7.1 Formulare für Schweigepflichtentbindungserklärungen
Im Dezember 2014 wandte sich das Gesundheitsamt Bremerhaven an uns und bat um Beratung hinsichtlich des datenschutzgerechten Einsatzes von Einwilligungs- und Schweigepflichtentbindungserklärungen für die Erhebung und die Übermittlung von Klientendaten an Dritte, wie beispielsweise andere Behörden, Krankenkassen, Pflegekassen, Ärztinnen und Ärzte oder Krankenhäuser. Das Gesundheitsamt hatte Musterentwürfe mit Freitextfeldern erstellt, die von der zuständigen Mitarbeiterin oder vom zuständigen Mitarbeiter im Einzelfall um die relevanten Informationen ergänzt werden sollten. Dazu informierten wir das Gesundheitsamt über die gesetzlichen Anforderungen, denen eine Einwilligungs- und Schweigepflichtentbindungserklärung genügen müssen.
Danach muss eine ausreichende Konkretisierung erfolgen, sodass für die Betroffenen klar erkennbar ist, welche Daten zu welchen Zwecken bei welchen Stellen erhoben werden sollen. Sofern die Daten bei schweigepflichtigen Personen erhoben beziehungsweise von diesen übermittelt werden sollen, müssen diese auch namentlich benannt werden. Zudem ist auf die Freiwilligkeit der Erklärung hinzuweisen und die Folgen der Verweigerung der Erklärung sind konkret im Formular zu benennen. Aus diesen Gründen sehen wir ein Formular sehr kritisch, das für eine Vielzahl von unterschiedlichen Anwendungsfällen im Hinblick auf die beteiligten Institutionen, Art und Umfang der Daten erstellt wird, und das viele Freitextfelder enthält, die im Einzelfall von der jeweiligen Mitarbeiterin beziehungsweise dem jeweiligen Mitarbeiter korrekt und vollständig ausgefüllt werden müssen. Ein solches Verfahren birgt das Risiko, dass in der Praxis nicht der für eine Wirksamkeit der Erklärung notwendige Konkretisierungsgrad erreicht wird. Wir rieten dem Gesundheitsamt daher, mehrere Formulare für jeweils bestimmte Fallkonstellationen zu erstellen.
Im Juni 2015 erhielten wir vom Gesundheitsamt überarbeitete Entwürfe. Anstelle der vom Gesundheitsamt abgelehnten Differenzierung der Formulare für bestimmte Fallkonstellationen hatte das Gesundheitsamt eine Handlungsanleitung für die eigenen Mitarbeiterinnen und Mitarbeiter erstellt, um so einen datenschutzgerechten Einsatz in der Praxis zu erreichen. In den überarbeiteten Entwürfen waren unsere inhaltlichen Anforderungen überwiegend umgesetzt. Aufgrund der genannten Probleme einer Mustereinwilligung mit Freitextfeldern hielten wir weitere Maßnahmen für notwendig, um soweit wie möglich sicherzustellen, dass der praktische Einsatz der Formulare den datenschutzrechtlichen Anforderungen auch tatsächlich entspricht. Deshalb forderten wir, das sichergestellt wird, dass jedem verwendeten Formular als Anlage die Handlungsanleitung beigefügt wird, und dass im Formular jeweils an den entsprechenden Stellen auf die passenden Erläuterungen in der Handlungsanleitung verwiesen wird. Auf
diese Anforderungen erhielten wir trotz Nachfragen erst im November 2016 eine Antwort, mit der erneut Entwürfe übersandt wurden, die keine Handlungsanleitung mehr enthielten.
Daraufhin forderten wir erneut die Umsetzung unserer Anforderungen und wiesen insbesondere darauf hin, dass das Musterformular mit Freitextfeldern unserer Auffassung nach ohne die Handlungsanleitung nicht geeignet ist, um sicherzustellen, dass im praktischen Einsatz die gesetzlichen Wirksamkeitsvoraussetzungen durchgängig eingehalten werden können. Trotz mehrfacher Nachfragen auch auf Leitungsebene, erhielten wir in dieser Sache keine weitere Rückmeldung vom Gesundheitsamt. Sofern es zutrifft, dass das Gesundheitsamt Bremerhaven nunmehr bereits seit Jahren ohne datenschutzkonforme Formulare arbeitet, halten wir dies für inakzeptabel.
7.2 Festplattenverlust bei einer Laborarztpraxis
Von einer Laborarztpraxis wurden wir darüber unterrichtet, dass der Praxis eine Festplatte abhandengekommen war, die die Datensicherung des PC eines ärztlichen Mitarbeiters enthielt. Es wurde vermutet, dass die Festplatte entwendet worden war. Auf der Festplatte war eine unverschlüsselte Excel-Liste mit über 90.000 personenbezogenen Laborwerten enthalten, die von dem Arzt für wissenschaftliche Auswertungen genutzt worden war. Die Liste enthielt im Einzelnen die Daten: Name, Geburtsdatum, Messwert, Anforderungsdatum und Einsender. Die Messwerte enthielten beispielsweise Informationen über Hormonstatus, begleitende Untersuchungen bei Tumoren und Transplantationen, Depressionen, Bluthochdruck, Fruchtbarkeit, Geschlechtshormonstörungen oder Thromboseneigungen. Da nach Auskunft der Laborarztpraxis die Umstände um den Verlust der Festplatte nicht weiter aufgeklärt werden konnten, ist unklar, ob die personenbezogenen Laborwerte tatsächlich von Dritten zur Kenntnis genommen wurden.
Nach § 42 a Bundesdatenschutzgesetz (BDSG) besteht eine Informationspflicht der Aufsichtsbehörde und der Betroffenen, wenn sensible Daten Dritten unrechtmäßig zur Kenntnis gelangen und dadurch schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Ob diese Voraussetzungen erfüllt sind, ist anhand einer Gefahrenprognose zu prüfen. Eine vergleichbare Regelung findet sich in Artikel 33 Datenschutzgrundverordnung.
Da die Laborarztpraxis uns als Aufsichtsbehörde bereits informiert hatte, war das Ergebnis der nach § 42 a BDSG durchzuführenden Gefahrenprognose hier lediglich für die Frage relevant, ob die Betroffenen über den Datenverlust informiert werden mussten.
Die Laborarztpraxis kam bei der Bewertung des Risikos für die Betroffenen dazu, dass dies als gering einzuschätzen sei. Es sei unwahrscheinlich, dass die Patientendaten auf der Festplatte überhaupt gefunden würden. Der Dieb sei wohl eher an der Festplatte als an den darauf gespeicherten Daten interessiert gewesen. Die Daten seien ohne Adressen der Betroffenen schwer zuzuordnen. Sie seien zwar schützenswert, aber nicht besonders
sensibel. Im Ergebnis seien die Daten wohl als wertlos zu bezeichnen. Eine Benachrichtigung der Betroffenen würde zu Irritationen führen und könnte an dem Gefahrenpotenzial nichts ändern. Das Labor habe bereits Maßnahmen getroffen, um solche Vorfälle für die Zukunft zu verhindern. So würden zukünftig alle mobilen Datenträger verschlüsselt werden. Zudem solle ein Datenschutzaudit durchgeführt werden.
Diese von der Laborarztpraxis durchgeführte Gefahrenprognose genügt nicht den Anforderungen des § 42 a BDSG. Zur Risikobewertung müssen unter anderem die Art der betroffenen Daten und der potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung durch Dritte auf die Betroffenen in den Blick genommen werden.
Immaterielle Beeinträchtigungen müssen immer dann angenommen werden, wenn sie gleichzeitig als gravierende Persönlichkeitsrechtsverletzungen einen immateriellen Schadensersatzanspruch begründen. Bereits geringe materielle Schäden oder soziale Nachteile ebenso wie Beeinträchtigungen reiner Vermögensinteressen sind als schwerwiegende Beeinträchtigungen zu werten. Der Schaden muss jedoch über die bloße Kenntnisnahme durch einen Dritten hinausgehen. Dafür muss die verantwortliche Stelle eine Gefahrenprognose treffen, bei der sie verschiedene Möglichkeiten der Verwendung der Daten, die Wahrscheinlichkeit der jeweiligen Verwendungsarten sowie die möglichen Auswirkungen auf die Betroffenen zu berücksichtigen hat.
Da die Umstände des Verlustes der Festplatte nicht aufgeklärt werden konnten und der Aufwand zum Auffinden der Daten auf der Festplatte entgegen den Ausführungen des Labors als gering einzustufen war, musste bei der Risikobewertung von einer Kenntnisnahme der Daten durch Dritte ausgegangen werden. An der Bewertung der Laborarztpraxis kritisierten wir insbesondere die folgenden Punkte:
− Es ist unzutreffend, dass medizinisch relevante Laborwerte zu namentlich benannten Patienten und deren behandelnden Ärzten faktisch nicht interpretiert werden können.
Selbstverständlich lassen sich aus diesen Werten Informationen über den Gesundheitszustand und insbesondere auch über einzelne Erkrankungen schließen.
− Bei der Bewertung der möglichen Beeinträchtigungen der Betroffenenrechte fehlte die Betrachtung des grundsätzlichen Geheimhaltungsinteresses der Betroffenen in Bezug auf die aus den Werten erkennbaren Krankheiten beziehungsweise gesundheitlichen Störungen. Für Gesundheitsdaten ist grundsätzlich ein besonderes Geheimhaltungsinteresse anzunehmen. Hinzu kommt, dass es sich bei Angaben zu Bluthochdruck, Fruchtbarkeit, Geschlechtshormonstörungen, Thromboseneigungen, Krebs, Transplantationen oder Depressionen auch keineswegs um "unsensible"
gesundheitliche Informationen handelt.
− Unzutreffend war im Übrigen die Einschätzung, mehr als 90.000 Laborwerte mit Namen, Vornamen und zum Teil auch Geburtsdaten der Betroffenen und den behandelnden Ärzten hätten keinen Wert.
− Es fehlte eine Betrachtung, zu welchen Zwecken die Daten nutzbar wären und an welche Stellen die Daten zu welchen weiteren Zwecken weitergegeben werden könnten beziehungsweise zu welchem Zweck sie durch Dritte genutzt werden könnten.
Es wäre hier erforderlich gewesen, das Missbrauchsrisiko, zum Beispiel durch eigene Nutzung der Daten oder durch Verkauf zu beschreiben und zu bewerten.
Über die von der Praxis getroffenen Maßnahmen hinaus hielten wir weitere Maßnahmen für erforderlich, um entsprechende Datenverluste für die Zukunft auszuschließen. Da nach Auskunft der Praxis ein Personenbezug der Laborwerte für die hausinterne Forschung nicht erforderlich ist, war die Praxis nach § 40 BDSG verpflichtet, die Daten vor der Verwendung für Forschungszwecke zu anonymisieren. Hierzu forderten wir die Praxis ebenso wie zur Überarbeitung der Gefahrenprognose auf.
Auch die überarbeitete Gefahrenprognose genügte nicht den oben dargestellten Anforderungen, war im Ergebnis für uns jedoch ausreichend, um festzustellen, dass keine ausreichend konkreten Hinweise auf schwerwiegende Beeinträchtigungen der Betroffenenrechte im Sinne von § 42 a BDSG vorlagen. Da die gesetzlichen Voraussetzungen des § 42 a BDSG deshalb nicht erfüllt waren, bestand im Ergebnis keine Pflicht zur Information der Betroffenen über den Verlust ihrer Daten.
7.3 Verkauf von Rezeptdaten
Im 36. Jahresbericht hatten wir unter Ziffer 7.5 zur Zulässigkeit der Weitergabe von Rezeptdaten durch Apothekenrechenzentren an Marktforschungsunternehmen berichtet.
Das im Jahr 2013 mit uns abgestimmte Konzept zur Weitergabe von Rezeptdaten erfüllt die Anforderungen des Sozialgesetzbuches, nach denen nur eine Weitergabe von anonymisierten Rezeptdaten durch Apothekenrechenzentren an Dritte zulässig ist. Nach diesem mit uns abgestimmten Konzept zur Weitergabe von Rezeptdaten, wurden die Identitätsdaten von Ärztinnen und Ärzten sowie Patientinnen und Patienten sowie die Krankenversichertennummer, die Arztnummer und das Apotheken-Institutionskennzeichen in den Rezeptdaten vor der Weitergabe gelöscht und die Betriebsstättennummer auf die Angabe des Bezirks der Kassenärztlichen Vereinigung reduziert.
Da die vollständig anonymisierten Daten sich jedoch schwerer verkaufen lassen, wurde nach einer Möglichkeit der Erweiterung der zu liefernden Daten gesucht. Im November 2015 erreichte uns deshalb ein neues Konzept zur Lieferung von Rezeptdaten von dem unserer Aufsicht unterliegenden Apothekenrechenzentrum mit der Bitte um datenschutzrechtliche
Bewertung. Das neue Konzept basierte auf der Zuordnung der einzelnen Rezeptdatensätze auf 212 regionale Segmente für den Sitz der Apotheke und der ausstellenden Ärztin oder des ausstellenden Arztes anstelle von 66 Bezirken der Kassenärztlichen Vereinigungen und sollte nun auch die Facharztgruppe enthalten, um den Empfängerinnen und Empfängern Auswertungen auf Facharztebene zu ermöglichen. Dabei sollte sichergestellt werden, dass in einem Segment nicht weniger als drei Datensätze einer Facharztgruppe zugeordnet werden.
In unserer Antwort wiesen wir darauf hin, dass für die Frage der Zulässigkeit der Weitergabe von Rezeptdaten irrelevant ist, in welchem Umfang diese von den Empfängerinnen und Empfängern genutzt werden können. Es kommt allein darauf an, ob die Datensätze anonymisiert sind. Davon konnten wir bei einer Verarbeitung nach dem vorliegenden Konzept nicht ausgehen. Durch die Übermittlung der Facharztgruppe mit dem Datensatz, die im Einzelfall dazu führen kann, dass lediglich eine Anzahl von drei Fachärzten in einem Segment vorhanden sind, konnte eine sichere Anonymisierung jedenfalls nicht sichergestellt werden. Insbesondere durch die Verknüpfung von aus anderen Quellen erlangtem Zusatzwissen war bei dem dargestellten Verfahren die Möglichkeit der Reidentifizierung der betroffenen Ärztinnen und Ärzte, Apothekerinnen und Apotheker oder Versicherten durch die Empfängerin beziehungsweise den Empfänger mit einem nicht unverhältnismäßig hohen Aufwand nicht mit Sicherheit auszuschließen. Das Konzept enthielt keine wirksamen Maßnahmen, um die Reidentifizierung der Betroffenen durch Verknüpfung mit Zusatzwissen auszuschließen.
Im Juni des Berichtsjahres erhielten wir ein weiteres überarbeitetes Konzept, mit dem unsere Bedenken jedoch erneut nicht ausgeräumt werden konnten. Zwar wurden in diesem Konzept Anonymisierungstechniken genannt, jedoch ohne die Grundlage für eine Bewertung der Validität der Maßnahmen geschaffen und dementsprechend auch keine Bewertung zu deren Eignung vorgenommen zu haben. Es fehlten Auswahlkriterien für die genannten Verfahren und begründete klare Festlegungen der Voraussetzungen (Kontext) und der durch die Verfahren zu erreichenden Ziele. Außerdem wurden die genannten Methoden nicht hinsichtlich wesentlicher Risiken wie Herausgreifen, Verknüpfbarkeit und Interferenz geprüft.
Für den Fall eines effektiven Einsatzes der genannten Anonymisierungsmethoden fehlte auch die Analyse des Restrisikos. Selbst wenn dies festgestellt würde, bliebe fraglich, ob der Einsatz der analysierten Methoden für die geplanten Datenübermittlungen überhaupt ausreichen könnte.
7.4 Verfahrensbeschreibungen Gesundheitsamt Bremen
Im April des Berichtsjahres wandten wir uns mit dem Hinweis an die Leitung des Gesundheitsamtes Bremen, dass die uns vorliegenden Verfahrensbeschreibungen des
Gesundheitsamtes durchgängig keine ausreichende Beschreibung der technischen und organisatorischen Maßnahmen nach § 7 Bremisches Datenschutzgesetz enthalten. In sämtlichen uns vorgelegten Verfahrensbeschreibungen findet sich zu diesem Punkt nur der Hinweis, dass die technischen und organisatorischen Maßnahmen im Netzwerkdatenschutzkonzept des Gesundheitsamtes Bremen beschrieben sind. Im Netzwerkkonzept des Gesundheitsamtes (Stand: März 2015) wird die technische Sicherheit der Infrastruktur, der IT-Systeme und der Anwendungen sowie die Sicherheit im Netz dargestellt. Die Administration der Fachverfahren wird darin nicht beschrieben. In den Verfahrensbeschreibungen zu den einzelnen Fachverfahren ist es daher insbesondere erforderlich, eventuelle programmtechnische Anpassungen zu dokumentieren, die Berechtigungsstruktur festzulegen, die Berechtigungsadministration zu beschreiben und revisionssicher zu gestalten. Wir wiesen darauf hin, dass wir dies seit langer Zeit beim Gesundheitsamt erfolglos einfordern und baten darum sicherzustellen, dass die Verfahrensbeschreibungen des Gesundheitsamtes um eine ausreichende Beschreibung der technischen und organisatorischen Maßnahmen ergänzt werden.
Vom Gesundheitsamt wurde dazu mitgeteilt, dass im Rahmen der Migration der Fachverfahren zu Dataport eine Prioritätenliste erarbeitet worden sei, die eine Aufstellung enthalte, in welcher Reihenfolge diese gegebenenfalls behandelt werden sollen. Bei den Vorbereitungen für das jeweilige Verfahren würden auch die Verfahrensbeschreibungen aktualisiert, wobei die von uns genannten Punkte berücksichtigt würden. Die aktualisierten Verfahrensbeschreibungen würden uns dann sukzessive zur Verfügung gestellt. Auch auf Nachfragen erhielten wir keine weiteren Rückmeldungen zum Stand der Bearbeitung.