3.2 bewehrt sein wie der Missbrauch videotechnisch gewonnener - insbe- sondere biometrischer - Daten und deren Abgleiche. Nicht zuletzt wird darauf verwiesen, dass die Videoüberwachung nich! t großflächig oder gar flächendeckend eingesetzt werden dürfe. Der Entwurf für ein Bundesdatenschutzgesetz erfüllt im Hinblick auf eine datenschutzgerechte Regelung der Videoüberw; achung die Erwar- tungen der Datenschützer nur sehr unvollkommen. [Zum einen erfasst $6b des Entwurfs lediglich die „Beobachtung öffe tlich zugänglicher Räume mit optisch-elektronischen Einrichtungen“. Zum anderen sind die Zulässigkeitsvoraussetzungen für Videoüberwacl hungsmaßnahmen zu weit gefasst, zumal hier auch die zur „Erfüllung eigener Geschäfts- zwecke erforderliche“ Beobachtung als Voraussetzun g zugelassen wird. Insbesondere fehlt hinsichtlich der Zulässigkeit       on Bildaufzeich- nungen, die einen besonders gravierenden Eingriff in das informatio- nelle Selbstbestimmungsrecht darstellen, bisher eine) signifikant höhere Schwelle gegenüber der reinen Beobachtung, da dies e Speicherung von Bilddaten lediglich an die Erforderlichkeit zum Erre ichen des mit der Beobachtung verfolgten Zweckes geknüpft ist. Wie in anderen Ländern ist auch in Berlin von Po litikern die Forde- rung erhoben worden, eine Rechtsgrundlage für die \ Yideoüberwachung durch die Polizei an gefährlichen Orten im Polizeire ht zu schaffen. Im Berichtsjahr ist es jedoch noch nicht zur Vorlage ein es entsprechenden Entwurfs gekommen. 3.2 Elektronisches Ticketing Ende April 2000 endete der erste Feldversuch der|Berliner Verkehrs- betriebe (BVG) zum elektronischen Ticketing?. An diesem Feldver- such hatten mehr als 26 000 Testpersonen aus Berlin und Umgebung teilgenommen. Diese Testpersonen waren mit berührungslosen Chip- karten (Transponder-Chipkarten) ausgestattet worden, die sie für das Ein- und Auschecken in den Bahnhöfen bestimmter U- und S-Bahn- Linien und in bestimmten Bus- und Straßenbahnlinien benutzen konn- ten. Dafür waren technische Systeme aufgebaut worden, deren Funk- tionsfähigkeit und Robustheit mit dem Feldversuch geprüft werden sollten. Gleichzeitig wurden Akzeptanzuntersuchungen und Befragun- gen angestellt, um festzustellen, wie die Testpersonen mit der Technik zurechtgekommen sind und welche Wünsche sie zu         einer zukünftigen Verfahrensweise äußern. Nach den Aussagen der BVG handelte es sich bei dem Feldversuch um die weltweit erste Erprobung eines elektronischen Ticketing in einem nicht geschlossenen, d. h. ohne Zugangssperten auskommenden Verkehrssystem. 25 JB 1999, 4.6.3 30                                                   Jahresbericht BInBDA 2000

3.2 Projektziele waren vor allem der Nachweis der Funktionsfähigkeit des offenen Check-In/Check-Out-Verfahrens, die Erprobung eines ent- fernungs- und zeitabhängigen Tarifmodells, welches Rabattmodelle ‘beinhaltet, die Prüfung der Robustheit der Chipkarten und der Vorder- grundsysteme, die die unmittelbare Schnittstelle zu den Fahrgästen dar- stellen (Check-In/-Check-Out-Terminals, Verkaufssysteme, Informati- onsterminals und Kontrollgeräte), die Prüfung der Fehlerresistenz der Hintergrundsysteme und die Gewinnung von Erkenntnissen zur Akzep- tanz und Anwendungskompetenz der Fahrgäste. In der Zwischenzeit liegt eine Ergebnisdokumentation des Feldver- suchs vor. Zusammenfassend kommt die BVG zu dem Ergebnis, dass die Tester dem elektronischen Ticketing positiv gegenübergestanden haben und daher eine flächendeckende Realisierung angestrebt werden soll. Im Frühjahr 2001 soll der Wirtschaftsausschuss des BVG-Auf- sichtsrats darüber entscheiden, ob und wenn ja, in welcher Weise das elektronische Ticketing eingeführt werden soll. Obwohl die BVG unsere Behörde von Anfang eingebunden hatte und eine Vielzahl datenschutzrechtlicher Fragen und Probleme in Schriftwechseln und Besprechungen zum Feldversuch behandelt wurde, spielt der Datenschutz. in der Ergebnisdokumentation keine Rolle. Der beinahe 200 Seiten starke vertrauliche Bericht behandelt über 18 Zeilen nur Allgemeinplätze zum Datenschutz. Wohl bestand Einigkeit darüber, dass die für den Feldversuch spezifischen Fragestel- lungen des Datenschutzes keiner größeren Nachbetrachtung bedürfen, zumal durch den Einsatz freiwilliger Tester, die besondere Einwilligun- gen in die Verarbeitung ihrer Daten gegeben hatten, datenschutzrecht- lich ganz andere Rahmenbedingungen gesetzt werden als in einem spä- teren Echtbetrieb. Jedoch hatten wir im Vorfeld mehrfach darauf hinge- wiesen, dass wir auch erwarten, dass die Erfahrungen, die sich aus dem Feldversuch für die datenschutzgerechte Gestaltung eines flächen- deckenden und obligatorisch zu benutzenden elektronischen Ticketing ergeben, in einen solchen Ergebnisbericht gehören. Der geringe Raum, der dem Datenschutz in der Ergebnisdokumenta- tion des Feldversuchs eingeräumt wird, steht im Gegensatz zu dem Stellenwert, der ihm in den Erklärungen der Versuchsverantwortlichen vor und während des Feldversuchs zugemessen wurde. Mit der Schaf- fung eines Teilprojekts Datenschutz im Projekt Elektronisches Ticke- ting der BVG, der Einstellung einer eigenen Mitarbeiterin für diesen Bereich und der Etablierung eines „Datenschutzbeirats“ unter persön- licher Beteiligung des Berliner Beauftragten für Datenschutz und Akteneinsicht wurden Infrastrukturen geschaffen, die dem Datenschutz die gebührende Rolle in dem Projekt zuweisen sollen. Im Folgenden sollen die von uns gesehenen Erfahrungen aus dem Feldversuch und die daraus zu ziehenden Konsequenzen unter folgen- den Gesichtspunkten behandelt werden: Jahresbericht BInBDA 2000                                            31

3.2 Bahnhofsalarm durch tick.et-Start-Terminal Bereits im Jahresbericht des Vorjahres” wurde moniert, dass das tick.et start-Terminal, mit dem sich die Testpersonen an den Bahnhofs- eingängen in das Verkehrssystem einchecken konnter , bei Fehlfunktio- nen oder Fehlhandlungen der Tester auffällige und laute Alarmtöne abgab, die mit einer erheblichen Prangerwirkung verb unden waren. Die übrigen - meistens über den aktuellen Feldversuch w eniger informier- ten - Passanten hätten dieses leicht als Schwarzfahrve: rsuch werten kön- nen, obwohl dieses nicht der Fall war. Schwarzfahre: hätten bestimmt kein Tick.et über die Lesezone des Terminals geführ . Auf unsere Hin- weise auf diesen Mangel reagierte die BVG sofort, in!    dem sie die Laut- stärke herabsetzte und durch Hinweise an den Geräten über die Bedeu- tung der Alarmmeldungen aufklärte. Bei der Gestaltung der zukünftig in den Einsatz kon nmenden kunden- orientierten Endgeräte ist stärker auf die Interessen de r Kunden zu ach- ten, nicht durch schrille Alarme die Aufmerksamkeit d er übrigen Perso- nen auf dem Bahnhof oder in den Fahrzeugenauf sich zu lenken. Abge- sehen davon, dass es selbst bei einem Schwarzfahrer eine unangemes- sene Reaktion wäre, wenn er vor der neugierigen Öffentlichkeit als solcher bloßgestellt werden würde, so trifft der Alarm meist jene, die bei der Nutzung des Systems unbeholfen sind (z. B. indem sie zweimal ein- gecheckt haben, ohne zwischendurch ausgecheckt zu haben) oder von einem Fehler des Systems bei der Interaktion zwisch n Chipkarte und Terminal betroffen sind. Die bisherige Lösung, nä             ich die Kunden darüber aufzuklären, was die Alarme wirklich bedeuten und insbeson- dere die Betroffenen nicht diskriminieren sollen, kann|nur als eine pro- visorische Lösung angesehen werden, die im Rahmen              es Feldversuchs hinreichend gewesen sein mag. Welche Lösungen de n kbar sind, hängt stark davon ab, ob die Verkehrsbetriebe weiter ohne Sperren auskom- men werden oder nicht. PIN-Offenbarung auf dem Bahnhof fi Die Tastaturen zur Eingabe von persönlichen Identi kationsnummern (PIN) an den tick.et-Boxen dienten der bargeldlosen Z ahlung von aus- gegebenen Chipkarten oder ihrer Aufladung. Sie ware n so angebracht, dass es für den Kunden im unüberschaubaren Betrieb uf einem Bahn- hof unmöglich war zu verhindern, dass Dritte die PIN bei der Eingabe zur Kenntnis nehmen konnten, wenn sie dieses nur w Ilten. Die BVG machte geltend, dass die Terminals vom Zentralen Kreditausschuss (ZKA) freigegeben worden seien, was nur erfolgen               ürde, wenn die kundenorientierten Zahlungssysteme auch sicher sind. Dabei übersieht 26 JB 1999, 4.6.3 32                                                     Jahr: 'esbericht BinBDA 2000

3.2 die BVG jedoch, dass die Sicherheit der Bankkunden, dass ihre PIN ver- traulich bleibt, in den Verantwortungsbereich des Kunden fällt und daher beim ZKA nicht im Schwerpunkt der Sicherheitsüberlegungen steht. Die Vertraulichkeit der PIN-Eingabe ist bei den zukünftigen kunden- bedienten Geräten für die bargeldlose’ Zahlung besser zu schützen als beim Feldversuch. Die Tastaturen für die PIN-Eingabe müssen aus dem Gesichtsfeld normaler Passanten verschwinden. Dies kann durch Ein- richtung von Diskretionszonen geschehen, durch die Änderung des Einbauwinkels der Tastaturen oder durch Blenden, die den Einblick Neugieriger verhindern. Leistungsmerkmale der Chipkarte Das tick.et speicherte die noch nicht verbrauchten ÖPNV-Einheiten, die eventuell aktuell im Gebrauch befindliche elektronische Fahrkarte sowie eine Historie der letzten zwanzig Fahrten mit Datum, Uhrzeit, Start- und Zielbahnhof und der letzten drei Aufladevorgänge. Es bestand vor dem Feldversuch Einigkeit darüber, dass jeder Kunde ohne große Umstände jederzeit das auf der Karte gespeicherte Gutha- ben an OPNV-Einheiten lesen können müsste, damit er rechtzeitig weiß, wann die Karte aufgeladen werden muss, bevor er zum Schwarz- fahrer wird. Er sollte dabei nicht darauf angewiesen sein, ein freies tick.et-tip-Terminal auf einem Bahnhof vorzufinden, an dem er eben- falls die Inhalte seiner Karte auslesen konnte. Es war vorgesehen, den Kunden ein Lesegerät (Wallet) in der Größe eines Schlüsselanhängers für einen kleinen Geldbetrag anzubieten. Nach dem derzeitigen Stand der Technik funktioniert ein solches Lesegerät jedoch nur mit einer kontaktbehafteten Chipkarte, nicht jedoch mit einer Transponder-Chip- karte, die für das schnelle Ein- und Auschecken erforderlich ist. Zu Beginn des Feldversuchs wurden ausschließlich Transponder-Chipkar- ten eingesetzt, so dass der Einsatz von Wallets unmöglich war. Erst in der zweiten Hälfte des Feldversuchs kamen sog. Dual-Interface-Karten zum Einsatz, die beide Zugriffstechniken vereinigten. Unabhängig von der Technologie der im späteren Echtbetrieb einzu- setzenden Chipkarten ist dafür Sorge zu tragen, dass der Kunde des ÖPNV in Berlin einfache und preiswerte Geräte zur Verfügung bekommt, mit denen er den Stand seines tick.et-Kontos ablesen kann. Beim derzeitigen Stand der Technik müssten die Chipkarten mit kon- taktbehafteten und kontaktlosen Schnittstellen ausgestattet werden. Mit der Historie der letzten Fahrten und Aufladungen kann der Kunde falsche Abbuchungen von der Karte erfolgreich reklamieren, weil sich diese aus der Karte nachvoliziehen lassen. Diese Form des Jahresbericht BInBDA 2000                                            33

3.2 Reklamationsmanagements ist datenschutzfreund icher als die Vari- ante, bei der diese Daten in einem Hintergrundsystem gesammelt wer- den und somit auch für andere Zwecke verwendet erden können. Die Daten werden also nur im Interesse des Kunden au f der Karte gespei- chert. Andererseits muss der Kunde befürchten, dass d ie auf seiner Karte gespeicherten Daten auch Dritten zur Kenntnis gela ngen, etwa bei Ver- lust der Karte oder bei einer Beschlagnahme durch strafverfolgungsbe- hörden. Dem Prinzip der informationellen Selbstbe stimmung entsprä- che es daher, wenn der Kunde selbst entscheiden könnte, ob er die Daten auf seiner Karte speichern möchte oder ni ht. Dazu sollte er jederzeit die Möglichkeit erhalten, die Daten selbst zu löschen, entwe- der durch eine Zusatzfunktion des Lesegeräts ode: durch Betätigung eines Kundenendgeräts auf einem Bahnhof wie z. B. das tick.et-tip-Ter- minal. Wenn eine solche Löschmöglichkeit gegebe n wäre, wären die Kunden darüber aufzuklären, dass dies im Reklamat onsfall auf eigenes Risiko gehen würde. Verhinderung des gläsernen ÖPNV-Kunden Beim Feldversuch hatten wir im Jahresbericht 1999 konstatiert, dass ein Bezug zwischen den Personalien der Testpersonen und den von ihnen getätigten Fahrten nicht hergestellt werden konnte, so dass zumindest der „gläserne Tester“ keine Realität werde) n würde. Einzelne Petenten fürchteten das Gegenteil, denn sie konnten ich am tick.et-tip- Terminal über ihre letzten Fahrten informieren und b ei den personalbe- dienten Verkaufsstellen sogar einen Ausdruck davon anfertigen lassen. Sie wussten nicht, dass diese Daten‘eben nur aufihre: Karte vorhanden waren. Leider stellte sich später heraus, dass unsere Aus: age dahingehend relativiert werden musste, dass theoretisch - wenn auch wegen der unterschiedlichen Systeme mit unverhältnismäßigem ‚Aufwand verbun- den und wegen des begrenzten Personenkreises von gi eringem Aussage- wert - eine Zusammenführung der Daten aus der Test) erverwaltung und der scheinbar anonymen Erfassung der Check-in/Ch eck-out-Prozesse möglich gewesen wäre. Beim Check-in/Check-out w urde nämlich die Chipkartennummer erfasst, die auch in der Testerv. rwaltung gespei- chert wurde. Beim Feldversuch hatten die freiwilligen Tester die Einwilligung zur Speicherung von Daten gegeben, die für die Auswertung des Feldver- suchs von Bedeutung waren. Im späteren Echtbetrieb| kann die freiwil- lige Einwilligung in die Datenverarbeitung als Rechtsgrundlage keine Rolle mehr spielen. Da dann fast alle in Berlin lebenden oder die Stadt nur besuchenden Personen von den Datenerhebungenbetroffen sein werden, muss in erster Linie mit Datensparsamkeit und in zweiter Linie 34                                                  Jahfesbericht BInBDA 2000

3.2 durch technische Absicherungen gewährleistet sein, dass ein Bezug zwi- schen den Daten einer Person und den aus ihrem Gebrauch des OPNV entstehenden Daten nicht hergestellt werden kann. In seiner Sitzung vom 14. November 2000 hat der Unterausschuss „Datenschutz“ des Ausschusses für Inneres, Sicherheit und Ordnung den Senat aufgefor- dert, „das Projekt ‚elektronisches Ticketing‘ der BVG darin zu unter- stützen, dass ein Verfahren realisiert wird, welches die anonyme Nut- zung des öffentlichen Verkehrssystems ermöglicht und die Entstehung personenbezogener Bewegungsprofile der Fahrgäste unter allen Umständen ausschließt.“ Der ersten Forderung wird sicher ohne Weiteres nachgekommen werden, denn bei vielen Produkten, z. B. den bar bezahlten Einzelfahrt- ausweisen, werden keine personenbezogenen Daten erhoben werden (können). Die zweite Forderung wird innerhalb der BVG nicht uneinge- schränkt bejaht, weil bestimmte Qualitätsansprüche an das Marketing und die Kundenbindung dann nicht mehr erfüllt werden können. Auch Überlegungen, bestimmten Kunden, z.B. den Firmenkunden, Einzel- gebührennachweise anzubieten, könnten nicht erfüllt werden, denn die dafür notwendigen Daten sind gerade jene, die für personenbezogene Bewegungsprofile notwendig wären. Die Suche nach Lösungen, die einen optimalen Ausgleich zwischen den Datenschutz- und den Marketinginteressen erreichen könnten, könnte ein Musterbeispiel für die Entwicklung einer datenschutz- freundlichen Technologie sein. Dies bedeutet, den Gebrauch personen- bezogener Daten so weit wie möglich einzuschränken und im Übrigen Wege zu finden, mit denen die Geschäftsinteressen der BVG mit anonymen, hilfsweise pseudonymen Verfahren gewahrt werden kön- nen. Zuallererst ist zu fragen, ob die Verkehrsbetriebe ihre Kunden über- haupt namentlich kennen müssen, und wenn ja, welche und in welchem Umfang. Dies wird davon abhängen, welche Produkte in Zukunft in welcher Weise vertrieben werden sollen. Die Tarifierung soll weniger zeitabhängig als vielmehr entfernungsabhängig gestaltet werden. Rabatte sollen mehr den Vielfahrern als den regelmäßigen Fahrern zugute kommen. Soweit Produkte auch weiterhin im Abonnement ver- trieben werden sollen, wird die BVG ihre Abonnenten kennen. Ferner lernt sie alle Kunden kennen, die mit kontogebundenen bargeldlosen Zahlungsverfahren ihre Fahrkarten bezahlen. Der Umfang der Daten wird durch den konkreten Zweck bestimmt, für den sie gebraucht wer- den. Soweit also die Kundenidentitäten vorliegen, ist als Nächstes zu fragen, ob die personenbezogenen Angaben mit den Daten zusammen- geführt werden können, die bei der Nutzung des Ticketing im ÖPNV entstehen. Zwingende Voraussetzung für diese Zusammenführung wäre ein eindeutiges Ordnungsmerkmal, welches sowohl bei den perso-     _ Jahresbericht BinBDA 2000                                            35

3.2 nenbezogenen Kundendaten existiert als auch b im Ein- und Aus- checken erhoben wird, z. B. eine Chipkartennummer. Die Speicherung dieser Nummer ist bei den Kundenstammdaten od T den Zahlungsver- kehrsdaten grundsätzlich nicht erforderlich. Eine A ssnahmekönntefür jene Kunden gegeben sein, die als Abonnenten am sog. Autoload-Ver- fahren teilnehmen wollen. Bei diesem Verfahren        ird den vertraglich entsprechend gebundenen Abonnenten ermöglicht, ihre Chipkarten, die über kein hinreichendes Guthaben mehr verfüg en, beim Ein- oder Auschecken automatisch mit einem bestimmten Betrag aufzufüllen, der dann im Lastschriftverfahren beim Kunden eingezo; sen wird. In diesem Falle muss der Kunde über die Chipkartennummer dentifizierbar sein, d. h. die Chipkartennummer muss -. nur in diesem Falle! - bei den Stammdaten des Kunden gespeichert werden. Weiter ist zu fragen, weshalb beim Ein- und Ausc ecken ein Identifi- kationsmerkmal der Chipkarte erhoben werden soll Der elektronische Fahrschein, der beim Einchecken entsteht, ist auf de: Karte gespeichert, die sich in der Hand des Kunden befindet. Sie enthäl it alle Angaben, die beim Auschecken für die Ermittlung des Fahrpreise, s benötigt werden. Es besteht also keine Notwendigkeit, diese Check-i n- und Check-out- Daten in Hintergrundsystemen zusammenzuführe) n, wozu natürlich Identifikationsmerkmale der Chipkarte gebraucht w ürden. Die für die Verkehrsstrommessungen erforderlichen Daten können für jede ein- zelne Fahrt ohne Kartenbezug (abgebildet als Ch eck-in/Check-out- Datenpaar) und damit anonym erfasst werden. Di e einzige Einbuße wäre, dass hintereinander ausgeführte Fahrten, die einzeln ein- und ausgecheckt werden (z. B. beim Umsteigen von U-B ahn zum Bus oder umgekehrt), nicht als zusammenhängend erkannt w erden können, ein Erkenntnisgewinn für das Marketing, der in keinem Verhältnis zu den Risiken für die informationelle Selbstbestimmung s)teht, die bei einer personenbezogenen Vorratsspeicherung entstehen. Wenn jedoch eine Zusammenführung der Nutzu: sdaten mit Chip- ns karten-Identitätsmerkmalen vorgesehen werden m! iss, die ihrerseits wieder in bestimmten Fällen die Identifizierung der Kunden zulassen, müssen komplexere Verfahren zum Schutz der Kund enidentität gefun- den werden. Zu denken wäre dabei an zwei unterschi edliche Identitäts- merkmale auf einer Chipkarte, eines für die Abre, chnung, z.B. bei Anwendung des Autoload-Verfahrens, und eines für lie Prozesse beim Check-in/Check-out. Das erste könnte in einem kryp tografisch errech- neten Hashwert von kundenbezogenen Angaben (z . B. Kontoverbin- dungsdaten), das zweite in der herstellerseitig vergebenen Chipkarten- nummer bestehen. Entscheidend wäre dann, absolu t sicherzustellen, dass beide Identitätsmerkmale an keiner Stelle außerhalb der Chipkarte zusammengeführt werden können. Zusammenfassend ist festzustellen, dass es viele O ptionen gibt, mit geringen Ausnahmen alle Hoffnungen, die die Verkehrsbetriebe mit den Datenspuren aus dem Fahrverhalten ihrer Ku nden, aus neuen 36                                                   Jal resbericht BInBDA 2000

3.3 Tarifmodellen und mit modernen Zahlungsweisen verbinden, daten- schutzgerecht und unter Wahrung der Anonymität auch zu erfüllen. Wir gehen davon aus, dass das von der BVG eingerichtete „Teilprojekt Datenschutz“ diese ehrgeizigen Ziele erreichen wird. 3.3 Datenverarbeitung im Krankenhaus Zugriffsregelungen bei medizinischen Dokumentationssystemen Die komplexen und arbeitsteiligen Prozesse in einem modernen Krankenhausbetrieb lassen sich ohne massiven Einsatz der Informati- onstechnik nicht mehr bewältigen. Die Führung elektronischer Patien- tendokumentationen, („elektronische Krankenakten“), die schnelle und effiziente Informationsversorgung klinischer Sonderfunktionsbereiche, wie z.B. der für die Krankenhaushygiene zuständigen Einrichtungen, diverser Labors, der Chirurgie, der Anästhesie, der Leistungsabrech- nung mit den Krankenkassen, bis zur Organisation der Krankenpflege, der Versorgungsinfrastruktur und vieles mehr machen die Speicherung und den schnellen Zugriff auf Patientendaten erforderlich. Ausnahme- situationen wie aktuelle Notfälle oder die Konsultation weiterer, gege- benenfalls externer Ärzte machen flexible Lösungen für den Daten- zugriff erforderlich. Im Allgemeinen sind die Systeme für die unter- schiedlichen Funktionen miteinander vernetzt. Die in einem Bereich entstandenen Daten können in anderen Bereichen direkt zur Verfügung gestellt werden, wenn sie dort gebraucht werden. Im Berichtsjahr bestand ein Schwerpunkt unserer Prüfungen und Beratungen in der datenschutzrechtlichen Gestaltung der medizini- schen Dokumentationssysteme im Krankenhaus, also derjenigen Kom- ponenten, die unmittelbar mit der Behandlung von Patienten im Kran- kenhaus verknüpft sind. Die Anforderungen an einen flexiblen und die Prozesse im Kranken- haus nicht behindernden Umgang mit und Zugang zu Daten bestehen in einem Umfeld, in denen die Regeln der ärztlichen Schweigepflicht besonders hohe Anforderungen an den vertraulichen und integeren Umgang mit den personenbezogenen Daten der Patienten stellen. Der absolute Vorrang der Lebensrettung, der Heilung von Krankheiten und der Linderung von Leiden bedeutet nicht die Aufgabe sonstiger Grund- rechte, auch nicht der informationellen Selbstbestimmung der Patien- ten. Dies bedeutet einerseits, dass die für die Behandlung der Patienten erforderlichen Daten jederzeit und schnell im erforderlichen Umfang dort zur Verfügung gestellt werden, wo sie gebraucht werden, anderer- seits aber, dass jeder dadurch oder durch andere Aufgaben im Kranken- haus nicht legitimierte Zugriff auf die personenbezogenen Daten der Patienten unterbunden wird. Jahresbericht BinBDA 2000                                             37

3.3 Anhaltspunkte für die Umsetzung datenschutz Tr chtlicher Anforde- rungenan den Zugriffsschutzin Krunkenhausinformatinsysemen hat eine Projektgruppe „Datenschutz in Krankenha sinformationssyste- men“ der Deutschen Gesellschaft für Medizinische Informatik, Biome- trie und Epidemiologie (GMDS) erarbeitet und darmit einen Kriterien- katalog für die Kontrolle solcher Systeme bereitges tellt, der für sich in Anspruch nehmen kann, dass er die praktischen Gesichtspunkte aus dem Krankenhausalltag einbezieht. In den „Allgem einen Grundsätzen für den Datenschutz in Krankenhausinformations systemen“?’ finden sich sinngemäß folgende Kernaussagen: - Datengeheimnis und ärztliche Schweigepflich verbieten es, das Krankenhaus als „informationelle Einheit“ anzu sehen. Die Weiter- gabe von Patientendaten innerhalb eines Kran kenhauses ist eine Offenbarung im Sinne von             $ 203 Strafgesetzbuch die einer Befugnis- norm bedarf. Die Übertragung der Zugriffsrecht e obliegt der behan- delnden Fachabteilung. Die Offenbarung von personenbezogenen Pat entendaten, damit die Einräumung von Zugriffsbefugnissen, ist nur gestattet, wenn und soweit sie im Rahmen der Behandlung oder a fgrund rechtlicher Vorschriften erforderlich ist. Patientendaten sind nach dem Stand der Ted hnik zu schützen, wobei das Prinzip der Verhältsmäßigkeit zu beac hten ist und wegen der hohen Sensitivität der medizinischen Dat en daher ein hoher Sicherheitsaufwand angemessen ist. Die Zugrifisdifferenzierungen sind technisch per Systemeinstellung zu verwir! klichen. Eine Frei- gabe von Daten im Einzelfall muss ein bewus ter Akt sein. Die Belastung des medizinischen Personals b im sachgerechten Umgang mit den Patientendaten, die durch die $;icherheitsmaßnah- men bewirkt wird, ist zu minimieren. Die technischen und organisatorischen Datensch utzmaßnahmen in einer Klinik erfordern die Schaffung einer ents prechenden Infra- struktur und eine klare Festlegung der Verantwortlichkeiten sowie die Einplanung eines angemessenen finanzielle) n und personellen Aufwands. Die besonderen Anforderungen an die Zugriffsko                     trolle in medizini- schen personenbezogenen Dokumentationssysteme: n ergeben sich also durch strenge Zugriffsrestriktionen auf der einen $ eite und bedarfs- weise flexibel zu handhabende Ausnahmebefugniss e: - Den Ärzten einer Fachabteilung kann der Zugrifl f auf die Daten der in der Abteilung behandelten Patienten pauschal zugestanden wer- den, wenn sie an der Behandlung der Patiente: 1 beteiligt sind. 27 Stand: 16.3. 1994, http://info.imsd.uni-mainz.de/AGDatenschutz/Emp! ehlungen/grunds.html 38                                                                   Jahresbericht BInBDA 2000

3.3 - Dem Pflegepersonal wird der Zugriff auf die pflegerelevanten Daten der in ihrer Station befindlichen Patienten zugestanden. - Medizinischem Personal mit klinikübergreifenden Querschnitts- (z.B. Krankenhaushygiene) oder Spezialaufgaben (z. B. Anästhe- sisten) kann der Zugriff nach Bedarf im erforderlichen Umfang durch die Fachabteilung freigeschaltet werden. - Falls erforderlich, kann die Norfallversorgung von stationär behan- delten Patienten durch dafür besonders autorisierte Ärzte vorge- nommen werden, die in dieser Rolle mit einem speziellen Zugriffs- profil versehen werden, das den fachabteilungsübergreifenden Zu- griff gestattet, aber eine strenge Protokollierung zur Missbrauchs- kontrolle beinhaltet, die der Fachabteilung den Einzelfall nachträg- lich nachvollziehbar macht. - Konsiliarärzten wird im Einzelfall der Zugriff freigeschaltet. Aus technischer Sicht spielt in Krankenhäusern neben der auch in anderen Anwendungsbereichen gängigen Zugriffsdifferenzierung nach abgeschlossenen organisatorischen Einheiten oder nach individuellen Anwenderrollen die individuelle Freischaltung für den Zugriff auf ein- zelne Datensätze oder bestimmte Datenbestände eine wichtige Rolle. Damit kann die notwendige Flexibilität erreicht werden, die den beson- deren Anforderungen des Datenzugriffs in einem Krankenhaus gerecht wird. Soweit eine Beschränkung des Zugriffs nicht möglich ist und damit potenziell unbefugte Zugriffe auf die Patientendaten möglich sind, müssen die Zugriffe automatisch einschließlich der Kennung des Zugreifenden protokolliert werden und die Protokolle von der zuständi- gen Fachabteilung kontrolliert werden. Es muss dann auch organisato- risch sichergestellt werden, dass nicht erforderliche Zugriffe empfind- liche Sanktionen nach sich ziehen. Für die Steuerung der Zugriffe auf sensible patientenbezogene Datenbestände sowie für die Absicherung gegen Verletzungen der Ver- traulichkeit und Integrität dieser Daten werden in den Krankenhausnet- zen zunehmend auch Methoden der datenschutzfreundlichen Technolo- gien in den Einsatz kommen. Methoden der Kryptographie werden für sichere Datenübertragung in Krankenhausnetzen, für die Pseudonymi- sierung der Patientendaten dort, wo die Identitäten keine Rolle spielen, und für die Authentisierung der patientenbezogenen Daten und Mittei- lungen durch elektronische Unterschrift einzusetzen sein. Zu erwarten ist, dass eine arztbezogene Authentisierungschipkarte (Health Profes- sional Card - HPC) in Zukunft eine noch flexiblere und an den Bedürf- nissen orientierte Zugriffssteuerung ermöglichen wird. 28 Man beachte auch die differenzierteren Ausführungen der Projektgruppe „Datenschutz in Kranken- hausinformationssystemen“ der GMDS zum „Zugriff auf Patientendaten im Krankenhaus“, Stand: 21. 4. 1999, http://info.imsd,uni-mainz.de/AGDatenschutz/Empfehlungen/zugriff.html Jahresbericht BInBDA 2000                                                                     39