Verlag & Akademie

Datenschutz: Die 8 "Gebote" und passende Maßnahmen

12.03.2018

Sie haben in einem ersten Schritt Transparenz für jedermann geschaffen, welche Daten in Ihrer Einrichtung erhoben und verarbeitet werden? Dann geht es im nächsten Schritt um Ihre internen Regelungen, wie Sie den Umgang mit Daten organisieren und kontrollieren. Konkret sollen Sie regeln, wie Sie in Ihrer Einrichtung Sicherheitsmaßnahmen ergreifen, um Daten von Kunden und Mitarbeitern angemessen zu schützen.

Dazu treffen Sie zu insgesamt 8 Aspekten Vorkehrungen. Was genau zu tun ist, werde ich Ihnen Punkt für Punkt erläutern. Und das sind sozusagen die 8 Gebote des Datenschutzes, die Sie bei Ihren Sicherheitsmaßnahmen beachten müssen:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Trennungsgebot

1. Gebot im Datenschutz: Zutrittskontrolle

Mit der Zutrittskontrolle sollen Sie verhindern, dass sich Unbefugte den Anlagen der Datenverarbeitung nähern. Deshalb dürfen sich im „Publikumsbereich“ keine ungesicherten EDV-Anlagen befinden. Alle Räume, in denen personenbezogene Daten verarbeitet werden, müssen mit Schließzylindern ausgestattet werden, deren Schlüssel man im Einzelhandel nicht duplizieren kann. Unbefugte Personen sollen keinen Zugriff auf die PCs der Mitarbeiter haben. Eine selbstschließende Bürotür mit Knauf auf der Außenseite ist eine effektive Maßnahme zum Schutz der Daten. Der Serverraum soll nicht allen Mitarbeitern unkontrolliert zugänglich sein. Alle Fenster, die nicht mindestens 3 m über dem Erdboden liegen, müssen mit abschließbaren Fenstergriffen versehen werden.

Mein Tipp: Stellen Sie Regelungen auf, wie mit Besuchern und Externen umzugehen ist. Ich rate Ihnen, alle Personen, die nicht zu Ihrer Einrichtung gehören, in nicht öffentlichen Bereichen generell zu begleiten.

Muster: Darstellung der Rechte, die vergeben werden können
Stufe Berechtigung
Keine Benutzer können Objekte weder erstellen noch lesen oder ändern.
Lesen Benutzer können Objekte nur lesen.
Erstellen Benutzer können Dokumente verfassen.
Ändern Benutzer können Dokumente verfassen und/oder bearbeiten sowie löschen.
Vollzugriff Der Systemadministrator hat den vollen Zugriff auf die Dokumentenverwaltung.

2. Gebot im Datenschutz: Zugangskontrolle

Im Gegensatz zur Zutrittskontrolle geht es hier um den Zugang zum Datenverarbeitungssystem (Software). Zur Kontrolle des Zugangs werden Passwörter verwendet. Hierzu gibt es eine Reihe von Aspekten, die Sie berücksichtigen sollten. Um eine Sicherheit zu gewährleisten, müssen die Passwörter Mindestkriterien erfüllen. Ein Passwort sollte mindestens 8 Zeichen lang sein. Es sollte Groß- und Kleinbuchstaben und möglichst auch Zahlen und Sonderzeichen beinhalten. Leider haben sichere Passwörter die unangenehme Eigenschaft, dass man sie sich nicht merken kann. Dafür gibt es aber einen effektiven Trick: Man benutzt eine Eselsbrücke. So wird aus dem Satz „Meine Pflegeeinrichtung ist für mich erste Sahne“ das Passwort „MPifm1.S“. Dieses Passwort ist schwierig und nur mit einem hohen Zeitaufwand zu knacken.

Die Zugangskontrolle erfordert jedoch auch ein Berechtigungskonzept. In Ihrer Einrichtung muss grundsätzlich überlegt werden, wer zu welchen Zwecken überhaupt Zugang zu welchen IT-Systemen, einzelnen Dateiablagen oder Anwendungen haben soll. Innerhalb des Berechtigungsprozesses müssen Verantwortlichkeiten definiert werden. Es können unterschiedliche Berechtigungsstufen vergeben werden, wie das oben stehende Muster zeigt.

Stellen Sie anschließend die Berechtigungen anhand einer Berechtigungsmatrix dar. Berechtigungen werden nicht auf Personen übertragen, sondern es werden Rollen zugeordnet. Das bedeutet, dass alle Pflegefachkräfte in der Einrichtung die gleiche Berechtigung haben. Nachfolgend sehen Sie anhand eines Ausschnitts, wie eine solche Matrix gestaltet werden kann.

3. Gebot im Datenschtz: Zugriffskontrolle

Für die Sicherheit von Informationen ist die Frage ganz wesentlich, wer auf diese zugreifen kann. Der Datenschutz versteht unter der Zugriffskontrolle die Regelungen, die dafür sorgen sollen, dass nur berechtigte Personen Einblick in Daten erhalten und diese nutzen können. Dazu müssen Nutzungsberechtigungen vergeben werden. Nur die Mitarbeiter, die Daten tatsächlich für ihre Tätigkeit benötigen, sollen auch auf die entsprechenden Informationen zurückgreifen können.

Es wäre wünschenswert, wenn Mitarbeiter ihrem Vorgesetzten unmittelbar melden,wenn sie Daten einsehen können, zu denen sie keine Berechtigung haben. So kann der Vorgesetzte reagieren und es können möglicherweise ganz grundsätzliche Sicherheitsmängel behoben werden. Unnötige Benutzerkonten sollten gelöscht oder deaktiviert werden. Dies gilt auch für Gastkonten, die teilweise eingerichtet werden, um dem Auditor im Zertifizierungsverfahren Zugang zum QM-Handbuch zu ermöglichen.

Muster: Berechtigungsmatrix
GF Personalvw. Kundenverw. PDL PFK
Dienstplanprogramm V L - E S
QM-Handbuch V L L L L
Abrechnung V E E L -
Pflegedokumentation V - L V E
Legende: V = Vollzugriff, E = Erstellen, L = Lesen, S = Ändern, - = kein Zugriff

4. Gebot im Datenschutz: Weitergabekontrolle

Ziel der Weitergabekontrolle ist es, vorhersehbar zu machen, an wen und unter welchen Voraussetzungen Daten weitergegeben werden dürfen. In der Weitergabekontrolle bestimmen Sie zulässige Empfänger und Übertragungswege. Um diese Datenschutzvorschrift korrekt umzusetzen, müssen Sie zunächst festlegen, an welche Stellen überhaupt welche Daten übermittelt werden dürfen. Diese Festlegung soll so präzise sein, dass die infrage kommenden Personen eindeutig bestimmbar werden.

Wenn z. B. eine Pflegekundin 4 Angehörige hat, ist es wichtig, dass der Mitarbeiter aus der Dokumentation erkennen kann, wer der konkrete Ansprechpartner bei Fragen ist. Als Mindestvorgabe für die Datenübermittlung müssen Sie die exakte Adressierung einer Sendung gerade in Bereichen wie E-Mail oder Fax sicherstellen. Hier kommen Verwechslungen und Irrtümer sehr leicht vor. Sensible Daten, wie beispielsweise eine Excel-Liste mit Lohndaten, versenden Sie grundsätzlich nur verschlüsselt an das Lohnbüro.

5. Gebot im Datenschutz: Eingabekontrolle

Die Eingabekontrolle hat das Ziel, rückwirkend überprüfen zu können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Wenn Sie nachweisen wollen, wer einen Vorgang ausgelöst hat, ist es notwendig, dem Mitarbeiter die Aktion eindeutig zuordnen zu können. Voraussetzung dafür ist, dass sich jeder Mitarbeiter vor der Eingabe, Veränderung oder Löschung von Daten authentifizieren muss. Nach diesen Arbeiten muss der Mitarbeiter sich wieder abmelden. Für die Rückverfolgung benötigen Sie außerdem Protokollierungen, die erkennen lassen, was für eine Änderung konkret vorgenommen wurde. Dies ist ein wichtiger Aspekt, denn die größte Sicherheitslücke sitzt meist vor der Tastatur!

6. Gebot im Datenschutz: Auftragskontrolle

In dieser Phase der Datenverarbeitung werden personenbezogene Daten an externe Unternehmen übermittelt. Bei der Auftragsdatenverarbeitung bleiben die Daten in der Verantwortung der eigenen Einrichtung. Aus dieser Verantwortung ergeben sich 3 Pflichten des Auftraggebers:

  • Sie sollten mit Ihrem Dienstleister einen Vertrag mit konkreten und eindeutigen Weisungen abschließen.
  • Sie sollten bei Ihrem Dienstleister regelmäßig kontrollieren, ob die vereinbarten technischen und organisatorischen Maßnahmen von ihm auch tatsächlich umgesetzt werden.
  • Sie sollten Ihren Dienstleister auch dahingehend überprüfen, ob er die datenschutzrechtlichen Pflichten einhält. Dazu gehört z. B. die Verpflichtung auf das Datengeheimnis.

7. Gebot im Datenschutz: Verfügbarkeitskontrolle

Mit der Verfügbarkeitskontrolle sollen Daten vor unbeabsichtigter Zerstörung und Verlust geschützt werden. Darüber hinaus ist auch gemeint, dass Sie Ihre Daten auch wirklich zu den Zeiten nutzen können, zu denen Sie eine Nutzung vorgesehen haben. Stellen Sie sich einmal die Frage, auf welche Daten Sie in welchen Bereichen wie lange verzichten können.

Ihre Daten vor Zerstörung und Verlust zu schützen hängt unmittelbar mit dem Schutz der IT zusammen. Zentrale IT-Systeme stehen am besten in einem verschlossenen und klimatisierten Serverraum mit Brandschutzmaßnahmen und nicht unter einem Schreibtisch. Wichtige vorbeugende Maßnahmen sind die Sicherung der Strom- und Netzwerkversorgung sowie der Schutz vor Umweltgefahren wie Feuer, Wasser, Staub etc.

Wenn alle vorbeugenden Maßnahmen nicht geholfen haben und Daten beschädigt wurden, sollte wenigstens ein aktuelles Back-up vorhanden sein. Sind die Daten zusammen mit den Systemen verloren gegangen, auf denen sie gespeichert waren, müssen Sie den Wiederaufbau der Systeme und die Rücksicherung von Daten organisieren.

Mein Tipp: Lassen Sie alle Datenträger, die Ihnen aus externen Quellen zugehen, auf Viren untersuchen. Auch Ihre Mitarbeiter sollten gänzlich darauf verzichten, eigene Datenträger in Ihre Einrichtung mitzubringen und hier einzusetzen.

8. Gebot im Datenschutz: Trennungsgebot

Daten sollen ausschließlich zu dem Zweck, zu dem sie ursprünglich erhoben wurden, verarbeitet und genutzt werden. Daten, die für eine bestimmte Absicht erhoben wurden, sollen nicht für andere Ziele verwendet werden. Eine Interessentenliste potenzieller Kunden sollen Sie nur dafür nutzen, einen frei gewordenen Platz in Ihrer Einrichtung mitzuteilen. Sie dürfen die Daten nicht für andere Marketingaktionen nutzen, z. B. Essen auf Rädern.

Wenn Sie diese 8 Gebote befolgen, dann haben Sie wichtige Maßnahmen umgesetzt, um Datensicherheit zu gewährleisten. Sie haben alles unternommen, um Daten in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Für Ihre Einrichtung ist das sozusagen eine Lebensversicherung.

Nein, Danke

Nein, Danke

Nein, Danke

Nein, Danke

Qualitäts-Management aktuell

1 x in der Woche finden Sie in unserem kostenlosen E-Mail-Newsletter PPM Qualitäts-Management aktuelle Tipps zur Qualitätssteigerung.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Palliativpflege heute

News und Praxistipps für eine professionelle Palliativpflege – speziell für Pflegekräfte in stationären und ambulanten Einrichtungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Menschen mit Demenz professionell pflegen

Wichtige Informationen zum Thema Pflege und Betreuung bei Demenz. So bewältigen Sie als Pflegefachkraft die speziellen Herausforderungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Nein, Danke

Nie mehr den Überblick verlieren!

Holen Sie sich Hilfe für Ihre stationäre Pflege!

In nur 15 Minuten über das Wichtigste informiert sein.

  • Pflegekokumentation
  • Mitarbeiterführung
  • Haftungsrecht
  • Nein, Danke

    Nein, Danke