Elektronische Protokolle

[madhef]

Original von krumel
Übrigens: Eine SSD ist ein Teil der Schule. Damit gelten für ihn die (extrem strengen) Datenschutzvorschriften für Behörden.

Stimmt. Und somit sind die meisten Formen der elektronischen Verarbeitung und vor allem der Speicherung nicht anwendbar.

Original von krumel
Schlussendlich entbindet eine etwaige elektronische Erfassung nicht von der Pflicht weiterhin ein konventionelles Verbandsbuch für die BG zu führen.

Naja, die erlauben mittlerweile auch (theoretisch) die DV-gestützte Dokumentation. Scheitern dürfte es jedoch fast überall an den verschiedenen Datenschutzbestimmungen. Ansonsten tut es jedoch auch ein Hardcopy eines SSD-Einsatzprotokolls wenn es die erforderlichen Daten bereithält.

[Klappdöner]

Hallo Leute, damit ich hier auch mal was poste:
Ich hab ein Elektronisches Formular erstellt, dass ich in einer modifizierten Version von einer Druckvorlage, die ich im Internetgefunden habe, abgeschaut habe.
Das ganze ist jetzt als .pdf gespeichert und kann am Computer ausgefüllt werden. Außerdem kann man es natürlich auch leer ausdrucken. In der Regel machen wir das nun so: Währen des Einsatzes oder unmittelbar nach dem Einsatz füllen wir ein Protokoll per Hand aus und zu Hause fülle ich das ganze dann elektronisch aus, drucke es aus, und speichere es digital mit einer 128-bit Verschlüsselung. Der Ausdruck kommt in eine SSD-Mappe zusammen mit dem original und wird nochmal von Hand unterschrieben.

[krumel]

Du bist dir aber schon bewusst das die während des Einsatzes erhobenen medizinischen Daten die Schule nicht ohne Genehmigung verlassen dürfen, geschweige denn auf deinem privaten Rechner verarbeitet werden dürfen?
Außerdem hilft das "Veschlüsseln" wenig wenn ein potentieller Angreifer z.B. via Rootkit bereits in der Eingabephase "live" mithören kann.

@madhef: bezüglich BG-Verbandsbuch: Da streiten sich die Geister, ich habe tlw. von der selben BG drei verschiedene Aussagen. Afaik gibt es aktuell noch keine verlässlichen Aussagen. Und solange das so ist gilt im Zweifelsfall die konservativste Auslegung.

[madhef]

Original von krumel
@madhef: bezüglich BG-Verbandsbuch: Da streiten sich die Geister, ich habe tlw. von der selben BG drei verschiedene Aussagen. Afaik gibt es aktuell noch keine verlässlichen Aussagen. Und solange das so ist gilt im Zweifelsfall die konservativste Auslegung.

Jap, kenne das Problem.
Wobei das dann jegliche Form der Hardcopy-Dokumentation ist, die die vorgegebenen Inhalte hat.

[krumel]

Rütüsch:)

[Klappdöner]

Original von krumel
Du bist dir aber schon bewusst das die während des Einsatzes erhobenen medizinischen Daten die Schule nicht ohne Genehmigung verlassen dürfen, geschweige denn auf deinem privaten Rechner verarbeitet werden dürfen?

Das ist in der Tat ein guter Einwand. Das Problem ist jedoch, dass wir 1. keinen eigenen Rechner für die Schulsanis bekommen, 2. keiner der Rechner Adobe Acrobat hätte (oder gibt es auch freeware Programm mit denen man ausgefüllte Protokolle abspeichern kann? Mit Reader geht das ja glaub ich nicht, da kann man nur ausdrucken...) und 3. Ich mir deutlich weniger sorgen um Rootkits als mehr um die geamte Sicherheit des schulinternen Computersystems mache. Ich habe mal aus langeweile in einer Freistunde mithilfe von Rainbowtables das Adminpasswort innerhalb von 5 Minuten entschlüsselt nur um danach festzustellen das dieses (6 stellige, alles kleinbuschtaben) 'Passwort' das gleiche für sämtliche Administratorenaccounts auf allen Rechnern, den Schulfilter, dem Server und dem Router war. (Und sag jetzt bitte nicht, dass das illegal ist... Ich mach ja nix böses )

Original von krumel
Außerdem hilft das "Veschlüsseln" wenig wenn ein potentieller Angreifer z.B. via Rootkit bereits in der Eingabephase "live" mithören kann.

Ich denke mal das ganze ist auf so ziemlich jedem Rechner eine heikle angelegenheit. Ich bin der Meinung, dass auf den Schulrechnern genauso gut Rootkits sein können (vor allem wenn du dir das davor durchliest ) wie auf meinem Rechner. Natürlich hilft dir eine 128bit Verschlüsselung nichts, wenn der Keylogger im Hintergrund alles aufzeichnet, aber es ist besser als nichts. Und mal ehrlich, welcher Gangster handelt heut zu Tage mit geklauten Daten aus dem Schulsanitätsdienst?


Ich persönlich mache mir eher Sorgen, dass wir keinen wirklich guten Platz haben um die ausgedruckten Protkolle zu verwahren. Wir haben zwar einen Rollschrank mit Schlüssel, aber der ist für jeden frei zugänglich (Schlüssel hängt daneben) weil dort unser Verbandsmaterial gelagert wird. Abgesehen davon, dass so gut wie niemand den Schlüssel bemerkt, geschweigedenn auf die Idee kommt den Rollschrank zu öffnen, mache ich mir da aber auch nicht soooo große Sorgen, es geht halt einfach nicht besser.

[madhef]

Original von Klappdöner
Das Problem ist jedoch, dass wir 1. keinen eigenen Rechner für die Schulsanis bekommen,(...)

Übersetzung: Die Schule möchte wohl keine entsprechend erstellten Protokolle.

[krumel]

1. Woher hast du wohl den Acrobat? Ich kann mir kaum vorstellen das du die 240€ für die Schülerversion gezahlt hast... Und wenn sie dir "zugeflogen" ist...Wird sie mit einer hohen Prozentzahl (grade der Acrobat ist berühmt dafür Träger diverser "böser Sachen" zu sein, ich erinnere mich an eine Statistik von Heise das 90% aller Downloads von dem Ding bzw. seiner keygens aus schwarzen Quellen infiziert waren)
Soviel dazu...

2. Wenn du schon Freeware nutzen willst: Nimm den Reader, fülle das Protokoll aus und nimm dann einen der zahlreichen PDF Creatoren (z.B. PDF24) die sich als virtueller Drucker ausgeben... Protokoll "drucken" und fertig.

3. Das bei Anwendung von Rainbowtables § 202a StGb zutrifft hast du ja schon erkannt.
Unabhängig davon ob du "böses tust"...Sollte mal ein fähiger Mensch (z.B. von einer externen Firma oder einfach nur ein fähiger Schüler) dir auf die schliche kommen: Der Schulverweis ist dir sicher...

4. Das auf den Schulrechnern auch Rootkits sein können ist richtig, sogar das es wahrscheinlicher ist, dass da welche sind würde ich unterschreiben. ABER: Es ist dann schlichtweg nicht mehr dein Problem. Wenn Daten aufgrund mangelnder Computersicherheit im Schulnetzwerk "öffentlich" werden...Wird man den Administrator hinhängen. Werden Daten öffentlich weil dein Rechner "unsicher" war.... Wird man dich dafür hinhängen...

5. Sicherlich wird kaum ein ernsthafter Hacker versuchen die "bösen Daten vom SSD" zu kriegen. Aber: Die sind hier auch nicht das Problem. Ein Rootkit kann heute jeder 12jährige der etwas googeln kann zusammen bauen... (drum heißt es ja auch scriptkiddie)...Und da gibt es genug die aus reinem Vandalismus handeln (ist der selbe Typ Mensch der Schultoiletten verunstaltet ).
Und hier kann es mal ganz schnell gehen...
Abgesehen davon kann der "Feind" auch im SSD sitzen. Mir ist konkret ein Fall bekannt in dem zwei Freunde jahrelang die Geschicke eines SSD leiteten und sich "sicherheitshalber" die Protokolle auch "teilten", sprich jeder besaß entweder Kopie oder Orginal. Irgendwann zerbrach die Freundschaft und einer der beiden beschloss den anderen "hinhängen" zu wollen bzw. den mittlerweile nur noch vom anderen geleiteten SSD kaputt machen zu wollen..Und drohte u.a. damit alle Protokolle öffentlich auszuhängen...Das ganze konnte anders gelöst werden, sicherlich würde es dem "aushängenden" auch jede Menge Ärger bereiten..Aber: Es wäre im Fall der Fälle massiv Schaden für den SSD entstanden.

[Klappdöner]

Ich hab die Acrobat Lizens als ich noch für eine Firma gejobbt habe. Hast recht, vlt. sollte ich das mal deinstallieren weil eine Firmenlizens für private Zwecke einzusetzen is glaub ich auch nicht ok

Wenn der "Feind" im SSD sitzt ist eh alles gelaufen, da die Protokolle ja absichtlich so aufbewahrt werden, dass jeder Schulsani Zugriff darauf hat. Wie ist das denn bei euch geregelt? Wo lagert ihr eure Protokolle?

Was ich mich auch noch Frage sind 2 weitere Dinge:
Warum ist es nicht erlaubt das Protokoll mit nach Hause zu nehmen um es dort elektronisch auszufüllen. Das Protokoll wird ja von mir ausgefüllt und auch nicht vom Patienten unterschrieben. D.h. alle Daten die ich darin eintrage sollten theoretisch auch in meine Kopf verfügbar sein. Ich nehme das Original als Gedächtnisstütze mit, dass ich nicht dasitze und mir die Frage stelle ob der Blutdruck jetzt 120:80 oder 100:60 war oder ob der Pat. jetzt in der 8a oder der 8b war. Das Protokoll ist doch nichts andere als eine Niederschrift meiner ermittelten Werte. Oder wäre es auch nicht erlaubt einen Zettel zu nehmen und dort den schlichten Wert 120:80 draufzuschreiben und den mit nach Hause zu nehmen.

Außerdem verlässt das Protokoll ja auch die Schule, sobald ich es an den RD übergebe (was wir in der Regel machen, wenn der RD kommt).

Dann ist da noch zu sagen, dass der Schule es egal ist ob/wie wir Protokoll führen. Leider Gottes war der SSD komplett tot bis ich ihn vor ein paar Monaten wieder aufgebaut habe. Das überhaupt jemand Protokoll führt ist für die schon was neues.

Das mit dem Computer war übrigens anders gemeint: Ich habe noch nicht nachgefragt ob wir einen eigenen haben können, aber meiner Meinung nach wäre das Verschwendung, da unsere Schule ohnehin nicht all zu viele PCs hat. Wir sind eine kleine Schule die nicht unbegrenzt Budget hat. (Wobei ich vieleicht mal nachfragen könnte, ob wir einen alten, ausgemusterten PC haben können; das wird jedoch schätze ich nicht mehr mein Problem, da ich nächstes Jahr leider nicht mehr da bin).

Das mit den Rainbowtables is mir schon klar. Ich hoffe mal ihr verzeiht wenn ich kein all zu schlechtes Gewissen habe. War mehr oder weniger ne Wette mit nem Freund (was die Sache natürlich nicht besser macht )

[krumel]

Wenn du die Lizenz aus einer Firmentätigkeit hast handelt es sich vermtl. um eine sog. Volumenlizenz. Die ist in der Tat mit dem Moment verfallen in der du nicht mehr für die Firma tätig bist.

Das "alle SSDler" darauf Zugriff drauf haben ist in der Tat problematisch.
Ich kann für meinen ehemaligen SSD sprechen, hier war es so geregelt, dass die Protokolle der Schulsekretärin übergeben wurden und von dieser in einem gesicherten Dokumentenschrank verwahrt wurden. Diese ist im Rahmen anderer Vorgänge sowieso immer zur Unterschrift bestimmter Datenschutzverpflichtungen genötigt, daher stellt das kein Problem dar.

Deine Frage ist recht leicht zu beantworten: Du erhebst medizinische Daten ja sozusagen im Auftrag der Schule.
Es sind deswegen nicht "deine Daten" sondern die Daten der Schule (bzw. eigentlich des Patienten). Der Patient aber hat dir die Daten vertraulich mitgeteilt und konnte aufgrund der vorliegenden Situation während des Einsatzes nicht wissen das die Daten "außer Haus gehen". Schlussendlich sprechen schlicht die Landesdatenschutzgesetze und Verordnungen dagegen.
Man ist hier -da es in der Vergangenheit schon Fälle gab in denen statistische Daten die an Schulen im Rahmen von "Spendenaktionen" erhoben wurden für die Marktforschung verwendet wurden- relativ kleinlich mittlerweile.

Was den Rettungsdienst angeht: Aus Basis mancher Landesdatenschutzgesetze stellt dies wirklich ein Problem dar, praktisch gesehen hat hier aber der Patient die Möglichkeit eine Weitergabe zu verweigern bzw. ihr eher durch schlüssiges Handeln (sprich "nichts sagen") eher zuzustimmen.

Warum ich so auf den Datenschutz poche mal in zwei kleinen Beispielen erklärt:
Ich hatte in meiner aktiven SSD-Zeit den Fall einer Klassenkameradin die während des Sportunterrichtes schwer verunglückte. Im Rahmen der Versorgung teilte sie uns mit, dass sie HIV positiv ist.
Für die Versorgung in dem Fall eigentlich unerheblich, aber man fragt ja meistens eher allgemein nach "Vorerkrankungen".
Bei der betreffenden Schülerin wurde zwei Jahre später -kurz vor Ende ihrer Schulzeit- öffentlich, dass sie HIVpositiv ist (nicht durch den SSD, dass anbei)... Die Konsequenzen waren leider nicht grade die "feine Art". Zwei Lehrkräfte weigerten sich fortan die Schülerin zu unterrichten, da sie ja im Sport bzw. Chemieunterricht theoretisch im Falle eines Unfalls bei einer Übung bzw. eines Experiments sich "anstecken" könnten. Als die Lehrer seitens des Kultusministeriums zum unterrichten gezwungen wurden hat die Schülerin das natürlich massiv an Notengebung und Verhalten der Lehrkräfte gemerkt....
Nebendran reagierten einige Personen im Umfeld der Schülerin auch massiv negativ....
Das ganze endete mit einem Schulwechsel und Wiederholung der 13ten....

In einem anderen Fall durfte ich später vor Gericht aussagen.. Wir waren als RTW auf "aktutes Abdomen" alarmiert wurden. Eine 15jährige Schülerin mit deutlichem Unterbauchschmerz. Im Rahmen der Anamneseerhebung kam ich immer mehr auf den "Draht", dass es sich um eine Schwangerschaft handeln könne.... Auf etwas direkteres Nachfragen gestand die Schülerin später eine Schwangerschaft im vierten Monat ein.
Die ganze Versorgung erfolgte im Nebenraum des Schulsekretariat in Beisein der Klassenlehrerin -die, da deutliche Bezugsperson der Schülerin von mir im Raum belassen wurde-.
11 Monate später kriegte ich Post vom Anwalt der Schülerin. Es war wohl so, dass die Schülerin -die ihr Kind übrigens verloren hatte- aufgrund der Tatsache, dass sie schwanger gewesen sei und dies der Lehrkraft im Rahmen meiner Versorgung bekannt wurde nun seitens der Schule für einen eigentlich geplanten Austausch nicht zugelassen wurde, da man nicht dafür verantwortlich sein wollte falls sie nochmal schwanger werde.
Den Eltern wurde dies wohl tatsächlich so ins Gesicht gesagt, diese klagten daraufhin. Erst als bereits Zeugen geladen wurden, usw. lenkte auf Druck des KuMi die Schule ein und man einigte sich außergerichtlich.

[Don Spekulatius]

Und was bitte hätte in den beiden Fällen herauskommen sollen?

Im zweiten Fall tragisch, dass es in deutschen Gerichten anscheinend niemanden mit auch nur einem halben Gehirn zu geben scheint, der solchen Quatsch mal herausfiltert, bevor ein Fass aufgemacht wird.

[Klappdöner]

Original von krumel
Was den Rettungsdienst angeht: Aus Basis mancher Landesdatenschutzgesetze stellt dies wirklich ein Problem dar, praktisch gesehen hat hier aber der Patient die Möglichkeit eine Weitergabe zu verweigern bzw. ihr eher durch schlüssiges Handeln (sprich "nichts sagen") eher zuzustimmen.

Wir haben in der SAN Ausbildung gelernt, wir sollen dem Rettungsdienst bei der Übergabe alle gemessenen Werte und gegebenen Informationen weitersagen. Außerdem ist es in der Regel so, dass der RD uns fragt ob wir nicht unser Protokoll hergeben könnten...

Wie ihr das mit den Protokollen dann gemacht habt verstehe ich immer noch nicht. Ich meine, bei uns ist das so, dass wir immer zu 2. oder zu 3. beim Patienten sind und das Protokoll natürlich während des Einsatzes ausfüllen, d.h. für den Fall, dass uns ein Pat. sensible Daten presigeben sollte, bekämen es ohnehin alle 3 Sanis mit. Das hat mit dem Protokoll also gar nichts zu tun. Das mit den Protokollen der Sekretärin übergeben wäre durchaus eine Überlegung wert damit niemand anders daran kommen kann.

Das mit den Daten außerhalb der Schule verstehe ich immer noch nicht... Nehmen wir mal an ich führte ein Tagebuch (was ich nicht tue ); wenn ich da jetzt am Abend reinschreiben würde "Heute hatte ich in der Schule einen SSD-Einsatz. Der Patient xy hatte einen Herzstillstand und musste reanimiert werden... usw.
Wäre das dann auch nicht erlaubt?
Der Patient hat mir ja selbst nichts mitgeteilt...

[Don Spekulatius]

Solange niemand Zugriff auf Dein Tagebuch hat, ist das ok - gerade weil es in viele Fällen sinnvoll ist, ein Gedächtnisprotokoll anzufertigen.

Wenn aber Hinz und Kunz in Deine Aufzeichnungen reinsehen kann, dann ist das nicht zulässig. Bei der weiteren medizinischen Versorgung ist die Informationsweitergabe übrigens kein Problem, da ja ALLE zum Schweigen verpflichtet sind. Die Informationen dürfen nur nicht den Kreis der "Geheimnisträger" verlassen.

Was an dieser Stelle immer wieder nervt ist, dass selbst die Polizei immer wieder versucht, diese Regeln zu umgehen, indem sie bei JEDEM Unfall wieder fragt: "Was hat er/sie denn???". Als Antwort ist hier nur zulässig: "Herr Wachtmeister - Sie wissen, dass ich Ihnen diese Frage aufgrund meiner Schweigepflicht nicht beantworten darf." Mit anderen Worten: Diejenigen, die aufgrund ihres Berufes eigentlich das Gesetz - und auch das zur Schweigepflicht - verteidigen sollten, pfeifen auf alle Regeln, wenn es ihrem eigenen Nutzen dient.

[madhef]

Wenn man z.B. in Hessen als Lehrkraft auf die Idee kommt, schülerbezogene Daten (und dazu gehört u.a. auch schon eine Adressliste eines eigenen Kurses!!) auf dem heimischen Rechner bearbeiten zu wollen muß man mehrere Regeln beachten, die ich mal hier mal grob und auszugsweise wiedergeben möchte:

- es gilt das Datenminimierungsgebot
- Rechner ist so zu sichern, daß kein Anderer ihn nutzen kann (gilt auch für Arbeitspausen)
- entsprechende Dateien sind mit anerkanntem Verfahren zu verschlüsseln
- die Verarbeitung der Daten ist anzuzeigen
- dem Hessischen Datenschutzbeauftragten (oder seinen Mitarbeitern) ist auf Verlangen Zugang zum Rechner zu gewähren.
- ...

[lafidi]

Bei uns wollte die Schule das gerne. Aber da mittlerweile klar ist, dass ein Trojaner über das Schülernetzwerk verteilt wurde, finde ich gut, dass wir uns dagegen entschiede haben. Das Verwaltungsnetz hätten wir nicht nutzen können, da kein Schüler darauf zugreifen darf bzw. der Computer im SSD-Raum ungeschützt ist.