4.5         Schutz des Patientengehimnisses

4.5.1       Prüfung einer Gesundheitseinrichtung – Mängel müssen abgestellt werden

Die Datenschutzüberprüfung eines Klinikums bezog sich auf die Umsetzung der technischen und organisatorischen Maßnahmen zum Schutze der Patientendatenverarbeitung. Es wurden stichprobenartig u. a. folgende Bereiche geprüft:

  • Organisationsstrukturen des Klinikums mit Zuständigkeiten und Verantwortlichkeiten,
  • Funktion des Datenschutzmanagements,
  • Einhaltung von anerkannten und empfohlenen Standards zum Schutz der Patientendaten,
  • Zugriffs- und Berechtigungsmanagement,
  • Sicherheitsfunktionen der eingesetzten IT-Systeme,
  • Absicherung der verwendeten internen und externen Netze für die Datenkommunikation,
  • Schutz der Patientendaten im Rahmen der Auftragsverarbeitung,
  • Nachvollziehbarkeit und Protokollierung von Zugriffen auf Patientendaten,
  • Datensicherung und Datenlöschung,
  • Dokumentation und Nachweise zur Einhaltung und Überwachung der Datenschutzvorschriften.

Die Überprüfung hat ergeben, dass die Verantwortlichen des Klinikums der Einhaltung datenschutzrechtlicher Anforderungen der DSGVO und des BDSG keinen angemessenen Stellenwert zuordneten. Demzufolge wurde festgestellt, dass die Verarbeitung von Patientendaten erhebliche Schwachstellen aufwies. Nachfolgend ein kurzer Auszug aus unserem dem Klinikum zugestellten Prüfbericht:

  • Ein Datenschutzmanagement, das die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch plant, umsetzt und kontrolliert, ist im Klinikum nicht ausreichend integriert. Die Verantwortlichen und der bestellte Datenschutzbeauftragte befolgten ihre gemäß der DSGVO auferlegten Pflichten nicht im gebotenen Maße.
  • Die für Kliniken und Krankenhäuser von den Datenschutzbeauftragten des Bundes und der Länder erstellte „Orientierungshilfe Krankenhausinformationssysteme“ (OH KIS) wurde von den Verantwortlichen des Klinikums nicht beachtet.
  • Sehr viele Beschäftigte des Klinikums verfügten über zu weitreichende Zugriffsrechte bezüglich der Patientendaten und konnten unkontrolliert auf den Datenbestand des Klinikums zugreifen.
  • Die Archivräume für Patientenakten wurden zum Teil nicht ordnungsgemäß geführt. Unbefugte Kenntnisnahmen von Daten in Patientenakten durch Beschäftigte des Klinikums konnten nicht ausgeschlossen werden.
  • Mehrere Dienstleister konnten ohne nachvollziehbare Weisung und Kontrolle der Verantwortlichen des Klinikums tätig werden und auf Patientendaten uneingeschränkt zugreifen. Verträge im Rahmen der Auftragsverarbeitung konnten nicht für alle Dienstleister vorgelegt werden.
  • Die Server- und Technikräume vermittelten den Eindruck einer nicht ordnungsgemäßen Betriebsführung. Aufgrund unzureichender technischer und organisatorischer Maßnahmen konnte der Schutz personenbezogener Daten auf den im Klinikum eingesetzten Arbeitsstationen und zentralen IT-Komponenten nicht angemessen gewährleistet werden.
  • Ferner wurde über Jahre hinweg versäumt, veraltete Betriebssysteme auf aktuelle Betriebssysteme zu migrieren. Auf den Arbeitsstationen und Servern wurden überwiegend veraltete und nicht mehr dem Stand der Technik entsprechende Betriebssysteme eingesetzt.
  • Ein geregeltes Verfahren zur Protokollierung und der damit verbundenen Nachvollziehbarkeit der Patientendatenzugriffe durch Beschäftigte des Klinikums war für die im Klinikum eingesetzten IT-Komponenten nicht implementiert.
  • Die mit MS-Office angelegten Dateiablagen mit Patientendaten waren nicht prüffähig. Die vorgefundenen Strukturen vermittelten den Eindruck einer unsystematischen Nutzung durch Beschäftigte des Klinikums. In mehreren verschachtelten Ablagen wurden Tausende von Dateien gefunden. Für die Einrichtung der Ablagestrukturen sowie für die Vergabe von Berechtigungen gab es keine nachvollziehbaren Vorgaben.
  • Für die meisten Fachanwendungen mit Patientendaten konnten die Verantwortlichen des Klinikums keine Berechtigungskonzepte für den Zugriff auf personenbezogene Daten vorlegen.
  • Ferner wurde von ihnen versäumt, für Datenverarbeitungen, die hohe Risiken für Patientinnen und Patienten zur Folge haben könnten, eine Datenschutz-Folgenabschätzung durchzuführen.

