Hochgradpflege (eBook)

Datenschutz und IT in der Pflege – eine Nachlese

Bereits im Teil II hatte ich mich zu diesem hochsensiblen Thema geäußert. [11] Eine Erweiterung bzw. eine erneute Bearbeitung dieses Themas sehe ich aber als notwendig an. Mein langjähriges Fachwissen im Bereich der IT in Verbindung mit der Anwendung in der Praxis dürften mir die Kompetenz geben, mich zu diesem Thema fundiert äußern zu können. Weiterhin verweise ich auf meine Beobachtungen und Erkenntnisse im Bereich „Umgang mit (personenbezogenen) Daten in der Pflege“. Beziehe ich mich dagegen auf juristische Ausführungen, sind das lediglich Verweise auf Quellen, ohne deren Wertigkeit zu kommentieren. Das steht mir weder zu, noch habe ich eine entsprechende Fachausbildung. Fragen zu juristischen Themen kann, darf und werde ich nicht kommentieren, noch darf ich diese beantworten! Ich verweise hier auf eine Beratung durch Fachanwälte!

Nach meiner langjährigen persönlichen Erfahrung krankt das gesamte System der ambulanten Pflege [12] an einer Verwerfung durch die unheilvolle Kombination aus zu vielen Pflegebedürftigen gegenüber zu wenigen Pflegekräften – und an dem Bestreben des Maximalprofites für die Inhabenden. Denn von dem scheinbar lukrativen Kuchen dieses Geschäftszweiges wollen wiederum viele etwas abhaben, zumal es genügend „Kundschaft“ gibt. Und gänzlich „zahlungsunfähige“ Kundschaft gibt es auch nicht, es gibt ja Pflegegeld und, bei Bedarf, Hilfe zur Pflege. Aber – und dieses „Aber“ hat ein gewaltiges Potenzial: Der Kostendruck! Was hat das jetzt mit Datenschutz zu tun? Nun, in jedem Gewerbe gibt es Dinge, die unabdingbar sind und am anderen Ende Dinge, die scheinbar unnötig sind, aber Kosten verursachen. Ein hartes Beispiel: Ein Atomkraftwerk würde auch dann Strom produzieren, wenn man sämtliche Sicherheitseinrichtungen bei der Projektierung schlichtweg weglassen würde. Der Bereich des Datenschutzes im Allgemeinen und im Speziellen (der besonders schutzwürdige Daten) ist für das Funktionieren eines Pflegedienstes nicht notwendig – aber gesetzlich vorgeschrieben! Und dieser Bereich, darauf bin ich bereits hier im Teil III im Kapitel „Die Datenbasis meiner Werke“ eingegangen, ist teuer. Es bedarf dazu der entsprechenden Hardware, darauf laufend die notwendige und den Anforderungen entsprechende Software (Betriebssystem und Anwendersoftware) und, jetzt wird es noch teurer, IT Fachkräfte zur Konfiguration und Administration. Einfach ein (MS) Office „draufklatschen“ und: „Hurra, ich kann Texte schreiben und ausdrucken!“ wird den Anforderungen der DSGVO mit höchster Wahrscheinlichkeit nicht gerecht. Ach, einen Datenschutzbeauftragen brauchen wir auch noch? Kein Problem! Da lief doch gerade der [---] durchs Büro: „Mache doch mal unseren Datenschutzverantwortlichen!“ Es soll (und es gibt) tatsächlich „IT-Spezialisten“ geben, die tatsächlich der Überzeugung sind: Ein langes (Anmelde)Passwort wurde vergeben, demzufolge ist ja alles super geschützt … Also „IT-Spezialisten“ die NTFS-Rechte– Verteilung (und an deren Vererbungslehre scheitern) auf einem lokalen PC mit „Zugriffsschutz“ gleichsetzen; den umgeht ein begabter 15-Jähriger in kaum 10 Minuten! Die Krönung der Fahrlässigkeit wäre (ist) dann, wenn im mobilen Betrieb außer Haus ein Notebook mit lokalem Datenbestand ohne harten Dateischutz (z.B. EFS) und Datenträgerschutz (z.B. BitLocker) zum Einsatz kommt. Eine korrekt gehärtete IT-Infrastruktur aufzusetzen und zu administrieren bedarf teurer Spezialisten. Für (nicht nur) kleinere Pflegedienste bedeutet das fast immer, einen externen Dienstleister zu nutzen – und diesen dann auch über einen teuren Servicevertrag für die notwendige regelmäßige Wartung vorzuhalten. Es sei an dieser Stelle mit Nachdruck und ausdrücklich erwähnt, auch „Daten auf Papier“, salopp als „Akte“ bezeichnet, enthalten streng zu schützende Daten! Das bedeutet nach meinem Verständnis, eine Akte [13] ist wie eine Computerdatei mit besonders schützenswerten Daten zu behandeln. Im Klartext heißt das: Die Zugriffshierarchie ist exakt und belegbar festzulegen. Deren Einhaltung bedarf der linearen Kontrolle und einer Ahndung bei (wiederholten) Verstößen. Gleichfalls ist sicherzustellen, dass auch bei Ereignissen außerhalb der „regulären Handhabung“ ein Fremdzugriff ausgeschlossen wird. Damit meine ich z.B. einen Einbruch in die Verwaltungsräume oder Verunfallen eines Dienst-Pkw während einer Dienstfahrt. Ein besonders heikles Thema ist die Nutzung von Cloud-Diensten (z.B. Microsoft365) und Dienste, welche über US-Server laufen, zur Kommunikation (inklusive der Übertragung von Fotos) zu nutzen. Renommierte IT Fachliteratur ist voll mit Artikel zu deren „Verträglichkeit“ in Sachen DSGVO. An dieser Stelle könnte ich Hunderte Verweise auf Fachartikel, z.B. in der Ct, aufführen. Allein das Thema Microsoft365 an Schulen ist eine never ending story … und nach meiner Meinung sind Daten, welche ein Pflegedienst vorhalten und verarbeiten muss, doch von erheblich sensiblerer Natur, als Daten, die im Bildungswesen anfallen. Ob es einen juristisch signifikanten und damit relevanten Unterschied gibt, das kann ich nicht beurteilen. Fakt ist: Eine Klageführung sensibilisierter Eltern gegen die Nutzung von (US) Cloud-Diensten an der Schule ihres Sprösslings ist sehr langwierig, umfangreich, komplex und stößt auf die von der „Gegenseite“ meist angeführte technische Problematik der „fast“ Alternativlosigkeit zu derartigen Diensten. Diese Argumentation kann ein ambulanter Pflegedienst nicht anbringen, denn das wäre Unfug!

Mit diesem Kapitel könnte ich nun über viele Seiten sehr tief in das IT-Thema: „Wie sichere ich Arbeitsplätze, an denen hoch sensible Daten verarbeitet werden, fachgerecht ab?“, einsteigen. Aber zum einen ist dieses Buch kein Fachbuch zu diesem Thema und zum anderen würde es den Leser in dieser Tiefe wohl eher nicht interessieren; zumal ohne spezielle IT Vorkenntnisse auch eine Nachvollziehbarkeit vermutlich nicht gegeben wäre.

Ich kann nur dringend den Rat geben, dass Pflegedienste, ich beziehe mich hier hauptsächlich auf kleine ambulante Dienste, sich bei diesem anspruchsvollen Thema an einen Dienstleister mit entsprechenden Referenzen wenden sollten – und zusätzlich in eine Beratung durch einen Fachanwalt zu investieren, dürfte auch gut angelegtes Geld sein!

Warum sollte die Auswahl eines IT-Dienstleisters sehr sorgfältig erfolgen? Nun, „IT-Dienstleister“ darf sich jeder nennen, der eine Gewerbeerlaubnis und schon mal einen PC von innen gesehen hat. Spätestens wenn ein Dienstleister aus objektiven Gründen einen PC (Laptop, Tablett usw.), auf welchem lokal Daten gespeichert sind, aus dem Hoheitsgebiet des Eigentümers abtransportieren muss, dürfte sich die Spreu vom Weizen trennen. Ein (DSGVO) fachkompetenter Techniker stellt dann nämlich die Frage, welchen Schutzlevel der Besitzer für das Gerät bzw. für die Datenträger wünscht. Sprich, unter welchen Sicherheitsvorkehrungen der Transport zu erfolgen hat und wie das Gerät, respektive die Datenträger beim Dienstleister gelagert werden sollen. Manch einer wird sich jetzt an den Kopf greifen und meinen: „Der spinnt aber!“. Nein! Exakt so ist das Prozedere, welches bei derartigen Daten zur Anwendung kommen muss – Punkt! Ein weiterer, in meinen Augen sehr heikler Punkt, ist die Verwendung von privaten Smartphones im Dienst, z.B. für die fotografische Dokumentation und zur Datenübermittlung, gleich welchen Inhaltes, aber halt eine dienstliche Nutzung. OK, es hat sich teilweise BYOD [14] etabliert, aber ohne MDM [15] betrachte ich das mehr als kritisch; und realistisch gesehen, dürfte ein privates Smartphone unter MDM Administration wiederum nicht jeden Besitzer erfreuen, exakter: wohl eher – nie – nicht!

Geehrte Leser, das war es mit meinem Ausflug in die Welt der Problematik des Datenschutzes in Verbindung mit besonders schützenswerten Daten, wie diese in Pflegediensten anfallen. In Zusammenhang mit dem entsprechenden Kapitel „Datenschutz und IT in der Pflege“ aus Teil II (Seite 64ff) dürften Sie nun mit den wichtigsten Grundlagen vertraut sein und können agieren, also den Datenschutzbeauftragten (dieser muss offiziell benannt sein) „ihres“ Pflegedienstes selbstbewusst und höflich, aber auch zielgerichtet um Auskunft bitten. Das ist keine Schikane, exakt betrachtet kann das sogar für den Pflegedienst eine Hilfestellung sein, um Mängel zu erkennen und abzustellen.

Mir ist völlig klar, dass eine gesetzeskonforme Umsetzung bzw. Einhaltung der DSGVO aufwendig ist und dadurch nicht geringe Kosten anfallen, die den Profit schmälern. Aber diese Daten sind von einer derart sensiblen Natur, dass es einfach keine Abstriche geben darf! Eine gehobene Aufmerksamkeit durch Pfleglinge und deren Angehörige schützt nicht nur deren Persönlichkeitsrechte, nein, damit wird auch der Pflegedienst geschützt – vor einem juristischen Vorgehen Geschädigter! Und wie bereits im Kapitel „Die...