Auf Mastodon teilen

Sehr geehrte Damen und Herren, meine Informationsanfrage „Datenaustausch zwischen Kliniken und Forschungsförderung - Charité Berlin“ vom 13.10.2018 (#34030) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 23 Tage überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Vielen Dank! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 34030 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in

Sehr geehrte Damen und Herren, haben Sie verstanden, das in der Charité schwere Datenschutzmängel bestehen und dies so nicht ohne Einverständnis des Patienten praktiziert werden darf? Sie tragen so dazu bei, dass das größte Krankenhaus Europas nichts ändert, wenn es Millionen trotz Gesetzwidrigkeiten erhält. Würden Sie unterschreiben, dass im Rahmen des Projekts, das Sie mit Millionen fördern, nicht wider die Gesetzeslage mit Patientendaten umgegangen wird? Bitte beantworten Sie die Frage, ob die Patienten für die Verwendung und Verarbeitung Ihrer Daten auf diese Art um ihr Einverständnis gebeten werden müssten oder nicht und ob die Charité das getan hat? Freundliche Grüße Antragsteller/in Antragsteller/in Aus Wortprotokoll Öffentliche Sitzung Unterausschuss für Datenschutz, Informationsfreiheit und zur Umsetzung von Artikel 13 Abs. 6 GG sowie § 25 Abs. 10 ASOG des Innenausschusses Sitzung 3. April 2017 https://www.parlament-berlin.de/ados/18… Zitate aus dem Protokoll: Dr. Ulrich Vollmer (BlnBDI): Herzlichen Dank! – Ich möchte auf drei Punkte eingehen, zum einen auf den Zugriff auf Patientendaten innerhalb der Charité. Nur ganz kurz: Wir waren mit der Charité in einem sehr ausführlichen Dialog. Es wurde von Seiten der Charité ein entsprechendes Zugriffskonzept entwickelt. Wir waren damit nicht 100-prozentig, aber zu 90 Prozent glücklich. Es wurde allerdings leider nicht umgesetzt. Wir sind aber im Augenblick in der Situation: Natürlich wird an der Charité etwas inder IT getan, natürlich werden neue Verfahren eingeführt. Das gehört zu dem Geschäft der Charité dazu. Diese Einführungen entsprechen im Augenblick nicht dem geltenden Recht. Einhäupl: "Wir müssen uns darüber im Klaren sein, dass es in der Charité und auch in anderen Bereichen keinen hundertprozentigen Schutz im Sinne von Datensicherheit gibt, sondern wir werden immer eine Balance finden müssen zwischen dem, was wir tun müssen, um unsere Patienten und deren Daten und oftmals auch die Institutionen zu schützen, und auf der anderen Seite tun müssen, um uns in irgendeiner Weise in die Lage zu versetzen, die Aufgaben, die wir zum Teil auch von Ihnen gestellt bekommen, noch zu erfüllen. Herr Kohlmeier! Was mich – ich möchte jetzt nicht sagen: auch schockiert hat – berührt hat, das war Ihre Formulierung, es habe Sie „schockiert“. Ich möchte jetzt mal ganz frech behaupten, aber würde das gern noch von den Experten ausführen lassen: Wir haben Probleme, das ist überhaupt keine Frage. Das spielen wir auch nicht herunter, und damit sind wir auch immer offen umgegangen. Aber Ihre Formulierung, das sei schockierend, würde ich nicht ganz so übernehmen. Wir haben, auch seitdem wir von der Datenschutzbeauftragten kritisiert worden sind, eine Menge in die Wege geleitet, um Abhilfe zu schaffen. Letztlich gibt es keine Begrenzung nach oben, was den Bedarf des Datenschutzes anbelangt. Es wurde die Frage gestellt, wie viele Ressourcen wir in diesen Bereich investieren. Die Antwort lautet: Ich würde gern noch viel mehr Ressourcen investieren, aber am Ende müssen wir das auch irgendwie finanzieren können und in Relation zu anderen Problembereichen an der Charité setzen." Bernd Schlömer (FDP): Ich mache es etwas kürzer: Die Charité will ich natürlich nicht schließen, das war insoweit eine eher rhetorische Frage. Ich versuche es mal anders herum: Herr Staatssekretär! Teilen Sie die Auffassung, dass es sich bei der Charité um eine kritische Infrastruktur handelt, und teilen Sie die Auffassung, dass Sie bezüglich relevanter Sicherheitsmängel nach IT-Sicherheitsgesetzgebung meldepflichtig sind? Wie schätzen Sie das ein? Glauben Sie, dass das Fehlen eines IT-Sicherheitskonzeptes ein relevanter Sicherheitsmangel und daher auch meldepflichtig nach der Maßgabe des IT-Sicherheitsgesetzes ist? Vorsitzender Tom Schreiber: Herr Vallendar! Marc Vallendar (AfD): Danke, Herr Vorsitzender! – Ich wollte Kollegen Kohlmeier korrigieren. Wir sind mittlerweile sechs Fraktionen, die das beantragt haben, es sei denn, ich habe nicht mitbekommen, dass die Linksfraktion und die SPD schon verschmolzen sind. – [Sven Kohlmeier (SPD): Ich habe „alle Fraktionen“ gesagt] – Das