Datenschutz und die Software Dameware am UKE
Dienstag, 25.05.2010
Im Wissenschaftsausschuss wurde am 23.03.2010 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Dr. Caspar, im Rahmen einer Selbstbefassung als Auskunftsperson zu den Vorwürfen an das Universitätskrankenhaus Eppendorf über illegale Bespitzelung am UKE angehört.
Aus dem Zwischenbericht über diese Selbstbefassung (Drs. 19/5927) ergeben sich indes weitere Fragen. So konnte insbesondere keine Klarheit darüber gewonnen werden, ob von der Leitung des UKE Initiativen ausgingen, die manipulierbare Software „Dameware“ zur Überwachung von KIS II Nutzer – PCs am UKE einzusetzen.
Der Hamburgische Beauftragte für den Datenschutz stellte in der Ausschusssitzung fest, dass die eingesetzte Software durch Manipulationen (z. B. Ausschaltung der Sichtbarmachung einer Aufschaltung auf den PC eines Nutzers, Ausschaltung der Protokollierung, Löschung der Protokollierung) sehr einfach in einer Weise verändert werden konnte und verändert worden ist, die einen Verstoß gegen gesetzliche Regelungen beinhalten.
Da diese eingesetzte Software im manipulierten Zustand auch dazu geeignet war, Verhalten und Leistung von Beschäftigten zu kontrollieren, unterliegt ihre Verwendung zudem nach der klaren und eindeutigen Rechtsprechung des BVerwG zur Mitbestimmung von Personalräten deren Mitbestimmung. Deshalb hätte vor Verwendung dieser Software die Zustimmung des Personalrats eingeholt werden müssen.
Ich frage daher den Senat:
1. Hat sich das Kuratorium des UKE, dessen Vorsitzende Senatorin Gundelach ist, entsprechend seinen Aufgaben, zu denen die Überwachung der Geschäftsführung gehört, mit dem Einsatz dieser manipulierbaren Software befasst?
2. Hat das Kuratorium die Verantwortlichen in der Leitung des UKE dafür zur Verantwortung gezogen und wenn ja, in welcher Form? Wenn nein, warum nicht?
3. Hat der Senat Erkenntnisse darüber, ob die Zustimmung des Personalrats eingeholt wurde?
4. Wenn die Zustimmung - wie anzunehmen – nicht vorliegt, hat das Kuratorium dafür die Verantwortlichen der Leitung des UKE zur Rechenschaft gezogen? Wenn ja, in welcher Form? Wenn nein, warum nicht?
5. Der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit hat bei seiner Prüfung im Dezember 2009 die hohe Zahl der Zugriffsrechte gerügt und erfolgreich auf deren Verringerung gedrängt.
Haben nach Kenntnis des Senats bzw. der zuständigen Behörde vor der Rüge des Beauftragten für Datenschutz und Informationsfreiheit auch Personen aus dem unmittelbaren Umfeld des ärztlichen Direktors des UKE, Prof. Dr. J. Debatin, zum Kreis der damals Zugriffsberechtigten gehört und auch Zugriffe wahrgenommen?
6. Der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit hat bei seiner Prüfung im UKE im Dezember 2009 festgestellt, dass die gesetzlich gebotene Protokollierung von Zugriffen im Zusammenhang mit der veränderten Software „Dameware“ im Zeitpunkt vor dem 09.10.2009 gelöscht gewesen seien und dass von ihm nicht feststellbar sei, ob dies automatisch oder „händisch“, also durch absichtsvollen Zugriff, veranlasst worden und geschehen sei.
a. Haben der Senat, die zuständige Behörde oder das Kuratorium des UKE die Verantwortlichen der Leitung des UKE danach befragt, ob diese Löschung bei allen KIS II angeschlossenen PC – Nutzern vorgenommen worden ist oder, worauf Hinweise hindeuten, nur bei einzelnen PC weniger Klinikdirektoren bzw. ihrer Sekretariate? Wenn ja, mit welchem Ergebnis?
b. Wenn dies nur bei einzelnen Nutzern der Fall war, um wen handelt es sich und warum ist diese Löschung erfolgt?
c. Kann der Senat ausschließen, dass die Leitung des UKE bei dieser Löschung – zumindest mittelbar - mitgewirkt hat?
d. Ist sichergestellt worden, dass die betroffenen Nutzer entsprechend den gesetzlichen Bestimmungen informiert worden sind?
i. Wenn ja, von wem?
ii. Wenn nein, warum nicht?