„Orientierungshilfe Krankenhausinformationssysteme“:

https://www.datenschutzzentrum.de/artikel/1107-OH-KIS-Orientierungshilfe-Krankenhausinformationssysteme.html
Kurzlink: https://uldsh.de/tb39-4-51

 

Was ist zu tun?
Das Klinikum ist aufgefordert, die Datenschutzmängel schnellstmöglich abzustellen. Dafür ist es erforderlich, dass der Verantwortliche des Klinikums für die Steuerung der Datenschutz- und Informationssicherheitsprozesse ein Datenschutzmanagement implementiert. Es wird empfohlen, die für Krankenhäuser anerkannten Standards für Datenschutz und Informationssicherheit, insbesondere die „Orientierungshilfe Krankenhausinformationssysteme“, zu beachten.

 

4.5.2       Online-Terminvereinbarung – verschlüsselte Anfrage, unverschlüsselte Antwort?

Wer kennt das nicht, man will schnell noch einen Termin vereinbaren, aber das Telefon der Arztpraxis ist dauernd besetzt. Wie gut, dass die Praxis auch eine Online-Terminvereinbarung anbietet. Also Smartphone gezückt, ab ins Internet, Homepage der Arztpraxis aufgerufen, Online-Terminvereinbarung angeklickt, den eigenen Namen und vielleicht noch wo es wehtut eingegeben und auf „Senden“ gedrückt. Es dauert nicht lange, und schon erhält man den Termin. Alles ganz einfach. Aber auch sicher?

Verschiedene Firmen bieten Arztpraxen eine Software für eine Online-Terminvereinbarung an. Viele dieser Anwendungen bieten eine gesicherte Plattform, damit Patientinnen und Patienten ihren Terminwunsch der Arztpraxis mitteilen können, ohne dass Unbefugte hiervon Kenntnis nehmen können. Die Terminanfragen sind also geschützt. So weit, so gut. Aber wie sicher ist die Terminbestätigung?

Im letzten Jahr mussten wir wiederholt feststellen, dass die Terminbestätigung, also die Antwort der Arztpraxis an die Patientinnen und Patienten, häufig per unverschlüsselter E-Mail via Internet, also unsicher erfolgte (siehe auch Tz. 10.1). Die Terminbestätigung enthält regelhaft den Namen der anfragenden Person. Aber kein Unbefugter soll erfahren, wann wer zu welchem Arzt geht. Noch schlimmer ist es, wenn die Terminbestätigung Angaben zur Behandlung enthält. Möchten Sie, dass ein Psychiater Ihnen per Postkarte mitteilt, wann Sie das nächste Therapiegespräch wegen Ihrer Depression haben?

Die Verantwortung für die sichere Übermittlung der Terminbestätigung trägt die Ärztin oder der Arzt! Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass Unbefugte keine Kenntnis davon erhalten, wann wer warum in der Praxis einen Termin hat.

Wenn eine Arztpraxis einen externen Dienstleister mit der Online-Terminvereinbarung beauftragt, gilt es zudem zu bedenken, dass dies regelhaft eine sogenannte Auftragsverarbeitung darstellt. Diese ist nur zulässig, wenn mit dem externen Dienstleister ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen wurde und die bei dem Dienstleister tätigen Personen auf das Datengeheimnis verpflichtet wurden.

Eine „Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung“ haben wir in unserer Praxisreihe, Themenheft Nr. 3, veröffentlicht:

https://www.datenschutzzentrum.de/informationsmaterial/
Kurzlink: https://uldsh.de/tb39-4-52

Auch wenn einer sicheren Online-Terminvereinbarung aus datenschutzrechtlicher Sicht nichts entgegensteht, sollten Patientinnen und Patienten weiterhin alternative Möglichkeiten der Terminvereinbarung, z. B. per Telefon, angeboten werden.

Was ist zu tun?
Arztpraxen müssen beachten, dass sie auch bei der Online-Terminvereinbarung die Verantwortung für die sichere Übermittlung von Patientendaten tragen. Die Terminbestätigung darf nicht per unverschlüsselter E-Mail via Internet erfolgen. Wird ein Dienstleister mit der Online-Terminvereinbarung beauftragt, sind die gesetzlichen Anforderungen der Auftragsverarbeitung zu beachten.

 

4.5.3       Die erste Kopie der Patientenakte ist kostenfrei!

Es ist unstrittig, dass Patientinnen und Patienten nicht nur Auskunft über ihre Daten, sondern auch Einsicht in ihre Patientenakte verlangen dürfen. Nur in wenigen besonderen Fällen darf dies verweigert werden – z. B. wenn therapeutische Gründe entgegenstehen.

Patientinnen und Patienten können auch eine Kopie ihrer Patientenakte verlangen, egal ob die Daten in Papierform oder digital gespeichert sind. Im letzten Jahr schilderten uns die betroffenen Personen, dass in den Arztpraxen jedoch Geld für die Kopien verlangt wurde. Ist das zulässig? Eine heikle Frage, auf die wir eine eindeutige Antwort geben: Stützt der Patient sein Begehren auf Artikel 15 DSGVO, dann hat er einen Anspruch darauf, dass ihm die erste Kopie der Patientenunterlagen kostenfrei überlassen wird.

Zwar sehen die Berufsordnungen der Ärzte- und der Zahnärztekammer Schleswig-Holstein sowie § 630g Bürgerliches Gesetzbuch (BGB) vor, dass Ärztinnen und Ärzte für die Anfertigung von Kopien den Ersatz ihrer Kosten von den Patientinnen und Patienten verlangen können. Diese Regelungen haben jedoch keinen Vorrang vor den europarechtlichen Bestimmungen der DSGVO. Eine Einschätzung, die u. a. auch das Landgericht Dresden in einem Urteil vom 29.05.2020 vertritt (Az. 6 O 76/20). Diese Einschätzung wird im Übrigen auch von Datenschutzaufsichtsbehörden anderer Bundesländer geteilt.

Sollten Ärztinnen und Ärzte oder Zahnärztinnen und Zahnärzte weiterhin für die Anfertigung der ersten Kopie der Patientenunterlagen Geld von den Patientinnen und Patienten verlangen, so besteht die Möglichkeit, diese per Verwaltungsakt anzuweisen, dem Antrag der betroffenen Personen auf Ausübung der ihnen nach der DSGVO zustehenden Rechte zu entsprechen.

Was ist zu tun?
Patientinnen und Patienten ist die erste Kopie der Patientenunterlagen kostenfrei zu überlassen, wenn diese ihr Begehren auf Artikel 15 DSGVO stützen.

 

4.5.4       Kein Zugang für neugierige Patientinnen und Patienten

Auch im letzten Jahr ein Dauerbrenner: Neugierige Patientinnen und Patienten nutzen die Wartezeit und riskieren einen Blick auf den Computer der Arztpraxis. Kann eine neugierige Patientin oder ein neugieriger Patient Daten anderer Patienten sehen, dann droht der Arztpraxis Ärger.

Wer kennt diese Situation nicht? Man wird von der freundlichen Arzthelferin oder dem freundlichen Arzthelfer in das Behandlungszimmer geschickt. Frau bzw. Herr Doktor kommt ja gleich. Und schon ist man für einige Augenblicke allein. Neugierig schaut man sich um, und der Blick bleibt am Bildschirm vom Praxiscomputer hängen. Was werde ich wohl sehen, wenn ich die Computermaus bewege oder auf die Tastatur tippe?

Patientendaten, also Gesundheitsdaten, sind besonders sensibel und dürfen Unbefugten nicht zugänglich sein. Niemand lässt Bargeld offen in der eigenen Praxis herumliegen. Patientendaten sind oftmals noch viel wertvoller. Um Gegenstände zu stehlen, braucht man Hände, für heikle Informationen über andere Menschen reichen neugierige Augen (oder Ohren).

Die Ärztin oder der Arzt müssen als Verantwortliche in besonderem Maße dafür Sorge tragen, dass Patientendaten auch während des Praxisbetriebes vor neugierigen Ohren, Händen und Augen geschützt sind. Dies gilt auch bzw. gerade für den Zugang zu digitalen Patientendaten. Wird eine Patientin oder ein Patient in einem Raum mit einem Praxisrechner allein gelassen, so muss der Rechner gegen einen unbefugten Zugriff geschützt sein. Wird der Raum verlassen, ist der Rechner zu sperren. Ein passwortgeschützter Bildschirmschoner kann helfen. Moderne Praxen statten ihre Mitarbeiterinnen und Mitarbeiter mit einem Token aus, damit der Rechner automatisch gesperrt wird, wenn sie den Raum verlassen.

Selbstverständlich sind auch Papierunterlagen zu schützen und Arzt-Patienten-Gespräche diskret zu führen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat gemeinsam mit der Ärztekammer und der Zahnärztekammer Schleswig-Holstein einen Datenschutz-Selbstcheck für Praxen erstellt, der unter dem folgenden Link abrufbar ist:

https://www.datenschutzzentrum.de/medizin-soziales/
Kurzlink: https://uldsh.de/tb39-4-54

Dieser Datenschutz-Selbstcheck hilft dabei, Patientendaten vor neugierigen Augen, Ohren und Händen zu schützen.

Was ist zu tun?
Patientendaten müssen besonders vor den neugierigen Augen, Ohren und Händen Unbefugter geschützt werden. Patientinnen und Patienten dürfen daher nicht mit Praxisrechnern alleine gelassen werden, wenn diese nicht anderweitig gegen einen unbefugten Zugriff geschützt sind.

 

4.5.5       Postversand von Patientendaten auf CD – bitte verschlüsselt!

Arztbriefe oder ganze Akten ausgedruckt und in Papierform mit der Post versandt. Will der Empfänger die Daten elektronisch weiterverarbeiten, müssen die Unterlagen wieder aufwendig eingescannt werden. Digitale Datenkopien auf einem mobilen Datenträger wie einer CD oder einem USB-Stick mit der Post zu verschicken wäre einfacher. Aber ist das auch zulässig?

Ja! Das Auskunftsrecht der betroffenen Person und das Recht auf Datenübertragbarkeit sehen diese Möglichkeit sogar ausdrücklich vor.

Allerdings gilt es zu beachten, dass der Verantwortliche bei Patientendaten aufgrund ihrer Sensibilität im besonderen Maße dafür Sorge zu tragen hat, dass diese nicht nur rechtmäßig, sondern auch vertraulich übermittelt werden. Durch geeignete technische und organisatorische Maßnahmen ist ein ausreichender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sicherzustellen.

Es ist kein Geheimnis, dass die Post nicht immer beim gewünschten Empfänger ankommt. Manchmal reißen auch Versandumschläge auf, sodass dann Datenträger herausfallen können. Anders als Papierunterlagen können digitale Daten auf einer CD oder einem USB-Stick verschlüsselt werden. Bei Verlust der Postsendung sind die Daten dann für Unbefugte nicht lesbar. Der Versand bzw. die Übermittlung von digitalen Daten verringert also nicht nur den Arbeitsaufwand, sondern erhöht eindeutig die Datensicherheit, wenn die Daten auf dem mobilen Datenträger angemessen verschlüsselt werden. So kann man Datenpannen vermeiden, bei denen personenbezogene Daten im Klartext in falsche Hände geraten (siehe Tz. 4.5.9).