können wir im Protokoll nachlesen. Kollege Schrader! Es ist erstaunlich: Die Linksfraktion erkennt die Einhaltung des geltenden Rechts als wichtigen Grundsatz an. – Das ist korrekt, doch wir haben hier eine missliche Situation. Wir haben auf der einen Seite die Landesdatenschutzbeauftragte, die Rechtsverstöße erkennt und vorgetragen hat. Auf der anderen Seite haben wir die Rechtsauffassung der Charité, die jetzt sogar einen eigenen Gutachter beauftragt hat. Ich persönlich will nicht den Austausch und die Daten bewerten – welche Seite in der Hinsicht recht hat –, aber es ist eine missliche Lage. Die Charité möchte, dass die Vorschriften des Landeskrankenhausgesetzes geändert werden, und es bleibt zu befürchten, dass die Lage bei anderen Berliner Krankenhäusern ähnlich ist. Deshalb meine abschließende Frage: Inwiefern hat man eigentlich schon geprüft, ob es außer der Charité vielleicht auch bei anderen Krankenhäusern in Berlin solche Missstände gibt ? Man hat jetzt zwei Möglichkeiten: Entweder ändert man das Landeskrankenhausgesetz. Das geht dann zulasten des Datenschutzes. Das werden vielleicht einige Datenschützer nicht gut finden. Oder – das ist natürlich die Konsequenz – man muss der Datenschutzbeauftragten oder der Aufsichtsbehörde gewisse Befugnisse einräumen, die Fristsetzungen, Ordnungsgelder und Ähnliches – nicht unbedingt gleich die Schließung des Krankenhauses – ermöglichen. Entweder man installiert eine Rechtsvorschrift, an die sich alle zu halten haben, dann muss es Sanktionen geben, wenn man sich nicht daran hält. Ansonsten kann man die Vorschrift eigentlich gleich wieder streichen. Wenn es keine Verpflichtung gibt, rechtlich irgendetwas umzusetzen oder wenn der Verstoß dagegen keine Folgen hat, dann können wir hier sehr lange diskutieren. Die Charité kann beteuern, sie werde dies und das abstellen, und die Datenschutzbeauftragte wird immer wieder sagen, da müsse nachgebessert werden, aber das wird im Ergebnis weder dem Datenschutz helfen noch der Rechtsstaatlichkeit. Insofern muss hier eine Entscheidung getroffen werden vonseiten des Senats, in welche Richtung das nun gehen soll, ob es mehr Datenschutz geben soll oder mehr Beinfreiheit für die Krankenhäuser und die Charité, die ja schon vorgetragen hat, dass mit erheblichen Kosten an dieses Problem heranzugehen ist. Dann habe ich eine weitere Frage neben der Situation in anderen Krankenhäuser: Welche Schritte plant jetzt der Senat? Wie will er im Zusammenhang mit dem Fall der Charité weiter vorgehen? Will man eine Gesetzesänderung machen, will man alles so lassen, wie es ist, oder will man erst mal abwarten, wie der Fall der Charité sich entwickelt? – Danke! Ausschuss für Kommunikationstechnologie und Datenschutz 8. Sitzung 19. Februar 2018 Beginn: 15.03 Uhr Schluss: 17.04 Uhr Vorsitz: Ronald Gläser (AfD) Herr Einhäupl! Als Sie das erste Mal bei uns im Ausschuss gesessen haben, haben Sie deut-lich gemacht, dass Sie Spitzenforschung und Spitzenmedizin machen. Da bin ich völlig bei Ihnen. Das machen Sie großartig. Mein Problem ist bloß: Die machen Sie dann nicht mehr, wenn Sie den Datenschutz vernachlässigen, weil letztendlich der Datenschutz ein ebenso wichtiges Thema wie die Spitzenforschung und die Spitzenmedizin, die Sie tatsächlich machen. Ich habe Ihnen schon beim letzten Mal, als Sie hier waren, gesagt, dass ich die Erwar-tungshaltung habe, dass Sie das mit dem Datenschutz ernst nehmen und sich um den Daten-schutz zumindest so kümmern, dass wie bei jedem anderen Unternehmen mittlerer Art und Güte bei Ihnen in der Charité der Datenschutz erfüllt wird. Nach dem, was wir in der letzten Sitzung gehört haben, habe ich den Eindruck, dass das nicht passiert. Ich sehe die tatsächlichen Schwierigkeiten, die Sie natürlich haben. Im Datenschutzbericht steht: „Ein Tanker versucht umzusteuern!“, und wir alle wissen, wie schwierig so etwas ist, weil in den letzten Jahren bei Ihnen vieles liegengeblieben ist. Ich sehe auch die Schwierig-keit, dass Sie vor dem Hintergrund der EU-Datenschutz-Grundverordnung ein Problem damit haben, Mitarbeiter und qualifiziertes Personal zu finden. Aber ich sage Ihnen auch ganz ehr-lich: Das ist nicht mein Problem, das ist Ihr Problem. Jedes Unternehmen in Deutschland muss sich darum kümmern, den Datenschutz einzuhalten, und jedes Unternehmen in Deutschland muss sich darum kümmern, die EU-Datenschutz-Grundverordnung dann ab Mai 2018 einzuhalten. Da lässt sich meines Erachtens nicht nach dem Motto argumentieren: Okay, wir kümmern uns mal mehr um Spitzenforschung und Spitzenmedizin – die ist sicher ohne Ende wichtig für Berlin –, vernachlässigen aber den Datenschutz! Maja Smoltczyk (Berliner Beauftragte für Datenschutz und Informationsfreiheit): Vielen Dank! – Wie haben heute ja auch die Antworten auf die Anfragen bekommen, die von der Fraktion Bündnis 90/Die Grünen gestellt worden sind, und haben uns das angeschaut. Wir haben dazu natürlich einiges anzumerken. Erst einmal möchte ich vorausschicken – das habe ich beim letzten Mal auch schon gesagt –, dass ich mich freue, wenn es bei der Charité-Leitung jetzt so ist, dass der Datenschutz als Führungsaufgabe anerkannt ist. Denn das ist genau das, was die EU-Datenschutz-Grundverordnung voraussetzt. Es ist also nicht mehr so, dass man den Datenschutz auf einzelne Techniker abschieben kann, sondern die EU-Datenschutz-Grundverordnung setzt fest, dass tatsächlich die Führungsspitzen von Unternehmen und Verwaltungen das als eigene Aufgabe haben und die Aufgabe haben, ihre Betriebe so weit hochzurüsten, dass sie datenschutzgrundverordnungstauglich sind. Wir haben uns, wie gesagt, diese Antworten angeschaut und haben gewisse Zweifel, ob das so zu schaffen ist. Das sind Mammutaufgaben, die sich dahinter verbergen. Das muss man einfach sagen. In der Tat glaube ich auch, dass das für 15 Vollzeitkräfte eine riesige Herausfor-derung wäre. Es wäre schön, wenn es tatsächlich 15 Vollzeitkräfte sind. Nach unseren Infor-mationen ist das nicht der Fall. Also es sind, glaube ich, Personen, die auch andere Aufgaben haben und nicht komplett für diese Aufgabe freigestellt sind. Insofern sind diese 15 Vollzeitkräfte mit einem Fragezeichen zu versehen. Zum Zeitplan: Ich würde mich sehr freuen, wenn Sie das schaffen würden und uns tatsächlich zum 25. Mai das als erfüllt vorweisen könnten. Ich halte das für ein sehr sportliches Vor-haben, weil die Charité ein riesiger Betrieb ist mit einer Vielzahl von Verfahren, die entspre-chend angepasst werden müssen. Aber okay, das werden wir abwarten. Aber wir stellen auch fest, dass in diesem Zeitplan bestimmte Dinge gar nicht vorgesehen sind. Das allerdings gibt mir zu denken. Wenn ich sehe, dass dort die Entwicklung spezifischer Sicherheitskonzepte und Risikoanalysen fehlt, die im Grunde genommen die Voraussetzung für diesen Zeitplan sind und die vorher geschaffen werden müssen, bevor man dazu übergehen kann, diesen Zeit-plan abzuarbeiten, so gibt mir das sehr zu denken. In dem Zeitplan ist auch nicht die Umset-zung technisch-organisatorischer Maßnahmen vorgesehen. Es nützt nichts oder reicht nicht aus, technisch-organisatorische Maßnahmen zu definieren und festzulegen, sondern sie müssen auch umgesetzt werden, und das ist etwas, was auch nicht von heute auf morgen geht, sondern das ist eine Aktion, die sehr viel Zeit erfordert. Die dezentralen Verfahren sind in diesem Zeitplan überhaupt nicht vorgesehen. Das ist ein riesiges Problem. Es geht also nicht nur um die zentralen Verfahren, sondern auch um dezentrale Verfahren. Es geht um Medizintechnik. Medizintechnik muss datensicher sein. Sie muss immer auf dem aktuellen Stand sein. Also das ist auch etwas, das sehr zeitaufwendig ist und hier gar nicht auftaucht. Ich drücke Ihnen die Daumen, dass Sie den Zeitplan einhalten kön-nen, habe aber gewisse Zweifel. Zu den Einzelheiten würde ich gern noch Herrn Dr. Vollmer das Wort geben, der das im Detail noch näher ausführen kann. – Vielen Dank! Dr. Ulrich Vollmer (BlnBDI): Vielen Dank! – Vollmer mein Name. Ich bin Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit und u. a. für die Kon-trolle der Verarbeitung von Gesundheitsdaten zuständig. – Wir haben hier in Nr. 1 eine sum-marische Zusage, dass zum Geltungstag 25. Mai 2018 die Bestimmungen der Datenschutz-Grundverordnung eingehalten werden. Wir würden uns wirklich sehr freuen, wenn das gelingt. Das ist ein anspruchsvolles Ziel angesichts – erstens – der Komplexität in der Charité und – zweitens – der noch bestehenden Defizite. Im Gegensatz zu dem, was Sie, Herr Prof. Einhäupl, gesagt haben, geht es nicht nur um das Verfahrensverzeichnis. Das haben Sie natürlich als einen Punkt berechtigterweise in dem Arbeitsplan mit drin. Das ist gut, und da würde ich in der Tat hoffen, dass Sie den Zeitplan bis zum 14. Mai, der ja jetzt hier aufgeschrieben ist, einhalten. Wir werden uns zum 14. Mai auch anschauen, ob wir jetzt tatsächlich eine Übersicht darüber haben, was an der Charité alles getan wird und was wir hinterher auch prüfen können. Wir haben vor, uns tatsächlich auch einzelne Verfahren anzuschauen. Das war ja das, wie wir in die ganze Situation gekommen sind. Wir wollten die Charité in einzelnen Aspekten prüfen und uns eine Übersicht verschaf-fen, wozu eben halt dieses Verfahrensverzeichnis lediglich ein Hilfsmittel ist, und wir stellten fest, dass es das nicht in einer Form gibt, dass man es nutzen kann, weil es weite Lücke aufwies. Sie haben hier weitere Schritte aufgeführt. Hier ist ein zentrales Sicherheitskonzept genannt. Das ist gut. Das ist die Grundlage. Dann führen Sie in Punkt Nr. 3 weiterhin auf, dass das mit spezifischen Sicherheitskonzepten ergänzt werden muss, die aber in dem Arbeitsplan gar nicht auftauchen. Es ist natürlich richtig, dass Sie diese brauchen, aber Sie brauchen sie nicht nur für die Erfüllung des BSI-Gesetzes, das Ihnen als Betreiber einer kritischen Infrastruktur besondere Pflichten auferlegt, sondern Sie brauchen sie auch für den Datenschutz selbst. Also diese Maßnahmen, die Sie unter Nr. 3 aufgeführt haben, brauchen Sie auch unter Nr. 2. Dazu gehören die Risikoanalysen. Das ist ganz klar, wie auch schon ausgeführt wurde. Wie will man denn Risiken behandeln, wenn man nicht weiß, welche man hat? – Es ist also der Anfangspunkt, dass man sich darüber Gedanken machen muss: Wie sieht es denn aus? Wel-che Probleme können denn überhaupt auftreten? – Das sind natürlich die Sachen, die Sie beschrieben haben. Das mit der silbernen Scheibe, die jemand hinausträgt, ist eher unwahr-scheinlich, so hoffe ich. Mir macht aber durchaus Sorge, dass wir in der Charité vorgefunden haben, dass – ich sage mal – private Rechner einfach so an das Netz angeschlossen werden können, wo natürlich dann auch die Gefahr besteht, dass über solche Wege dann Daten – ob nun auf einer silbernen Scheibe oder auf der Festplatte eines transportablen Computers – aus der Charité herausgetragen werden. Dann gibt es ferner die Möglichkeit, was wir alle im Blick haben und was, wie gerade er-wähnt, auch in Norwegen ein Problem war, dass wir Angriffe von dritter Seite zu gewärtigen haben. Die Charité hat nicht nur sensible Daten, sondern auch noch Daten von Personen, die einem erhöhten Interesse ausgesetzt sind. Demzufolge gibt es von dritter Seite auch hundert-prozentig Bestrebungen, dieser Daten habhaft zu werden. Solche Bestrebungen wurden noch nicht festgestellt, wie uns mitgeteilt wurde. Ehrlich gesagt, ist das eher ein Grund der Sorge. Das bedeutet nämlich für mich, dass man gar nicht merkt, wenn versucht wird, entsprechende Schwachstellen auszunutzen. Nach dem, was wir bis jetzt gesehen haben, bestehen einige dieser Schwachstellen. Also dort haben wir zwei wesentliche Punkte, die Sie abarbeiten müssen, um dann zum 25. Mai, so hoffen wir, die Bestimmungen der Datenschutz-Grundverordnung einzuhalten. Die anderen Punkte, die Sie hier aufgeführt haben, sind gut und sehr positiv einzuschätzen. Hier steht aber auch so ein Punkt wie Datenschutzfolgeabschätzung, und ich entnehme dann dem nächsten Punkt, dass hier ein Handlungsleitfaden geplant ist, dass also geplant ist, wie man die machen soll. Das ist gut und richtig, und ich wünschte mir, alle Stellen in Berlin würden sich einen entsprechenden Handlungsleitfaden erstellen. Was Sie als Charité aber natürlich brauchen, sind durchgeführte Datenschutzfolgeabschätzungen. Wenn Sie nämlich Verfahren ohne eine entsprechende Risikobetrachtung eingeführt haben, dann müssen Sie diese Risikobetrachtung nachholen, und das müssen Sie dann entsprechend den Anforderungen tun, die das neue Recht an Sie stellt. Da gibt es genaue Vorschriften, wie man vorgeht und wann man gegebenenfalls auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit involvieren muss. Hier würden wir uns mehr vorstellen als einen Handlungsleitfaden, sondern tatsächlich Aktivitäten, die sich auf die Ausführung von solchen Datenschutz-folgeabschätzungen ausrichten. Wie schon angedeutet sind nicht nur die zentralen Verfahren von Belang, sondern insbeson-dere auch die dezentralen Verfahren. Was meinen wir damit? – Damit meinen wir gerade die vielen verschiedenen kleinen Forschungsvorhaben, die es an der Charité gibt. Auch wenn sie klein sind und auch wenn sie vielleicht keine Mittel aus dem zentralen Fundus der Charité bekommen, so verarbeiten sie dennoch unter Umständen große Datenmengen oder sehr sensible Daten. Das heißt, auch dieser Aspekt muss mit abgebildet sein, damit wir auch in dem Bereich sicher sind, dass die Charité alle ihre Anforderungen erfüllt hat. Das betrifft sowohl die Datensicherheit, aber natürlich auch die anderen Aspekte. Datensicherheit ist ja nur ein Aspekt. Es ist der, der hier gerade aufgetaucht ist. Aber es gehört bei der Datenschutzfolgeabschätzung zumindest mit dazu, dass man sich auch über die anderen Aspekte der Rechtmäßigkeit der ausgeführten Datenverarbeitung Gedanken macht. Anfragenr: 34030 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in

Sehr geehrte Damen und Herren, haben Sie verstanden, das in der Charité schwere Datenschutzmängel bestehen und dies so nicht ohne Einverständnis des Patienten praktiziert werden darf? Sie tragen so dazu bei, dass das größte Krankenhaus Europas nichts ändert, wenn es Millionen trotz Gesetzwidrigkeiten erhält. Würden Sie unterschreiben, dass im Rahmen des Projekts, das Sie mit Millionen fördern, nicht wider die Gesetzeslage mit Patientendaten umgegangen wird? Bitte beantworten Sie die Frage, ob die Patienten für die Verwendung und Verarbeitung Ihrer Daten auf diese Art um ihr Einverständnis gebeten werden müssten oder nicht und ob die Charité das getan hat? Freundliche Grüße Antragsteller/in Antragsteller/in Aus Wortprotokoll Öffentliche Sitzung Unterausschuss für Datenschutz, Informationsfreiheit und zur Umsetzung von Artikel 13 Abs. 6 GG sowie § 25 Abs. 10 ASOG des Innenausschusses Sitzung 3. April 2017 https://www.parlament-berlin.de/ados/... Zitate aus dem Protokoll: Dr. Ulrich Vollmer (BlnBDI): Herzlichen Dank! – Ich möchte auf drei Punkte eingehen, zum einen auf den Zugriff auf Patientendaten innerhalb der Charité. Nur ganz kurz: Wir waren mit der Charité in einem sehr ausführlichen Dialog. Es wurde von Seiten der Charité ein entsprechendes Zugriffskonzept entwickelt. Wir waren damit nicht 100-prozentig, aber zu 90 Prozent glücklich. Es wurde allerdings leider nicht umgesetzt. Wir sind aber im Augenblick in der Situation: Natürlich wird an der Charité etwas inder IT getan, natürlich werden neue Verfahren eingeführt. Das gehört zu dem Geschäft der Charité dazu. Diese Einführungen entsprechen im Augenblick nicht dem geltenden Recht. Einhäupl: "Wir müssen uns darüber im Klaren sein, dass es in der Charité und auch in anderen Bereichen keinen hundertprozentigen Schutz im Sinne von Datensicherheit gibt, sondern wir werden immer eine Balance finden müssen zwischen dem, was wir tun müssen, um unsere Patienten und deren Daten und oftmals auch die Institutionen zu schützen, und auf der anderen Seite tun müssen, um uns in irgendeiner Weise in die Lage zu versetzen, die Aufgaben, die wir zum Teil auch von Ihnen gestellt bekommen, noch zu erfüllen. Herr Kohlmeier! Was mich – ich möchte jetzt nicht sagen: auch schockiert hat – berührt hat, das war Ihre Formulierung, es habe Sie „schockiert“. Ich möchte jetzt mal ganz frech behaupten, aber würde das gern noch von den Experten ausführen lassen: Wir haben Probleme, das ist überhaupt keine Frage. Das spielen wir auch nicht herunter, und damit sind wir auch immer offen umgegangen. Aber Ihre Formulierung, das sei schockierend, würde ich nicht ganz so übernehmen. Wir haben, auch seitdem wir von der Datenschutzbeauftragten kritisiert worden sind, eine Menge in die Wege geleitet, um Abhilfe zu schaffen. Letztlich gibt es keine Begrenzung nach oben, was den Bedarf des Datenschutzes anbelangt. Es wurde die Frage gestellt, wie viele Ressourcen wir in diesen Bereich investieren. Die Antwort lautet: Ich würde gern noch viel mehr Ressourcen investieren, aber am Ende müssen wir das auch irgendwie finanzieren können und in Relation zu anderen Problembereichen an der Charité setzen." Bernd Schlömer (FDP): Ich mache es etwas kürzer: Die Charité will ich natürlich nicht schließen, das war insoweit eine eher rhetorische Frage. Ich versuche es mal anders herum: Herr Staatssekretär! Teilen Sie die Auffassung, dass es sich bei der Charité um eine kritische Infrastruktur handelt, und teilen Sie die Auffassung, dass Sie bezüglich relevanter Sicherheitsmängel nach IT-Sicherheitsgesetzgebung meldepflichtig sind? Wie schätzen Sie das ein? Glauben Sie, dass das Fehlen eines IT-Sicherheitskonzeptes ein relevanter Sicherheitsmangel und daher auch meldepflichtig nach der Maßgabe des IT-Sicherheitsgesetzes ist? Vorsitzender Tom Schreiber: Herr Vallendar! Marc Vallendar (AfD): Danke, Herr Vorsitzender! – Ich wollte Kollegen Kohlmeier korrigieren. Wir sind mittlerweile sechs Fraktionen, die das beantragt haben, es sei denn, ich habe nicht mitbekommen, dass die Linksfraktion und die SPD schon verschmolzen sind. – [Sven Kohlmeier (SPD): Ich habe „alle Fraktionen“ gesagt] – Das können wir im Protokoll nachlesen. Kollege Schrader! Es ist erstaunlich: Die Linksfraktion erkennt die Einhaltung des geltenden Rechts als wichtigen Grundsatz an. – Das ist korrekt, doch wir haben hier eine missliche Situation. Wir haben auf der einen Seite die Landesdatenschutzbeauftragte, die Rechtsverstöße erkennt und vorgetragen hat. Auf der anderen Seite haben wir die Rechtsauffassung der Charité, die jetzt sogar einen eigenen Gutachter beauftragt hat. Ich persönlich will nicht den Austausch und die Daten bewerten – welche Seite in der Hinsicht recht hat –, aber es ist eine missliche Lage. Die Charité möchte, dass die Vorschriften des Landeskrankenhausgesetzes geändert werden, und es bleibt zu befürchten, dass die Lage bei anderen Berliner Krankenhäusern ähnlich ist. Deshalb meine abschließende Frage: Inwiefern hat man eigentlich schon geprüft, ob es außer der Charité vielleicht auch bei anderen Krankenhäusern in Berlin solche Missstände gibt ? Man hat jetzt zwei Möglichkeiten: Entweder ändert man das Landeskrankenhausgesetz. Das geht dann zulasten des Datenschutzes. Das werden vielleicht einige Datenschützer nicht gut finden. Oder – das ist natürlich die Konsequenz – man muss der Datenschutzbeauftragten oder der Aufsichtsbehörde gewisse Befugnisse einräumen, die Fristsetzungen, Ordnungsgelder und Ähnliches – nicht unbedingt gleich die Schließung des Krankenhauses – ermöglichen. Entweder man installiert eine Rechtsvorschrift, an die sich alle zu halten haben, dann muss es Sanktionen geben, wenn man sich nicht daran hält. Ansonsten kann man die Vorschrift eigentlich gleich wieder streichen. Wenn es keine Verpflichtung gibt, rechtlich irgendetwas umzusetzen oder wenn der Verstoß dagegen keine Folgen hat, dann können wir hier sehr lange diskutieren. Die Charité kann beteuern, sie werde dies und das abstellen, und die Datenschutzbeauftragte wird immer wieder sagen, da müsse nachgebessert werden, aber das wird im Ergebnis weder dem Datenschutz helfen noch der Rechtsstaatlichkeit. Insofern muss hier eine Entscheidung getroffen werden vonseiten des Senats, in welche Richtung das nun gehen soll, ob es mehr Datenschutz geben soll oder mehr Beinfreiheit für die Krankenhäuser und die Charité, die ja schon vorgetragen hat, dass mit erheblichen Kosten an dieses Problem heranzugehen ist. Dann habe ich eine weitere Frage neben der Situation in anderen Krankenhäuser: Welche Schritte plant jetzt der Senat? Wie will er im Zusammenhang mit dem Fall der Charité weiter vorgehen? Will man eine Gesetzesänderung machen, will man alles so lassen, wie es ist, oder will man erst mal abwarten, wie der Fall der Charité sich entwickelt? – Danke! Ausschuss für Kommunikationstechnologie und Datenschutz 8. Sitzung 19. Februar 2018 Beginn: 15.03 Uhr Schluss: 17.04 Uhr Vorsitz: Ronald Gläser (AfD) Herr Einhäupl! Als Sie das erste Mal bei uns im Ausschuss gesessen haben, haben Sie deut-lich gemacht, dass Sie Spitzenforschung und Spitzenmedizin machen. Da bin ich völlig bei Ihnen. Das machen Sie großartig. Mein Problem ist bloß: Die machen Sie dann nicht mehr, wenn Sie den Datenschutz vernachlässigen, weil letztendlich der Datenschutz ein ebenso wichtiges Thema wie die Spitzenforschung und die Spitzenmedizin, die Sie tatsächlich machen. Ich habe Ihnen schon beim letzten Mal, als Sie hier waren, gesagt, dass ich die Erwar-tungshaltung habe, dass Sie das mit dem Datenschutz ernst nehmen und sich um den Daten-schutz zumindest so kümmern, dass wie bei jedem anderen Unternehmen mittlerer Art und Güte bei Ihnen in der Charité der Datenschutz erfüllt wird. Nach dem, was wir in der letzten Sitzung gehört haben, habe ich den Eindruck, dass das nicht passiert. Ich sehe die tatsächlichen Schwierigkeiten, die Sie natürlich haben. Im Datenschutzbericht steht: „Ein Tanker versucht umzusteuern!“, und wir alle wissen, wie schwierig so etwas ist, weil in den letzten Jahren bei Ihnen vieles liegengeblieben ist. Ich sehe auch die Schwierig-keit, dass Sie vor dem Hintergrund der EU-Datenschutz-Grundverordnung ein Problem damit haben, Mitarbeiter und qualifiziertes Personal zu finden. Aber ich sage Ihnen auch ganz ehr-lich: Das ist nicht mein Problem, das ist Ihr Problem. Jedes Unternehmen in Deutschland muss sich darum kümmern, den Datenschutz einzuhalten, und jedes Unternehmen in Deutschland muss sich darum kümmern, die EU-Datenschutz-Grundverordnung dann ab Mai 2018 einzuhalten. Da lässt sich meines Erachtens nicht nach dem Motto argumentieren: Okay, wir kümmern uns mal mehr um Spitzenforschung und Spitzenmedizin – die ist sicher ohne Ende wichtig für Berlin –, vernachlässigen aber den Datenschutz! Maja Smoltczyk (Berliner Beauftragte für Datenschutz und Informationsfreiheit): Vielen Dank! – Wie haben heute ja auch die Antworten auf die Anfragen bekommen, die von der Fraktion Bündnis 90/Die Grünen gestellt worden sind, und haben uns das angeschaut. Wir haben dazu natürlich einiges anzumerken. Erst einmal möchte ich vorausschicken – das habe ich beim letzten Mal auch schon gesagt –, dass ich mich freue, wenn es bei der Charité-Leitung jetzt so ist, dass der Datenschutz als Führungsaufgabe anerkannt ist. Denn das ist genau das, was die EU-Datenschutz-Grundverordnung voraussetzt. Es ist also nicht mehr so, dass man den Datenschutz auf einzelne Techniker abschieben kann, sondern die EU-Datenschutz-Grundverordnung setzt fest, dass tatsächlich die Führungsspitzen von Unternehmen und Verwaltungen das als eigene Aufgabe haben und die Aufgabe haben, ihre Betriebe so weit hochzurüsten, dass sie datenschutzgrundverordnungstauglich sind. Wir haben uns, wie gesagt, diese Antworten angeschaut und haben gewisse Zweifel, ob das so zu schaffen ist. Das sind Mammutaufgaben, die sich dahinter verbergen. Das muss man einfach sagen. In der Tat glaube ich auch, dass das für 15 Vollzeitkräfte eine riesige Herausfor-derung wäre. Es wäre schön, wenn es tatsächlich 15 Vollzeitkräfte sind. Nach unseren Infor-mationen ist das nicht der Fall. Also es sind, glaube ich, Personen, die auch andere Aufgaben haben und nicht komplett für diese Aufgabe freigestellt sind. Insofern sind diese 15 Vollzeitkräfte mit einem Fragezeichen zu versehen. Zum Zeitplan: Ich würde mich sehr freuen, wenn Sie das schaffen würden und uns tatsächlich zum 25. Mai das als erfüllt vorweisen könnten. Ich halte das für ein sehr sportliches Vor-haben, weil die Charité ein riesiger Betrieb ist mit einer Vielzahl von Verfahren, die entspre-chend angepasst werden müssen. Aber okay, das werden wir abwarten. Aber wir stellen auch fest, dass in diesem Zeitplan bestimmte Dinge gar nicht vorgesehen sind. Das allerdings gibt mir zu denken. Wenn ich sehe, dass dort die Entwicklung spezifischer Sicherheitskonzepte und Risikoanalysen fehlt, die im Grunde genommen die Voraussetzung für diesen Zeitplan sind und die vorher geschaffen werden müssen, bevor man dazu übergehen kann, diesen Zeit-plan abzuarbeiten, so gibt mir das sehr zu denken. In dem Zeitplan ist auch nicht die Umset-zung technisch-organisatorischer Maßnahmen vorgesehen. Es nützt nichts oder reicht nicht aus, technisch-organisatorische Maßnahmen zu definieren und festzulegen, sondern sie müssen auch umgesetzt werden, und das ist etwas, was auch nicht von heute auf morgen geht, sondern das ist eine Aktion, die sehr viel Zeit erfordert. Die dezentralen Verfahren sind in diesem Zeitplan überhaupt nicht vorgesehen. Das ist ein riesiges Problem. Es geht also nicht nur um die zentralen Verfahren, sondern auch um dezentrale Verfahren. Es geht um Medizintechnik. Medizintechnik muss datensicher sein. Sie muss immer auf dem aktuellen Stand sein. Also das ist auch etwas, das sehr zeitaufwendig ist und hier gar nicht auftaucht. Ich drücke Ihnen die Daumen, dass Sie den Zeitplan einhalten kön-nen, habe aber gewisse Zweifel. Zu den Einzelheiten würde ich gern noch Herrn Dr. Vollmer das Wort geben, der das im Detail noch näher ausführen kann. – Vielen Dank! Dr. Ulrich Vollmer (BlnBDI): Vielen Dank! – Vollmer mein Name. Ich bin Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit und u. a. für die Kon-trolle der Verarbeitung von Gesundheitsdaten zuständig. – Wir haben hier in Nr. 1 eine sum-marische Zusage, dass zum Geltungstag 25. Mai 2018 die Bestimmungen der Datenschutz-Grundverordnung eingehalten werden. Wir würden uns wirklich sehr freuen, wenn das gelingt. Das ist ein anspruchsvolles Ziel angesichts – erstens – der Komplexität in der Charité und – zweitens – der noch bestehenden Defizite. Im Gegensatz zu dem, was Sie, Herr Prof. Einhäupl, gesagt haben, geht es nicht nur um das Verfahrensverzeichnis. Das haben Sie natürlich als einen Punkt berechtigterweise in dem Arbeitsplan mit drin. Das ist gut, und da würde ich in der Tat hoffen, dass Sie den Zeitplan bis zum 14. Mai, der ja jetzt hier aufgeschrieben ist, einhalten. Wir werden uns zum 14. Mai auch anschauen, ob wir jetzt tatsächlich eine Übersicht darüber haben, was an der Charité alles getan wird und was wir hinterher auch prüfen können. Wir haben vor, uns tatsächlich auch einzelne Verfahren anzuschauen. Das war ja das, wie wir in die ganze Situation gekommen sind. Wir wollten die Charité in einzelnen Aspekten prüfen und uns eine Übersicht verschaf-fen, wozu eben halt dieses Verfahrensverzeichnis lediglich ein Hilfsmittel ist, und wir stellten fest, dass es das nicht in einer Form gibt, dass man es nutzen kann, weil es weite Lücke aufwies. Sie haben hier weitere Schritte aufgeführt. Hier ist ein zentrales Sicherheitskonzept genannt. Das ist gut. Das ist die Grundlage. Dann führen Sie in Punkt Nr. 3 weiterhin auf, dass das mit spezifischen Sicherheitskonzepten ergänzt werden muss, die aber in dem Arbeitsplan gar nicht auftauchen. Es ist natürlich richtig, dass Sie diese brauchen, aber Sie brauchen sie nicht nur für die Erfüllung des BSI-Gesetzes, das Ihnen als Betreiber einer kritischen Infrastruktur besondere Pflichten auferlegt, sondern Sie brauchen sie auch für den Datenschutz selbst. Also diese Maßnahmen, die Sie unter Nr. 3 aufgeführt haben, brauchen Sie auch unter Nr. 2. Dazu gehören die Risikoanalysen. Das ist ganz klar, wie auch schon ausgeführt wurde. Wie will man denn Risiken behandeln, wenn man nicht weiß, welche man hat? – Es ist also der Anfangspunkt, dass man sich darüber Gedanken machen muss: Wie sieht es denn aus? Wel-che Probleme können denn überhaupt auftreten? – Das sind natürlich die Sachen, die Sie beschrieben haben. Das mit der silbernen Scheibe, die jemand hinausträgt, ist eher unwahr-scheinlich, so hoffe ich. Mir macht aber durchaus Sorge, dass wir in der Charité vorgefunden haben, dass – ich sage mal – private Rechner einfach so an das Netz angeschlossen werden können, wo natürlich dann auch die Gefahr besteht, dass über solche Wege dann Daten – ob nun auf einer silbernen Scheibe oder auf der Festplatte eines transportablen Computers – aus der Charité herausgetragen werden. Dann gibt es ferner die Möglichkeit, was wir alle im Blick haben und was, wie gerade er-wähnt, auch in Norwegen ein Problem war, dass wir Angriffe von dritter Seite zu gewärtigen haben. Die Charité hat nicht nur sensible Daten, sondern auch noch Daten von Personen, die einem erhöhten Interesse ausgesetzt sind. Demzufolge gibt es von dritter Seite auch hundert-prozentig Bestrebungen, dieser Daten habhaft zu werden. Solche Bestrebungen wurden noch nicht festgestellt, wie uns mitgeteilt wurde. Ehrlich gesagt, ist das eher ein Grund der Sorge. Das bedeutet nämlich für mich, dass man gar nicht merkt, wenn versucht wird, entsprechende Schwachstellen auszunutzen. Nach dem, was wir bis jetzt gesehen haben, bestehen einige dieser Schwachstellen. Also dort haben wir zwei wesentliche Punkte, die Sie abarbeiten müssen, um dann zum 25. Mai, so hoffen wir, die Bestimmungen der Datenschutz-Grundverordnung einzuhalten. Die anderen Punkte, die Sie hier aufgeführt haben, sind gut und sehr positiv einzuschätzen. Hier steht aber auch so ein Punkt wie Datenschutzfolgeabschätzung, und ich entnehme dann dem nächsten Punkt, dass hier ein Handlungsleitfaden geplant ist, dass also geplant ist, wie man die machen soll. Das ist gut und richtig, und ich wünschte mir, alle Stellen in Berlin würden sich einen entsprechenden Handlungsleitfaden erstellen. Was Sie als Charité aber natürlich brauchen, sind durchgeführte Datenschutzfolgeabschätzungen. Wenn Sie nämlich Verfahren ohne eine entsprechende Risikobetrachtung eingeführt haben, dann müssen Sie diese Risikobetrachtung nachholen, und das müssen Sie dann entsprechend den Anforderungen tun, die das neue Recht an Sie stellt. Da gibt es genaue Vorschriften, wie man vorgeht und wann man gegebenenfalls auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit involvieren muss. Hier würden wir uns mehr vorstellen als einen Handlungsleitfaden, sondern tatsächlich Aktivitäten, die sich auf die Ausführung von solchen Datenschutz-folgeabschätzungen ausrichten. Wie schon angedeutet sind nicht nur die zentralen Verfahren von Belang, sondern insbeson-dere auch die dezentralen Verfahren. Was meinen wir damit? – Damit meinen wir gerade die vielen verschiedenen kleinen Forschungsvorhaben, die es an der Charité gibt. Auch wenn sie klein sind und auch wenn sie vielleicht keine Mittel aus dem zentralen Fundus der Charité bekommen, so verarbeiten sie dennoch unter Umständen große Datenmengen oder sehr sensible Daten. Das heißt, auch dieser Aspekt muss mit abgebildet sein, damit wir auch in dem Bereich sicher sind, dass die Charité alle ihre Anforderungen erfüllt hat. Das betrifft sowohl die Datensicherheit, aber natürlich auch die anderen Aspekte. Datensicherheit ist ja nur ein Aspekt. Es ist der, der hier gerade aufgetaucht ist. Aber es gehört bei der Datenschutzfolgeabschätzung zumindest mit dazu, dass man sich auch über die anderen Aspekte der Rechtmäßigkeit der ausgeführten Datenverarbeitung Gedanken macht. Anfragenr: 34030 Antwort an: <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in