Ihre Kontakte
Die norwegische Datenschutzbehörde hat in einem kürzlich ergangenen Entscheid festgehalten, dass das Østfold HF Krankenhaus von 2013 bis 2019 über ein ungenügendes System zur Aufbewahrung von Patientenakten verfügte. Namentlich war für mehrere Listen mit Gesundheitsdaten keine angemessene Zugangskontrolle eingerichtet und Zugriffe darauf wurden nicht protokolliert. Die Datenschutzbehörde spricht dafür eine Busse von 750’000 NOK (ca. 80’000 CHF) aus und verlangt vom Østfold HF Krankenhaus, die Systeme entsprechend nachzubessern. Der Bussgeldentscheid zeigt einmal mehr, dass bei Gesundheitsdaten ein verstärktes Augenmerk auf die Einhaltung der datenschutzrechtlichen Vorgaben gelegt werden muss.
Meldung durch das Krankenhaus als Ausgangspunkt der Untersuchung
Die Inspektion des Østfold HF Krankenhauses (Krankenhaus) durch die norwegische Datenschutzbehörde wurde durch eine Selbstanzeige des Krankenhauses im Januar 2019 ausgelöst. Im Vordergrund stand dabei, dass im Zeitraum zwischen 2013 und 2019 verschiedene Daten nicht mit einem angemessenen System für Zugangskontrollen versehen waren und ausserhalb der Sicherheitszone («outside the safe zone») gespeichert wurden. Ausserdem wurden Zugriffe auf die Daten nicht aufgezeichnet. Es zeigte sich, dass potentiell 118 Mitarbeitende des Krankenhauses Zugriff auf die Daten hatten, wobei die meisten Mitarbeiter weder einen offiziellen noch einen berechtigten Grund für einen entsprechenden Zugriff hatten. Mit anderen Worten hätten diese Mitarbeiter eigentlich keine Zugriffsberechtigung haben dürfen, weil ein solcher für die Erledigung ihrer Aufgaben nicht notwendig gewesen wäre.
Bei den betroffenen Daten handelte es sich gemäss der Pressemitteilung mitunter um Auszüge aus Patientenakten und damit Gesundheitsdaten, welche als besondere Kategorien von personenbezogenen Daten und damit als besonders schützenswert eingestuft werden. Konkret waren folgende Daten betroffen:
- Eine stets aktuell gehaltene RfD- («Ready for Discharge»; Patientenaustritte) Liste mit ungefähr 25-30 Patienten. Die Liste wurde alle 15 Minuten aktualisiert.
- Eine historische RfD-Liste von 2013 bis 2019, mit 13’800 Patienten.
- Zwei Listen mit nationalen Identifikationsnummern und Eintrittsgründen von ungefähr 30 Patientinnen und Patienten.
Die Listen enthielten jeweils demographische Informationen wie Name, Geburtsdatum, Wohnort, sowie weitere Informationen zu Verlegungen der Patienten. Die beiden letztgenannten Listen beinhalteten wie dargelegt die nationalen Identifikationsnummern und Eintrittsgründe der Patientinnen und Patienten.
Beurteilung der Datenschutzbehörde
In ihrem Entscheid vom 22. Oktober 2020 hat die norwegische Datenschutzbehörde die nachfolgenden Verstösse festgestellt. Neben Verletzungen der Europäische Datenschutz-Grundverordnung (DSGVO) hat die norwegische Datenschutzbehörde auch Verletzungen des norwegischen Gesetzes über Patientenakten aufgedeckt.
- Mangelnde Zugangskontrolle:
Die bereits erwähnte fehlende Zugangskontrolle beim Zugriff auf die Patientenakten beurteilt die Datenschutzbehörde als ungenügende technische und organisatorische Massnahme zum Schutz von personenbezogenen Daten im Sinne der DSGVO (Art. 32 DSGVO). Dabei war es für die Datenschutzbehörde insbesondere entscheidend, dass 118 Mitarbeitende des Krankenhauses ohne offiziellen und berechtigten Grund die Möglichkeit gehabt hätten, auf die Daten zuzugreifen. Nicht von Bedeutung sei die vom Krankenhaus angebrachte Tatsache, dass die entsprechenden Mitarbeitenden eine Vertraulichkeitserklärung unterzeichnet hätten. Die Datenschutzbehörde führt diesbezüglich an, dass die Mitarbeitenden keinen Zugriff auf Daten haben dürfen, welche sie nicht zwingend benötigen (sog. need-to-know-Prinzip) und zwar unabhängig davon, ob eine Vertraulichkeitserklärung unterschrieben wurde oder nicht. - Fehlende Protokollierung:
Ebenfalls als ungenügende technische und organisatorische Massnahme und damit als Verstoss gegen die Datensicherheit (Art. 32 DSGVO) wertete die Datenschutzbehörde, dass das Krankenhaus die Zugriffe auf die Daten nicht protokollierte. Dadurch sei das Krankenhaus nicht in der Lage gewesen, potentiell unbefugte Zugriffe auf die Daten aufzudecken und ggf. notwendige Massnahmen einzuleiten. - Mangelndes internes Kontrollsystem (IKS):