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein stellt entsprechende Informationen zur Verfügung:

https://www.datenschutzzentrum.de/technik/
Kurzlink: https://uldsh.de/tb39-4-55

Was ist zu tun?
Werden Patientendaten in digitaler Form mit einem mobilen Datenträger, z. B. per CD oder USB-Stick, mit der Post versandt, sollten die Daten angemessen verschlüsselt werden.

 

4.5.6       Anhörung für ein Landeskrankenhausgesetz

Im vergangenen Berichtszeitraum leitete das federführende Ministerium für Soziales, Gesundheit, Jugend, Familie und Senioren Schleswig-Holstein dem ULD den ersten Entwurf für ein Landeskrankenhausgesetz zu. In der daraufhin vorgenommenen Stellungnahme erläuterte das ULD wesentliche Punkte zur Anwendung datenschutzrechtlicher Vorschriften bei Krankenhäusern in öffentlicher und privater Trägerschaft, zur Auslagerung der Verarbeitung von Patientendaten auf externe Dienstleister, zur Datenverarbeitung für Forschungszwecke und zum Umfang der Auskunftsrechte von Patientinnen und Patienten (38. TB, Tz. 4.5.1). Einige wesentliche Punkte, für welche ein Änderungsbedarf aus datenschutzrechtlicher Sicht mitgeteilt wurde, fanden bei der Finalisierung des Gesetzentwurfs allerdings keine Berücksichtigung. Der entsprechende Entwurf (Drucksache 19/2042) ist abrufbar unter:

https://www.landtag.ltsh.de/infothek/wahl19/drucks/02000/drucksache-19-02042.pdf
Kurzlink: https://uldsh.de/tb39-4-56a

In der schriftlichen Anhörung zum Gesetzentwurf für das Landeskrankenhausgesetz erneuerte das ULD seine Hinweise zur notwendigen Anpassung einzelner Vorschriften im Abschnitt zum Patientendatenschutz und konkretisierte die darauf beruhenden Ausführungen (§§ 35-40 des Gesetzentwurfs). Die Stellungnahme ist abrufbar unter:

https://www.landtag.ltsh.de/infothek/wahl19/umdrucke/04100/umdruck-19-04175.pdf
Kurzlink: https://uldsh.de/tb39-4-56b

Maßgeblich waren insbesondere folgende Punkte:

  • Daten von „Angehörigen oder anderen Bezugspersonen der Patientinnen und Patienten sowie sonstiger Dritter“ zählen nicht zu den Patientendaten. Es bleibt offen, wer zu den „sonstigen Dritten“ gehört. Patientendaten beziehen sich vielmehr auf Anamnesen, Diagnosen, Untersuchungen, Befunde, Therapien und ihre Wirkungen, Eingriffe und ihre Wirkungen, Einwilligungen und Aufklärungen. Besucherlisten, insbesondere Angaben zu Angehörigen, zählen nicht zu dieser Dokumentation. Ferner ist auch nicht zu rechtfertigen, patientenfremde Angaben der langen Aufbewahrungsfrist für Patientendaten zu unterwerfen.
  • Vorgesehen ist eine Verarbeitung von Patientendaten „zur Überprüfung der Tätigkeit der Mitarbeiterinnen und Mitarbeiter des Krankenhauses“. Das ULD empfahl nachdrücklich die Streichung dieser Norm, zumal für Krankenhäuser in privatrechtlicher Organisationsform vorrangig Bundesrecht zu beachten ist (§ 26 BDSG). Weder für den Medizinischen Dienst der Krankenversicherung (MDK) noch für die Krankenhäuser in ihrer Funktion als Arbeitgeber ist eine Bestimmung erforderlich, um eine Datenverarbeitung „zur Überprüfung von Mitarbeiterinnen und Mitarbeitern“ zu regeln. Für Prüfungen des MDK und Mitwirkungspflichten der Arbeitgeber bestehen vorrangige bundesrechtliche Bestimmungen (§§ 275a, 276 SGB V).
  • Der Gesetzentwurf legitimiert ohne weitere Voraussetzungen eine Verarbeitung pseudonymisierter Daten, soweit eine Verarbeitung von Patientendaten nicht erforderlich sein sollte. Nicht berücksichtigt wird dabei, dass es sich nach den vorrangigen europäischen Vorgaben der DSGVO bei pseudonymisierten Daten auch um personenbezogene Daten handelt, deren Verarbeitung einer Rechtsgrundlage bedarf. Daher bat das ULD auch hier um Streichung der entsprechenden Formulierung.
  • Nach Abschluss der Behandlung sollen personenbezogene Daten der Patientinnen und Patienten dem alleinigen Zugriff der „jeweiligen Fachabteilung“ unterliegen. Der Gesetzentwurf gibt keinen Aufschluss darüber, welcher konkrete Bereich und Personenkreis mit einer „Fachabteilung“ gemeint ist. Unberücksichtigt bleiben dabei auch die unter den deutschen Datenschutzaufsichtsbehörden abgestimmten und bewährten Grundsätze in der Orientierungshilfe Krankenhausinformationssysteme“ (OH KIS).

