Deutschlands großes Presseportal - Homepage
» kostenlos Pressemitteilung veröffentlichen
» Kunden Login zu "meine Redaktion"
»Suche / Lokale Suche
> Startseite > IT, Computer & Internet

Handlungsempfehlungen für die Protokollierung personenbezogener Daten

In der 2011 erschienenen „Orientierungshilfe Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen“ (OH-KIS) werden 25 Anforderungen an die Hersteller und Betreiber von Krankenhausinformationssystemen in puncto Protokollierung gestellt.
In seinem aktuellen Tätigkeitsbericht schreibt der Landesbeauftragte für Datenschutz und Informationssicherheit in NRW (vgl. Einundzwanzigster Datenschutz- und Informationsfreiheitsbericht des Landesbeauftragten für Datenschutz
und Informationsfreiheit Nordrhein-Westfalen), dass die Orientierungshilfe in Zukunft als Maßstab für die Bewertung eingesetzt werden wird. Protokollierung bedeutet aber auch gleichzeitig eine weitere Sammlung von personenbezogenen Daten. Aber wie sind diese vor eventuellem Missbrauch geschützt? Und was wird überhaupt in Protokollierungsdaten gespeichert?

Protokollierung bedeutet die manuelle oder automatische Aufzeichnung von Veränderungen sowohl an der Hard- als auch in der Software. Eine weitere Art der Protokollierung stellt die Aufzeichnung über die Verarbeitungsvorgänge von personenbezogenen Daten dar. Bei beiden Protokollierungsarten sind mindestens folgende Parameter zu dokumentieren:
• Art des Vorgangs (Lesen, Schreiben, Aktualisieren, Löschen)
• Ausführende Person und/oder System
• Zeitpunkt
• Merkmale des Vorgangs (z.B. eingegebene Werte)
(vgl. Orientierungshilfe "Datenschutzrechtliche Protokollierung beim Betrieb
informationstechnischer Systeme (IT-Systeme)")

Bei diesen erhobenen Parametern handelt es sich nicht ausschließlich um anonyme Daten, sondern es sind mindestens Informationen zu der ausführenden Person und somit personenbezogene Daten enthalten, die wiederum durch das Bundesdatenschutzgesetz geschützt sind.
Häufig synonym genutzt, aber von der Protokollierung im eigentlichen Sinne abzugrenzen, ist eine technische Protokollierung, das sogenannte Logging wesentlicher Softwarezustände. Diese „Logs“ dürfen ausschließlich softwarespezifische Informationen, wie genutzte Klassen, Methodenaufrufe und mögliche Fehlerzustände enthalten und werden von Softwareherstellern für die Fehlersuche und –behebung herangezogen.

Mit der Maßnahme der Eingabekontrolle, um nachträglich die Verarbeitung personenbezogener Daten transparent nachvollziehen zu können, stellt das Bundesdatenschutzgesetzt eine wesentliche rechtliche Grundlage für die Protokollierung dar.
Dabei finden sich im BDSG aber keine expliziten Regelungen zum Umgang mit Protokolldaten, sodass die allgemeinen Regelungen auf die Protokollierung zu übertragen sind und generell dürfen personenbezogene Daten, welche ausschließlich zum Zwecke der Datenschutzkontrolle gespeichert werden, auch nur für diesen Zweck Verwendung finden (vgl. BDSG §14 Abs. 4 und §31).

Einen genaueren datenschutzrechtlichen Umgang mit Protokollierungsdaten beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Maßnahmenkatalog des IT-Grundschutzes. Demnach sind die Protokollierungsdaten unverzüglich nach Erfüllung ihres Zwecks zu löschen, wobei eine Aufbewahrungsfrist von einem Jahr nicht überstritten werden soll. Weiterhin empfiehlt das BSI die Erstellung eines Protokollierungskonzeptes, welches die Rechte der Mitarbeiter gegenüber dem Potenzial zum Missbrauch der Protokollierungsdaten wahrt. Zudem wird an die Nutzung des Vier-Augen-Prinzips für den Zugriff auf Protokolldaten appelliert (vgl. BSI-Maßnahmenkatalog: M 2.110 Datenschutzaspekte bei der Protokollierung).Darüber hinaus lassen sich für das Gesundheitswesen aus verschiedenen Gesetzen und Regelungen Protokollierungsvorschriften ableiten. So wird in §10 Abs. 5 der Musterberufsordnung für in Deutschland tätige Ärztinnen und Ärzte (MBO-Ä) von Sicherungs- und Schutzmaßnahmen, die die Aufzeichnungen vor Veränderung, Vernichtung oder unrechtmäßiger Verwendung schützen, gesprochen. Eine dieser Sicherungs- und Schutzmaßnahmen stellt dabei die Protokollierung von Zugriffen sowie von Veränderungen der Patientendaten dar.
Weitere konkrete Empfehlungen zur Protokollierung im Gesundheitswesen nennt die eingangserwähnte Orientierungshilfe Krankenhausinformationssysteme die keine Gesetzesnorm, aber einen Meinungskonsens der Landesdatenschützer darstellt. Neben der Beschreibung von Art und Weise werden unter anderem eine revisionssichere Protokollierung und die Kopplung an das Rechte- und Berechtigungskonzept eines Informationssystems empfohlen, um einem möglichen Missbrauch der Daten vorzubeugen.

Im Gesundheitswesen ergibt sich mit der Speicherung von Teilen der Patientendaten innerhalb der Protokollierung ein besonderes Gefährdungspotenzial. Aus diesem Grunde muss der notwendige Inhalt und Umfang der Protokollierung kritisch beurteilt und grundsätzlich sollte eine strikte Trennung von Protokoll- und Patientendaten eingehalten werden.

Dem Nutzen der Protokollierung steht dabei das mögliche Missbrauchspotenzial der Verwendung für unberechtigte Zwecke, wie beispielsweise der Mitarbeiterkontrolle oder einer statistischen Auswertung, gegenüber.
„Aus diesem Grunde soll der Zugriff auf die Protokolldaten“, so rät Prof. Dr. Thomas Jäschke, „gemäß den Empfehlungen des BSI ausschließlich nach dem Vier-Augen-Prinzip und idealerweise unter Beisein des betrieblichen Datenschutzbeauftragten erfolgen. Mit der Implementierung eines zweigeteilten Zugriffspasswortes in den entsprechenden Anwendungen kann diese Forderung auch technisch umgesetzt werden.“

Es kann festgehalten werden, dass eine Protokollierung heutzutage praktisch in allen medizinischen Informationssystemen umgesetzt ist, jedoch für den Anwender meistens unsichtbar im Hintergrund erfolgt. Als Fazit sind bei dem komplexen Thema der Protokollierung nachfolgende fünf Punkte zu beachten:
1. Trennung von Protokoll- und Inhaltsdaten
2. Einsatz des Vier-Augen-Prinzips
3. Erstellung eines Protokollierungskonzepts
4. Einhaltung der Aufbewahrungsfristen
5. Revisionssichere Protokollierung

20.08.2013 12:42

Klick zum Thema:

Das könnte auch Sie interessieren:

Datenschutz:

Buchneuerscheinung: Ihre eigene Cloud - behalten Sie die Kon...
* Ratingen, 02.11.2017: In seinem Buch "Ihre eigene Cloud" beschreibt Matthias Rudert wie kleine Unternehmer oder private Personen einfach Ihre eigene Cloud erstellen und betreiben können. "Daten sind das Gold des Informationszeitalters", so...

Öffentliche Beteiligung an aktueller Studie über EU Datensch...
Im Auftrag des österreichischen Bundesministeriums für Verkehr, Innovation und Technologie (bmvit) untersucht ein Forschungsteam bestehend aus cbased (Community-Innovation Systems), SBA Research, und der Wirtschaftsuniversität Wien (WU), wie sich...

Protokollierung:

Fahrzeugortung und mobile Kommunikation
(Kronberg) Die mobileObjects AG stellte auf der CeBIT 2008 in Hannover Lösungen zur Fahrzeugortung, Beauftragung und Kommunikation mit der mobilen Einheit vor. Neu ist der mobileLocationManagerONE. Das Programm ortet europaweit Fahrzeuge und andere...

Patientendaten:

Schweigepflicht und Schutz von Patientendaten: Juristischer ...
Die ärztliche Schweigepflicht gehört zu den wesentlichen Dingen, die ein Arzt bei – und auch außerhalb – seiner Berufsausübung zu beachten hat. Der Patient muss sich darauf verlassen können, dass sich der Arzt an seine Pflicht zur Verschwiegenheit...

Medizinischer Dienst der Krankenversicherungen (MDK)
Ende März 2013 berichteten wir über den unzulässigen Austausch von Patientendaten zwischen Krankenkassen und Krankenhäusern zur Klärung von Behandlungsfällen. Diesen Austausch bestätigten auch die Helios-Klinken und wiesen gleichzeitig auf den...

Gefährdet der Risikostrukturausgleich den Schutz der Patient...
Anfang März hat der Bundesdatenschutzbeauftragte Peter Schaar in einem Interview im NDR Radio auf einen zu engen Kontakt zwischen den Krankenkassen und Kliniken hingewiesen. Er sieht dadurch den Schutz der medizinischen Gesundheitsdaten gefährdet....

Λ nach oben

Stichwort-Suche:

Pressemitteilung von:

Logo: ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen


ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

Prof. Dr. Thomas Jäschke

Institutadresse
Westfalendamm 251
44141 Dortmund

Postanschrift
Deintelleweg 11
44309 Dortmund

Das ISDSG – Institut für Sicherheit und Datenschutz im Gesundheitswesen beschäftigt sich mit allen Fragen zum Thema Informationssicherheit und Datenschutz mit Schwerpunkt auf die Akteure des Gesundheitswesens. Das Institut,...

mehr »

zur Pressemappe von
ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

weitere Meldungen von
ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

mehr »

 

 


Hinweis: Um Ihnen ein optimales Nutzererlebnis zu bieten, verwenden wir Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden.   Nachricht schließen   mehr info