Die Datenschutzbehörde bemängelt ferner, dass das Krankenhaus die Zugänge zu den entsprechenden Daten im besagten Zeitraum nicht regelmässig überprüft habe. Die Verantwortlichen sollten gemäss der Datenschutzbehörde jederzeit einen Überblick über die Zugangskontrollen haben. Gewertet hat die Datenschutzbehörde dies als Verstoss gegen die Sicherheit einer Verarbeitungstätigkeit (Art. 32 und Art. 5 (1) (f) und (2) DSGVO). - Fehlende Datenlöschung:
Ferner hat das Krankenhaus gemäss der Datenschutzbehörde zu viele Daten gespeichert. So seien während dem angegebenen Zeitraum zwischen 2013 und 2019 Daten gespeichert worden, welche nicht mehr notwendig waren. Damit habe das Krankenhaus gegen das Prinzip der Speicherbegrenzung verstossen (vgl. Art. 32, Art. 24 und 5 Abs. 1 lit. e DSGVO). - Mangelhafte Integrierung von datenschutzfreundlichen Voreinstellungen:
Die Datenschutzbehörde bemängelt ferner, dass das Krankenhaus den Schwerpunkt zu wenig auf die Integrierung von datenschutzfreundlichen Voreinstellungen gelegt habe (sog. Privacy by Default/Privacy by Design). Namentlich wird eine mangelhafte Implementation bei der Extraktion gewisser Berichte aus den Patientenakten genannt. Die Datenschutzbehörde kommt damit zum Schluss, dass das Krankenhaus den Anforderungen an den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nicht genügt habe (vgl. Art. 25 DSVGO, Art. 32 und Art. 24 DSVGO). - Mangelhaftes Verzeichnis der Verarbeitungstätigkeiten:
Schliesslich führt die Datenschutzbehörde aus, dass das Krankenhaus beim Erstellen der oben genannten Berichte die Anforderungen der DSGVO bezüglich des Verzeichnisses von Verarbeitungstätigkeiten nicht erfüllt habe (vgl. Art. 30 DSVGO). Inwiefern das Verzeichnis aber mangelhaft war, ist nicht gänzlich klar. Es muss davon ausgegangen werden, dass insbesondere Pflichtinformationen gefehlt haben.
Zusätzlich geht die Datenschutzbehörde auf die Massnahmen ein, welche das Krankenhaus als Sofortmassnahmen selbstständig eingeführt hatte. Dabei führt die Datenschutzbehörde allerdings lediglich aus, dass sie der Ansicht sei, dass das Krankenhaus trotz getroffener Massnahmen noch immer keine genügenden Zugangskontrollen und Speicherroutinen implementiert habe. So sei das aktuelle System des Krankenhauses weiterhin nicht dazu geeignet, ähnliche Vorfälle in der Zukunft zu verhindern.
Datenschutzbehörde spricht Busse aus und auferlegt Massnahmen
Vor dem Hintergrund der obigen Verletzungen der Datenschutzbestimmungen, insbesondere der Bestimmungen zur Datensicherheit, auferlegte die Datenschutzbehörde dem Krankenhaus eine Busse in der Höhe 750’000 NOK (ca. 80’000 CHF).
Ausserdem muss das Krankenhaus ein System einrichten, welches geeignet ist die Anforderungen der Datenschutz-Grundverordnung vollständig zu erfüllen. Die Datenschutzbehörde weist in diesem Zusammenhang darauf hin, dass genügende Zugangskontrollen für besondere Kategorien von personenbezogenen Daten eingerichtet werden müssen und dass Zugriffe auf diese Daten protokolliert werden müssen. Diese Massnahmen müssen nicht nur zum Schutz der personenbezogenen Daten geeignet sein, sondern auch dem aktuellen Stand der Technik entsprechen und periodisch überprüft werden.
Fazit und Bedeutung für die Schweiz
Die DSGVO ist in sehr vielen Konstellationen auch im Schweizer Gesundheitswesen relevant. Darüber hinaus gelten die hier betroffenen Anforderungen zu einem wesentlichen Teil bereits heute im Schweizer bzw. kantonalen Recht. So sind auch in der Schweiz erhöhte gesetzliche Anforderungen bei der Bearbeitung von Gesundheitsdaten zu beachten, gelten diese doch auch hierzulande als besonders schützenswerte Daten. Die höheren Anforderungen betreffen nicht zuletzt auch die die Datensicherheit. Der Entscheid ruft nicht nur die elementaren Vorgaben wie z.B. die Errichtung von Zugangskontrollen oder der Protokollierung von Zugriffen in Erinnerung, sondern unterstreicht auch, dass eine regelmässige periodische Überprüfung der implementierten technischen und organisatorischen Massnahmen unabdingbar ist. Dies ist gerade auch deshalb von grosser praktischer Bedeutung, weil künftig auch das revidierte Schweizer Datenschutzgesetz die Verletzung der Mindestanforderungen an die Datensicherheit, welche durch den Bundesrat definiert werden, mit Sanktion belegt (Art. 61 lit. b revDSG; MLL-News vom 19.10.2020).
Weitere Informationen:
- Entscheid der norwegischen Datenschutzbehörde vom 22. Oktober 2020
- Medienmitteilung des European Data Protection Board vom 25. November 2020
- EU Datenschutz-Grundverordnung (DSGVO)
- Norwegisches Gesetz über Patientenakten vom 20. Juni 2014 (pasientjournalloven)
- MLL-News vom 19.10.2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»