„Orientierungshilfe Krankenhausinformationssysteme“:

https://www.datenschutzzentrum.de/uploads/medizin/OH_KIS.pdf
Kurzlink: https://uldsh.de/tb39-4-56c

Leider hat der Gesetzgeber die obigen Hinweise bei der Schaffung des Landeskrankenhausgesetzes nicht berücksichtigt (GVOBl. Schl.-H., Nr. 22 vom 23.12.2020, Seite 1.004 ff.). Dabei gab das ULD bereits in seiner damaligen Stellungnahme zu bedenken, dass der vorliegende Gesetzentwurf im Falle der Beschließung und Beibehaltung der zur Streichung empfohlenen Passagen zu gewichtigen Problemen in der Anwendungspraxis führen kann.

Was ist zu tun?
Der aufgezeigte Änderungsbedarf sollte bei einer späteren Novellierung des Landeskrankenhausgesetzes bedacht werden.

 

4.5.7       Änderung des Maßregelvollzugsgesetzes: Nachbesserung durch den Landtag

Im letzten Tätigkeitsbericht hatten wir über den Gesetzentwurf zur Änderung des Maßregelvollzugsgesetzes berichtet (38. TB, Tz. 4.5.7). Mittlerweile hat der Landtag das Gesetz beschlossen. Nach Durchführung einer Sachverständigenanhörung im Sozialausschuss, an der wir uns beteiligt haben, hat der Landtag zahlreiche Änderungen an der Gesetzesvorlage vorgenommen. Damit hat er den von uns aufgezeigten Änderungsbedarf in weiten Teilen umgesetzt.

Unter anderem sind die Vorschriften über den Einsatz von Videotechnik zur Beobachtung bestimmter Bereiche in der Maßregelvollzugseinrichtung deutlich verbessert worden. Hier hat der Landtag unsere Empfehlung aufgegriffen und die Regelung an die des Justizvollzugsdatenschutzgesetzes angeglichen.

