Datenschutzaspekte bei Logistik-Lösungen im Krankenhaus
Vor einiger Zeit wurde ich eingeladen auf der Med.Logistica 2022 in Leipzig einen kleinen Vortrag zu den Datenschutzaspekten bei der Einführung und dem Einsatz von Ortungs- und Tracking-Lösungen im Kontext der Krankenhaus Logistik zu halten.
Es sollten nur 10 Minuten werden, eine echte Herausforderung, denn auch ein oder zwei Stunden wären bei dem Thema leicht zu füllen. Mein Vortrag kann also nur einen Einstieg in die Thematik geben.
Logistik & Ortung im Krankenhaus – Wo ist denn da der Personenbezug?
Die erste Frage, die man sich bei allen technischen Projekten stellen sollte ist doch, ob man denn wirklich Daten verarbeitet, die einen Personenbezug haben. Schauen wir uns deshalb noch einmal die Definition in der DSGVO dazu an:
Definition – „personenbezogene Daten“
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen!
Welche Use-Cases im Krankenhausbetrieb liegen denn nahe?
Für jemanden, der nicht häufig oder regelmäßig ein Krankenhaus aufsuchen muss, überrascht es, wieviel Zeit dort nur mit den täglichen Transportaufgaben verbracht werden muss und mit wie vielen Beschäftigten diese Leistung erbracht wird. Selbst in einem kleinen Haus sind es tausende Stunden und Kilometer pro Jahr. Damit liegt es auf der Hand, dass z.B. ein zeit- und leistungsoptimierter Krankentransport ein wichtiger betriebswirtschaftlicher Faktor ist. Datenschutzrechtlich betroffen sind hier die Patienten und es fallen unter anderem folgende Daten an:
Datenkategorien
-
- Patientenname / Patientennummer
- Grund des Transportes
- u. U. Infektionsstatus
- Start, Ziel und Zeitraumpunkt
Schon der Sachverhalt, dass sich eine Person in einem Krankenhaus befindet, gilt als besonders zu schützende Information nach Art.9 DSGVO.
Werden dagegen nur Assets (Geräte, Waren, etc.) bewegt oder geortet, würde man den Personenbezug verneinen.
Datenkategorien wären
-
- GeräteID
- Funktion / Status
- Position
In der Betrachtung der Datenschutzauswirkungen gerne übersehen werden diejenigen Personen, die eine Leistung erbringen. In unserem Fall die Transporttätigkeit. Sie werden beauftragt und fahren – bei unserem Beispiel – die Patienten zum MRT oder zur Physio oder die benutzten Betten in die Sterilisation. Auch dabei fallen Daten an.
Datenkategorien
-
- Beschäftigte / Personalkennung
- Tätigkeit / Qualifikation
- Zeitpunkt
Ohne Zweifel sind diese Daten personenbezogen, nur ist die Gruppe der betroffenen Personen eine andere. Wird ein Auftrag noch um eine Nachverfolgung oder eine Ortungsoption ergänzt, bekommen wir auch noch Daten zur Position, zu Wegen oder sogar zum Verhalten von Beschäftigten hinzu.
Personenbezug und Konsequenzen
Als Ergebnis der Erkenntnis des Personenbezuges bleibt die Anwendbarkeit aller einschlägigen Datenschutzgesetze:
- Europäische Datenschutzgrundverordnung (DSGVO)
- Bundesdatenschutzgesetz (BDSG)
- u. U. Landesdatenschutzgesetze
- u. U. Datenschutzgesetze der evangelischen oder katholischen Kirche
- Spezielle gesetzliche Anforderungen an Krankenhäuser
Konsequenzen für die Entwickler
Die DSGVO gibt einige Grundregeln beim Umgang mit personenbezogenen Daten vor. Dazu zählen u.a.:
Dataprotection by Design
Datenschutz durch Technikgestaltung oder Dataprotection by Design, eine Anforderung, die sich primär an Hersteller und Software Entwickler richtet. Allerdings sollte die Umsetzung dieser Anforderung auch bei der Auswahlentscheidung für eine Logistk-Lösung berücksichtig werden.
Schon beim Design der Anwendung sollte berücksichtigt werden, Daten nach ihrer Sensibilität zu trennen. Zum Beispiel durch die Trennung der Stammdaten von Bewegungsdaten; und dabei – wo es sinnvoll möglich ist – Daten pseudonymisieren.
Die Entwickler müssen in der Anwendung ein granulares Rollen- und Rechtekonzept implementieren. Es muss sichergestellt werden, dass nur berechtigte Personen im Umfang ihrer Aufgabenerfüllung Zugriff auf personenbezogene Daten erhalten können.
Die Verschlüsselung der Kommunikation (Data in Transfer) ist heute „state of the art“, d.h. eine zwingend umzusetzende Mindestanforderung. Die Verschlüsselung der Daten während sie gespeichert werden (Data on Rest) stellt höhere Anforderungen an das Datenbankdesign. Wenn die Anwendung nicht im eigenen Rechenzentrum betrieben wird, stellt dies aber eine sinnvolle Verbesserung des Datenschutzes dar. Und auch die Bereitstellung von Datensicherungsfunktionen zählt auch zu den zwingend umzusetzenden Mindestanforderungen.
Dataprotection by Default
Die Grundeinstellungen der Anwendung müssen so gewählt werden, dass personenbezogene Daten im geringst möglichen Umfang verarbeitet werden. Ein Benutzungskonzept muss so umsetzbar sein, dass nur die zur Zweckerfüllung nötigen Daten den Bearbeitenden auch sichtbar sind.
Vorsicht ist immer geboten, wenn personenbezogene Daten in Drittstaaten verarbeitet werden sollen, weil z.B. dort Teile der technischen Infrastruktur bereitgestellt werden. Die Nutzung von Microsoft Azur, Amazon Webservices oder der Google Infrastruktur ist datenschutzrechtlich problematisch und bei besonders sensiblen Daten der Datenkategorien nach Art.9 DSGVO kaum rechtssicher umzusetzen.
Konsequenzen für den Betreiber
Der Betreiber einer Logistik-Lösung ist nach DSGVO der „Verantwortliche“ und für jede Verarbeitung personenbezogener Daten bedarf es einer Rechtsgrundlage.
Für die Verarbeitung von Patientendaten kommt Art. 6 lit. a DSGVO – die Einwilligung – in Frage. Eine wirksame Patienteneinwilligung muss also auch Informationen zu den im Logistik Prozess anfallenden Daten enthalten.
Für die Verarbeitung von Daten der Beschäftigten kann man – je nach Datenkategorie – den § 26 BDSG (Durchführung des Beschäftigungsverhältnisses) oder Art. 6 lif.f DSGVO (berechtigtes Interesse) als Rechtsgrundlage in Betracht ziehen.
Da es sich zumindest bei den Patientendaten um besondere Daten nach Art. 9 DSGVO handelt, muss geprüft werden, ob eine Datenschutzfolgenabschätzung (DSFA) erforderlich ist. Es sind natürlich auch die Mitbestimmungsrechte zu beachten, so es einen Betriebsrat oder eine Personalvertretung gibt.
Informationspflichten
Sollte also die Entscheidung gefallen sein, eine Logistik-Lösung zum Einsatz zu bringen, sind natürlich die Patienten wie auch die Beschäftigten über Art, Zweck und Umfang der Verarbeitung zu informieren. Das kann in der allgemeinen Datenschutz-Information umgesetzt werden. Bitte denken sie dabei an die Transparenz Anforderungen und eine einfache Verständlichkeit.
Technische und organisatorische Maßnahmen
Zum Schutz der Daten sind angemessene technische und organisatorische Maßnahmen zu treffen. Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste muss sichergestellt werden. Art. 32 DSGVO zählt einige Maßnahmen zum Schutz personenbezogener Daten auf, wie etwa
- die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten soweit möglich,
- eine rasche Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen,
- speziell die Nutzung und Auswertung von Daten sollte nur wenigen Personen vorbehalten sein.
Prozesse zu Rechten der Betroffenen
Betroffenen Personen räumt die DSGVO umfangreiche Rechte ein. Das kann dazu führen, dass Betroffene diese Rechte auch gegen ihre Organisation gelten machen wollen. In der Regel handelt es sich dabei um das Recht auf Auskunft zu, Kopie von oder Löschung von Daten. Denken sie daran, dass ja nun auch Daten aus der Logistik-Lösung zu den zu übermittelnden Datenkategorien gehören.
Prozess zu Datenpannen
Leider kann es auch in der Logistik zu Datenpannen kommen, deshalb muss der Betreiber nach Art. 13 DSGVO ggf. die Meldung einer Datenpanne an die zuständige Aufsichtsbehörde prüfen und auch nach Art. 14 DSGVO die Meldung der Panne an die Betroffenen erwägen. Der Unternehmensprozess zu Prüfung und ggf. Meldung von Datenpannen muss also um die Risikoposition Logistik-Lösung / Ortung / Tracking ergänzt werden.
Löschkonzept
Die bei der Logistik-Lösung anfallenden Daten müssen mit im Löschkonzept berücksichtigt werden. Diese Daten sind zu löschen, wenn die Zweckbestimmung erreicht ist und keine weiteren Aufbewahrungspflichten einer Löschung entgegenstehen. Alternativ könnten Daten auch anonymisiert werden, damit bliebe eine weitere Nutzung zur Optimierung der Logistik Prozesse möglich.
Fazit
Der Vortrag konnte in der Kürze der Zeit die verschiedenen Aspekte des Datenschutzes bei Logistik oder Ortung nur anreißen. Als Fazit bleibt die Empfehlung, den oder die Datenschutzbeauftragte rechtzeitig in die Konzeption und Auswahl einer Logistik-Lösung mit einzubeziehen, damit alle erforderlichen Punkte beachtet werden. So lassen sich Risiken für die Organisation und natürlich für die Betroffenen rechtzeitig erkennen und behandeln.
LINK: