Datenschutzbericht Baden-Württemberg: „Bedauerlich ist auch, dass die Krankenhausinformationssysteme nach wie vor nicht die Möglichkeit bieten, Daten physikalisch zu löschen“
Im Abschnitt „7.3.2 Umsetzung der Orientierungshilfe Krankenhausinformationssysteme“ seines 32. Tätigkeitsberichts für die Jahre 2014/2015 stellt der Landesbeauftragte für den Datenschutz Baden-Württemberg u. a. fest:
„Im Jahr 2011 beschloss die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die Orientierungshilfe Krankenhausinformationssysteme (OH KIS). Inzwischen ist die Orientierungshilfe überarbeitet und Ende März 2014 in einer zweiten Fassung herausgegeben worden. Sowohl im 30. Tätigkeitsbericht… als auch im 31. Tätigkeitsbericht… habe ich ausführlich darüber berichtet und die Krankenhausbetreiber aufgefordert, schnellstmöglich die Umsetzung der Orientierungshilfe anzugehen. Im Berichtszeitraum habe ich in mehreren Krankenhäusern vor Ort die Umsetzung geprüft. Das Ergebnis war ernüchternd. Auch knapp fünf Jahre nach Veröffentlichung der Orientierungshilfe besteht vor allem bei kleineren und mittelgroßen Krankenhäusern nach wie vor großer Handlungsbedarf. Erfreulich ist, dass alle besuchten Krankenhäuser inzwischen über ein Rollen- und Berechtigungskon-zept verfügen. Auch wenn die Konzepte noch überarbeitet und weiterentwickelt werden müssen, so ist damit doch bereits eine deutliche Verbesserung des Patientenschutzes erzielt worden. Denn endlich können Ärzte, medizinisches Personal, Pflegekräfte und Mitarbeiter in administrativen Funktionen nicht mehr uneingeschränkt ohne weiteres auf alle Patientendaten zugreifen. Die Krankenhäuser protokollieren aber bislang nicht oder in nur sehr eingeschränktem Umfang, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet oder genutzt hat. Eine Überprüfung der Ordnungsmäßigkeit bzw. eines Verstoßes bei der Verarbeitung personenbezogener Daten ist somit nicht oder nur eingeschränkt möglich… Eine Sperrung von Patientendaten mit dem Ziel, Zugriffe auf Patientendaten zu beschränken und regelhaft auf begründete Sonderfälle einzugrenzen, konnte ebenfalls nicht festgestellt werden. Begründet wurde dies damit, dass das im Krankenhaus eingesetzte KIS-System diese Möglichkeit nicht oder nur eingeschränkt biete. Hier müssen die Krankenhäuser schnellstmöglich zusammen mit den KIS-Herstellern Abhilfe schaffen. Bedauerlich ist auch, dass die KIS-Systeme nach wie vor nicht die Möglichkeit bieten, Daten physikalisch zu löschen…“
Treffen sich zwei Rentner. Sagt der eine: “Aber die elektronische Gesundheitskarte ist sicher!” Sagt der andere: “Ja, so sicher wie die Rente von Norbert Blüm!”
Löschen von Daten bleibt eine Illusion |
Löschen von Daten ist in der Vorstellung der meisten PC-Anwender ein einfacher Vorgang. “press the button”, Papierkorb leeren und die Daten sind weg. Im PC-Bereich hat man davon gehört, die Daten sind nicht wirklich weg, es gibt Tools, die eine Wiederherstellung der Daten nach dem Löschvorgang ermöglichen. Der Wermutstropfen des Löschvorgangs im PC-Anwender-Bereich wird bei weitem getoppt von der Komplexität Daten löschen zu wollen, die in informationellen Systemen (IS), die auf Datenbanken beruhen, anfallen. In diesem Umfeld wird das Löschen der Daten zu einer sehr aufwendigen Arbeitsprozess, der zu unerwarteten massiven Problemen führen kann. Löschen in informationellen Systemen und Datenbanken kostet richtig Geld und erfordert eine Vorplanung und angepasste Funktionen, die dies überhaupt erst ermöglichen. Viele Systemadministratoren kennen das Problem des Löschens von Daten in datenbank-basierender Software, die mit Datenbanken verknüpft sind, in MSSQL, Oracle oder Firebird-Datenbanken Daten löschen zu wollen führt oftmals dazu das die Datenbanken irreperabel zerstört werden, oder anschließend die Software Fehler wirft. In dieser Situation muss dann die Datenbank wieder nach dem Löschvorgang einzelner Daten, wiederhergestellt werden. Diesen Vorgang nennt man -datenbank dump einspielen-. Es handelt sich um eine regelmäßige erstellte Sicherungsdatei, die für Notfälle dann bereit steht. Der aufmerksame Leser merkt an dieser Stelle, dass die Daten also nicht nur in der produktiven Datenbank selbst existieren, sondern in Sicherungsdateien. Hinzu kommen weitere Technologien und Sicherungsmaßnahmen um die wertvollen Daten zu erhalten und jederzeit wieder herstellen zu können. Dazu gehören z.B. die Sicherungssysteme der Storagesysteme, z.B. IBM-Festplatten-Shelfs 7z.B. HP-DataProtector) oder sogenannte VEEM-BackUps in der Welt der virtuellen Server. Wer also Daten löschen will oder es erlaubt Daten zu löschen muss zunächst feststellen an wievielen Orten die gleichen Daten gesichert werden und existieren. Somit ist es also kein Wunder, das Löschen von Daten in Krankenhausinformationssystemen (KIS) ist nicht vorgesehen und es würde extrem teuer und aufwendig werden hier Daten löschen zu wollen. Hinzu kommen rechtliche Fragen, die mit dem Löschen von Daten im Gesundheitssystem eine Rolle spielen. Spätestens bei der Idee der Politiker, das Daten im Internet gelöscht und vergessen werden sollen, mit Hilfe des Buttons des Vergessens, wurde bei den IT-lern Lachkrämpfe dauerhaft ausgelöst, oder auch Sorgenfalten, denn die Dimension des Geschehens ist den Beteiligten leider nicht klar. Auch der Tätigkeitsbericht des Landesbeauftragten BW wird diesen Zusammenhängen wenig gerecht. Durch das Wesen der Informationstechnologie und Elektronik wäre das Löschen von Daten im Allgemeinen eine Jahrhundertaufgabe von der wir Jahrhundert entfernt sind. Dies würde ein vollständigen Paradigmenwechsel erfordern, die Art und Weise wie wir Technologien und informationelle Systeme konstruieren müsste sich grundlegend ändern. Viele Fragen wären zu klären, Fragen zu Konzepten und zur Finanzierung. Für mich bleibt die schöne Forderung nach der Löschung von Daten eine Farce, solange wir nicht darüber aufklären, wie sehr die IT-Systeme vom Löschen im Allgemeinen entfernt sind. Und wir müssen eine Vorstellung vermitteln welche Schwierigkeiten und hohen Kosten damit verbunden sind redundante Daten verläßlich zu löschen!
siehe https://de.wikipedia.org/wiki/Redundanz_%28Technik%29
Nachtrag / Hinweis: Selbst wenn heute Löschfunktionen, zur Beruhigung der Datenschützer , in die Oberfläche einer Software oder eines informationellen System eingebaut werden muss geprüft werden ob damit auch die Kopien dieser Daten in den verschiedenen Sicherungssystemen entfernt werden.