LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/3794 16.08.2013 Datum des Originals: 15.08.2013/Ausgegeben: 21.08.2013 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 1442 vom 16. Juli 2013 des Abgeordneten Daniel Schwerd PIRATEN Drucksache 16/3590 Wie ist es um die Sicherheit medizinischer Daten und Patientenakten bestellt in Zeiten von Prism und Tempora? Der Minister für Inneres und Kommunales hat die Kleine Anfrage 1442 mit Schreiben vom 15. August 2013 namens der Landesregierung im Einvernehmen mit der Ministerin für Gesundheit , Emanzipation, Pflege und Alter beantwortet. Vorbemerkung der Kleinen Anfrage Die Enthüllungen des ehemaligen Geheimdienstmitarbeiter Edward Snowden haben gezeigt, in welch gigantischem Umfang durch die Geheimdienste der „Five Eyes Alliance“ elektronische Kommunikation abgegriffen wird, und dass Server, Infrastruktur und Dienste unter USamerikanischer Jurisdiktion durch Überwachungsschnittstellen kompromittiert sind. Ebenso angezweifelt werden müssen die Vertraulichkeit von auf Betriebssystemen USamerikanischer Herkunft gespeicherten Daten, sowie die Verschlüsselung durch Technologien , die den Ursprung in den USA haben. Medizinische Daten aller Art, Befunde und Patientenakten gelten als besonders sensible und schützenswerte Informationen. Sie können bei Bekanntwerden erhebliche negative Konsequenzen für das Leben, die Sicherheit und die Entfaltung der Persönlichkeit der betroffenen Menschen haben. Gleichwohl werden immer mehr solcher Daten, Befunde und Akten elektronisch gespeichert, verarbeitet und übermittelt. Oft genug dürften dabei US-amerikanische Technologie, Betriebssysteme und Server im Spiel sein, und Daten über kompromittierte Glasfaserkabel übertragen werden. Damit geraten auch solche Informationen in den Fokus der Nachrichtendienste der „Five Eyes Alliance“. LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/3794 2 Vorbemerkung der Landesregierung Die Landesregierung nimmt die Hinweise in den Medien zu angeblichen Zugriffen auf Daten sehr ernst. Bevor aber eine Bewertung möglich ist, sind Ausmaß, Methoden und die tatsächliche Betroffenheit von Menschen, Unternehmen und öffentlichen Stellen hinreichend zu klären . Da es um Belange der Außenpolitik geht, ist die Bundesregierung gefordert, den gesamten Sachverhalt aufzuklären und Öffentlichkeit und Politik umfassend zu unterrichten. Erst wenn die Bundesregierung ihren Pflichten nachgekommen ist, kann die Landesregierung auf dieser Wissensbasis prüfen und entscheiden, welche konkreten Maßnahmen im Bedarfsfall zu ergreifen sind. Dass Gesundheitsdaten als sensible Daten einen besonderen Schutz benötigen , ist unbestritten und findet seinen Niederschlag in den nachfolgend aufgeführten Rechtsvorschriften. 1. Welche Vorschriften und Regelungen gelten für die Speicherung und elektroni- sche Übermittlung (incl. Fax) von personenbezogenen medizinischen Daten, Patientenakten und Befunden? Nehmen Sie insbesondere Stellung zu der Frage, welche Formen und Stärken von Verschlüsselung angemessen sind. Das Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW) hat zum Ziel, das Recht auf informationelle Selbstbestimmung im Bereich des Gesundheitswesen zu gewährleisten, § 1 GDSG NW. Es gilt für die Verarbeitung personenbezogener Daten von bestimmten Personengruppen (s. § 2 Abs. 1 Nrn. 1-3 GDSG NW) sowie für die Führung von bevölkerungsbezogenen Krebsregistern (s. § 2 Abs. 1 Nr. 4 GDSG NW). Hervorzuheben ist die Subsidiaritätsklausel in § 3 GDSG NW. Soweit das GDSG NW nichts anderes bestimmt, gilt das Datenschutzgesetz NordrheinWestfalen - DSG NRW (Satz 1). Für Krankenhäuser und Einrichtungen privater Träger gilt anstelle des Zweiten Teils des DSG NW [Landesbeauftragter für Datenschutz und Informationsfreiheit ] § 38 Bundesdatenschutzgesetz [Aufsichtsbehörde] (Satz 2). Über die nach § 3 GDSG NW geltenden allgemeinen Grundsätze des DSG NRW hinaus finden sich im GDSG NW folgende Regelungen: Die Übermittlung und Zweckbindung von Patientendaten wird in § 5 GDSG angesprochen. Dort ist u.a. geregelt, dass die Übermittlung der Daten, soweit in diesem Gesetz nichts anderes bestimmt ist, nur zulässig ist, soweit sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, eine Rechtsvorschrift sie erlaubt oder der Betroffene im Einzelfall nach Maßgabe des § 4 GDSG NW eingewilligt hat (Abs. 1). Personen oder Stellen, denen die Patientendaten übermittelt werden, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen zulässigerweise übermittelt worden sind. Auf die Geheimhaltungspflicht wird hingewiesen (Abs. 2). Die Voraussetzungen für eine Datenverarbeitung im Auftrag finden sich in § 7 GDSG NW. § 8 GDSG NW regelt die Löschung von Daten. Die Rechte des Patienten sind in § 9 GDSG NW aufgeführt. Dort wird u.a. grundsätzlich festgestellt, dass dem Patienten auf sein Verlangen unentgeltlich Auskunft über die zu seiner Person gespeicherten Daten sowie über die Personen und Stellen zu erteilen ist, von denen seine Patientendaten stammen und an die sie übermittelt wurden (Abs. 1); Ausnahmen werden aufgezeigt (Abs. 2 - 4). LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/3794 3 Zum Schutz von Patientendaten im Krankenhaus und in Vorsorge- oder Rehabilitationseinrichtungen gelten spezielle Regelungen nach Maßgabe der §§ 10 bis 12 GDSG NW. Auch zum Schutz von Patientendaten im Rahmen von Maßnahmen nach dem PsychKG außerhalb der vg. Einrichtungen ist die Erhebung und Speicherung (§ 13 GDSG NW) sowie die Übermittlung von Daten besonders geregelt. Spezielle Vorschriften gelten auch für die Gesundheitsämter. In den Allgemeinen Vorschriften (§ 23 GDSG NW) wird die Erhebung und Speicherung (Abs. 1) sowie die Übermittlung (Abs. 2) von Patientendaten angesprochen. Spezielle Regelungen für die amtsärztliche Untersuchung für den öffentlichen Dienst finden sich in § 24 GDSG NW, für die Untersuchung von Kindern im Kindergarten und von Schülern durch das Gesundheitsamt in § 25 GDSG NW. Die Verschlüsselung von Daten wird im GDSG NW nicht geregelt. Eine Verschlüsselung kann aber als technische Maßnahme zum Schutz personenbezogener Maßnahmen erforderlich sein, soweit der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§ 10 DSG NRW; § 9 BDSG). 2. Welche Sanktionen sind vorgesehen, wenn personenbezogene medizinische Da- ten, Patientenakten und Befunde nicht ausreichend geschützt gespeichert oder übermittelt werden? Spezielle Sanktionen sind im GDSG NW nicht geregelt. Es gelten aber die allgemeinen Vorschriften zu Bußgeldtatbeständen und Strafvorschriften nach dem BDSG oder dem DSG NRW in Abhängigkeit von dem jeweiligen Datenverarbeiter (§§ 43, 44 BDSG; §§ 33, 34 DSG NRW). Ob die Voraussetzungen für Sanktionen im Sinne von Bußgeldern oder Strafen vorliegen , ist unter Berücksichtigung des Einzelfalles von den zuständigen Verwaltungsbehörden bzw. Strafverfolgungsbehörden zu prüfen. 3. Hält die Landesregierung die derzeitigen Regelungen zum Schutz personenbezo- gener medizinischer Daten, Patientendaten und Befunden angesichts des Ausmaßes der Kompromittierung von Nachrichtenübermittlungs- und Datenspeichersystemen durch Geheimdienste für ausreichend? Nehmen Sie insbesondere Stellung, ob Systeme US-amerikanischer Herkunft für diesen Zweck als vertrauenswürdig genug eingestuft werden können. 4. Plant die Landesregierung Maßnahmen, den Schutz von personenbezogenen me- dizinischen Daten, Patientenakten und Befunden auf Datenspeicherungs- und Nachrichtenübermittlungssystemen zu stärken? Es ist nicht bekannt, ob bzw. ggfls. in welchem Umfang Geheimdienste der USA auf hiesige personenbezogene medizinische Daten zugegriffen haben bzw. zugreifen. Im Übrigen wird auf die Vorbemerkung verwiesen. Dies gilt auch für eventuelle Maßnahmen hinsichtlich des Einsatzes von Systemen US-amerikanischer Herkunft.