Nicht geändert wurde dagegen die Regelung zum Auskunftsanspruch in § 43 des Maßregelvollzugsgesetzes (MVollzG). Wie bereits im 38. Tätigkeitsbericht erläutert, greift die Vorschrift für eine Umsetzung des europarechtlichen Auskunftsanspruchs der betroffenen Personen zu kurz. Die Vorschrift ist allerdings so weit gefasst, dass sie als allgemeine Regelung zur Akteneinsicht verstanden werden kann, die keine gegenüber dem Landesdatenschutzgesetz vorrangige Regelung zum Auskunftsanspruch betroffener Personen nach dem Datenschutzrecht trifft. Geregelt werden in § 43 MVollzG Auskunfts- und Akteneinsichtsrechte nicht nur der betroffenen Personen. Festgelegt werden Akteneinsichtsrechte der Verteidiger von Untergebrachten und des Europäischen Ausschusses zur Verhütung von Folter und unmenschlicher oder erniedrigender Behandlung oder Strafe (CPT), des Unterausschusses der Vereinten Nationen zur Prävention von Folter (SPT) sowie der Nationalen Stelle zur Verhütung von Folter. Bei diesen Rechten handelt es sich nicht um Datenschutzrechte. Es geht vielmehr um die Verfahrensrechte der Untergebrachten und um Kontrollrechte der Antifolterstellen. Ein Bezug zum Datenschutzrecht ergibt sich nur aus dem Standort der Vorschrift im dritten Teil des Gesetzes, der dem Datenschutz gewidmet ist. Da in der Vorschrift aber Sachverhalte geregelt werden, die nicht dem Datenschutzrecht zuzuordnen sind, ist dem Standort keine besondere Bedeutung zuzumessen.

Im Ergebnis lässt sich die Vorschrift europarechtskonform dahin gehend auslegen, dass sie verfahrensrechtliche Ansprüche der betroffenen Personen regelt, jedoch keine oder zumindest keine abschließende Regelung über deren datenschutzrechtlichen Auskunftsanspruch trifft. Dieser ergibt sich vielmehr aus dem allgemeinen Datenschutzrecht. Eine solche Auslegung ist mit der Systematik des Maßregelvollzugsgesetzes vereinbar und stellt eine europarechtskonforme Anwendung des Landesrechts sicher. Das bedeutet: Das Auskunftsrecht des Datenschutzrechts können (selbstverständlich) auch untergebrachte Personen in Anspruch nehmen.

 

4.5.8       Datenpannen im Medizinbereich

Bei einer Datenpanne hat der Verantwortliche die Pflicht, diese Datenschutzverletzung möglichst innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Neben Angaben dazu, wie es zu der Datenpanne kommen konnte, muss geschildert werden, in welchem Umfang welche Daten und wie viele Personen betroffen sind. Zudem müssen die wahrscheinlichen Folgen der Datenschutzverletzung ebenso wie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und zur Abmilderung der möglichen nachteiligen Auswirkungen für die betroffenen Personen beschrieben werden. Nicht fehlen dürfen Angaben zum Datenschutzbeauftragten. Im letzten Berichtsjahr erreichten uns aus unterschiedlichsten medizinischen Praxen und Krankenhäusern eine Vielzahl von Meldungen. Jetzt gilt es, aus diesen Fehlern zu lernen und Sorge zu tragen, dass dies nicht erneut passieren kann.

 

4.5.9       Gemeldete Datenpannen: Fehlversand von Patientenunterlagen

Der Fehlversand von Patientenunterlagen stellt eine der häufigsten Ursachen für eine Datenschutzverletzung dar. Hier einige Beispiele:

  • Bei dem Versand per Fax vertippt sich die Mitarbeiterin oder der Mitarbeiter, wählt die falsche Kurzwahlnummer oder verwendet eine veraltete Faxnummer.
  • Beim Postversand wird eine falsche Anschrift verwendet. Schon die Angabe einer falschen Hausnummer kann dazu führen, dass der Brief im falschen Briefkasten landet.
  • Wenn zu viele Postausgänge auf einmal bearbeitet werden, kommt es zu Überkreuzverwechslungen oder Unterlagen von zwei verschiedenen Patientinnen oder Patienten landen in einem Briefumschlag.
  • Werden Unterlagen persönlich ausgehändigt, kann es zu Verwechslungen kommen. Patientinnen oder Patienten erhalten Unterlagen anderer behandelter Personen.
  • Newsletter oder Informationsschreiben werden per offenem E-Mail-Verteiler versandt. So erhalten die Adressatinnen und Adressaten Kenntnis von der Identität anderer Empfängerinnen oder Empfänger/Patientinnen oder Patienten.
  • Bei elektronischen Patientenakten kann die Vergabe eines falschen Zugangscodes dazu führen, dass Unbefugte Zugang zu fremden Patientendaten erhalten.

Was ist zu tun?
Patientendaten sind besonders sensibel. Verantwortliche müssen daher auch bei dem Versand von Patientenunterlagen sorgfältig darauf achten, dass diese nicht aus Versehen in falsche Hände geraten.

 

4.5.10    Gemeldete Datenpannen: Diebstahl, Einbruch, Hackerangriff in der Arztpraxis

Nicht immer liegt die Ursache für eine Datenpanne in einem vorsätzlichen Fehlverhalten des Verantwortlichen. So manches Unheil droht auch von außen. Es ist erschreckend, in wie vielen Fällen uns im letzten Jahr von Einbrüchen, Diebstählen oder Hackerangriffen berichtet wurde, von denen auch Patientendaten betroffen waren. Hier einige Beispiele:

  • Einbruch in der Arztpraxis: Gestohlen wurde u. a. ein Laptop mit Patientendaten. Leider waren die Daten auf dem Laptop nicht verschlüsselt.
  • Einbruch und Vandalismus in einer anderen Arztpraxis: Gestohlen wurde nichts. Aber die Praxisräume wurden verwüstet. Unter anderem wurden die Aktenschränke aufgebrochen und die darin befindlichen Patientenakten herausgerissen. Zwar fehlte keine Akte, aber ob die Täter einige Akten gelesen oder gar fotografiert haben, ließ sich nicht feststellen.
  • Während des normalen Praxisbetriebs wurden EKG-Geräte gestohlen. Besonders ärgerlich, weil auf den gestohlenen Geräten noch die Daten und Messwerte von Patientinnen und Patienten gespeichert waren.
  • Ambulante Pflegedienste müssen Patientenunterlagen mit dem Auto transportieren. Doppelt ärgerlich ist es, wenn so ein Fahrzeug aufgebrochen oder gestohlen wird und der Dieb darin Patientenunterlagen findet.
  • Ein weiterer Dauerbrenner waren auch im letzten Jahr Angriffe auf die IT von Arztpraxen mit sogenannten Verschlüsselungstrojanern (38. TB, Tz. 6.3.4). Verschlüsselungstrojaner haben zwar (zunächst) nicht das Ziel, Patientendaten auszuspionieren, auszuschließen ist dies jedoch nicht.

Was ist zu tun?
Ein ausreichender Einbruchschutz muss für Arztpraxen genauso selbstverständlich sein wie die erforderlichen Maßnahmen zur IT-Sicherheit.


4.5.11    Dumm gelaufen – noch mehr Datenpannen

Es gibt Datenpannen, da muss auch der erfahrenste Datenschützer schmunzeln. Andererseits gibt es auch Datenpannen, die einen fassungslos machen. Beispiele gefällig?

  • Endlich Feierabend in der Arztpraxis. Eine Mitarbeiterin wird gebeten, auf dem Heimweg noch schnell die Briefe zur Post zu bringen. Wer kennt es nicht? Man steht vor seinem Auto, hat die Hände voll und der Autoschlüssel ist ganz unten in der Tasche. Schnell die Briefe aufs Autodach gelegt, aufgeschlossen, eingestiegen und losgefahren. Da war doch noch was? Richtig … die Post auf dem Autodach. Zu spät. Nicht alle Briefe wurden trotz intensiver Suche gefunden. Dumm gelaufen.
  • Die Ex-Frau wird im Krankenhaus behandelt und der Ex-Mann arbeitet in dem gleichen Krankenhaus als Physiotherapeut. So kann er – obwohl er nicht in die Behandlung seiner Ex-Frau eingebunden ist – die Patientenakte seiner Ex-Frau lesen. Die Dinge, die er auf diese Weise erfährt, nutzt er für den Streit um das Sorgerecht für das gemeinsame Kind. Erst als das bekannt wird, reagiert das Krankenhaus und überprüft die Leserechte von Physiotherapeuten (38. TB, Tz. 4.5.13). Und weil ihm das Krankenhaus fristlos kündigte, wurde aus dem Ex-Mann nun auch ein Ex-Mitarbeiter.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel