4.5 Schutz des Patientengehimnisses
4.5.1 Zulässigkeit der Erhebung von Patientendaten per Corona-Fragebögen in Zahnarztpraxen
Auch in Schleswig-Holstein haben im letzten Jahr einzelne Zahnarztpraxen von Patientinnen und Patienten verlangt, dass diese einen sogenannten Corona-Fragebogen ausfüllen. Patienten sollte u. a. angeben, ob sie aktuell unter Symptomen wie Fieber, Atemproblemen, Kopfschmerzen, Übelkeit/Erbrechen, Durchfall, Husten, Muskel- und Gelenkschmerzen, Halsschmerzen oder Schnupfen leiden. Auch nach Vorerkrankungen wurde gefragt.
Sind dies zulässige Fragen in einer Zahnarztpraxis? Es kommt darauf an, warum gefragt wird. Außerdem hat sich die Rechtslage im Laufe des Berichtsjahrs geändert: Für den vorgetragenen Sachverhalt war die Rechtslage vor der Änderung des Infektionsschutzgesetzes vom 23.11.2021 maßgeblich.
Bei den abgefragten Daten zu möglicherweise vorliegenden Symptomen und zu etwaigen Vorerkrankungen handelt es sich um Gesundheitsdaten, mithin um besondere Kategorien von personenbezogenen Daten. Die Verarbeitung dieser Daten ist nur zulässig, wenn hierfür eine ausreichende Befugnis vorliegt, die sich insbesondere aus einer Rechtsvorschrift oder der Einwilligung der betroffenen Person ergeben kann. Eine Zahnarztpraxis ist auf der Grundlage des Behandlungsverhältnisses befugt, von den Patientinnen und Patienten die Daten zu erheben, die für die medizinische Diagnose oder für die Versorgung oder Behandlung erforderlich sind (Art. 9 Abs. 2 Buchstabe h DSGVO bzw. § 22 Abs. 1 Nr. 1 Buchstabe b BDSG).
Die Verwendung derartiger Corona-Fragebögen bzw. die damit verbundene Erhebung und Speicherung von Gesundheitsdaten ist dann zulässig, wenn dies im Rahmen der Anamnese erfolgt und die Daten zur Durchführung der zahnmedizinischen Behandlung erforderlich sind. Dieser Einschätzung wurde auch von der Zahnärztekammer Schleswig-Holstein (und von der ebenfalls befragten Ärztekammer Schleswig-Holstein) nicht widersprochen.
Nicht zulässig war es allerdings, die umfangreichen Datensammlungen mit derartigen Fragebögen auf die Landesverordnung zur Bekämpfung des Coronavirus SARS-CoV-2 zu stützen. In diesen Fällen teilten wir den Zahnarztpraxen mit, dass die Erhebung und Speicherung von Gesundheitsdaten zumindest in dem beabsichtigten Umfang unzulässig war. Bereits gesammelte Daten waren zu löschen; die geprüften Zahnarztpraxen sahen nach unserem Hinweis von der Verwendung derartiger Corona-Fragebögen ab.
Was ist zu tun?
(Zahn-)ärztinnen und -ärzte müssen beachten, dass im Rahmen eines Arzt-Patienten-Verhältnisses die Erhebung und Speicherung von Gesundheitsdaten erfolgen darf, soweit dies für die medizinische Diagnose oder für die Versorgung oder Behandlung der Patientin oder des Patienten erforderlich ist.
4.5.2 (Keine) Kopie von Ausweisdaten durch Apotheken bei Abgabe von FFP-Masken
Ab dem 1. Januar 2021 konnten Bürgerinnen und Bürger, die das 60. Lebensjahr vollendet hatten oder bei denen eine bestimmte Vorerkrankung bzw. ein Risikofaktor vorlag, in einer Apotheke kostenfreie Schutzmasken erhalten. So stand es in der Verordnung zum Anspruch von Schutzmasken zur Vermeidung einer Infektion mit dem Coronavirus SARSCoV2 (Coronavirus-Schutzmasken-Verordnung – SchutzmV) vom 14.12.2020. Diese Maßnahme sollte einfach und unkompliziert dazu beitragen, die Coronapandemie in den Griff zu bekommen.
In den Apotheken herrschte nicht nur ein großer Andrang, sondern auch große Unsicherheit, ob bzw. wie die Abgabe der Schutzmasken zu dokumentieren ist. Schließlich galt es doch, eine unberechtigte Mehrfachabgabe von Schutzmasken zu verhindern, oder etwa nicht?
Einige Apothekerinnen und Apotheker wollten sichergehen, notierten daher den Namen und die Anschrift ihrer Kunden und ließen diese den Erhalt der kostenfreien Schutzmasken in einer Kundenliste mit Unterschrift bestätigen. Andere Apothekerinnen und Apotheker kopierten sogar die vorgelegten Personalausweise. Diese Datensammelei gefiel nicht jedem Kunden, aber wer sich weigerte, bekam keine Schutzmasken.
Wir haben darauf hingewiesen, dass die Coronavirus-Schutzmasken-Verordnung keine rechtliche Verpflichtung – und auch keine Erlaubnis – für die Apotheken vorsah, durch die Speicherung von Kundendaten oder durch das Kopieren von Personalausweisen eine missbräuchliche Mehrfachabgabe von Schutzmasken zu verhindern. Wie hätte auch eine Kundenliste oder die Kopie eines Personalausweises schon helfen können? Schließlich konnten und durften die Daten der einzelnen Apotheken nicht untereinander abgeglichen werden.
Die von uns in Schleswig-Holstein kontaktierten Apotheken handelten unverzüglich: Bereits erfasste Kundendaten wurden gelöscht. Die Kundenlisten und Kopien von Personalausweisen wurden vernichtet.
4.5.3 Telefax in Arztpraxen noch möglich?
Patientendaten unterliegen der ärztlichen Schweigepflicht und aufgrund ihrer Sensibilität als besondere Kategorien personenbezogener Daten (Gesundheitsdaten) einem hohen Schutzbedarf. Im Berichtsjahr wurde bundesweit diskutiert, ob Patientendaten per Fax übermittelt werden dürfen. Zu oft liest man schließlich von Datenpannen aufgrund einer fehlerhaften Faxübertragung.
Basierend auf der Veröffentlichung des Landesbeauftragten für den Datenschutz bei der Präsidentin des Schleswig-Holsteinischen Landtages vom 17.07.1991 zur „Datensicherheit bei der Benutzung des Telefaxes-Dienstes der Deutschen Bundespost“ haben wir die Übermittlung von besonderen Kategorien personenbezogener Daten, die einer berufsrechtlichen Schweigepflicht unterliegen, per Fax beim Vorliegen folgender Voraussetzungen bislang als zulässig betrachtet:
- Es wird ein Dienstleister genutzt, auf den die Vorschriften zum „Postgeheimnis“ (hier: Telekommunikationsgeheimnis) Anwendung finden.
- Der Versender ist sich bewusst, dass er nicht nur die Verantwortung für das Sendegerät, sondern zumindest zum Teil auch für das Empfangsgerät trägt. Die Verantwortung endet nicht mit dem Versenden, sondern erst, wenn der beabsichtigte Empfänger die Sendung entgegennimmt.
- Der Versender muss vor dem Versand des Faxes sicherstellen, dass er die zutreffende, richtige und aktuelle Faxnummer des Empfängers hat.
- Der Versender versichert sich vor dem Versand, dass es bei der Eingabe der Fax-Nummer nicht zu einem Fehler gekommen ist.
- Der Versender des Faxes muss sich vor dem Versand des Faxes vergewissern, dass ausschließlich der gewünschte Empfänger das Fax entgegennimmt bzw. nur befugte Personen Zugang zu dem Faxgerät haben. Soweit erforderlich, ist insoweit die Versendung eines Faxes vorab telefonisch bei dem Empfänger anzukündigen.
Bereits im Rahmen unserer gemeinsam mit der Ärztekammer und der Zahnärztekammer durchgeführten Aktion „Datenschutz in meiner Arztpraxis“ wurde den Leistungserbringern geraten, im Gesundheitsbereich Patientendaten nur in begründeten Ausnahmefällen und unter Beachtung der zuvor aufgezeigten Kriterien per Fax zu übermitteln. Ein Ausnahmefall könnte sich durch eine Eilbedürftigkeit ergeben, wenn keine anderen, sicheren Kommunikationswege genutzt werden können.
Auch der Umstand, dass ein Faxversand häufig unverschlüsselt (wie bei der analogen Telefonie) erfolgt (siehe auch Tz. 10.2), war Gegenstand der Erörterung zwischen den Aufsichtsbehörden. Mit der verschlüsselten Übertragung von Gesundheitsdaten kann ein angemessener Schutz erreicht werden. Aus technischer Sicht stellt sich jedoch die Frage, was unter einem „verschlüsselten Fax“ zu verstehen ist. Nach unserer Einschätzung dürfte eine Verschlüsselung von Faxen zwischen beliebigen Faxgeräten allenfalls möglich sein, wenn ein Fax in eine EMail oder eine E-Mail in ein Fax umgewandelt werden kann.
Derzeit werten wir eine unverschlüsselte Faxkommunikation zwischen Leistungserbringern im Medizinbereich nicht pauschal und grundsätzlich als Verstoß gegen die Vorgaben des Art. 32 Abs. 1 DSGVO, sondern es erfolgt eine Einzelfallprüfung (siehe auch Tz. 10).
Was ist zu tun?
Bevor Patientendaten per (unverschlüsseltem) Fax versandt werden, ist zu prüfen, ob nicht ein anderer, sicherer Weg der Übermittlung möglich ist. Auch bei dem Versand von Patientendaten müssen durch entsprechende Vorkehrungen die Integrität und Vertraulichkeit der Verarbeitung personenbezogener Daten sichergestellt werden.
4.5.4 Bußgelder bei unsachgemäßem Umgang mit Gesundheitsdaten
Im Berichtszeitraum haben wir mehrere Bußgelder wegen eines unsachgemäßen Umgangs mit Patientendaten verhängt:
- In einem Fall wurden im Zuge der Aufgabe einer Arztpraxis die vorhandenen Patientenunterlagen einer Arztpraxis in Altpapiercontainern entsorgt, die zu einem von mehreren Praxen genutzten Geschäftsgebäude gehörten.
- In einem anderen Fall hatte eine Ärztin ihre Arztpraxis in ihrem Wohngebäude betrieben und die Patientenunterlagen auf ihrem Grundstück in einem offenen Carport und in einem nicht abgeschlossenen Schuppen gelagert.
In beiden Fällen entsprach der Umgang mit den Patientendaten nicht den Anforderungen der DSGVO an die Sicherheit der Daten. Gerade Gesundheitsdaten als besondere Kategorien personenbezogener Daten haben einen hohen Schutzbedarf. In beiden Fällen waren die Daten nicht gegen einen Zugriff durch Unbefugte gesichert. Im Fall der Aktenentsorgung im Altpapiercontainer bestand nicht nur ein abstraktes Risiko eines unbefugten Zugriffs, sondern es hat tatsächlich jemand in die Akten im ungesicherten Container geschaut – und dann die Polizei hierüber informiert.
- In einem dritten Fall hat ein Mitarbeiter eines Testzentrums für Corona-Schnelltests die Telefonnummer einer Testperson genutzt, um dieser abends nach dem Test privat eine Nachricht per Messenger zu schicken. Die Empfängerin der Nachricht hat sich daraufhin umgehend an die Polizei gewandt und Strafanzeige gestellt, weil sie mit der Kontaktaufnahme nicht einverstanden war. Eine Straftat lag zwar nicht vor, sodass die Polizei den Vorgang an uns abgegeben hat. Die zweckfremde, missbräuchliche Nutzung der Kontaktdaten stellte jedoch eine Ordnungswidrigkeit dar. Aus unserer Sicht war die Verhängung einer Geldbuße geboten, da das Vertrauen der getesteten Person in den sorgfältigen Umgang mit ihren Daten besonders gestört worden war.
Gesundheitsdaten sind besonders sensibel, weshalb für die Verantwortlichen auch besonders hohe Anforderungen an die Wahrung der Vertraulichkeit gelten. Verstöße hiergegen können das notwendige Vertrauen in das Gesundheitssystem empfindlich stören. Aus diesen Gründen ahnden wir solche Verstöße regelmäßig mit einem Bußgeld.
Was ist zu tun?
Beim Umgang mit Gesundheitsdaten ist besonders sorgfältig darauf zu achten, dass die Vertraulichkeit gewahrt wird. Bei Verstößen drohen Bußgelder.
4.5.5 Datenpannen im Medizinbereich: immer wieder Fehlversand von Patientenunterlagen
Schon im Vorjahr berichteten wir darüber, dass der Fehlversand von Patientenunterlagen eine der häufigsten Ursachen für eine Datenschutzverletzung darstellt (39. TB, Tz. 4.5.9). Dies hat sich leider nicht geändert.
Im Berichtsjahr 2021 lag in über 45 Prozent der Meldungen im medizinischen Bereich die Ursache der Datenschutzverletzung darin, dass Patientenunterlagen an falsche Personen versandt oder ausgehändigt wurden. Fast immer waren es individuelle Fehler einzelner Mitarbeiterinnen oder Mitarbeiter. So wurden beispielsweise bei der administrativen Aufnahme in eine medizinische Einrichtung falsche oder unvollständige Anschriften aufgenommen. Häufiger lag es jedoch daran, dass Beschäftigte beim Versand von Unterlagen die Adressdaten anderer Patientinnen oder Patienten verwendeten, was insbesondere immer dann geschah, wenn Beschäftigte mehrere Patientenfälle gleichzeitig bearbeiten mussten. Erschreckend häufig wurden Patientinnen und Patienten vor Ort verwechselt, was dazu führte, dass gerade in Stresssituationen Rezepte, Atteste oder Arztberichte an falsche Personen ausgehändigt wurden. Ein Fehlversand bzw. die Aushändigung von Patientenunterlagen an Unbefugte ist keine Kleinigkeit und kann schlimme Folgen für die betroffenen Personen haben.
Erfreulich ist, dass der Fehlversand von Patientenunterlagen per Fax nicht mehr so häufig vorkommt. Offenbar haben auch Arztpraxen erkannt, wie schnell eine falsche Faxnummer eingetippt ist und dass es sichere Alternativen zum Faxversand gibt (siehe hierzu auch Tz. 4.5.3 und Tz. 10.2)
Was ist zu tun?
Verantwortliche müssen prüfen, ob ihre Beschäftigten, die für den Versand oder die Aushändigung von Patientenunterlagen zuständig sind, überlastet, überfordert oder nicht ausreichend geschult sind. Bei einem Fehlversand von Patientenunterlagen muss der Verantwortliche unverzüglich Kontakt mit dem unbeabsichtigten Empfänger aufnehmen und mit diesem die Rückgabe oder die datenschutzgerechte Löschung der Unterlagen vereinbaren. Die Meldung der Datenschutzverletzung an die zuständige Aufsichtsbehörde ist eine gesetzliche Pflicht.
4.5.6 Verspätete Meldung einer Fehlversendung von Impfhinweisen durch das MSGJFS
Informationen zur Terminvergabe für die Corona-Schutzimpfung in den Impfzentren kann man von dem Ministerium für Soziales, Gesundheit, Jugend, Familie und Senioren des Landes Schleswig-Holstein (MSGJFS) erhalten. Und es haben viele, sehr viele Leute das Ministerium per E-Mail um Informationen gebeten.
Ein Mitarbeiter des Ministeriums wollte sich die Arbeit anscheinend etwas leichter machen. Anstelle jedem Anfragenden einzeln zu antworten, fasste er die gewünschten Informationen in einer Antwort zusammen und sandte dann diesen Antworttext per E-Mail-Verteiler zeitgleich an 390 Anfragende. Leider setzte er die E-Mail-Adressen dieser Anfragenden nicht in „BCC“, sondern in „CC“. Somit konnte jeder Empfänger die EMail-Adressen der anderen Anfragenden lesen, speichern und verwenden. Das gab Ärger und viele Beschwerden. Zu Recht, wie auch das Ministerium schnell erkannte.
Drei Tage später wurde ein anderer Mitarbeiter gebeten, uns als Aufsichtsbehörde „nicht nur eine Mitteilung zum Vorfall zu übermitteln, sondern auch ein formelles Verfahren einzuleiten und zu begleiten“. Dieser Mitarbeiter schickte uns daraufhin eine kurze E-Mail. Eine formelle Meldung der Verletzung des Schutzes personenbezogener Daten mit dem gesetzlich vorgesehenen Inhalt – wie in Artikel 33 DSGVO aufgeführt – blieb jedoch aus. Wir mussten ein Verwaltungsverfahren der Datenschutzaufsicht einleiten. Das Ministerium räumte ein, dass aufgrund einer innerbehördlichen Kommunikationspanne erst nach unserer Aufforderung eine formale, vollständige Meldung erfolgte.
