Side effect-Sensibilisierung: Umgang mit elektronischen Daten in der Gemeindepsychiatrie

Die aktuelle Diskussion über den Schutz persönlicher Daten vor dem Zugriff dersecure data Geheimdienste sensibilisiert für den Umgang mit personenbezogenen Daten von KlientInnen. Ob wir unsere biographischen Angaben, unsere musikalischen Vorlieben, Hobbies, Beziehungstatus und letztlich auch unsere Kaufpräferenzen an Unternehmen wie Google oder Facebook zur Analyse zur Verfügung stellen unterliegt unserer ganz individuellen Entscheidung. Anders sieht es mit den Daten von KlientInnen aus. Der Schutz dieser Daten wird durch verschiedene Gesetze geregelt. Das Thema Datenschutz berührt in der Regel viel mehr Bereiche, als uns als MitarbeiterInnen der Gemeindepsychiatrie klar ist. Die folgende Aufzählung ist somit nicht unbedingt vollständig, sondern bedarf weiterer Ergänzungen:

E-Mail
Die momentan gebetsmühlenartig wiederholte Binsenweisheit, dass E-Mail-Inhalte ähnlich offen im Netz einzusehen sind, wie Postkarten im konventionellen Postverkehr, verdeutlicht die ganze Problematik. Sie scheiden damit als praktisches und schnelles Kommunikationsmittel z.B. mit Kostenträgern, Ämtern oder anderen Institutionen aus, wenn es um klientenbezogene Inhalte geht. Mails mit personenbezogenen Inhalten könnten möglicherweise unter KollegInnen ausgetauscht werden, wenn die Einrichtung über einen eigenes Mailserver-System verfügt und die Nachrichten dieses beim Senden nicht verlassen. Da viele solcher Lösungen aber auf einem gemieteten Server bei einem Anbieter wie z.B. 1&1 oder Strato liegen, ist fraglich, ob hier nicht die Möglichkeit besteht, dass Mitarbeiter dieser Dienstleister nicht auch Zugang zu diesen Daten haben könnten. Eine Verschlüsselung scheidet meist aus, Kostenträger scheuen sich m.W. fast immer, diese Möglichkeit anzubieten und verweisen auf den Fax- oder konventionellen Postweg.

Klientenverwaltungssystem
Mittlerweile gibt es eine Vielzahl von Klientenverwaltungssystemen mit sehr unterschiedlichen Ansätzen. Während einige Lösungen auf einem einrichtungseigenen Server installiert werden, bieten andere die komplette Administration des Systems an.

Eine gute Übersicht über verschiedene Klientenverwaltungssysteme bietet die Seite Social Software
Dabei laufen diese Softwarelösungen nicht auf dem Server bei einer gemeindepsychiatrischen Einrichtung, sondern entweder auf Serversystemen der Anbieter oder auf von diesen wiederum angmieteten Servern anderer Dienstleister. Hier besteht wiederum die Gefahr, dass Mitarbeiter Zugang zu diesen Daten haben, weil sie meist nicht verschlüsselt abgelegt werden. Die Bedingung der Klientenverwaltung bei Serverlösungen, bei denen dieser nicht in der Einrichtung steht, ist häufig über ein Web-Frontend möglich. Der Zugang zu einem Front-End sollte nicht nur durch ein Passwort, sondern durch weitere Maßnahmen gesichert sein. Das kann z.B. eine zusätzliche Pin oder TAN sein, die bei jedem LogIn wechselt. Die MitarbeiterInnen erhalten dann eine Matrix-Karte, auf der die verschiedenen Pins/TANS abgelesen werden können (Beispiel). Die Datenübertragung muss grundsätzlich über eine sichere Verbindung laufen (https).

Aktenvernichtung
Das günstige Angebot beim Kaffeeröster oder beim Lebensmitteldiscounter verleitet womöglich zum Kauf eines Aktenvernichters, der nicht den Ansprüchen an den Datenschutz genügt, abgesehen davon, dass diese Geräte oft nicht für die Vernichtung größerer Papiermengen geeignet sind. Kostengünstiger weil langlebiger und den Datenschutzbestimmungen entsprechend sind (die richtige Sicherheitsstufe vorausgesetzt) Geräte aus dem Bürofachhandel. Für personenbezogene Daten sind Aktenvernichter mit der Sicherheitsstufe 3 nach Din32757 geeignet.

Umgang mit erfassten Klientendaten
Für die Erfassung von Sozialdaten gibt es klare Vorgaben und Einschränkungen. Diese sind zunächst unabhängig davon, ob es sich um elektronisch erfasste Daten handelt, oder um z.B. Papierakten. Zu den Vorgaben gehören z.B. die Transparenz darüber, welche Daten erfasst werden, warum dies geschieht sowie die Beschränkung auf solche Daten, deren Kenntnis zur Erfüllung entsprechender Aufgabe notwendig sind. Eine gute Orientierung – auch für gemeindepsychiatrische Einrichtungen – gibt das Merkblatt zum Sozialdatenschutz des Jugendamts in Hamburg. Hilfreich ist auch ein Blick in die Anlage zum § 78a SGB X. Unverzichtbar ist m.E. die Aushändigung einer Erklärung zur Datenerfassung und zum Datenschutz an die KlientInnen, die diese unterschreiben sollten.

Handys und Smartphones
Bei Fragen des Datenschutzes finden in gemeindepsychiatrischen Einrichtungen Handys und Smartphones meist nur wenig Beachtung. Gerade bei der Verwendung von Diensthandys werden häufig Namen, Telefonnummern und mitunter Adressen von KlientInnen gespeichert. Mobiltelefone sollten deshalb gegen den Zugriff seitens Dritter z.B. durch eine Pinnummer geschützt werden. Bei Smartphones besteht durch spezielle Apps die Möglichkeit, bei Verlust alle Daten mittels Fernzugriff löschen zu lassen.

Dieser Beitrag wurde unter EDV, Programme abgelegt und mit , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.