Universitätsklinikum Hamburg-Eppendorf

Zugriff auf Mitarbeiter-PCs - Datenschützer im Ausschuss

Foto: privat

Waren vertrauliche Daten im UKE nicht ausreichend gesichert? Johannes Caspar zu Gast im Wissenschaftsausschuss.

Hamburg. War es möglich, mit einer im Universitätsklinikum Eppendorf (UKE) eingesetzten Software auf vertrauliche Daten von Mitarbeitern zuzugreifen? Diese Frage wird heute Abend den Wissenschaftsausschuss der Hamburger Bürgerschaft beschäftigen, der im Rathaus Hamburgs obersten Datenschützer Professor Johannes Caspar zu Gast hat.

Caspar war aufgrund verschiedener ihm vorgetragener Beschwerden im Dezember zweimal im UKE tätig geworden, hatte mit IT-Mitarbeitern gesprochen und sich über die Software "DameWare" informiert. Dabei ging es um "vermutete irreguläre administrative Zugriffe auf Nutzer-PC im KIS-II-Netz des UKE", wie er in seinem Prüfbericht aus dem Januar schreibt.

Hintergrund war unter anderem ein Vorfall aus dem Oktober vergangenen Jahres. Damals hatte UKE-Chef Jörg F. Debatin auf einer Klausurtagung in Plön vor rund 80 Führungskräften ein internes Schreiben per Beamer präsentiert, das sich kritisch mit dem Gutachten von Professor Matthias Schrappe auseinandersetzte. Jenes Gutachten, das dem UKE nach den Problemen im Neuen Klinikum ein gutes Zeugnis ausgestellt hatte. "Kein erhöhtes Risiko für UKE-Patienten nach dem Umzug", lautete das Resümee. Wie aber war der Ärztliche Direktor in den Besitz der kritischen Stellungnahme gekommen?

Darauf erhoffen sich die Parlamentarier heute Antwort von Professor Caspar. Der hatte in seinem Prüfbericht an die Klinikleitung moniert, dass ein Zugriff auf vertrauliche Daten mit "DameWare" möglich gewesen sei. Systemadministratoren könnten sich in jeden Arbeitsplatz-Computer des UKE-Netzwerkes ohne Erlaubnis der Betroffenen heimlich einklinken und auf dort vorhandene Daten zugreifen. Sie hätten auch unbemerkt wieder verschwinden können - und dieser Zugriff wäre auch nicht auf einem eigenen Protokollierungsserver dokumentiert worden.

"Diese Probleme wurden entweder nicht gesehen oder nicht ernst genug genommen", sagt Caspar. Deshalb wurde die Klinikleitung aufgefordert, die Software bis zum 9. Februar den geltenden Datenschutzbestimmungen anzupassen oder - falls dies technisch nicht möglich ist - durch eine andere zu ersetzen.

Festzuhalten bleibt: Erst jetzt kann es keinen Zugriff auf Mitarbeiter-PCs mehr geben, ohne dass diese zuvor per Mausklick in einem sogenannten Pop-up-Fenster "Ja" oder "Nein" anklicken. Erst jetzt gibt es einen Protokollierungsserver, der jeden solcher Zugriffe dokumentiert. Und auch die Anzahl der Administratoren wurde "bereinigt" und ist mit nunmehr neun mehr als halbiert.

Caspar aber hat ebenfalls festgestellt: "Bei DameWare handelt es sich um ein Administrationswerkzeug. Es ist kein Überwachungstool." In der verwendeten Version bestanden zwar "zu große Spielräume im Rahmen der vorgesehenen Administrationstätigkeit, unbemerkt und ohne Einholung der Nutzerzustimmung auf PC zuzugreifen und dabei entstehende Spuren zu verwischen". Aber ob ein Missbrauch auch wirklich stattgefunden habe, sei nicht mehr nachzuweisen.