4.6 Datenpannen im Medizinbereich
4.6.1 Sensibles Gespräch unter Ärzten – und der Wartebereich hört zu
Eine schwangere Frau ahnte noch nicht, dass sie ihr Kind verloren hatte – doch der Ehemann erfuhr es mal soeben nebenbei.
In diesem traurigen Fall musste eine schwangere Patientin wegen akuter Blutungen ins Krankenhaus. Der Ehemann wurde benachrichtigt und fuhr so schnell wie möglich zum Krankenhaus. Dort angekommen, wurde er gebeten, im Wartebereich Platz zu nehmen.
Während er wartete, hörte er, wie sich ein Oberarzt und eine Ärztin über eine schwangere Patientin austauschten, die gerade ihr Kind verloren hatte.
Auch wenn der Name der Patientin nicht genannt wurde, war ihm schnell klar, dass man sich über seine Ehefrau unterhielt. So erfuhr der Ehemann noch vor seiner Frau, dass sie ihr Kind verloren hatte.
Was ist zu tun?
Ärztinnen und Ärzte müssen sensible Gespräche vertraulich führen. Es darf keine unbefugten Zuhörerinnen und Zuhörer geben. Hierzu können auch Angehörige gehören. Warte- und Empfangsbereiche sind für sensible Arztgespräche nicht geeignet. Das ärztliche Personal sollte regelmäßig geschult werden. Es müssen geeignete Räume für vertrauliche Gespräche zur Verfügung stehen.
4.6.2 PC-Diebstahl – ein Einbruch kann auch positive Folgen haben
In einer Beratungsstelle, die Straffällige in gemeinnützige Arbeit vermittelt, wurde eingebrochen. Die Diebe entwendeten u. a. einen Desktop-PC, der für die Dokumentation der Beratungstätigkeit genutzt wurde. Auf dem PC waren personenbezogene Daten von ca. 500 Betroffenen gespeichert. Entgegen dem bestehenden Datenschutzkonzept war bei diesem PC keine Festplattenverschlüsselung erfolgt. Jetzt hatten Unbefugte Zugriff auf diese sensiblen Daten!
Der Träger dieser Beratungseinrichtung nutzte diese Datenschutzverletzung, um aus dem dabei erkannten Problem zu lernen. Er erstellte umgehend einen Zeit- und Maßnahmenplan. Zunächst wurden alle Beratungsstellen überprüft. So konnte festgestellt werden, dass auch in 16 weiteren Einrichtungen entgegen den bestehenden Anweisungen lokal personenbezogene Daten unverschlüsselt gespeichert wurden bzw. unklare Beschreibungen der Schutzmaßnahme erfolgten.
Alle dezentralen Beratungsstellen wurden angewiesen, ihre lokal gespeicherten Daten in die neue zentrale Ordnerstruktur des Trägers zu überführen. Für die Einrichtungen wurde ein sicherer Kanal geschaffen, um die Daten in das Unternehmensnetzwerk hochzuladen. Wir begleiteten den Prozess.
Was ist zu tun?
Besonders Verantwortliche mit einer Vielzahl von dezentralen Einrichtungen müssen ihre technischen und organisatorischen Maßnahmen regelmäßig überprüfen. So schlimm Datenschutzverletzungen für die betroffenen Personen sein können, so können (und müssen!) diese doch dabei helfen, Lücken bei Sicherheitsmaßnahmen festzustellen und zu beheben.
4.6.3 Unbefugter Umgang mit Patientendaten →️ Kündigung einer Krankenhausmitarbeiterin
Patientendaten zählen zu den sensiblen Datenkategorien und bedürfen eines besonderen Schutzes vor unbefugter Kenntnisnahme. Mitarbeiterinnen und Mitarbeiter eines Krankenhauses, die mit solchen Daten befugtermaßen Umgang haben, müssen ihre Verschwiegenheitspflichten wahren. Mit dieser Verpflichtung nahm es die Mitarbeiterin eines Krankenhauses wohl nicht so ernst. Betroffenheit, Interesse und Neugier liegen oft eng beieinander.
Ein Straftäter wurde medizinisch in einem Krankenhaus behandelt, so wie dies auch vorgesehen war. Nicht vorgesehen ist es jedoch, wenn bei einzelnen Mitarbeiterinnen oder Mitarbeitern private Neugier oder gar Voyeurismus die fachliche Aufgabenwahrnehmung überlagert und gefährdet.
In diesem besonderen Fall teilte uns das Krankenhaus mit, dass eine Krankenhausmitarbeiterin aus dem Verwaltungsbereich sehr großzügig mit dem Zugang zu und Zugriff auf personenbezogene Daten von Patienten umgehe, um unberechtigt auf Patientenakten von Kolleginnen und Kollegen zuzugreifen.
Auch die Patientenakte des Straftäters war wohl nicht vor ihr sicher. Diese Mitarbeiterin habe mit ihrem ergaunerten Wissen geprahlt und womöglich sogar mit ihrem Handy Fotos von Patientenakten gemacht.
Als die Klinikleitung hiervon erfuhr, reagierte sie schnell und eindeutig. In einem Personalgespräch räumte die Mitarbeitende ihr Fehlverhalten ein. Aufgrund der vorliegenden Rechtsverletzungen und des damit einhergehenden Vertrauensverlustes wurde das Arbeitsverhältnis beendet. Die Mitarbeitende wurde aufgefordert, ihre Schlüssel und die Arbeitskleidung zurückzugeben, und musste noch am selben Tag unter Aufsicht das Klinikgelände verlassen.
Die „Orientierungshilfe Krankenhausinformationssysteme (OH KIS)“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder gibt wichtige Hinweise in Bezug auf Berechtigungskonzepte und andere technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Sie ist abrufbar unter dem folgenden Link:
https://www.datenschutzzentrum.de/plugin/tag/klinik/
Kurzlink: https://uldsh.de/tb42-4-6-3a
Was ist zu tun?
In Krankenhäusern muss darauf geachtet werden, dass nicht nur im ärztlichen Bereich, sondern auch im Pflege- und Verwaltungsbereich die Mitarbeitenden nur Zugriff auf die Patientendaten haben, die sie für ihre Aufgabe benötigen. Bestehende Berechtigungskonzepte müssen regelmäßig angepasst und eingeräumte Berechtigungen überprüft und aktualisiert werden.
4.6.4 Mutter arbeitet im Krankenhaus – kein Schutz für die Patientendaten der Tochter?
Eine Patientin wurde in einem Krankenhaus psychiatrisch behandelt. Die Mutter arbeitete im Schreibdienst des Krankenhauses und nutzte ihre Zugriffsrechte, um die Patientenakte ihrer Tochter einzusehen. Es gab weder einen fachlichen Grund noch eine Befugnis für diesen Zugriff. Zusammen mit ihrem Therapeuten entschied sich die Patientin, sich bei der Klinikleitung zu beschweren. Eine mutige und richtige Entscheidung!
Nachforschungen des Datenschutzbeauftragten der Klinik ergaben, dass den Mitarbeiterinnen und Mitarbeitern des Schreibdienstes abteilungsübergreifende Zugriffsrechte auf Patientenakten eingeräumt wurden, obwohl nicht jede Schreibkraft für jede Abteilung tätig war.
Umgehend wurden die Zugriffsrechte beschränkt. Zukünftig sollen Schreibkräfte nur noch auf Patientenakten von Abteilungen zugreifen können, wenn sie für diese auch tatsächlich schreiben.
Wieder sei auf die „Orientierungshilfe Krankenhausinformationssysteme (OH KIS)“ der DSK verwiesen (Tz. 4.6.3):
https://www.datenschutzzentrum.de/plugin/tag/klinik/
Kurzlink: https://uldsh.de/tb42-4-6-4a
Was ist zu tun?
Bestehende Berechtigungskonzepte müssen regelmäßig angepasst und eingeräumte Berechtigungen überprüft und aktualisiert werden. Nicht ausreichende oder gar fehlende Berechtigungskonzepte können ein Datenschutz-Organisationsverschulden des Verantwortlichen darstellen.
4.6.5 Datenpanne – und der Dienstleister informiert den Auftraggeber nicht?
Ein technisches Problem mit dem Fax? Kein Problem. Schnell den Dienstleister anrufen, der wird den Fehler schon finden. Nur blöd, wenn dem Dienstleister selbst ein Fehler unterläuft und dieser bei der Fehlersuche ungewollt Arztbriefe an falsche Empfänger versendet.
Der Fehlversand von Patientenunterlagen stellt unstrittig eine Datenschutzverletzung dar. Sensible Patientendaten gelangen so womöglich in unbefugte Hände. Ein Risiko für die betroffenen Patienten kann dabei nicht ausgeschlossen werden. Aber wer muss diese Datenschutzverletzung der Datenschutzaufsicht melden? Der Auftraggeber oder der Dienstleister? Es ist der Auftraggeber. Dieser ist für die Datenverarbeitung verantwortlich.
Arztpraxen können als Verantwortliche externe Dienstleister, sogenannte Auftragsverarbeiter, mit der Verarbeitung von personenbezogenen Daten ihrer Patienten beauftragen (Artikel 28 DSGVO). Grundlage für die Rechtmäßigkeit dieser Auftragsverarbeitung ist insbesondere ein schriftlicher Auftragsverarbeitungsvertrag, der u. a. detailliert die Rechte und Pflichten des Auftraggebers und des Auftragsverarbeiters definiert. Hierzu gehört auch, dass der Auftragsverarbeiter als Dienstleister den Auftraggeber bei der Wahrnehmung seiner Pflicht zur Meldung von Datenschutzverletzungen unterstützt.
Kommt es also bei dem Dienstleister zu einer Datenpanne, so muss dieser unverzüglich seinen Auftraggeber informieren, damit dieser umgehend (und möglichst innerhalb von 72 Stunden) die Datenschutzverletzung der zuständigen Datenschutzaufsichtsbehörde melden und gegebenenfalls die betroffenen Personen benachrichtigen kann.
Was ist zu tun?
Dienstleister müssen beachten, dass die auftraggebende Arztpraxis bzw. das auftraggebende Krankenhaus verantwortlich für die Verarbeitung der Patientendaten ist und bleibt. Wenn es bei der Verarbeitung von Patientendaten durch den Dienstleister zu einer Datenschutzverletzung kommt, so muss die Arztpraxis bzw. das Krankenhaus der Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nachkommen. Der Dienstleister muss daher unverzüglich den Auftraggeber über eine Datenpanne informieren.
4.6.6 Fehlerhaftes Update und keine Datensicherung – alle Patientendaten weg!
Ein IT-Dienstleister wollte in einer Arztpraxis ein Update für die Praxissoftware einspielen. Eigentlich Routine. Aber irgendwas funktionierte nicht, das Update musste fehlerhaft abgebrochen werden. Ärgerlich war jedoch, dass durch diesen Fehler Patientendaten im IT-System gelöscht wurden.
Eigentlich kein großes Problem, schließlich wurden doch täglich Sicherungskopien der Patientendaten gemacht, oder etwa nicht? Leider nein. Zwar hatte der Dienstleister hinter einer Feuerschutztür in einem Stahlschrank externe Festplatten für die Datensicherung eingerichtet, jedoch vergessen, im Programm den entsprechenden Haken zur täglichen Sicherung zu setzen, und dies entgegen der geltenden Vorgaben auch nicht mehr kontrolliert.
Der Dienstleister versuchte, die Patientendaten zu rekonstruieren. Vergeblich, die Daten blieben fehlerhaft und lückenhaft. Unwiederbringlich fehlten u. a. Befunde, Ultraschallbilder, Aufzeichnungen für verschriebene Medikamente, Therapiepläne und Laborberichte. Betroffen waren ca. 2.500 Patientinnen dieser Arztpraxis für Frauenheilkunde. Die betroffene Ärztin stellte ihren Praxisbetrieb ein.
Auch wenn die Patientendaten zwar nicht in falsche Hände gekommen sind, so können die Patientinnen nun nicht mehr ihre Daten anfordern. Die Patientendaten sind weg.
Was ist zu tun?
IT-Dienstleister sind u. a. aufzufordern,
- Maßnahmen zur Qualitätssicherung des Einspielens von Updates zu ergreifen (Test der einzuspielenden Updates, Sicherung des Datenbestands, Rollback-Funktionalitäten für Software-Updates, temporäre Sicherheitskopien des Gesamtsystems usw.),
- Maßnahmen zur Qualitätssicherung der Back-up-Prozesse (Controlling der Back-up-Konfiguration, der Ausführung einzelner Sicherungsaufträge und der Wiedereinspielbarkeit von Back-ups) zu ergreifen und
- Maßnahmen zu ergreifen, um bei den wiederhergestellten Patientendaten zumindest erkannte Integritätsfehler (Vollständigkeitslücken, Inaktualität von Daten usw.) erkennbar zu machen.
4.6.7 Patientendaten bei TikTok und SnapChat
Videos aufnehmen und online austauschen – ganz einfach mit dem Smartphone. So war es auch in unseren beiden Fällen zu TikTok und SnapChat:
Im ersten Fall stellte ein Praktikant ein Video von seiner Arbeit als Pfleger in einem Krankenhaus bei TikTok online. Das Video bekam umgehend 91 „Gefällt mir“, fünf Kommentare und wurde achtmal geteilt. Leider waren in dem Video auch Daten von Patienten zu sehen, die nicht ihre Einwilligung erteilt hatten.
Im zweiten Fall hatte ein FSJler Videos von Pflegeheimbewohnern per SnapChat verschickt. Eine Empfängerin reagierte fassungslos und stellte den FSJler zur Rede. Wie kann man ungefragt hilflose Patienten mit dem privaten Handy filmen, die nicht sprechen oder sich bewegen können? Der FSJler reagierte auf die Kritik mit Unverständnis. Er fand das Ganze „witzig“.
Der Praktikant und auch der FSJler wussten, was sie taten. Beide waren zu Beginn ihrer Tätigkeit über den Datenschutz aufgeklärt worden. Die Nutzung privater Handys, das Filmen von Patienten waren ausdrücklich verboten. Es folgten personalrechtliche Konsequenzen.
Was ist zu tun?
Verantwortliche stehen in der Pflicht, ihre Beschäftigten über die Anforderungen an den Schutz des Patientengeheimnisses zu unterrichten. Gerade neue und unerfahrene Beschäftigte müssen zu Beginn ihrer Tätigkeit geschult und sensibilisiert werden. Der eigene Datenschutzbeauftragte kann hierbei unterstützen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |