Verschiedene Themen
Routineabläufe
Was ist bezüglich des Datenschutzes im Arbeitsalltag und bei Routineabläufen zu beachten?Es ist zu verhindern, dass Unbefugte Einblick in Betroffenenunterlagen erhalten. Eine zentrale Schnittstelle ist das Stationszimmer. Hier stehen oftmals Türen offen, obwohl niemand in den Räumlichkeiten anwesend ist. Besonders problematisch ist die Situation in Zeiten, in denen naturgemäß wenig Personal vor Ort ist, u.a. nachts. In solchen Situationen besteht oftmals voller Zugriff auf sämtliche Betroffenenunterlagen, ohne dass eine Person in der Nähe ist, die dies unterbinden könnte. Sind die Zugänge zu den Arbeitsplatzcomputern der Station darüber hinaus nicht gesperrt, so ist außerdem ein Zugang zu den elektronisch gespeicherten Daten der gesamten Einrichtung gegeben. Daher ist stets darauf zu achten, dass die Türen zum Stationszimmer geschlossen werden. Gespräche zwischen Beschäftigten sollten so geführt werden, dass Unbefugte nicht mithören können. Ist vergleichsweise wenig Personal auf Station muss das Stationszimmer abgeschlossen werden. Wird an einem PC-Arbeitsplatz nicht gearbeitet, so sollte stets ein Log-out durchgeführt werden.
Diese Situation spiegelt sich an anderen Arbeitsplätzen wider, wie in Arzt- und Therapeutenzimmern. Diese sollten stets abgeschlossen werden, insbesondere, weil in solchen Zimmern Akten oft offen gelagert werden oder im Rahmen eines laufenden Prozesses gar ausgebreitet zurückbleiben. Auch hier gilt: Wird ein PC-Arbeitsplatz verlassen, so ist immer die korrekte Abmeldung (Log-out) durchzuführen. Häufig kommt es vor, dass ein anderer Beschäftigter am Arbeitsplatz weiterarbeitet und unter falscher Kennung und einem anderen Berechtigungsmuster im System Daten bearbeitet. Insbesondere im eigenen Interesse der Beschäftigten sollte der Log-out immer beachtet werden.
Gesprächssituationen
Was ist bei Gesprächen mit Bewohnern oder Patienten zu beachten?Wenn Sie als Beschäftigter mit Betroffenen sprechen, achten Sie darauf, dass vertrauliche Informationen nicht in die Öffentlichkeit gelangen. Unbefugte sollen keine Möglichkeit haben, sensible Gespräche zu belauschen. Es ist daher nicht zu empfehlen, auf Fluren oder in sonstigen öffentlichen Räumen inhaltlich qualifizierte Gespräche zu führen. Bitten Sie Betroffene für ein individuelles Gespräch immer in einen separaten Raum, bei dem die Tür geschlossen werden kann, oder vereinbaren Sie einen alternativen Termin, falls ein solcher Raum gerade nicht zur Verfügung steht.
Ein Gespräch kann in der Regel nicht auf eine konkludente, also stillschweigende Einwilligung des Betroffenen gestützt werden. Betroffene überblicken die Situation oftmals nicht oder trauen sich nicht zu protestieren. Es bleibt also Aufgabe der Beschäftigten, den Betroffenen darauf hinzuweisen, dass ein ungeschützter öffentlicher Raum kein Ort ist, an dem inhaltliche Gespräche über personenbezogene Daten stattfinden sollten.
Gleiches gilt für Telefonate. Suchen Sie zum Telefonieren einen ruhigen Ort auf, an dem niemand mithören kann. Vereinbaren Sie ggf. einen Rückruf oder bitten Sie anwesende Dritte hinaus. Der betroffene Sprecher am anderen Ende der Leitung hat diese Integrität Ihrerseits verdient.
Poststelle
Was ist bei der Arbeit in der Poststelle zu beachten?Einrichtungen des Gesundheits- und Sozialwesens verfügen sinnvollerweise in der Regel über eine zentrale Eingangsstelle für Post. Eingehende Post wird in der Regel sortiert und entweder namentlich oder funktionsbereichsbezogen aufgegliedert. Bei vielen eingehenden Briefen ist aber nicht ohne Weiteres klar, an wen diese sich konkret richten. Daher ist es Aufgabe der Poststelle, Briefe zu öffnen, um eine Zuordnung sowie hausinterne Verteilung zu gewährleisten.
Post, die an Ärzte oder Therapeuten gerichtet ist, muss ungeöffnet weitergeleitet werden. Der Vermerk „Persönlich“ oder „Vertraulich“ gebietet ebenfalls die direkte Weiterleitung ohne vorherige Öffnung.
Die ältere Rechtsprechung, derzufolge nach der Position im Adressfeld – zuerst die Bezeichnung der Einrichtung und dann Name oder andersherum – eine Entscheidung darüber getroffen wird, ob Briefe geöffnet werden oder nicht, ist veraltet. Sicherheitshalber sollten alle Schreiben mit persönlicher Namensnennung durch die genannte Person geöffnet werden, um zu gewährleisten, dass nicht unnötig vertrauliche Informationen zur Kenntnis genommen werden können.
Post für Bewohner, Kunden, Patienten und andere Betroffene sind immer ungeöffnet weiterzuleiten, außer es wurde aus therapeutischen Gründen anderes vereinbart. Die Verteilung der Post wird entweder über Postfächer in einem Postzimmer oder mittels Verteilung über einen internen Postdienst gewährleistet. Postfächer sollten immer abschließbar sein und der Zugriff für andere als den Adressaten sollte nicht bestehen. Die Tür zu einem Postraum sollte abschließbar sein. Die Abholung der Post sollte immer individuell und persönlich erfolgen. Zu empfehlen ist daher die Verwendung geschlossener Postfächer oder eine persönliche Herausgabe durch eine Person an der Poststelle.
Bei der Postverteilung durch einen internen Zustelldienst sollte eine vertrauenswürdige Person gewählt werden. Zu keinem Zeitpunkt darf der Postwagen unbeaufsichtigt bleiben.
Die Ausgangspost sollte bereits in verschlossenen Umschlägen zur Poststelle gelangen. Hinweise auf medizinische oder andere Inhalte mit sensiblem Personenbezug dürfen äußerlich nicht erkennbar sein.
Es wird empfohlen für Pakete, Einschreibe- und Eilsendungen ein Nachweisbuch zu führen.
Welches besondere Verhalten am Arbeitsplatz schreibt der Datenschutz vor?
Der Umgang mit dem Arbeitsplatz als der Schnittstelle des Datenschutzes ist ein wesentlicher Anknüpfungspunkt. Dabei haben sich die folgenden Teilaspekte als besonders wichtig erwiesen und die folgenden Hinweise bewährt:Türen schließen
Räume mit Betroffenenunterlagen sind immer abzuschließen, wenn die letzte Person den Raum verlässt. Dies gilt auch für kurze Zeiträume. Letztlich ist nie absehbar, wie lange der Raum tatsächlich unbeaufsichtigt bleibt.
Umgang mit Schlüsseln
Verwahren Sie Ihnen anvertraute Schlüssel, beispielsweise zum Büro oder für Schubladen/Schränke sicher. Bringen Sie am Schlüssel keine Anhänger oder Aufschriften an, die auf die Zugehörigkeit schließen lassen. Arbeiten Sie ggf. mit farbigen Markierungen o.ä.. Besonders im Verlustfall sollten keine Hinweise auf die Zugehörigkeit des Schlüssels erkennbar sein.
Bleiben Sie Herr über Ihren Schreibtisch und Ihren PC. Achten Sie insbesondere darauf, dass Ihr Passwort immer ausschließlich Ihnen bekannt und nicht älter als 90 Tage ist. Ändern Sie nach Rückkehr von längerer Arbeitsabwesenheit, z.B. nach nach Urlaub oder Krankheit, immer Ihr Passwort. Teilen Sie Ihr Passwort niemandem mit und schreiben Sie es auch niemals sichtbar für andere auf.
PC-Bildschirm
Stellen Sie den PC-Bildschirm so auf, dass er von Unbefugten nicht eingesehen werden kann.
Bildschirmschoner
Verwenden Sie einen Bildschirmschoner mit Passwortschutz. Dieser sollte sich bereits nach wenigen Minuten einschalten, wenn nicht am Rechner gearbeitet wird. Beim Verlassen des Arbeitsplatzes veranlassen Sie dies am besten selbst. So verhindern Sie, dass Unbefugte Zugang zu dem von Ihnen genutzten EDV-System erhalten.
Arbeitsunterlagen aus Papier
Lassen Sie immer nur jene Papierunterlagen offen, die Sie unmittelbar benötigen. Wenn Sie Ihre Arbeit beendet haben, räumen Sie die Unterlagen zusammen und legen Sie sie bestimmungsgemäß ab. Gestalten Sie die Räumlichkeiten und Ablagegelegenheiten so, dass ein einblicksicheres Beiseitelegen der Unterlagen jederzeit möglich ist.
Mülltrennung
Um eine ordnungsgemäße Vernichtung der Unterlagen mit personenbezogenen Daten zu erreichen, ist es unbedingt erforderlich, beim Papierabfall Mülltrennung vorzunehmen. Wenn Sie keinen Aktenvernichter am Arbeitsplatz haben, so sollten Sie unbedingt mit zwei Papierkörben arbeiten: einen für den gesamten täglichen Abwurf an Datenschutzmüll (sprich: Papiere, die personenbezogene Daten enthalten), und einen weiteren für Restmüll. Es besteht auch die Möglichkeit, Unterlagen mit sensiblem Inhalt in einer Zwischenablage oder einem Karton zu sammeln. Möglichst regelmäßig, am besten am Ende eines jeden Arbeitstages, sollten Sie den Datenschutzmüll in einem abschließbaren Container, dessen Inhalt der ordnungsgemäßen Vernichtung zugeführt wird, entsorgen oder zum zentralen Aktenvernichter bringen.
Merkzettel
Bitte sehen Sie davon ab, Merkzettel an Ihrem Arbeitsplatz oder an Ihrem PC-Bildschirm aufzukleben, insbesondere nicht für Passwörter.
Elektronische Datenträger
Elektronische Datenträger wie Disketten, CDs, DVDs, USB-Sticks, Festplatten u.ä. dürfen nicht in den „normalen“ Müll geworfen werden, wenn auf ihnen Daten von Betroffenen gespeichert wurden. Solche Daten sind technisch nicht zuverlässig löschbar. Wird eine manuelle Löschung über den PC durchgeführt, so wird lediglich der Pfad entfernt. Die Daten bleiben auf dem Träger erhalten und werden möglicherweise lediglich überschrieben, wenn eine intensive Weiternutzung des Datenträgers erfolgt. Eine vollständige Löschung findet jedoch zu keinem Zeitpunkt statt. Spezialisten können die Informationen in jedem Falle wieder zugänglich machen. Daher sind elektronische Datenträger professionell zu entsorgen. Wenden Sie sich diesbezüglich an Ihre EDV-Abteilung oder den Datenschutzbeauftragten, sofern Ihnen nicht das hausinterne Prozedere zum Umgang mit ausgebrauchten elektronischen Datenträgern bekannt ist.
Drucken und faxen
Zentrale Drucker, Fax- und Kopiergeräte sind problematisch, weil regelmäßig Unterlagen in den Ausgabefächern liegen bleiben. Oft wird der Ausdruck nicht unmittelbar nach Erteilung eines Druckauftrags abgeholt. Eingehende Faxe liegen regelmäßig bis zu ihrer zufälligen Entdeckung im Ausgabefach. Es ist eine Organisationsstruktur anzulegen, die es ermöglicht, dass in Auftrag gegebene Drucke unmittelbar von der berechtigten Person entnommen werden und Faxe nur von Personen entgegengenommen werden, die hierzu berechtigt und befugt sind. Gegebenenfalls sind mehrere Geräte zu verwenden oder schlüssige Berechtigungskonzepte zu entwerfen.