09.05.2007 bis 22.10.2008
EUROIMMUN AG
Seekamp 31
23560 LübeckAdresse der Sachverständigen
Rechtsanwalt Stephan Hansen-Oest
Neustadt 56
24939 Flensburg
E-Mail sh@datenschutzkontor.deDipl. Inf. (FH) Andreas Bethke
Papenbergallee 34
25548 Kellinghusen
E-Mail ab@datenschutzkontor.de
Das IT-Produkt „EUROLabOffice Fernwartung“ ist ein IT-Verfahren, das die Fernwartung der Labordiagnostik-Software EUROLabOffice ermöglicht und unterstützt.
Die Labordiagnostik-Software EUROLabOffice ist ein Softwareprodukt der EUROIMMUN AG, welches in diagnostischen Laboratorien zum Einsatz kommt. Es unterstützt die Abarbeitung der Produkte des Herstellers aus den Bereichen Autoimmundiagnostik, Infektionsserologie und Allergologie und besitzt eine integrierte Patienten- und Kundenverwaltung. Das IT-Verfahren „EUROLabOffice Fernwartung“ kommt ausschließlich auf IT-Systemen zum Einsatz, die von der EUROIMMUN AG vorkonfiguriert an die Kunden ausgeliefert wurden. Es ist durch technische und organisatorische Maßnahmen gewährleistet, dass die IT-Systeme beim Kunden regelmäßig gewartet werden und insbesondere Updates und/oder Patches installiert werden, um die Integrität des Systems zu wahren. Die Fernwartung der Labordiagnostik-Software erfolgt durch gesondert geschulte Mitarbeiter der EUROIMMUN AG mittels der Software „Netviewer“. Die Fernwartungssoftware „Netviewer“ war nicht Gegenstand der Zertifizierung.
Die Besonderheit des Verfahrens „EUROLabOffice Fernwartung“ besteht darin, dass die Fernwartung der Labordiagnostik-Software EUROLabOffice in einem besonderen Modus erfolgt. Der Nutzer meldet sich mit einer besonderen Rolle „TECHSUPPORT“ am Programm an. In dieser Rolle kann dieser Benutzer auf alle Programmfunktionen zugreifen, er hat jedoch keine Einsicht in Patientendaten. Alle Patientendaten werden durch „Aussternen“ („*“) anonymisiert. So wird gewährleistet, dass der Supportmitarbeiter, der über das Fernwartungsprogramm „Netviewer“ auf EUROLabOffice zugreift, keine Kenntnis von personenbezogenen Daten und insbesondere nicht von sensitiven Daten, die ggf. der ärztlichen Schweigepflicht unterliegen, erlangt.
Der Produkthersteller und der Kunde schließen eine gesonderte Fernwartungsvereinbarung, in der die Rechte und Pflichte der Parteien im Detail geregelt werden. Protokolle der jeweiligen Fernwartungssitzung werden für ein Jahr gespeichert.
EUROLabOffice ab Version 1.0.3
Windows 2000, Windows XP, Windows Terminal Server 2003
Delphi 7
Zweck des Verfahrens ist die Erbringung von Support-/Unterstützungsleistungen bei der Programmbedienung, das Einspielen von Softwareupdates und insbesondere die Fehlerbehebung bei der Nutzung der Software EUROLabOffice der EUROIMMUN AG.
Da das Softwareprodukt EUROLabOffice auch bei öffentlichen Stellen des Landes Schleswig-Holstein (z.B. öffentlich-rechtlich organisierten Krankenhäusern/Universitätskliniken) eingesetzt wird bzw. eingesetzt werden kann und damit auch das Fernwartungsverfahren des Produktherstellers zum Einsatz kommt bzw. kommen kann, ist das Verfahren grundsätzlich auch für den Einsatz bei öffentlichen Stellen des Landes Schleswig-Holstein geeignet.
Anforderungskatalog Version 1.2
Das Verfahren „EUROLabOffice Fernwartung“ ist ein datenschutzfreundliches Verfahren. Vorbildlich ist, dass die zu wartende Software, die nicht unmittelbar Gegenstand der Begutachtung ist, eine Anonymisierungsfunktion aufweist, die der datenschutzkonformen Wartung der Software im Wege einer Fernwartung durch den Produkthersteller dient. Durch die Anonymisierungsfunktion werden personenbezogene Daten, die ggf. zudem der ärztlichen Schweigepflicht bzw. dem Patientengeheimnis unterliegen, ausgeblendet und es kann eine datenschutzrechtlich zulässige und vor allem datenschutzfreundliche Fernwartung des Produktes erfolgen. Dabei sieht das Verfahren unter Verwendung der eingesetzten Technologien vor, dass der Berufsgeheimnisträger die Fernwartungsmaßnahmen beobachtet und jederzeit auch unterbinden kann.
Eine insgesamt vorbildliche Bewertung konnte nicht erfolgen, da in dem Verfahren neben den zum Einsatz kommenden technischen Maßnahmen zur Datensicherheit in rechtlicher Hinsicht auch auf organisatorische Maßnahmen (Vertragspflichten etc.) zurückgegriffen wird. So wäre es unter Umständen denkbar, dass bei einem Verstoß gegen Überwachungspflichten durch die verantwortliche Stelle und einem gleichzeitig vorliegenden pflichtwidrigen Verhalten der fernwartenden Person ein unzulässiger Zugriff auf personenbezogene Daten erfolgen könnte. Der Fernwartende müsste dann die Laborsoftware mit einer anderen Benutzerrolle öffnen und könnte dann ggf. Kenntnis von personenbezogenen Daten nehmen.
Das Produkt „EUROLabOffice Fernwartung“ fördert den Datenschutz durch die Einbindung einer besonderen Benutzerrolle für die Wartung der Software, in der umfassende Anonymisierungstechniken zur Anwendung kommen.