4.6 Datenpannen im Medizinbereich
4.6.1 Veröffentlichung eines Recruiting-Videos – mit Patientendaten
Der kreative Versuch einer Klinik, offene Stellen mittels eines Recruiting-Videos zu besetzen, führte letztlich zu einer Datenpannenmeldung beim ULD.
Die Klinik hatte eine Agentur mit der Erstellung des Recruiting-Videos beauftragt. Diese sollte auch Einwilligungserklärungen von Mitarbeitenden und Patientinnen und Patienten einholen. Diese Vorgaben sollten seitens einer Mitarbeiterin der Klinik sichergestellt werden.
Bei der Durchführung der Filmaufnahmen in der Klinik sollten CT-Bilder von früher behandelten Patientinnen und Patienten an den Geräten eingeblendet und abgefilmt werden. Die Agentur wurde in diesem Zusammenhang angewiesen, identifizierende Merkmale in den Aufnahmen des Rohmaterials unkenntlich zu machen, was jedoch weisungswidrig – im Anschluss auch bei der Veröffentlichung der Videos – unterlassen wurde. Verwendet wurden Aufnahmen von zwei Patienten, von denen keine entsprechende Einwilligung eingeholt wurde.
Neben den CT-Bildern waren Name, Geburtsdatum und Geschlechtskürzel erkennbar. Die Einblendung der identifizierenden Daten erfolgte nur innerhalb eines sehr kurzen Schnitts von deutlich unter einer Sekunde. Jedoch waren die Angaben bei einem Stoppen des Videos im entsprechenden Moment erkennbar. Trotz einer Kontrolle des Videos durch die Agentur und die Klinik vor einer nachfolgenden Veröffentlichung wurden die problematischen Stellen im Video nicht bemerkt und es folgten Veröffentlichungen auf verschiedenen Plattformen.
Etwa eine Woche nach der ersten Veröffentlichung des Recruiting-Videos bemerkte ein Mitarbeiter der Klinik zufällig die problematischen Stellen in dem veröffentlichten Video und meldete den Vorfall intern. Die Veröffentlichungen des Videos wurden daraufhin noch am gleichen Tag gelöscht. Die geplante Veröffentlichung des Videos auf anderen Bewerbungsplattformen wurde unterlassen. Die Agentur bestätigte nach diesbezüglicher Aufforderung durch die Klinik, sämtliche Aufnahmen mit personenbezogenen Patientendaten sofort und endgültig gelöscht zu haben.
Die verantwortliche Stelle kündigte zudem eine Social-Media-Richtlinie an, nach der jede Veröffentlichung von Patientendaten auch in anonymisierter Form auf Social Media untersagt wird. Zudem wurden spezifische Datenschutzschulungen für Mitarbeitende des PR-Bereiches angekündigt, und die verantwortliche Stelle plant den generellen Verzicht, Patientendaten für Marketing-/PR-Zwecke zu verwenden.
Die betroffenen Patienten wurden gemäß Artikel 34 DSGVO sowohl telefonisch als auch schriftlich über die Verletzung des Schutzes ihrer personenbezogenen Daten informiert.
Was ist zu tun?
Gesundheits- bzw. Patientendaten stellen Daten besonderer Kategorien im Sinne von Art. 9 Abs. 1 DSGVO dar. Insbesondere bei solchen sensiblen Daten gilt es besondere Vorsicht walten zu lassen – bereits kleinere Unaufmerksamkeiten können schwerwiegende Datenschutzverletzungen zur Folge haben.
4.6.2 Herausgabe unausgefüllter Rezepte an einen Tablettendealer
Das ULD erhielt eine Datenpannenmeldung im Medizinbereich, die das Fehlverhalten eines Mitarbeiters schilderte.
Der Mitarbeiter hatte Hilfsmittelrezepte mit echten Patientendaten (Name, Krankenkasse und Versichertennummer) aus dem Krankenhausinformationssystem ausgestellt, eigenhändig unterschrieben und als Blankorezepte an einen Tablettendealer, also einen unberechtigten Dritten, weitergegeben. Dieser hat die Rezepte wiederum weiter mit beliebigen Medikamenten ausgefüllt, um diese in der Apotheke erstehen zu können. Die eingetragenen Medikamente haben in keinem Zusammenhang mit Krankheiten der im Rezept genannten Patientinnen und Patienten gestanden.
Nach Feststellen dieses Fehlverhaltens wurde der Mitarbeiter befragt und er gab an, ca. 50 Rezepte unberechtigterweise ausgedruckt und unterschrieben zu haben.
Die verantwortliche Stelle handelte umgehend: Der Zugriff des Mitarbeiters auf das Krankenhausinformationssystem wurde gesperrt und der Mitarbeiter unverzüglich von der Arbeit freigestellt. Eine Strafanzeige wurde ebenfalls gestellt. Zudem kündigte die verantwortliche Stelle an zu prüfen, ob ein Vieraugenprinzip bei der Ausstellung von Rezepten eingeführt werden könnte, sodass zwar eine Ausstellung der Rezepte möglich wäre, die endgültige Freigabe und der Druck jedoch durch eine weitere Person ermöglicht werden müsste.
Da es sich um das bewusste Fehlverhalten eines einzelnen Mitarbeiters handelte, konnte die Meldung der verantwortlichen Stelle mit dem Hinweis abgeschlossen werden, sämtliche verbliebenen Mitarbeitenden bezüglich des Umgangs mit sensiblen personenbezogenen Daten zu sensibilisieren.
Aufgrund der bereits gestellten Strafanzeige wurde von der Einleitung eines OWi-Verfahrens gegenüber dem Mitarbeiter seitens des ULD abgesehen.
Was ist zu tun?
Um den eigenen Verpflichtungen nachzukommen, sollten Verantwortliche ihre Mitarbeitenden regelmäßig zum Umgang mit personenbezogenen Daten sensibilisieren. Datenschutzrechtliche Vorgaben der verantwortlichen Stelle sind von Mitarbeitenden einzuhalten, anderenfalls können arbeitsrechtliche und gegebenenfalls strafrechtliche Konsequenzen drohen.
4.6.3 Versand eines Arztbriefes an einen Hausarzt ohne Einwilligung der Patientin
Arztbriefe können von Kliniken an Hausärztinnen und Hausärzte übermittelt werden, wenn hierfür eine Einwilligung der Patientinnen und Patienten vorliegt. Liegt keine Einwilligung der Patientin oder des Patienten vor und wird eine Hausärztin oder ein Hausarzt dennoch Adressat/-in eines Arztbriefes, handelt es sich um einen nach Artikel 33 DSGVO meldepflichtigen Datenschutzverstoß. Eine solche Meldung erhielt das ULD von einer Klinik in Schleswig-Holstein, nachdem sich die betroffene Person bei der verantwortlichen Stelle hierüber beschwert hatte.
Das ULD eröffnete u. a. aufgrund der sehr sporadisch ausgefüllten Meldung ein Anhörungsverfahren gegenüber der verantwortlichen Stelle.
Im Laufe des Verfahrens stellte sich heraus, dass es bereits interne Vorgaben zum Versand von Arztbriefen gab, welche dennoch nicht beachtet wurden. Die internen Vorgaben legten eindeutig fest, dass Briefe an weitere Behandler nur versendet werden dürfen, wenn eine Einwilligung hierzu vorliegt. Entsprechende technische Voreinstellungen im System waren zwar vorhanden, diese wiesen jedoch eine Lücke auf, sodass es trotz dieser technischen Einstellungen möglich war, Arztbriefe zu versenden, auch wenn keine Einwilligung hierfür vorlag.
Der konkrete Versand ohne Einwilligung wurde zunächst damit begründet, dass in einigen Fällen der Arzt entscheiden müsse, ob wichtige medizinische Daten den ärztlichen Kollegen in der Niederlassung erreichen müssten, um einen Informationsverlust zu verhindern. Im vorliegenden Fall sei entsprechend dem mutmaßlichen Willen der Patientin gehandelt worden.
Diese Stellungnahme widersprach eindeutig den eigenen internen Vorgaben und es mangelte auch an einer rechtlichen Grundlage im Sinne der DSGVO, die diesen Umgang mit personenbezogenen Daten rechtfertigen würde.
Auf diesbezügliche weitere Rückfragen erhielt das ULD schließlich die Rückmeldung, dass bei der verantwortlichen Stelle allgemein bekannt sei, dass eine Übermittlung von Arztbriefen an Hausärztinnen und Hausärzte und/oder nach- und mitbehandelnde Ärztinnen und Ärzte nur erfolgen darf, wenn eine eindeutige und klare Einwilligung der Patientinnen und Patienten zur Datenübermittlung vorliegt. Es habe sich um ein Fehlverhalten eines einzelnen Mitarbeiters der verantwortlichen Stelle gehandelt.
Um zu verhindern, dass aufgrund der Unachtsamkeit eines einzelnen Mitarbeiters Arztbriefe ohne Einwilligung einer Patientin oder eines Patienten verschickt werden, hat die verantwortliche Stelle weitere Schutzmechanismen ins Krankenhausinformationssystem eingeführt, die sicherstellen, dass auch ein versehentlicher Versand technisch nicht erfolgen kann und im Zweifelsfall eine Rückversicherung mit der Patientin oder dem Patienten erfolgen muss. Warnhinweise im System sollen weitere Vorfälle ergänzend verhindern.
Die verantwortliche Stelle erhielt vom ULD einen abschließenden Hinweis, dass eine Sensibilisierung sämtlicher Mitarbeitenden zeitnah erfolgen sollte. Die verantwortliche Stelle wurde zudem darauf hingewiesen, dass es sich bei dem gemeldeten Vorgehen um ein datenschutzwidriges Verhalten handelt, das bei bewusster Wiederholung unter Umständen auch Bußgeldrelevanz nach Artikel 83 DSGVO entfalten könnte, oder je nach Sachverhalt in vergleichbaren Vorfällen weitere Maßnahmen nach Artikel 58 DSGVO ergriffen werden würden.
Was ist zu tun?
Für die Verarbeitung von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO sind die Vorgaben aus Art. 9 Abs. 2 DSGVO zu berücksichtigen. Auch diesbezüglich sollten Mitarbeitende regelmäßig sensibilisiert und technische und organisatorische Maßnahmen getroffen werden, um der besonderen Sensibilität der Daten bei der Verarbeitung gerecht zu werden.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
