7.4 Sozialamt fragt Dritte nach Bargeldnachlass von Informationen keine Nachteile entstehen. Es ist zudem darauf zu achten, dass nur solche Daten erfragt werden, die für die Durchführung des vom Pfle- geheim praktizierten Konzepts zur Biografiearbeit auch tatsächlich benötigt werden. Das Pflegeheim hat den Biografiefragenbogen sowie ein dazugehöriges Infor- mationsblatt anhand unserer Vorgaben überarbeitet. In dem Informationsblatt wird jetzt gut sichtbar auf die Freiwilligkeit der Angaben hingewiesen, zudem wird die Datenverarbeitung verständlich erläutert. Auch die Einwilligungserklä- rung ist verständlich formuliert und optisch hervorgehoben. Aus dem Fragebo- gen wurden zahlreiche Fragen entfernt, u.a. zum Umgang mit Erkrankungen, mit dem Tod und mit Konfliktsituationen. Biografiearbeit in Pflegeheimen ist nur auf freiwilliger Basis möglich und setzt eine informierte Einwilligung der Betroffenen voraus. 7.4 Sozialamt fragt Dritte nach Bargeldnachlass Ein Sozialamt ist nach dem Tod einer von einem Pflegedienst betreuten Aus der Praxis Person schriftlich an diesen Pflegedienst herangetreten. Das Sozialamt hat den Pflegedienst um Auskünfte zum verbliebenen Bargeldnachlass der verstorbenen Person, konkret zur Höhe des Nachlasses und an wen der Nachlass ggf. ausgezahlt worden ist, gebeten. Das Anschreiben des Sozialamtes entsprach nicht den gesetzlichen Vorgaben. Die Erhebung der Angaben zum Bargeldnachlass mithilfe dieses Anschreibens war daher unzulässig. Anders als das Sozialamt zunächst meinte, handelt es sich bei den erfragten Angaben um Sozialdaten. Das sind Einzelangaben über persönliche oder sach- liche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einem Sozialleistungsträger im Hinblick auf seine Auf- gaben nach dem Sozialgesetzbuch erhoben, verarbeitet oder genutzt werden.131 131 § 67 Abs. 1 Satz 1 SGB X Jahresbericht BlnBDI 2015                                                 99

Kapitel 7     Soziales Entscheidend für die Einordnung als Sozialdatum sind die Personenbezogen- heit und der funktionale Zusammenhang mit der Aufgabenerfüllung. Beides ist bei den Informationen zum Bargeldnachlass einer verstorbenen Person der Fall. Zum einen bezieht sich die Nachfrage zum Bargeldnachlass auf eine kon- krete Person. Zum anderen dienen die erbetenen Auskünfte, wie das Sozialamt selbst mitteilte, der Erfüllung einer dem Sozialamt obliegenden Aufgabe, näm- lich der Prüfung des Nachlasses im Rahmen von Kostenersatz durch die Erben bzw. bei der Übernahme der Bestattungskosten. Bittet das Sozialamt einen Pflegedienst um Auskünfte zum Nachlass einer ver- storbenen Person, erhebt es Sozialdaten bei einer nicht-öffentlichen Stelle und nicht direkt bei der betroffenen Person bzw. deren Erben. In solchen Fällen muss das Sozialamt auf die Rechtsvorschrift, die zur Auskunft verpflichtet, oder aber auf die Freiwilligkeit der erfragten Angaben hinweisen. Durch diese 132 Hinweispflicht wird vermieden, dass eine nicht-öffentliche Stelle Sozialdaten übermittelt, ohne dazu verpflichtet zu sein. Dies wird jedoch, wie auch die an uns herangetragene Anfrage des Pflegedienstes zeigt, typischerweise der Fall sein, wenn eine Behörde hoheitlich um Mitteilung bestimmter Angaben bit- tet. Die Hinweispflicht dient somit der Herstellung von Verfahrenstransparenz. Das Sozialamt benannte in seinem Anschreiben weder eine zur Auskunft ver- pflichtende Rechtsvorschrift noch wies es auf die Freiwilligkeit der Angaben hin. Wir haben gegenüber dem Sozialamt einen Mangel festgestellt.133 Darauf- hin hat das Sozialamt den dem Anschreiben zugrundeliegenden Vordruck nach den gesetzlichen Vorgaben überarbeitet. Der Vordruck weist nunmehr auf die Freiwilligkeit der Angaben hin. Werden Sozialdaten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, muss diese, sofern es keine Auskunftspflicht gibt, ausdrücklich auf die Freiwilligkeit der Angaben hingewiesen werden. 132 § 67 a Abs. 4 SGB X 133 § 26 Abs. 2 BlnDSG 100                                                       Jahresbericht BlnBDI 2015

8.1 Verordnung zum öffentlichen Gesundheitsdienst 8 Gesundheitswesen 8.1 Verordnung zum öffentlichen Gesundheitsdienst – noch immer Fehlanzeige Nachdem wir bereits Anfang 2013 zu einem von der Senatsverwaltung Aus der Praxis für Gesundheit und Soziales vorgelegten Entwurf einer Verordnung zur Regelung der Datenverarbeitung in Einrichtungen des öffentlichen Gesundheitsdienstes (DatVO) Stellung genommen haben, ist die ange- strebte Rechtsverordnung noch immer nicht erlassen worden. Durch den Erlass der DatVO sollen die im Gesetz des öffentlichen Gesund- heitsdienstes (GDG) enthaltenen Ermächtigungsgrundlagen umgesetzt werden. Das GDG sieht zum einen eine Ermächtigungsgrundlage zur Regelung der Verarbeitung personenbezogener Daten, insbesondere über ihre Verarbeitung in Dateien und auf sonstigen Datenträgern, ihre Übermittlung, ihre Löschung sowie die Datensicherung vor. Zum anderen ermächtigt das Gesetz zur Rege- lung der Verarbeitung von Daten über die Angehörigen der staatlich geregel- ten Berufe des Gesundheitswesens und zur Regelung der Statistiken für die integrierte Gesundheits- und Sozialberichtserstattung. Mit der Rechtsverord- nung sollen die für die Tätigkeit des öffentlichen Gesundheitsdienstes zwin- gend erforderlichen Datenverarbeitungen auf eine rechtliche Grundlage gestellt werden. Der Erlass der Rechtsverordnung ist in der Vergangenheit nicht mit der gebo- tenen Intensität vorangebracht worden, sodass in den Gesundheitsämtern erfor- derliche Datenverarbeitungen teilweise ohne Rechtsgrundlage erfolgen. Unab- hängig davon begrüßen wir unsere frühzeitige Einbindung in die im Sommer wieder aufgenommene Arbeit an der Verordnung. Bei der DatVO handelt es sich um eine wesentliche Rechtsgrundlage für die erforderliche Datenverarbeitung im öffentlichen Gesundheitsbereich. Der Erlass dieser Rechtsverordnung ist überfällig. Jahresbericht BlnBDI 2015                                               101

Kapitel 8     Gesundheitswesen 8.2 Einführung des klinischen Krebsregisters Anknüpfend an unsere Beratung in den Vorjahren begleiteten wir zusam- Aus der Praxis men mit der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg intensiv die Vorbereitung der gesetzlichen Regelungen zur klinischen Krebsregistrierung in den Ländern Berlin und Brandenburg.134 Im Sommer begann die Erarbeitung des Staatsvertrages zur Errichtung des gemeinsamen klinischen Krebsregisters. Es soll eine Datengrundlage zur Verbesserung der Qualität der onkologischen Versorgung bereitstellen. Die behandelnden Ärztinnen und Ärzte erhalten zum einen Informationen zur Qualität ihrer Behandlung und zum anderen werden ihnen Angaben über alle diagnostischen und therapeutischen Schritte der Mit- behandelnden zur Verfügung gestellt. Die Sensitivität des Datenbestandes des Krebsregisters ergibt sich daraus, dass alle Krebserkrankten in Berlin und Bran- denburg erfasst und weitreichende Informationen über ihren Gesundheitszu- stand zusammengeführt werden. Die auf unsere Anregung gestärkte Widerspruchsregelung ermöglicht den Pati- enten, zumindest darüber entscheiden zu können, ob und in welchem Umfang ihre medizinischen Daten Eingang in das Krebsregister finden. Einerseits kön- nen sie der Speicherung dieser Daten generell widersprechen. Andererseits können sie, wenn sie dies wünschen, erreichen, dass das Tätigwerden einer Ärztin oder eines Arztes nicht in die Registerdaten eingeht und so auch nicht den anderen Leistungserbringern bekannt wird. Unabhängig vom Willen der Krebserkrankten wird jedoch in jedem Fall die Tatsache der Erkrankung vom Register erfasst. Nicht übernommen wurde die von uns vorgeschlagene Regelung, dass die erkrankte Person durch ihren Widerspruch gegenüber den behandelnden Leistungserbringern erreichen kann, dass diese gar nicht erst Daten an das Register übermitteln. Eine Gliederung des Registers in eigenverantwortliche Bereiche dient dazu, für jede dem Register zugewiesene Aufgabe die Datengrundlage bereitzustel- len, die für die jeweilige Tätigkeit benötigt wird. Am wichtigsten ist dabei die 134 Siehe JB 2014, 5.2 102                                                        Jahresbericht BlnBDI 2015

8.2 Einführung des klinischen Krebsregisters Unterscheidung zwischen identifizierenden Angaben wie dem Namen und der Adresse einerseits und den medizinischen Daten andererseits. Diese Differen- zierung wird mit dem vorliegenden Entwurf erreicht: Wer eine Meldung aufnimmt und auf Vollständigkeit und Plausibilität prüft oder verschiedene Meldungen in einem Verlaufsdatensatz zusammenfasst, der benö- tigt nur den Zugriff auf die Daten der jeweiligen einzelnen Person, darf jedoch auch ihren Namen erfahren, wenn eine Rückfrage bei dem meldenden Arzt erforderlich ist. Dies gilt entsprechend für die Abrechnung mit den Kranken- kassen und Versicherungen und Rückmeldung zu der Qualität der Behandlung eines einzelnen Patienten. Die Personen, die in diesem verantwortungsvollen Bereich tätig sind, werden in einem Versorgungsbereich zusammengefasst, der personell und organisatorisch von den anderen Bereichen getrennt wird. Werden Daten z. B. zur Überprüfung der Einhaltung medizinischer Behand- lungsleitlinien ausgewertet, kann dies ohne Kenntnis der Namen der Patien- ten geschehen. Diese und andere qualifizierte medizinische Analysen werden einem Auswertungsbereich zugeordnet. Hier stehen patientenidentifizierende Angaben nicht zur Verfügung. Die Datenspeicherung ist eine nicht auf Dritte außerhalb des Registers über- tragbare Aufgabe. Sie erfolgt zentral in einer Koordinierungsstelle, die daneben die verwaltungstechnischen Aufgaben des Registers wahrnimmt. Die Beschäf- tigten der Koordinierungsstelle dürfen dabei nicht auf die Daten der anderen Bereiche zugreifen. Verschlüsselung und weitergehende Datenbanktechniken sichern diese Zugriffsbeschränkung ab. Auch Zugriffe Dritter müssen durch technische Sicherungsmaßnahmen ver- hindert werden. Der gebündelte Datenbestand besitzt einen erheblichen mone- tären Wert. Die sich hieran entzündenden Begehrlichkeiten sind bei der Wahl der Sicherungsmaßnahmen zu berücksichtigen. Zwar liegen uns Planungen zur einzusetzenden Informationstechnik vor, jedoch wurden trotz der geplanten nahen Inbetriebnahme die Sicherheitsbetrachtungen noch nicht soweit vorge- nommen, dass eine vernünftige Planung möglich ist. Jahresbericht BlnBDI 2015                                                  103

Kapitel 8    Gesundheitswesen Wir begrüßen die intensive Einbeziehung unseres Hauses bei der Vorberei- tung der rechtlichen Grundlagen für die zukünftige klinische Krebsregistrie- rung. Wichtige Grundsätze des Datenschutzes konnten so in einem frühen Stadium Eingang finden. Trotz des hohen Zeitdrucks und des engen finanzi- ellen Rahmens muss bei der nunmehr anstehenden Errichtung des Registers ein adäquater Schutz des Datenbestandes erreicht werden. 8.3 Outsourcing der Archivierung von Patientenakten Bei einem Krankenhausverbund prüften wir die Vergabe von Leistungen zur Aus der Praxis Verarbeitung von Patientendaten an Dritte, insbesondere die Archivierung der Patientenakten. Das Berliner Landeskrankenhausgesetz stellt an die Vergabe von Aufträgen zur Verarbeitung von Patientendaten – worunter auch die Archivierung von Pati- entenakten fällt – klare Anforderungen. Danach ist es zulässig, eine andere Stelle mit der Verarbeitung von Patientendaten zu beauftragen. Ist diese jedoch kein Krankenhaus, muss sichergestellt werden, dass die verarbeitende Stelle keine Möglichkeit hat, die Namen der Patienten und andere identifizierende Daten zur Kenntnis zu nehmen. Wir prüfen sukzessive die Krankenhäuser auf die Ein- haltung dieser Bestimmungen. Im Rahmen der Prüfung des Krankenhausverbundes mussten wir Defizite bei der Umsetzung der rechtlichen Rahmenbedingungen im Hinblick auf die Archivierung feststellen. Der Krankenhausverbund übergab seine Patienten- akten an einen externen Dienstleister, der sie in unverschlossenen Behältnis- sen aufbewahrte. Wurde eine Akte vom Krankenhaus benötigt, suchte sie der Dienstleister anhand der patientenidentifizierenden Daten heraus und versandte sie an das Krankenhaus. Dabei war es ihm möglich, Einsicht in die Patienten- akte zu nehmen. Dies stellt eine Verletzung der ärztlichen Schweigepflicht und einen Verstoß gegen die datenschutzrechtlichen Bestimmungen dar. Der Krankenhausverbund hat daraufhin ein Konzept entwickelt, um dem fest- gestellten Mangel zu begegnen. Die Behältnisse sollen versiegelt und numme- riert werden. Bei Bedarf sollen die Behälter anhand ihrer Nummer ausgewählt 104                                                         Jahresbericht BlnBDI 2015

8.4 Charité Universitätsmedizin Berlin und im versiegelten Zustand mit allen enthaltenen Akten dem Krankenhaus überstellt werden. Wir haben auf notwendige Ergänzungen hingewiesen, mit denen sichergestellt wird, dass das Krankenhaus einen Siegelbruch feststellen und mit einer Vertragsstrafe sanktionieren kann. Der Krankenhausverbund hat angekündigt, die gesetzlichen Anforderungen im Zuge eines bevorstehenden Anbieterwechsels und der damit verbundenen Umlagerung der Akten umzusetzen. Krankenhäuser müssen bei der Auslagerung von aufbewahrungspflichtigen Altakten dafür sorgen, dass der Dienstleister die Inhalte der Akten nicht zur Kenntnis nehmen kann. Dafür stehen praktikable Lösungen bereit. 8.4 Charité Universitätsmedizin Berlin 8.4.1 Mangelhafte Verfahrensführung: Sicherheits­ konzepte und Kontrolle fehlen Wir haben die Einhaltung der gesetzlichen Vorgaben zur Einführung von Aus der Praxis neuen IT-Verfahren und Führung eines Verzeichnisses dieser Verfahren  135 bei der Charité geprüft. Dabei mussten wir gravierende Defizite feststel- len, die beanstandet wurden. Die Charité ist das größte Universitätsklinikum Deutschlands. An vier Stand- orten mit mehr als 3.000 Krankenbetten arbeiten mehr als 13.000 Personen, darunter mehr als 3.700 Ärztinnen und Ärzte. Die Charité arbeitet hochgradig innovativ und mit modernsten diagnostischen und therapeutischen Methoden. Viele hiervon werden durch Informationstechnik unterstützt, die einer ständi- gen Fortentwicklung unterworfen ist. Bei der Einführung neuer Verfahren der Informationstechnik, mit denen Patientendaten verarbeitet werden, ist besondere Sorgfalt vonnöten. Wie- wohl die Gesundung der Patienten das primäre Ziel darstellt und auch 135   § 5 Abs. 3, § 19 BlnDSG Jahresbericht BlnBDI 2015                                               105

Kapitel 8      Gesundheitswesen Effizienzgesichtspunkte Berücksichtigung finden müssen, ist bei alldem auch der Schutz der Angaben über den Gesundheitszustand der Erkrankten vor unbefugter Offenlegung und die Wahrung der Rechte der Patienten zu gewährleisten. Dazu hat der Gesetzgeber bestimmt, dass vor Einführung eines neuen Verfah- rens eine Reihe von Schritten zu gehen sind: Erstens sind die durch das Verfah- ren entstehenden Risiken zu bewerten und Maßnahmen zu ihrer Begrenzung zu finden.136 Zweitens sind diese Maßnahmen in einem systematischen Sicher- heitskonzept zu bündeln. Drittens hat die oder der behördliche Datenschutzbe- auftragte das Verfahren auf verbleibende Restrisiken zu prüfen.137 Auf der Basis des Votums der oder des Datenschutzbeauftragten trifft dann die Krankenhaus- leitung die Entscheidung über die Umsetzung des Verfahrens. Die geplanten Maßnahmen werden vor Aufnahme des Verfahrens umgesetzt. Zum Schluss werden das Verfahren, seine Zwecke, die verarbeiteten Daten, die Schutzmaß- nahmen und die durchlaufenen Prüfschritte in einem in wesentlichen Teilen öffentlich einsehbaren Verzeichnis dokumentiert. Damit ist auch Transparenz geschaffen: Jeder einzelne Bürger kann ohne wei- tere Voraussetzungen nachvollziehen, wie das Krankenhaus mit den Daten umgeht. Und sowohl interne wie öffentliche Datenschutzaufsicht können auf das Verzeichnis zurückgreifen, um regelmäßig zu überprüfen, ob der Schutz der Daten noch immer gewährleistet ist oder ggf. zusätzliche Maßnahmen ergrif- fen werden müssen. Im Vorfeld einer Überprüfung technischer Datenschutzmaßnahmen bei der Charité haben wir uns das Verfahrensverzeichnis vorlegen lassen. Dabei zeig- ten sich gravierende Lücken. Die von uns vorab ausgewählten Verfahren mit besonderen Risiken waren nicht verzeichnet. Es blieb daher unklar, seit wann welche Daten wie verarbeitet wer- den und ob überhaupt Maßnahmen zu ihrem Schutz ergriffen wurden. Bei anderen im Verzeichnis aufgeführten Verfahren fehlten grundlegende Angaben. Dokumente, auf die verwiesen wurde, lagen nicht vor. Andere Einträge waren 136  § 5 Abs. 3 BlnDSG 137  § 19a Abs. 1 Satz 3 Nr. 1 BlnDSG 106                                                       Jahresbericht BlnBDI 2015

8.4 Charité Universitätsmedizin Berlin hoffnungslos veraltet, sodass erhebliche Zweifel bestehen, dass die gesetzlich vorgeschriebenen regelmäßigen Kontrollen durchgeführt wurden. Nahezu nir- gends konnte die Vorabprüfung durch die oder den Datenschutzbeauftragten nachvollzogen werden. Ebenso nahezu durchgängig war nicht erkennbar, ob je eine Risikoanalyse vorgenommen oder ein Sicherheitskonzept zusammen- gestellt wurde. Somit mussten wir nicht nur feststellen, dass das Verfahrensverzeichnis als sol- ches den gesetzlichen Anforderungen nicht genügt. Die Lücken weisen auf ein wesentlich größeres Problem: Sie deuten darauf hin, dass die Charité teilweise neue Verfahren in ungeregelter Weise einführt. Die vom Gesetzgeber vorgege- bene und angesichts der Sensitivität der Daten und Komplexität der Informa- tionstechnik notwendige systematische Vorgehensweise bei der Planung von Sicherheitsmaßnahmen wird nicht eingehalten. Damit steht die Sicherheit der Daten der Patienten und auch der Beschäftigten der Charité in erheblichem Zweifel. Aus früheren Prüfungen ist uns bekannt, dass die Charité durchaus technische Sicherheitsvorkehrungen trifft. Ohne ein systematisches Vorgehen verbleiben jedoch mit hoher Wahrscheinlichkeit unbemerkt erhebliche Löcher im Schutzwall, den die Charité um ihre Daten errichtet hat. Angreifer sind in der Lage, diese Löcher zu finden und könnten unbeobachtet Geräte kompromittieren und Daten abziehen oder manipulieren. So sind in der jüngsten Vergangenheit erhebliche Sicherheitsdefizite in Medi- zingeräten bekannt geworden, die an Krankenhausnetze angeschlossen wur- den. Wenn ein Unbefugter sich Zugang zum internen Chariténetz verschaffen kann, wie weit ist es dann noch bis zur ggf. lebensbedrohlichen Manipulation? Schlussendlich mussten wir feststellen, dass die Charité bisher nicht in der Lage ist, selbst die vorhandenen öffentlichen Teile des Verfahrensverzeichnisses Bür- gern zur Verfügung zu stellen, obwohl hierauf ein gesetzlich verbrieftes Recht besteht. Fehlende interne Transparenz und fehlende Transparenz nach außen kommen zusammen. Die vorgefundenen Mängel wurden beanstandet. Schon vorab sagte uns die Charité zu, die bestehenden Defizite aufzuarbeiten. In Bezug auf die Doku- mentation kann und muss das unverzüglich geschehen. Die gesetzlich vorge- gebenen Prozesse bei Einführung oder substanzieller Änderung von Verfahren Jahresbericht BlnBDI 2015                                                   107

Kapitel 8   Gesundheitswesen müssen etabliert und ihre Befolgung durchgesetzt werden. Die Herstellung einer durchgehenden und systematischen Informationssicherheit im laufen- den Betrieb ist schließlich eine sehr große Aufgabe, welcher die Charité sub- stanzielle personelle und sachliche Ressourcen widmen muss. Wir werden die Charité bei ihren Anstrengungen begleiten und die Öffentlichkeit über den Fortschritt informieren. Krankenhäuser sind wegen der von ihnen verarbeiteten sensitiven Daten zu besonderer Sorgfalt bei der Einführung neuer IT-Verfahren und ihrer inter- nen Kontrolle verpflichtet. Das Verzeichnis aller betriebenen Verfahren dient sowohl der Datenschutzkontrolle als auch der Transparenz für die Öffentlich- keit. Ein laxes Vorgehen führt zu vermeidbaren und in ihrer Reichweite nicht abschätzbaren Risiken für die Patienten. 8.4.2 Erhebung von Patientendaten zur Aufklärung von Abrechnungsbetrug Die Staatsanwaltschaft Berlin ist mit dem Verdacht an die Charité heran- Aus der Praxis getreten, dass bei der Charité ermächtigte Chefärzte gegen das Gebot der persönlichen Leistungserbringung verstoßen haben könnten. Die Staatsan- waltschaft hat die Charité aufgefordert, interne Untersuchungen zu diesen Vorwürfen durchzuführen und der Staatsanwaltschaft die Ergebnisse zur Ver- fügung zu stellen. Die Charité hat diesen Verdacht zum Anlass genommen, die Leistungserbrin- gung und Leistungsdokumentation aller Ärzte der Charité zu überprüfen, die über eine solche Ermächtigung verfügten, und der Staatsanwaltschaft zugesagt, die Ergebnisse der internen Untersuchung mitzuteilen. Die Charité forderte die Ärzte zur Übersendung einer Aufstellung aller von den ermächtigten Ärzten mit der Kassenärztlichen Vereinigung (KV) abgerech- neten Fälle (inkl. Leistungs- und Abrechnungsinformation) auf. Dabei wurden der Hintergrund, dass die Staatsanwaltschaft an die Charité herangetreten ist, sowie die getroffene Vereinbarung, dieser einen Untersuchungsbericht zur Ver- fügung zu stellen, nicht transparent gemacht. 108                                                      Jahresbericht BlnBDI 2015