Das Ministerium wurde nicht nur wegen der Verwendung des „offenen E-Mail-Verteilers“ verwarnt, sondern auch, weil die Meldung der Datenschutzverletzung nicht innerhalb der gesetzlich vorgesehenen Meldefrist erfolgte. Interne Kommunikationsprobleme oder das Hin- und Herschieben von Verantwortlichkeiten stellen keine Entschuldigung dar.
Ein Formular für die Meldung einer Verletzung des Schutzes personenbezogener Daten steht unter dem folgenden Link zur Verfügung:
https://www.datenschutzzentrum.de/meldungen/
Was ist zu tun?
Eine Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Datenschutzverletzung bekannt wurde, der Aufsichtsbehörde melden. Interne Verfahrensvorgaben für die Beschäftigten müssen sicherstellen, dass es nicht zu innerbehördlichen Kommunikationspannen kommen kann. Dem Datenschutzbeauftragten obliegt es, die Einhaltung der datenschutzrechtlichen Pflichten zu überwachen und den Verantwortlichen zu unterstützen.
4.5.7 Fehlende Mandantentrennung im Krankenhausinformationssystem (KIS)
Da staunte ein Patient zu Recht, als er in seiner Arztpraxis auf seinen Termin in einer psychiatrischen Klinik angesprochen wurde. Er selbst hatte gar nichts erzählt. Woher wusste die Sprechstundenhilfe dieses Arztes von seinem sensiblen Termin? Für den Patienten war dies eine unangenehme und peinliche Situation, die zu einer Beschwerde bei uns führte.
Auf Nachfrage wurde uns mitgeteilt, dass das Medizinische Versorgungszentrum (MVZ), zu dem auch die aufgesuchte Arztpraxis gehörte, gemeinsam mit diversen Kliniken für die Verarbeitung der Patientendaten ein Krankenhausinformationssystem (KIS) nutzt. Dieses KIS sah gleich zwei Funktionen vor, in denen Patiententermine eingetragen werden konnten. In diese Terminkalender wurden u. a. Patientenname, Termindatum, Terminkategorie und die Dauer der Anwesenheit gespeichert. Zudem war ein Bemerkungsfeld für Freitexteingaben vorgesehen. Es gab keine Einschränkung des Leserechts, keine Mandantentrennung. Auf diese Weise – quasi mit Blick in einen übergreifenden Terminkalender – hatte also die Sprechstundenhilfe des Arztes von dem Termin des Patienten in der psychiatrischen Klinik erfahren.
Erschwerend kam hinzu, dass in diesem gemeinsam genutzten Terminkalender seit 2014 alle Termine erfasst und niemals gelöscht worden waren. Auch die in dem Datenfeld „Bemerkungen“ notierten und zum Teil sehr detaillierten Ausführungen zu einem Termin (Diagnosen, Behandlungsnotwendigkeit, persönliche Anmerkungen usw.) waren noch da. Enthalten war also eine umfassende Übersicht aller Termine der letzten sieben Jahre. Zwar wurde protokolliert, wer sich diese Daten angeschaut hat, aber eine Auswertung dieser Protokolldaten funktionierte nicht.
In der „Orientierungshilfe Krankenhausinformationssysteme“ der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder steht, was zu beachten ist, wenn Krankenhäuser und Medizinische Versorgungszentren ein Krankenhausinformationssystem gemeinsam nutzen. Besonders wichtig ist die Mandantentrennung: Beschäftigte eines Krankenhauses (Mandant Nr. 1) dürfen nicht unbefugt auf Patientendaten eines anderen Krankenhauses (Mandant Nr. 2) oder des MVZ (Mandant Nr. 3) zugreifen können. Diese Vorgaben waren nicht beachtet worden. Der Patient hatte auch nicht seine Einwilligung dafür erklärt, dass Beschäftigte der Arztpraxen des MVZ und der vielen Kliniken bereichsübergreifend seine Termine sehen konnten.
https://www.datenschutzzentrum.de/plugin/tag/klinik
Kurzlink: https://uldsh.de/tb40-4-5-7
Gemeinsam mit den Verantwortlichen wurde vereinbart, dass diese Terminkalender abgeschaltet und die gespeicherten Daten umgehend gelöscht werden. Zukünftig sollen Mitarbeiterinnen und Mitarbeiter nur noch den Hinweis „Terminkollision“ erhalten, wenn ein Termin bereits anderweitig belegt ist.
Aus dieser Information darf aber nicht ersichtlich sein, wo bzw. wer den Termin bereits vergeben hat und ob es sich etwa um einen Behandlungstermin, einen Gesprächstermin für die Klärung einer Kostenfrage oder einen Besuchstermin handelt. Diese Lösung hat zudem den Vorteil, dass es keiner zusätzlichen Einwilligung der Patienten bedarf.
4.5.8 Einbruch / Diebstahl / Hackerangriff in der Arztpraxis
Bereits im letzten Tätigkeitsbericht schilderten wir, dass so manches Unheil von außen droht (siehe 39. TB, Tz. 4.5.10). Auch diesmal müssen wir über verschiedene Fälle berichten.
´ In einer gynäkologischen Praxis wurden normalerweise alle Patientenunterlagen in verschlossenen Schränken verwahrt. Da jedoch am nächsten Tag der Umzug in die neuen Praxisräume erfolgen sollte, wurde ein Teil der Karteikarten für den Umzug in Kartons verpackt und über Nacht im Flur verwahrt. Ärgerlich, dass gerade in dieser Nacht vor dem Umzug in die Praxis eingebrochen wurde. Soweit man feststellen konnte, wurden keine Unterlagen gestohlen. Ob die Einbrecher Patientenakten gelesen oder Fotos gemacht haben, konnte aber nicht ausgeschlossen werden.
- Aus einer logopädischen Praxis wurden drei Notebooks und ein iPad gestohlen, die u. a. für die Erstellung von Therapieberichten verwendet wurden. Die Praxis versicherte zwar, dass auf diesen Geräten keine Patientendaten gespeichert waren. Aber auch in diesem Fall wurde von der Praxis eingeräumt, dass nicht auszuschließen sei, dass die Einbrecher Patientenakten gelesen oder Fotos gemacht haben.
- In einem weiteren Fall meldete eine Hausarztpraxis, dass ein vermeintlich defekter und daher bereits ersetzter Server der Arztpraxis gestohlen wurde. Betroffen von der Datenschutzverletzung wären die Daten von ca. 40.000 Patienten. Die Daten waren nicht verschlüsselt. Auf Nachfrage erklärte die Praxis, dass der Server im Oktober 2019 ausgetauscht, jedoch nicht fachgerecht von dem beauftragten IT-Dienstleister entsorgt wurde. Der Server stand zwei Jahre unbemerkt in der Praxis herum. Besonders heikel war, dass als Diebe offenbar nur Mitarbeiter der Praxis oder des Dienstleisters infrage kamen. Die Polizei ermittelt noch.
- In einer Vielzahl von Fällen berichteten Arztpraxen von Hackerangriffen. Wir erhielten Meldungen mit Überschriften wie „Emotet-Angriff“, „Ransomware-Angriff“, „Sicherheitsproblem Microsoft Exchange Server – Hafnium Exchange-Lücke!“, „Schadstoffware auf Praxisserver“ oder „Hacking-Angriff auf die Telefonanlage“. Nicht jeder Angriff führte zu einem Verlust der Vertraulichkeit von Patientendaten. Aber es zeigt, dass der Technikeinsatz für die Verarbeitung personenbezogener Daten Angriffsfläche für Angriffe aus dem Netz bietet. In allen Fällen haben wir versucht zu helfen.
Fast alle diese Fälle haben gemeinsam, dass die Patientendaten bzw. die Kenntnisnahme von Patientendaten nicht das eigentliche Ziel der Einbrecher oder Hacker waren. Das ändert aber nichts daran, dass das Patientengeheimnis gleichwohl in jeder der geschilderten Situationen in großer Gefahr war.
Was ist zu tun?
Es gilt weiterhin, dass ein ausreichender Einbruchschutz für Arztpraxen genauso selbstverständlich sein muss wie die erforderlichen Maßnahmen zur digitalen Informationssicherheit.
4.5.9 Freiwilliges Soziales Jahr (FSJ) im Krankenhaus contra ärztliche Schweigepflicht?
Die folgende Meldung einer Klinik über eine Datenschutzverletzung zeigt, wie schnell ein menschliches Fehlverhalten einzelner Beschäftigter schlimme Folgen für die Betroffenen haben kann: Eine Mitarbeiterin hatte unbefugt Informationen über eine Operation einer Patientin (die zudem selbst Beschäftigte der Klinik war) an unberechtigte Dritte (weitere Beschäftigte der Klinik) weitergegeben. Die betroffene Patientin war für diese Operation – einen Schwangerschaftsabbruch – stationär aufgenommen worden. Auf unsere Nachfrage wurde uns erklärt, dass es sich bei allen Beteiligten um Beschäftigte im Rahmen eines Freiwilligen Sozialen Jahres (FSJ) handelt. Man kannte einander und nun wurde fleißig getratscht. So machte die ungewollte Schwangerschaft im Wohnheim die Runde – sicherlich keine schöne Situation für die betroffene Person.
Als die Patientin hiervon erfuhr, wandte sie sich zunächst Hilfe suchend an die direkten Vorgesetzten. Diese empfahlen ihr ein klärendes Gespräch mit der Kollegin, unterrichteten jedoch nicht die Klinikleitung über die Datenschutzverletzung. Wir konnten nicht nachvollziehen, dass gerade Ärzte diesen Vorfall anscheinend als nicht gravierend einstuften und wohl auch nicht erkannten, welche Folgen diese Datenschutzverletzung für die betroffene Person hatte.
Das FSJ ermöglicht jungen Menschen einen Freiwilligendienst in sozialen Bereichen. Jugendliche, die ihre Schulpflicht erfüllt haben, können z. B. in Pflegediensten oder Krankenhäusern einen Einblick ins Berufsleben erhalten. Datenschutzrechtlich ist das FSJ mit einer Ausbildung vergleichbar. Ein FSJ darf aber nicht dazu führen, dass durch Unwissenheit oder fehlende Sensibilität der Schutz der Patientendaten gefährdet wird. Die Verantwortlichen haben daher eine besondere Pflicht, die Jugendlichen von Anfang an im Umgang mit dem Patientengeheimnis zu schulen. Die direkten Vorgesetzten müssen sich ihrer Verantwortung bewusst sein.
Die Klinikleitung teilte uns mit, dass alle FSJlerinnen und FSJler in schriftlichen Vereinbarungen ausdrücklich zur Einhaltung der Schweigepflicht verpflichtet werden. Die Freiwilligen würden zusätzlich eine Verpflichtungserklärung auf die Vertraulichkeit zur Wahrung des Datengeheimnisses unterschreiben und ein entsprechendes Merkblatt erhalten. Zu Beginn des FSJ erfolge im Rahmen eines Einführungskurses eine Einweisung zur Schweigepflicht. Diese Maßnahmen sind notwendig, reichen aber ganz offensichtlich nicht aus. Das Fehlverhalten einzelner Mitarbeiterinnen oder Mitarbeiter kann bei mangelnder Festlegung klarer dienstlicher Vorgaben zum Datenschutz der Klinik zugerechnet werden: Der Verantwortliche ist eben verantwortlich.
Patientendaten von Beschäftigten einer Klinik werden üblicherweise im Krankenhausinformationssystem (KIS) mit einem sogenannten VIP-Kennzeichen versehen. Die Kennzeichnung als „Very Important Person“ führt zu einem besonderen Umgang: Der Zugriff auf derartig gekennzeichnete Daten wird beispielsweise nur solchen Beschäftigten ermöglicht, die tatsächlich in die Behandlung eingebunden sind. Zudem müssen die Beschäftigten darüber in Kenntnis gesetzt werden, dass eine Protokollierung der Zugriffe auf diese Daten erfolgt. Die Klinikleitung sagte uns zu, zukünftig einzelfallbezogen zu prüfen, ob FSJlerinnen und FSJler in die Behandlungen von Kolleginnen und Kollegen eingebunden werden. Beschäftigte der Klinik sollen nun nicht nur zu Beginn ihrer Tätigkeit, sondern fortlaufend zum Datenschutz geschult werden.
Der Vorfall wurde zudem zum Anlass genommen, insbesondere die Beschäftigten in Leitungsfunktionen erneut auf die bestehenden Vorgaben zur Meldung von Datenschutzverletzungen hinzuweisen. Der Vorgesetzte, dem sich die Betroffene anvertraut hatte, wurde erinnert und entsprechend belehrt.
Was ist zu tun?
Unkenntnis von Beschäftigten im Umgang mit dem Patientengeheimnis und fehlende Sensibilität können zu Datenschutzverletzungen führen. Die Verantwortlichen müssen Beschäftigte von Anfang an schulen und diesen verbindliche und verständliche Regelungen für den Schutz von Patientendaten an die Hand geben. Die oder der betriebliche Datenschutzbeauftragte ist einzubinden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |