstaatliche Regelung in Zeiten der Globalisierung und weltweiter Datentransfers über das Internet war nicht mehr zeitgemäß. Durch die DSGVO hat sich die Herangehensweise verändert: Das vor dem 25.05.2018 geltende alte Bundesdatenschutzgesetz (BDSG-alt) war als Auffanggesetz konstruiert, d.h. wenn keine andere Rechtsvorschrift galt, war das BDSG-alt anzuwenden. Die DSGVO hingegen wirkt unmittelbar und direkt: Sie ist als EU-Verordnung bindend für alle Mitgliedsstaaten und verdrängte bisher geltende Gesetzgebung zum Datenschutz. Aufgrund dieser Vorrangregelung ist bei rechtlichen Fragestellungen an erster Stelle die DSGVO zu prüfen. Im Rahmen des Gesetzgebungsverfahrens konnte zwischen den Mitgliedsstaaten jedoch nicht überall Einigkeit erzielt werden. Daher sieht die DSGVO eine Reihe von Öffnungsklauseln vor, zu der nationale Gesetze Ergänzendes regeln können. So gilt das neue Bundesdatenschutzgesetz (BDSG) mit einigen ergänzenden Vorschriften, die über die Vorgaben der DSGVO hinausgehen.

144

1.  Rechtlicher Rahmen

Kirchengesetze zum Datenschutz Auf einen Blick Für die evangelische und die katholische Kirche und die ihnen angeschlossenen Werke bzw. Wohlfahrtsverbände Diakonie und Caritas gelten eigene Kirchengesetze zum Datenschutz.

–– Das Gesetz über den kirchlichen Datenschutz (KDG) für kath. Kirche und Caritas zusammen mit der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). –– Das Kirchengesetz über den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD), das, zusammen mit der Verordnung zur Sicherheit der Informationstechnik (ITSVO-EKD), auch im Umfeld diakonischer Einrichtungen anzuwenden ist. Datenschutz in der Pflege

145

Kapitel 4

Im Detail Privatwirtschaftliche Unternehmen und öffentliche Stellen sind von der DSGVO und dem neuen BDSG unmittelbar betroffen, während sich kirchliche Träger weiter an eigenen Gesetzen orientieren (vgl. Art. 91 DSGVO). Ende 2017 wurden das neue Kirchliche Datenschutzgesetz (KDG – für katholische Kirche/Caritas) und das neugefasste Kirchengsetz über den Datenschutz (DSG-EKD – für evangelische Kirche/Diakonie) verabschiedet. Es gibt große Parallelen zwischen der DSGVO und den kirchlichen Regelungen. In den Details finden sich aber auch Unterschiede. So profitieren kirchliche Einrichtungen von deutlich geringeren Bußgeldern und verlängerten Übergangsfristen für die Umsetzung einiger Anforderungen bis Mitte 2019. In diesem Buch wurde vorrangig auf die Vorgaben der DSGVO eingegangen, da die Unterschiede für die Gestaltung des Datenschutzes in der Praxis eine untergeordnete Rolle spielen. In den Bereichen Pflege und Sozialwirtschaft gelten viele weitere Gesetze und Auflagen, bei denen es einen konkreten Bezug zum Datenschutz gibt. Die wichtigsten Vorgaben sind in den folgenden übergreifenden Regelungen zu finden: –– Die Datenschutz-Grundverordnung (DSGVO) auf europäischer Ebene in Verbindung mit dem Bundesdatenschutzgesetz neu (BDSG) auf nationalen Ebene und Landesdatenschutzgesetzen (LDSG) für bestimmte öffentliche Stellen in den Bundesländern.

Die Zuordnung der Gesetze lässt sich wie folgt darstellen: Privatwirtschaftliche Organisationen DSGVO BDSG

Öffentliche bzw. Diakonie und kommunale Stellen evangelische Kirche DSGVO DSG-EKD BDSG ITSVO-EKD LDSG

Caritas und katholische Kirche KDG KDG-DVO

Diese Gesetzesgrundlagen werden durch eine Vielzahl weiterer Vorschriften und Rechtsgrundlagen für bereichsspezifische Fragestellungen ergänzt. Informationelle Selbstbestimmung Auf einen Blick Das informationelle Selbstbestimmungsrecht wird seit dem Volkszählungsurteil aus dem Jahre 1983 aus dem allgemeinen Persönlichkeitsrecht in Art. 1 Abs. 1 und 2 Grundgesetz (GG) abgeleitet. Im Detail Ein Urteil des Bundesverfassungsgerichts (BVerfG) aus dem Jahr 1983 wird bis heute häufig zitiert und hat sich zu einem der Grundbausteine im deutschen und europäischen Datenschutzrecht entwickelt: „Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ (BVerfG, Urteil vom 15.12.1983)

146

1.  Rechtlicher Rahmen

Rechtsgrundlage: Grund: Inhalt:

Folgen:

Datenschutz in der Pflege

Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG Gewährleistung der Selbstbestimmung über die eigenen personenbezogenen Daten Über die Preisgabe der eigenen personenbezogenen Daten soll jeder selbst bestimmen. Einschränkungen sind nur auf Basis von Einwilligungen oder aufgrund gesetzlicher Regelungen möglich. Wenn weder eine gesetzliche Grundlage noch eine Einwilligung vorliegt, so ist eine Erhebung personenbezogener Daten rechtswidrig.

147

Kapitel 4

Der mehr als 35 Jahre alte Richterspruch wirkt – im Kontext der heutigen weltweiten Datenverarbeitung – geradezu zeitlos. Im Umfeld sozialer Netzwerke mit Milliarden von Nutzern, großen Datenskandalen und weltumspannender Datenverarbeitung ist dieses Urteil aktueller denn je. Der Schutzbereich des Einzelnen ist auf Basis des Urteils weit gefasst. So kann, unter gewissen Umständen, auch eine vermeintlich belanglose Information unter dieses Grundrecht fallen. Spätestens mit Geltung der DSGVO wurde dieses in Deutschland schon lange geltende Prinzip in Verbindung mit der Europäischen Menschenrechtskonvention zum Standard für alle Europäer. Als Grundregel gilt im Datenschutz das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung von Daten verboten ist, solange keine Erlaubnis dafür vorliegt. Dies ist in Art. 6 Abs. 1 DSGVO verankert. Für die besonderen Kategorien personenbezogener Daten, z. B. Gesundheitsdaten, ist zusätzlich der Art. 9 DSGVO zu beachten. Diese Erlaubnis kann sowohl gesetzlich, als auch durch eine Einwilligung der betroffenen Person erteilt werden. Eine solche Gesetzesgrundlage findet sich beispielsweise in Art. 6 Abs. 1 lit. b, in dem die Datenverarbeitung zur Erfüllung eines Vertrages legitimiert wird. Die Verarbeitung personenbezogener Daten ist auch dann rechtmäßig, wenn die betroffene Person in die Verarbeitung eingewilligt hat.

Sozialdatenschutz Auf einen Blick Das in § 35 Abs. 1 Sozialgesetzbuch I (SGB) geregelte Sozialgeheimnis definiert den Umgang mit Sozialdaten durch Leistungsträger und schützt so die Persönlichkeitsrechte eines jeden Einzelnen. Im Detail Im zehnten Sozialgesetzbuch findet sich ein eigenes Datenschutzrecht, das sich an alle Leistungsträger richtet, konkret also an Kranken-, Pflege- und Unfallversicherungen. Pflegedienste und -einrichtungen zählen zu den Leistungserbringern und müssen daher den Sozialdatenschutz nicht direkt berücksichtigen. Aufgrund der naturgemäß erforderlichen Zusammenarbeit zwischen Einrichtungen und Kostenträgern sind Bestimmungen zum Sozialdatenschutz aus dem SGB X aber dennoch zu beachten. Nach § 78 SGB X gilt eine strenge Zweckbindung für Daten, die vonseiten der Leistungsträger an Leistungserbringer übermittelt wurden. Entsprechend gilt die Pflicht zur Geheimhaltung der auf diese Weise erhaltenen Daten. So werden die Vorschriften des Sozialgesetzbuches für Leistungsträger in der Form auf Leistungserbringer abgeleitet, dass Mitarbeitende auf die Einhaltung der Pflichten hinzuweisen sind (vgl. § 78 Abs. 2 SGB X). Rechtsgrundlage: Grund: Inhalt:

Folgen:

148

§ 35 Abs. 1 SGB I Gewährleistung der Selbstbestimmung über die besonders sensiblen personenbezogenen Daten. Das Sozialgeheimnis regelt die datenschutzrechtlichen Bestimmungen für Leistungsträger, die jedoch nicht direkt für die Pflegeeinrichtungen und ambulante Dienste gelten. Hieraus ergeben sich jedoch abgeleitet auch Vorgaben für Leistungserbringer. Die strengen Vorgaben der DSGVO werden für Leistungserbringer in der Pflege durch die Sozialgesetzbücher ergänzt, in der Regel jedoch nicht weiter verschärft. Meist sind keine zusätzlichen Datenschutzmaßnahmen zu treffen.

1.  Rechtlicher Rahmen

Schweigepflicht Auf einen Blick Das Strafgesetzbuch (StGB) stellt in § 203 die Offenbarung von Privatgeheimnissen für bestimmte Berufsgruppen unter Strafe. Die Schweigepflicht gilt abgeleitet auch für Mitarbeitende in der Pflege.

  Praxistipp Die Schweigepflicht gilt unmittelbar und lässt sich nicht durch Arbeitsanweisungen oder Vorgaben von Vorgesetzten abmildern oder aushebeln.

Datenschutz in der Pflege

149

Kapitel 4

Im Detail Die Schweigepflicht beschreibt die rechtliche Verpflichtung für bestimmte Berufsgruppen, ihnen anvertraute Geheimnisse nicht unbefugt an Dritte weiter zugeben. Hierbei können sowohl Privatpersonen (Berufsgeheimnisträger), als auch Amtsträger des Staates betroffen sein (Amtsgeheimnis). Der zur Verschwiegenheit Verpflichtete ist der Geheimnisträger, der zu Schützende der Geheimnisherr. Die Schweigepflicht gilt gegenüber jedem und wird nur in Ausnahmefällen außer Kraft gesetzt, z. B. durch das ausdrückliche Einverständnis des Betroffenen (z. B. Einwilligung im Behandlungsvertrag im Krankenhaus) oder auch im Falle eines mutmaßlichen Einverständnisses (z. B. bei Gefahr im Verzug in der Notaufnahme). Das Strafgesetzbuch zählt in § 203 eine Reihe von Berufsgruppen auf, für die die Verletzung von Privatgeheimnissen geregelt ist. Hier werden in Absatz 1 unter anderem Ärzte, Apotheker und Angehörige eines anderen Heilberufs genannt. Die Pflegeberufe sind hier nicht explizit benannt. Jedoch findet sich in Absatz 3 des Paragrafen die Nennung von „berufsmäßig tätigen Gehilfen“ und in Absatz 4 sogenannte „mitwirkende Personen“, für die die Vorschriften in gleicher Weise gelten. Das Strafgesetzbuch richtet sich an die handelnden Personen selbst, nicht an die Einrichtung oder den Pflegedienst. Wer als Pflegekraft oder sonstiger Mitarbeiter einer Einrichtung unbefugt Informationen weitergibt, die der Schweigepflicht unterliegen, kann mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft werden.

Im Jahr 2017 wurden die gesetzlichen Regelungen zur Schweigepflicht reformiert. Zuvor war streng genommen der Einsatz externer Dienstleister im Gesundheits- und Sozialwesen sowie bei allen anderen Berufsgruppen mit Schweigepflicht nicht möglich oder allenfalls eine rechtliche Grauzone. Geändert wurde, dass nun eine Offenbarung gegenüber Dritten, die an der beruflichen Tätigkeit des Berufsgeheimnisträgers mitwirken, nicht mehr strafbar ist. Es gelten dafür jedoch besondere Sorgfaltspflichten, z. B. bei der Einbindung von externen Dienstleistern in den genannten Berufsgruppen. Rechtsgrundlage: Grund: Inhalt:

Folgen: Praxisbeispiele:

§ 203 StGB Sichert die Wahrung der Vertraulichkeit für bestimmte Berufsgruppen, abgeleitet auch für Pflegekräfte und Angehörige Die Schweigepflicht ist die rechtliche Verpflichtung für bestimmte Berufsgruppen, ihnen anvertraute Privat- und Geschäftsgeheimnisse nicht unbefugt an Dritte weiterzugeben. Bei einer Verletzung der Schweigepflicht richten sich Geld- und Freiheitsstrafen gegen die Pflegekraft selbst. –– Bei einem Versicherungsfall dürfen Ärzte erst nach Vorlage einer Schweigepflichtsentbindung Unterlagen weitergeben bzw. Fragen zum Gesundheitszustand beantworten. –– Mit einer Entbindung von der Schweigepflicht zwischen Pflegeanbieter und anderen Dienstleistern lässt sich die Betreuung und Versorgung von Klienten durch direkte Absprachen verbessern.

Betriebs- & Kollektivvereinbarungen Auf einen Blick Betriebsvereinbarungen können als „Rechtsgrundlage“ genutzt werden, um spezifische Vorschriften zum Datenschutz im Beschäftigungskontext vorzusehen. Im Detail Einwilligungen in der Beziehung Arbeitgeber zu Arbeitnehmer werden häufig kritisch gesehen. Aufgrund des Abhängigkeitsverhältnisses kann hier nicht zweifelsfrei von einer Freiwilligkeit ausgegangen werden, wenn ein Unternehmen Mitarbeitende um Zustimmung zur Verarbeitung von Daten bittet. Das

150

1.  Rechtlicher Rahmen

Bundesarbeitsgericht (BAG) hat am 11.12.2014 in einer Grundsatzentscheidung klargestellt, dass Arbeitnehmer im Rahmen des Arbeitsverhältnisses grundsätzlich klar entscheiden können, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben möchten. Im gleichen Sinne regelt § 26 BDSG Abs. 2 die Einwilligung im Beschäftigungskontext. Als Grundlage für die Rechtmäßigkeit einer Datenverarbeitung sind Einwilligungen mit Nachteilen verbunden. Die Verarbeitung auf Basis von Gesetzmäßigkeiten, Verträgen oder eben auch Kollektivvereinbarungen sind eine deutlich bessere Wahl. Zu den Vorteilen zählen, dass diese –– nicht widerrufen werden können, –– für alle Mitarbeitenden eines Unternehmens gelten und Betriebsvereinbarungen oder Dienstvereinbarungen sind also – auch aus gesetzlicher Sicht – ein probates und gut geeignetes Mittel, um Grundlagen und Bedingungen für eine Datenverarbeitung zu regeln. Rechtsgrundlage:

Art. 88 DSGVO i.V.m. § 26 BDSG §§ 13 Abs. 2 Nr. 2, § 49 Abs. 1 DSG-EKD

Grund: Inhalt:

Folgen: Praxisbeispiele:

Datenschutz in der Pflege

§ 11 Abs. 2 lit. b KDG Betriebs- und Kollektivvereinbarungen können eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Im Gegensatz zu Einwilligungen sind Betriebs- bzw. Dienstvereinbarungen ein besseres Mittel zur Rechtfertigung oder konkreten Gestaltung von Verarbeitungsvorgängen. Durch den Abschluss einer Kollektivvereinbarung ist nicht mehr die Zustimmung eines jeden Mitarbeitenden einzuholen. –– Betriebsvereinbarungen zu Umgang und Einsichtnahme in ­E-Mail-Konten durch den Arbeitgeber –– Dienstvereinbarung über die Nutzung und Auswertung eines elektronischen Arbeitszeiterfassungssystems

151

Kapitel 4

–– sich der Aufwand für die Vereinbarung/Verwaltung in Grenzen hält.

2.  Grundbegriffe des Datenschutzes Personenbezogene Daten Auf einen Blick Datenschutzgesetze beziehen sich auf all diejenigen Daten, die Angaben über eine bestimmte oder bestimmbare natürliche Person darstellen. Für sensible Daten sind besondere Auflagen zu beachten. Im Detail Der Begriff personenbezogene Daten ist recht weit gefasst. Neben den offensichtlichen Angaben wie Name, Geburtsdatum, Anschrift und Telefonnummer fallen darunter auch diejenigen Daten, die eine Person bestimmbar machen. Wenn sich ein Personenbezug herstellen lässt, sind Daten ebenfalls als personenbezogen, und damit unter die Datenschutzgesetze fallend, zu betrachten. Hierzu zählen beispielsweise: –– Kfz-Kennzeichen –– Kontonummer –– Mitarbeiternummer –– IP-Adresse Die Angabe an sich gibt keinen direkten Aufschluss über die Person. Durch Abgleich mit einem Verzeichnis oder Auskunft bei entsprechenden Stellen lässt sich aber der Personenbezug herstellen. Dabei ist unerheblich, ob dies tatsächlich erfolgt oder der Personenbezug nur für einen eingeschränkten Kreis von Anfragenden ermittelbar ist. Sobald es sich um personenbeziehbare Daten handelt, sind die gesetzlichen Vorgaben zu beachten. Für folgende besondere Kategorien personenbezogener Daten gelten zusätzliche Auflagen, z. B. bei der Gestaltung der technischen und organisatorischen Maßnahmen: –– Rassische und ethnische Herkunft –– Politische Meinung

152

2.  Grundbegriffe des Datenschutzes

–– Religiöse oder weltanschauliche Überzeugung –– Gewerkschaftszugehörigkeit –– Genetische oder biometrische Daten für die Identifizierung von Personen –– Gesundheitsdaten –– Daten zum Sexualleben oder zur sexuellen Orientierung

  Praxistipp Sind verschlüsselte Daten noch personenbezogen?

Rechtsgrundlage:

Art. 4 Nr. 1, Art. 9 DSGVO i.V.m. § 22 BDSG § 4 Nr. 1, § 13 DSG-EKD

Grund: Inhalt:

Folgen:

Praxisbeispiele:

Datenschutz in der Pflege

§ 4 Nr. 1, § 11 KDG Schutz der Persönlichkeit, insbesondere bei sensiblen Daten Sobald ein Personenbezug herstellbar ist, gelten Datenschutzgesetze. Ohne Vertrag bzw. Einverständnis dürfen besondere Kategorien personenbezogener Daten nicht verarbeitet werden. Organisationen müssen prüfen und dokumentieren, in welchem Umfang personenbezogene Daten erhoben und verarbeitet werden. Es sind angemessene Schutzmaßnahmen zu treffen. –– Biometrische Daten dürfen nur mit besonderer Regelung durch einen Arbeitgeber verarbeitet werden. –– Gesundheitsdaten dürfen nicht ohne Verschlüsselung per EMail versandt werden.

153

Kapitel 4

Verschlüsselte Daten werden häufig als nicht personenbezogen angesehen. Datenschutzgesetze gelten jedoch, sobald die Entschlüsselung der Daten möglich ist. Insofern sind auch verschlüsselte Daten relevant und z. B. in ein Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

Rechtmäßigkeit, Erforderlichkeit & Zweckbindung Auf einen Blick Die Datenschutz-Grundverordnung hat in Art. 5 Abs. 1 lit. a und b DSGVO Rechtmäßigkeitsanforderungen und eine restriktive Zweckbindung für die Erhebung und Verarbeitung personenbezogener Daten normiert. Im Detail Personenbezogene Daten dürfen nur „auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ (Art. 5 Abs. 1 lit. a DSGVO). Rechtmäßigkeit, Transparenz und das Prinzip der Erforderlichkeit sind Hauptanforderungen des Datenschutzes. Die Rechtsgrundlage ergibt sich in der Regel durch Heim-, Pflege- oder Arbeitsvertrag, Einwilligungen oder gesetzliche Vorgaben. In engen Grenzen kann das Mittel der Interessensabwägung genutzt werden, z. B. zur Wahrung lebenswichtiger Interessen. Das Zweckbindungsgebot besagt, dass Daten nur für festgelegte und bestimmte Zwecke verarbeitet werden dürfen, welchen sie explizit zugeordnet sein müssen. Aus dieser Zweckzuordnung lässt sich die Sensibilität einer Datenverarbeitung erkennen. Des Weiteren gelten restriktive Voraussetzungen bezüglich einer Änderung des Zwecks. Gemäß Art. 6 Abs. 4 DSGVO ist hier ein Kompatibilitätstest vorzunehmen. Grundsätzlich sind nur solche Änderungen des Verarbeitungszweckes möglich, die mit dem ursprünglichen Zweck vereinbar sind. Dabei müssen folgende Faktoren berücksichtigt werden: –– Es muss eine Verbindung zwischen den Zwecken bestehen. –– Der Gesamtkontext, in welchem die Daten erhoben wurden, muss berücksichtigt werden. –– Es muss die Art der personenbezogenen Daten berücksichtigt werden, je sensibler diese sind, umso schwieriger ist eine Zweckänderung. –– Zuletzt müssen mögliche Konsequenzen der Änderung bedacht werden oder besondere Sicherheitsmaßnahmen vorhanden sein.

154

2.  Grundbegriffe des Datenschutzes

Rechtsgrundlage:

Art. 5 Abs. 1 lit. b DSGVO § 5 Abs. 1 Nr. 1 DSG-EKD

Grund: Inhalt:

Folgen:

Praxisbeispiele:

Datenminimierung & Speicherbegrenzung Auf einen Blick Das Prinzip der Datensparsamkeit und Speicherbegrenzung in Art. 5 Abs. 1 DSGVO verlangt, dass möglichst wenig Daten erhoben werden und diese möglichst frühzeitig zu löschen sind. Im Detail Personenbezogene Daten sollen nach dem Erforderlichkeitsprinzip nur im Rahmen enger Grenzen verarbeitet werden. Grundlage hierfür ist die Zweckbindung und damit die Frage, in welchem Umfang überhaupt eine Verarbeitung rechtmäßig ist. Datensparsamkeit meint, dass die verantwortliche Stelle nur so wenig personenbezogene Daten wie möglich erheben, verarbeiten oder speichern soll. Im Vordergrund steht eine datensparende Organisation, welche dafür sorgt, dass nur die notwendigsten Daten gesammelt werden. Diese Vorgabe gilt jedoch nicht absolut, sondern ist vielmehr an die Gegebenheiten der Situation anzupassen. Zudem soll der Aufwand zur Datenvermeidung in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. Datenschutz in der Pflege

155

Kapitel 4

§ 7 Abs. 1 lit. b KDG Sicherstellung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten Datenverarbeitungen müssen sich einem Zweck zuordnen lassen. Eine Weiternutzung für andere Zwecke ist an sehr enge Vorgaben geknüpft. Eine Verarbeitung von Daten gilt als unrechtmäßig, wenn der Zweck nicht gegeben ist oder sich eine Rechtmäßigkeit im Kontext des Verarbeitungszwecks nicht zuordnen lässt. –– Portrait-Fotos für die Klientenakte dürfen nicht ohne separate Einwilligung für Werbezwecke auf der Homepage verwendet werden. –– Die Konfektionsgröße für die Bestellung von Berufskleidung darf nicht für eine Auswertung und Profilbildung von Mitarbeitenden genutzt werden.

Die Speicherbegrenzung impliziert zeitliche Grenzen für die Aufbewahrung personenbezogener Daten. Wenn der Zweck bzw. die Rechtsgrundlage nicht mehr gegeben sind, müssen die zugehörigen Daten gelöscht werden. Als Grundlage für die Einschätzung der Speicherbegrenzung dienen häufig gesetzliche Aufbewahrungsfristen. Rechtsgrundlage:

Grund: Inhalt: Folgen:

Praxisbeispiele:

Art. 5 Abs. 1 lit. c DSGVO § 5 Abs. 1 Nr. 3 DSG-EKD § 7 Abs. 1 lit. c KDG Sparsamer Umgang mit personenbezogenen Daten Grundsätzlich sollen nur die zur Verarbeitung benötigten, essen­ tiellen Daten gesammelt und verarbeitet werden. Daten, die nicht zur Verarbeitung notwendig sind und dennoch gesammelt, verarbeitet oder gespeichert werden, sind unrechtmäßig erhoben worden und sind zu löschen. –– Je nach Aufbewahrungsfrist müssen Unterlagen aus der Personalakte regelmäßig entfernt werden; Arbeitszeitnachweise beispielsweise bereits nach 2 Jahren. –– Es sind nur die Daten von Interessenten entgegenzunehmen, die wirklich erforderlich sind für die Bearbeitung der Anfrage. Diese Daten sind zu löschen, wenn eine Betreuung/Unterbringung nicht zustande kommt, spätestens nach einem Jahr.

Interessensabwägung & berechtigtes Interesse Auf einen Blick Die Verarbeitung personenbezogener Daten kann als Alternative zu Gesetzen, Verträgen und Einwilligungen auf berechtigte Interessen (vgl. Art. 6 Abs. 1 lit. f DSGVO) gestützt werden. Im Detail Eine zentrale Frage bei der Gestaltung von datenschutzfreundlichen Prozessen ist die Definition der Rechtsgrundlage. Es gibt immer wieder Fälle, in denen der Abschluss eines Vertrages und das Einholen einer Einwilligung ausscheidet, gleichzeitig aber auch keine rechtlichen Grundlagen für eine Rechtfertigung bereitstehen.

156

2.  Grundbegriffe des Datenschutzes

Gemäß Art. 6 Abs. 1 lit. f DSGVO kann eine Datenverarbeitung legitimiert sein, wenn –– es bei der verantwortlichen Stelle oder einem Dritten ein berechtigtes Interesse gibt, –– die Datenverarbeitung zur Wahrung des Interesses erforderlich ist und –– Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

  Praxistipp Das Thema Fundraising und Spendenwerbung wird häufig als kirchlicher bzw. diakonischer/caritativer Auftrag verstanden und kann sich auf eine Interessensabwägung stützen. Rechtsgrundlage: Grund: Inhalt: Folgen: Praxisbeispiele:

Datenschutz in der Pflege

Art. 6 Abs. 1 lit. f DSGVO § 6 Nr. 4, 8 DSG-EKD § 6 Abs. 1 lit. f, g KDG Legitimation einer Datenverarbeitung ohne Gesetzesgrundlage, Vertrag oder Einwilligung Bei Vorliegen eines berechtigten Interesses können unter ­bestimmten Voraussetzungen personenbezogene Daten ­verarbeitet werden. Legitimation von Verarbeitungsvorgängen, z. B. im Bereich ­Fundraising oder Direktwerbung –– Im Rahmen eines Spendenmailings werden potenzielle Spender gebeten, für eine gemeinnützige Organisation zu spenden. –– Mitarbeiterdaten werden innerhalb eines Konzerns an eine Service-Gesellschaft für die Lohnabrechnung weitergegeben.

157

Kapitel 4

Ein solches berechtigtes Interesse kann für den Zweck der Direktwerbung unterstellt werden oder wenn z. B. innerhalb einer Unternehmensgruppe Daten zwischen verschiedenen Gesellschaften übertragen werden sollen. Häufig ist es in Konzernverbünden so, dass beispielsweise die Lohnabrechnung von einer Service-Gesellschaft für alle übrigen Firmen übernommen wird (vgl. „kleines Konzernprivileg“ in Erwägungsgrund 48 DSGVO). An die Zulässigkeit einer solchen Datenverarbeitung werden enge Grenzen geknüpft, die am besten mit dem Datenschutzbeauftragten zu klären sind. In diesen Fällen ist eine datenschutzrechtliche Interessensabwägung vorzunehmen. In jedem Fall ist das Recht auf Widerspruch zu beachten.

Einwilligungen Auf einen Blick Die Einwilligung der betroffenen Person kann als Grundlage für die Rechtmäßigkeit einer Datenverarbeitung herangezogen werden, z. B. auf Basis des Art. 6 Abs. 1 DSGVO oder in § 51 BDSG. Die Bedingungen für Einwilligungen sind in Art. 7 DSGVO normiert. Im Detail Die Rechtmäßigkeit der Erhebung und Verarbeitung von personenbezogenen Daten ist an enge Grenzen geknüpft. Wenn keine gesetzliche oder vertragliche Grundlage vorliegt, bedarf es in vielen Fällen einer Einwilligung des Betroffenen. Es gibt einige Voraussetzungen, die erfüllt sein müssen, damit eine Einwilligung rechtmäßig ist. Zunächst müssen die verantwortliche Stelle, die zu verarbeitenden Daten, Umfang, Form und Zweck sowie mögliche Verknüpfungen mit anderen Datenbeständen hinreichend bestimmt sein und dem Betroffenen genannt werden. Weiter muss der Betroffene Inhalt und Tragweite seiner Entscheidungen überblicken können. Der Verantwortliche muss den Betroffenen über die Bedeutung der Einwilligung aufklären und darauf hinweisen, dass er diese jederzeit mit Wirkung für die Zukunft widerrufen kann. Weiter ist zu beachten, dass die Einwilligung freiwillig abgegeben wird. Dies wird immer dann angezweifelt, wenn ein ausgeprägtes Über- und Unterordnungsverhältnis zwischen den beteiligten Parteien besteht. Auch darf der Abschluss eines Vertrages nicht an die Abgabe der Einwilligung gekoppelt werden. Dies verstößt gegen das sogenannte Kopplungsverbot.

  Praxistipp Für Einwilligungen von Minderjährigen gibt es in der DSGVO besondere Auflagen (vgl. Art. 8 DSGVO), die in einigen anderen europäischen Ländern durch nationale Regelungen ergänzt wurden.

158

2.  Grundbegriffe des Datenschutzes

Rechtsgrundlage:

Art. 6 Abs. 1 DSGVO § 6 DSG-EKD

Grund: Inhalt:

Folgen:

Praxisbeispiele:

Auftragsverarbeitung & Empfänger Auf einen Blick Auftragsverarbeitung ermöglicht die Einschaltung externer Dienstleister bei der Verarbeitung personenbezogener Daten. Hierfür müssen Vereinbarungen nach Art. 28 DSGVO geschlossen werden. Im Detail Wenn personenbezogene Daten verarbeitet werden, dürfen diese grundsätzlich nicht in fremde Hände gelangen. Organisationen arbeiten in vielen Fällen mit verschiedenen Dienstleistern zusammen, die unter Umständen Zugriff auf die anvertrauten Daten haben oder bei denen ein Kontakt mit personenbezogenen Daten nicht ausgeschlossen werden kann. Wesentliche Anforderungen sind im Leitfaden Auftragsverarbeitung benannt. Einer Auftragsverarbeitung nach Art. 28 DSGVO liegt der Gedanke zugrunde, dass eine weisungsgebundene andere Stelle, welche personenbezogene Daten verarbeitet, kein Dritter mehr im Sinne des Gesetzes ist. Folglich werden der Auftragnehmer (= Auftragsverarbeiter) und der Auftraggeber (= verantwortliche Stelle) als Einheit behandelt. Datenschutz in der Pflege

159

Kapitel 4

§ 6 Abs. 1 KDG Einwilligungen ermöglichen die Rechtmäßigkeit einer Erhebung und Verarbeitung personenbezogener Daten. An die Gestaltung und Einholung von Einwilligungen sind enge Vorgaben geknüpft, u. a. müssen Freiwilligkeit, Widerrufbarkeit und die Einhaltung des Kopplungsverbots erfüllt sein. Wenn eine datenschutzrechtliche Einwilligung nicht rechtmäßig ist oder nicht vorliegt, müssen die zugehörigen Daten umgehend gelöscht werden. –– Für die Hinterlegung der Kontaktdaten Angehöriger in der Klientenakte ist eine Einwilligung der Angehörigen erforderlich, da sich eine Rechtmäßigkeit nicht direkt aus dem Pflege-/Heimvertrag ableiten lässt. –– Für die Teilnahme von Klienten an einer Qualitätsprüfung durch den MDK ist eine Einwilligung erforderlich.

Grundvoraussetzung für eine Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers. Dies wird in Art. 29 DSGVO auch noch einmal normiert: Weisungsgebunden ist, wer keinen eigenen Wertungs- und Entscheidungsspielraum bei der Durchführung seiner Aufgaben hat. Eine Auftragsverarbeitung liegt beispielsweise in folgenden Fällen nicht vor: –– Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwalt, Wirtschaftsprüfer) –– Bankinstitute, Inkassobüros, Postdienstleister –– Personalvermittler, Versicherungsmakler Die Abgrenzung zwischen Auftragsverarbeitung und eigener Verantwortlichkeit im Sinne von Art. 4 Nr. 8 DSGVO fällt nicht immer leicht. Die Aufsichtsbe5 hörden haben zu diesem Zweck Orientierungshilfen veröffentlicht . Es bietet sich an, wie in der alten Rechtslage auf das „Wie“ der Aufgabenübertragung abzustellen, um herauszuarbeiten, ob eine Auftragsverarbeitung oder eine eigene Verantwortlichkeit (früher: Funktionsübertragung) vorliegt. Wenn mehrere Stellen gemeinsam die Zwecke und Mittel einer Verarbeitung festlegen, spricht man von „Gemeinsam Verantwortlichen“. In diesem Fall ist eine Vereinbarung nach Art. 26 DSGVO bzw. den entsprechenden Kirchen­ gsetzen empfehlenswert.

  Praxistipp Innerhalb von Unternehmensgruppen bzw. Konzernen muss nicht zwangsläufig eine Auftragsverarbeitung vorliegen. „Interne Verwaltungszwecke“ werden als berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO anerkannt (vgl. Erwägungsgrund 48 DSGVO).

5  z. B. https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf (letzter Abruf 17.12.2018)

160

2.  Grundbegriffe des Datenschutzes

Rechtsgrundlage:

Art. 28 DSGVO § 30 DSG-EKD

Grund: Inhalt:

Folgen:

Datenschutz in der Pflege

161

Kapitel 4

Praxisbeispiele:

§ 29 KDG Rechtmäßige Einbeziehung externer Dienstleister bei der Verarbeitung personenbezogener Daten Eine verantwortliche Stelle kann mit externen Dienstleistern zusammenarbeiten, wenn im Rahmen datenschutzrechtlicher Vorgaben eine Vereinbarung zum Umgang mit personenbezogenen Daten geschlossen wird. Ohne Vertragsgrundlage ist eine Auftragsverarbeitung unzulässig und bußgeldbewährt. Verantwortliche Stellen müssen Auftragsverarbeiter sorgfältig auswählen und ggf. überprüfen. –– Kostenträger sind keine Auftragsverarbeiter, sondern eigene Verantwortliche, an die Daten übermittelt werden. –– Mit Dienstleistern für Hardware- und Software-Einsatz sind hingegen Vereinbarungen zu schließen.

3.  Rechte der Betroffenen Recht auf Akteneinsicht Auf einen Blick Pflegebedürftige und ihre bevollmächtigten Angehörigen haben ein Anrecht auf Einblick in die Klientenakte und Pflegedokumentation. Im Detail Der Anspruch auf Einsicht in die Pflegeakte ergibt sich aus einer Nebenpflicht zum Heim- bzw. Pflegevertrag, aber auch aus dem Recht auf informationelle Selbstbestimmung, das im Grundgesetz im Art. 1 Abs. 1 i.V.m. Art. 2 verankert ist. Die Datenschutz-Grundverordnung und die entsprechenden Regelungen in den Kirchengesetzen sehen ein Recht auf Auskunft vor. Dennoch gibt es immer wieder unterschiedliche Auffassungen: Im Jahr 1998 hat das Bundesverfassungsgericht über Einsicht in Krankenakten geurteilt (BVerfG NJW 1999, 1777f) und die Rechte weitestgehend bestätigt. Dies ist selbst in psychiatrischen Kliniken und im Maßregelvollzug nach einem weiteren Urteil 2006 umzusetzen (BVerfG, NJW 2006, 1116). Das Recht auf Einsichtnahme in Patientenakten – die Pflegedokumentation ist hiermit vergleichbar – ist entsprechend weit zu fassen. In einigen Bundesländern gibt es Regelungen in den Wohn- und Teilhabegesetzen bzw. weiteren branchenspezifischen Regelungen, die das Einsichtsrecht präzisieren. Wenn Angehörige oder Betreuer Einsicht nehmen wollen, ist hierfür jedoch eine Legitimation erforderlich. Ist ein Betreuer für die Gesundheitssorge bestellt, ist keine weitere Vollmacht erforderlich – sofern der Klient nicht widerspricht. In allen übrigen Fällen sollte eine Vollmacht des Klienten vorliegen, auch wenn nahe Angehörige das Recht auf Einblick in die Pflegedokumentation wahrnehmen möchten.

  Praxistipp Die Heimaufsicht darf aufgrund ihrer Überwachungsaufgaben die Pflegedokumentation auch ohne vorherige Einholung einer Zustimmung des Bewohners einsehen.

162

3.  Rechte der Betroffenen

Rechtsgrundlage: Grund: Inhalt:

Folgen:

Praxisbeispiele:

§ 810 BGB (Bürgerliches Gesetzbuch)

Recht auf Auskunft Auf einen Blick Im Rahmen des Art. 15 DSGVO haben Betroffene das Recht auf Auskunft zu den über sie verarbeiteten personenbezogenen Daten. Im Detail Auf Anfrage müssen verantwortliche Stellen zu folgenden Aspekten einer Datenverarbeitung Auskunft geben: –– Verarbeitungszwecke, –– Kategorien der verarbeiteten personenbezogener Daten, –– Empfänger oder Kategorien von Empfängern dieser Daten sowie –– die voraussichtliche Speicherdauer. Des Weiteren ist zu informieren über –– Betroffenenrechte (Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch), –– Beschwerderechte bei einer Aufsichtsbehörde,

Datenschutz in der Pflege

163

Kapitel 4

Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG Recht auf Einsicht als Teil der informationellen Selbstbestimmung Grundgesetz und Rechtsprechung des Bundesverfassungs­­gerichts definieren weitgehende Rechte zur Einsichtnahme in Krankenakten. Das Recht auf Einblick in Klientenakten und Pflegedokumentation wird daraus abgeleitet. Klienten können dies auf Angehörige/ Betreuer übertragen. Beschwerden können bei der Heimaufsicht bzw. den Datenschutz-Aufsichtsbehörden erhoben werden. –– Betreuer mit Vollmacht für die Gesundheitsvorsorge dürfen die Pflegedokumentation einsehen. Ohne Einwilligung ist dies für Betreuer mit anderen Betreuungsaufgaben nicht ohne Weiteres möglich. –– Angehörige dürfen nach Einwilligung des Bewohners Einblick in die Pflegedokumentation nehmen.

–– Herkunft der Daten, sofern diese nicht direkt erhoben wurden und –– Informationen zum Profiling (soweit relevant). In der Praxis gestaltet sich das Beauskunften als gar nicht so einfach: Oftmals sind Daten von Klienten oder Mitarbeitenden über eine Vielzahl von Systemen verstreut. So finden sich Personaldaten beispielsweise nicht nur in der Personalverwaltung und im Lohnabrechnungssystem, sondern auch in der Dateiablage, dem E-Mail- und Kalender-Server und möglicherweise verstreut auf verschiedenen Computern. Die Beantwortung von Anfragen hat kostenlos und unverzüglich, gemäß Art. 12 Abs. 3 DSGVO spätestens innerhalb eines Monats zu erfolgen. Dabei sollte sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Im Zweifel kann vorab eine Bestätigung der Identität angefordert werden. Rechtsgrundlage:

Art. 15 DSGVO i.V.m. § 34 BDSG § 19 DSG-EKD

Grund: Inhalt: Folgen:

Praxisbeispiele:

164

§ 17 KDG Schutz und Konkretisierung des Rechtes auf Auskunft Art und Umfang der mitzuteilenden Informationen bei Auskunftsersuchen Wenn Auskunftsersuchen nicht oder nur unzureichend beantwortet werden, besteht ein Recht auf Beschwerde bei der Aufsichtsbehörde. –– Bewerber verlangen im Nachhinein Auskunft zu den noch über sie gespeicherten Daten, nachdem das Bewerbungsverfahren abgeschlossen ist. –– Angehörige möchten erfahren, in welchem Umfang Daten über sie bzw. den Pflegebedürftigen verarbeitet werden.

3.  Rechte der Betroffenen

Recht auf Berichtigung, Sperrung & Löschung Auf einen Blick Unrichtige Daten sind gem. Art. 16 DSGVO auf Anfrage des Betroffenen zu korrigieren und nach Art. 17 DSGVO zu löschen, wenn die Rechtsgrundlage entfallen ist. Die Einschränkung der Verarbeitung ist in Art. 18 DSGVO geregelt.

–– Die Einwilligung wurde widerrufen. –– Ein Widerspruch wurde eingelegt und es fehlen berechtigte Gründe für eine Verarbeitung. –– Die Verarbeitung ist unrechtmäßig. Das „Recht auf Vergessenwerden“ wurde vielfach im Kontext sozialer Netzwerke, zum Beispiel im Zusammenhang mit kompromittierenden Fotos aus Jugendzeiten, die im öffentlich im Internet zugänglich sind, diskutiert. Mit der DSGVO werden Organisationen verpflichtet, nicht nur selbst zu löschen, sondern die von ihnen weitergegebenen oder veröffentlichten Daten auch an anderen Stellen löschen zu lassen. Diese Schritte sind unverzüglich, orientiert an § 121 BGB also „ohne schuldhaftes Zögern“, einzuleiten. Spätestens nach einem Monat sollte es eine Rückmeldung über die ergriffenen Maßnahmen bzw. über die Gründe für deren Ablehnung geben. Das klingt erst einmal lang, ist in Verbindung mit Urlaubszeiten oder bei Einsatz unterschiedlicher IT-Systeme aber durchaus knapp bemessen. Es gibt eine Möglichkeit der Verlängerung um zwei weitere Monate.

Datenschutz in der Pflege

165

Kapitel 4

Im Detail Der Betroffene hat das Recht, dass von ihm gespeicherte, unrichtige Daten korrigiert werden. Wenn sich beispielsweise aufgrund einer Heirat der Nachname ändert, sind Unternehmen verpflichtet, diese Änderung in ihren Datenbeständen nachzuvollziehen. Weiterhin bestehen umfangreiche Pflichten zur Löschung von Daten, z. B. wenn einer der folgenden Gründe vorliegt und keine sonstigen berechtigten Gründe dagegenstehen: –– Der Verarbeitungszweck ist entfallen/Daten sind nicht mehr notwendig.

Betroffene können unter bestimmten Voraussetzungen verlangen, dass die Verarbeitung von Daten eingeschränkt wird, z. B. wenn Daten zu löschen sind, diese aber zur Geltendmachung/Verteidigung von Rechtsansprüchen oder zur Klärung eines Widerspruchs noch benötigt werden. Damit sollen Daten für den generellen Zugriff und für allgemeine Zwecke gesperrt werden. Rechtsgrundlage:

Artt. 16-19 DSGVO i.V.m. § 35 BDSG §§ 20-23 DSG-EKD

Grund: Inhalt:

Folgen:

Praxisbeispiele:

§§ 18-21 KDG Pflicht zur Berichtigung, Löschung oder Sperrung personenbezogener Daten im Kontext der informationellen Selbstbestimmung Betroffene können eine Korrektur oder Vervollständigung, wie auch ein Löschen unrichtiger bzw. nicht mehr relevanter Daten verlangen (Recht auf Vergessenwerden). Sollte die Berichtigung oder Löschung unterbleiben, ist die Verarbeitung unrechtmäßig und es besteht ein Recht auf Beschwerde bei der Aufsichtsbehörde (-> Bußgeld). –– Die Daten von Bewerbern sind zu löschen, wenn das Bewerbungsverfahren abgeschlossen ist und keine Einwilligung für eine weitere Aufbewahrung der Unterlagen vorliegt. –– Mitarbeitende können fordern, dass veraltete Abmahnungen aus Personalakten entfernt werden.

Recht auf Datenübertragbarkeit Auf einen Blick Unter bestimmten Voraussetzungen müssen gemäß Art. 20 DSGVO vorgehaltene personenbezogene Daten in einem strukturierten und gängigen Format elektronisch zur Verfügung gestellt werden. Im Detail Das Recht auf Datenportabilität wurde mit Inkrafttreten der DSGVO viel diskutiert und betrifft doch nur wenige Organisationen. Im Kern gelten zwei Voraussetzungen, damit eine Organisation Daten bereitstellen oder an eine andere verantwortliche Stelle übermitteln muss:

166

3.  Rechte der Betroffenen

1) Nur selbst bereitgestellte Daten Als Kernanforderung gilt, dass die Daten von der betroffenen Person direkt bereitgestellt sein müssen. Hierzu zählen häufig Cloud-Angebote und Internet-Plattformen, auf denen Nutzer selbstständig Daten einstellen. Auch Datensätze aus dem Umfeld IoT oder beispielsweise die Daten von Fitnesstrackern sind mit einzubeziehen. Bei einem Umzug zu einem konkurrierenden Anbieter sollen sogenannte „Lock-in-Effekte“ vermieden werden. Ein passendes Beispiel hierfür ist der Umzug aller Profildaten von einem sozialen Netzwerk zu einem anderen.

Rechtsgrundlage:

Art. 20 DSGVO § 24 DSG-EKD

Grund: Inhalt:

Folgen:

Datenschutz in der Pflege

§ 22 KDG Das Recht auf Datenübertragbarkeit soll dem Betroffenen mehr Kontrolle über die eigenen Daten geben. Der Betroffene kann von dem Verantwortlichen fordern, dass dieser ihm die Daten strukturiert und maschinenlesbar zur Verfügung stellt, sofern die betroffene Person die Daten selbst bereitgestellt hat. Diese Vorgabe richtet sich insbesondere an soziale Netzwerke und Cloud-Dienste. Die Nicht-Beachtung datenschutzrechtlicher Auflagen ist bußgeldbewährt. Zu beachten ist jedoch, dass nur sehr wenige Daten in der Pflege unter die Pflicht zur Datenübertragbarkeit fallen.

167

Kapitel 4

2) Vertrag oder Einwilligung Das Recht auf Datenportabilität umfasst nur diejenigen Daten, die aufgrund einer Einwilligung oder eines Vertrages verarbeitet werden dürfen. Die gesetzlich vorgeschriebene Pflegedokumentation dürfte nicht zu diesen Daten zählen. In der Pflege dürfte das Instrument der Datenübertragbarkeit eine untergeordnete Rolle spielen, da ein Großteil der Daten nicht von der betroffenen Person selbst zur Verfügung gestellt wird.

Recht auf Widerspruch Auf einen Blick Sofern Daten auf Basis einer Interessensabwägung verarbeitet werden, können betroffene Personen ein Widerspruchsrecht nach Art. 21 DSGVO geltend machen. Im Detail Der Betroffene hat die Möglichkeit, beim Verantwortlichen die Verarbeitung seiner Daten in einem der spezifischen Situation angepassten Maß überprüfen zu lassen. Dieses Widerspruchsrecht bezieht sich vorrangig auf Daten, die im Rahmen einer Interessensabwägung erhoben wurden. Ausnahmen vom Recht auf Widerspruch bestehen bei schutzwürdigen Gründen des Verantwortlichen, wenn die Interessen des Betroffenen nicht überwiegen oder die Verarbeitung der Geltendmachung oder Verteidigung von Rechtsansprüchen dient. Bei einer Verarbeitung zum Zwecke der Werbung muss die Verarbeitung ohne weitere Prüfung eingestellt werden. Es muss nach neuer Rechtslage auch sehr viel deutlicher auf den Widerspruch gegen Werbung hingewiesen werden. Diese Information muss deutlich sichtbar und klar abgrenzbar dargestellt werden. Rechtsgrundlage:

Art. 21 DSGVO § 25 DSG-EKD

Grund: Inhalt

Folgen Praxisbeispiele

168

§ 23 KDG Das Widerspruchsrecht ermöglicht in bestimmten Situationen die Wahrung der informationellen Selbstbestimmung. Falls Daten im Rahmen einer Interessensabwägung verarbeitet werden, können Betroffene widersprechen, insbesondere wenn es sich hierbei um Werbung handelt. Sollte die Verarbeitung der Daten nicht eingestellt werden, besteht das Recht auf Beschwerde bei der Aufsichtsbehörde. –– Interessierte erhalten regelmäßig Postwerbung, ohne dieser zuvor zugestimmt zu haben. Sie können ohne Angabe von Gründen der weiteren Datenverarbeitung und Werbung widersprechen.

3.  Rechte der Betroffenen

4.  Sanktionen & Strafen

Schadensersatzansprüche Bei einer unrechtmäßigen Verarbeitung der Daten steht das Instrument des Schadensersatzanspruchs zur Verfügung. Wenn einer Person ein materieller oder immaterieller Schaden entsteht, besteht nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. 6  https://www.faz.net/-ikh-9frq9 (letzter Abruf 17.12.2018)

Datenschutz in der Pflege

169

Kapitel 4

Bußgelder Mit Einführung der DSGVO und der neuen Kirchengesetze haben sich die Sanktionsmaßnahmen deutlich verschärft. So können Aufsichtsbehörden gemäß Art. 58 Abs. 2 DSGVO Sanktionen verhängen, die sowohl wirksam und verhältnismäßig als auch abschreckend sein sollen. Bußgelder nach der DSGVO können bis zu 20 Millionen EUR oder bis zu 4 Prozent des gesamten weltweit erzielten Umsatzes des Unternehmens im Vorjahr ausmachen, je nachdem, welcher Wert höher ist. Diese enormen Beträge sind vorrangig für große Unternehmen einzuplanen. Zur Drucklegung dieses Buches sind bereits erste Bußgelder festgelegt worden, die sich im fünfstelligen Bereich bewegen. Im Fall eines Krankenhauses mit unzureichenden IT-Sicherheitsmaßnahmen in Portugal wurde sogar ein Bußgeld in Höhe von 6 400.000 EUR verhängt . In den Kirchengesetzen zum Datenschutz ist die Höhe des Bußgelds auf 500.000 EUR begrenzt. Im Geltungsbereich des KDG ist definiert, dass keine Geldbußen gegen Diözese, Kirchengemeinden, Kirchenstiftungen und die Gemeindeverbände verhängt werden, soweit sie nicht als Unternehmen am Markt teilnehmen. Im Bereich der Pflege ist von einer Teilnahme am Wettbewerb jedoch regelmäßig auszugehen. Die Unterschiede bei der Höhe der maximalen Bußgeldforderungen verwirren auf den ersten Blick. Auf der anderen Seite zielen die hohen Forderungen der DSGVO besonders auf multi-nationale Konzerne mit Milliardenumsätzen ab. In Relation zur Größe und Umsatzstärke von Trägern im Bereich Caritas und Diakonie dürfte eine Verhältnismäßigkeit gegeben sein. In jedem Fall sind Verstöße gegen Datenschutzgesetze mit deutlichen Bußgeldern belegt.

Im Datenschutzrecht hat sich mit der DSGVO im Vergleich zum alten BDSG die Beweislast für Schadensersatzansprüche zugunsten des Betroffenen verschoben. Gemäß Artikel 82 DSGVO muss die verantwortliche Stelle nachweisen, dass sie kein Verschulden trifft und dass sie sich bei der Datenverarbeitung rechtskonform verhalten hat. Zum Zeitpunkt der Drucklegung dieses Buches ist noch unklar, welche Schadenshöhen bei Verlust, unbefugter Offenbarung oder einer unrechtmäßigen Verarbeitung personenbezogener Daten anzunehmen sind. Häufig handelt es sich hierbei um immaterielle Schäden, für die ein Schmerzensgeld zu bestimmen sein wird. Geld- und Freiheitsstrafen Ergänzend finden sich im § 42 BDSG Vorschriften, die bei Vorsatz Freiheitsstrafen bis zu drei Jahren oder Geldstrafen vorsehen. Derartige Strafvorschriften können nur auf nationaler Ebene geregelt werden und finden sich daher im Bundesdatenschutzgesetz. Freiheitsstrafen sind jedoch nur bei gewerbsmäßigem Handel oder in bewusster Absicht einer Schädigung oder Bereicherung vorgesehen. In § 203 StGB werden Verstöße gegen die Schweigepflicht geahndet, die, wie im Abschnitt Schweigepflicht dargestellt, auch für Pflegekräfte relevant sein können. Das Strafgesetzbuch sieht bis zu zwei Jahre Freiheitsentzug oder alternativ eine Geldstrafe vor.

170

4.  Sanktionen & Strafen

Stichwortverzeichnis A

B

Backupkonzept 121 Backup-Programme 124 Barbetrag 53 berechtigtes Interesse 157 Berechtigungskonzept 121 Beschilderung 92 besondere Arten von Daten 10 betriebliches Eingliederungsmanagement 87 Betriebssystem 103 Betriebsvereinbarungen 150 Betroffenenrechte 40 Bewegungsprofile 87 Bewerber 80 Bewerberpool 81 Bildaufnahmen 77 Bilder 31 Bildschirmsperre 87 biometrische Daten 103

Datenschutz in der Pflege

Bring your own device 103 Brute Force-Attacke 122 Bundesamt für Sicherheit in der Informationstechnik (BSI) 97 Bundesverfassungsgericht 146 BYOD 103

C

Caritas 145 Chatverläufe 103 Citrix 101 Client 98 Cloud-basierte Systeme 109 Cyber-Kriminalität 126

D

Dateiablage 98 Daten 98 Datenbanken 98 Datengeheimnis 18, 82 Datenschutzbeauftragter 10 Datenschutzerklärung 82 Datenschutz-Folgenabschätzung 10, 34 Datenschutzkontrollen 118 Datenschutzniveau 95 Datenschutzverletzung 114 Datensicherung 99 Datensparsamkeit 155 DECT-Sender 104 DECT-Telefonen 63 Desorientiertenschutzsysteme 107 Diakonie 145 Dienstleister 159 Dienstplan 85 Dienstwagen 90 Digitalisierung 106 Diskretionsabstand 49 Drucker 98, 106

 StichwortVerzeichnis

Abhängigkeitsverhältnis 150 Abwesenheiten 86 Amazon 13, 118 Ambient Assisted Living 107 Android 98 Anfragen 50 Apotheke 52 Apple iOS 103 App-Store 103 Arbeitsvertrag 82 Arbeitszeiten 85 Ärzte 52 Assessments 60 Assistenzsysteme 63 Attest 84 Aufbewahrungsfrist 93 Aufsichtsbehörde 10, 114 Auftragsverarbeitung 28, 159 Ausfall 84 Aushänge 56 Auskünfte 50, 68 Ausweiskopie 82

E

eBay 13, 118 Einsatzplanung 87 Eintrittswahrscheinlichkeit 141 Einwilligung 31, 53, 55, 81, 118, 151, 158, 165

171

E-Learning 18 E-Mail 114 E-Mail-Archivierung 80 Ende-zu-Ende-Verschlüsselung 114 ePrivacy-Verordnung 118 Erforderlichkeit 154 Erforderlichkeitsprinzip 155 Ethernet 106 EuGH 118 Europäischer Gerichtshof (EuGH) 76

F

Interessenten 48 Interessenten & Anfragen 52 Interessentenbogen 66 Internet-Browser 101 iOS 98 IT-Abteilung 11 IT-Dienstleistungen 91 IT-Dokumentation 120 IT-Grundschutz 97 IT-Notfallmanagement 126 IT-Sicherheit 26

Facebook 13, 76, 116, 118 Fahrverhalten 90 Fahrzeug 87 Fahrzeugüberwachung 90 Fanpages 13, 118 Fernwartung 91 Feuer 126 Firewall 98 Fotos 56 Führungszeugnis 82 Funkfinger 73 Funktionsübertragung 160

J

G

L

Gebäudesteuerung 98, 107 Geschäftsführung 11 Google Android 103 GPS 90

H

Hausnotruf 73 Hausnotrufsysteme 107 Heimaufsicht 57 Heimvertrag 52 Homepage 118 Hotspot 104

I

Impressum 13 informationelle Selbstbestimmung 151 Informationspflichten 40 Initiativbewerbung 80 Instagram 76 Integrität 26, 95 Interessensabwägung 157

172

Job-Portale 80

K

Kirchengesetze 145 Kopierer 98, 106 Kopplungsverbot 158 korrigieren 165 Krankenhäuser 48, 66 Krankheit 84, 86 Kündigungsschutz 11 Kunsturhebergesetz 31 Landesdatenschutzgesetze 145 LDSG 145 Licht 98 Lichtrufanlagen 63 Lohnabrechnung 83, 91 Lohnbuchhaltung 83 löschen 165

M

Markt- und Meinungsforschung 10 MDK 57 MDM 103 Medienrecht 118 Medizinischer Dienst der Kranken­ versicherung (MDK) 70 Microsoft Windows 103 Mobile Device Management 103 Mobile Geräte 98 Multifunktionsgeräte 106 Multifunktionssysteme 98

4.  Sanktionen & Strafen

N

Namensschildern 55 NAS-Systeme (Network Attached Storage) 99 Netzwerk 98, 106 Netzwerkdosen 105 Netzwerk-Segmentierung 105 Netzwerk-Technik 104 Notebooks 98 Notfall 73 Notfallzugänge 121 Notrufsysteme 62, 98

O

Offenbarung 149 Öffentlichkeitsarbeit 77 Öffnungsklauseln 144

P

Q

Qualifikation 86 Qualitätsprüfung 57, 58, 70

R

Ransomware 99 Rechenschaftspflicht 15 Recht auf Vergessenwerden 165 Rechtmäßigkeit 154, 158 Rechtsgrundlage 150 Remote Wipe 103 Repeater 104 Risikobewertung 141

Datenschutz in der Pflege

Schadenspotenzial 141 Schulung 18 Schutzziele 133 Schutzziele der IT-Sicherheit 95 Schweigepflicht 149 Schwesternrufsysteme 62, 107 Selbstbestimmungsrecht 146 Sensibilisierung 10, 18 Server 98 Serverraum 99 Sicherheitskonzept 121 Sicherheitslücken 105 Smart Home 107 Smartphones 98 Snapchat 116 Social-Media 13, 76 Sozialdatenschutz 148 soziale Netzwerke 118 Sozialgeheimnis 148 Speicherbegrenzung 155 Spiegelung 99 Stand der Technik 26 Stecktafel 87 Stellenausschreibung 80 Stromausfall 126 Strukturierte Informationssammlung (SIS) 60 Switches 98 Systemausfälle 99

 StichwortVerzeichnis

Papierakten 60 Passwort-Datenbank 121 Patch-Management 106 Personalabteilung 11 Personalverwaltung 83 Persönlichkeitsrecht 146 Pflegedokumentation 60 Pflegeroboter 63 Pflegevertrag 66 Phishing 114 Polizei 92 Port Security 105 Privatgeheimnisse 149

S

T

Tablet 98 technisch-organisatorischen Maßnahmen (ToM) 95 Telefonanlagen 98 Telefonbuch 103 Telematik 90 Terminal-Dienste 101 Therapeuten 52 Thin Clients 98 ToM 26 Ton 31 Tourenplanung 87 Tracking 13, 87

173

Transparenz 154 Transponder 85 Transponder/Chipkarte 107 Twitter 76

U

Urlaub 86

V

Verarbeitung 57 Verbraucherrechte 118 Verfügbarkeit 26, 95 Verkabelung 98 Verpflichtung 82 Verschlüsselung 99, 114 Verschlüsselungstrojaner 99 Vertraulichkeit 26, 49, 82, 95 Verwahrgeldkonto 53 Videoaufnahmen 31 Videokameras 34 Videoüberwachung 34, 92, 107 Videoüberwachungssysteme 98 Volkszählungsurteil 146

W

Wasserschäden 126 Weisungsgebundenheit 160 Wettbewerbsrecht 118 WhatsApp 116 Widerspruch 165 WLAN 106 WLAN-Hotspot 104 Wunddokumentation 72

Y

YouTube 13, 118

Z

Zeiterfassung 85, 98 Zutrittssteuerung 107 Zweckbindung 155 Zweckbindungsgebot 154

174

4.  Sanktionen & Strafen

Herausgeber Thomas Althammer ist studierter Wirtschaftsinformatiker und seit Mitte der 90er-Jahre in der Gesundheits- und Sozialwirtschaft aktiv. Zusammen mit seinem 25-köpfigen Team berät er Träger und Einrichtungen im Bundesgebiet zu den Themen Datenschutz, Informationssicherheit und IT-Compliance, u. a. in der Funktion als externer Datenschutzbeauftragter im Umfeld von Diakonie, Caritas und privaten Trägern. Weitere Autoren Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock

 Herausgeber

Datenschutz in der Pflege

175

EA