Arbeitsbeispiel Krankenhaus
Wenn auf einmal handfeste Datenschutz-Probleme auftauchen
Für ein Krankenhaus in einer Kleinstadt in der Mitte von Deutschland* sollte ein Verfahrensverzeichnis inklusive der dazugehörigen technischen und organisatorischen Maßnahmen erstellt werden. Infolge der großen Menge an Verfahren sah sich der interne, Teilzeit-Datenschutzbeauftragte des Krankenhauses nicht in der Lage, diese Aufgabe mit der gebotenen Gründlichkeit zu erledigen, und übergab sie an uns.
In einem Verfahrensverzeichnis werden sämtliche automatisierten Verfahren eines Unternehmens erfasst und ausgewertet, die die Erhebung, Speicherung oder Weiterverarbeitung personenbezogener Daten betreffen. Tauchen hier Fragen oder Unklarheiten auf, sind diese für die Datenschutzbeauftragten ein guter Anknüpfungspunkt der Frage nach der Erlaubnis einer bestimmten Datenverarbeitung nachzugehen.
Aller Anfang ist Recherche: nach Auswertung bestehender Unterlagen und ausführlichem Befragen verschiedener Mitarbeiter insbesondere aus der IT-Abteilung identifizierten wir insgesamt 56 Verfahren, in denen mit Patientendaten gearbeitet wurde.
Neben den üblichen und gängigen Verfahren wie Röntgenbilder oder dem Umgang mit (papiernen) Patientenakten tauchte aber bald ein mysteriöser Posten auf: Der Chefarzt H. der Chirurgie hatte aus seiner Zeit an der Universitätsklinik Bonn eine Software mitgebracht und eingeführt, die jedoch keiner außer ihm selbst nutzen oder bedienen konnte.
Hier gab es also zwei handfeste Datenschutz-Probleme:
1.Haftung: Da keiner außer dem Chefarzt H. wusste, wofür die Software genutzt wurde, und ob damit möglicherweise Patientendaten an Unbefugte übermittelt würden, bestand eine ernstzunehmende Gefahr für das Krankenhaus. Dieses haftet nämlich für sämtliche angewendete Verfahren, auch wenn es gar nicht in die Inhalte eingeweiht ist. Auch der Datenschutzbeauftragte haftet für Schäden mit einem Bußgeld, weshalb er die Leitung des Krankenhauses in einem solchen Fall unbedingt auf die Gefahr dieses nicht-öffentlichen und potenziell unzulässigen Verfahrens hinweisen muss.
2. Verfügbarkeit: Außer dem Chefarzt konnte niemand auf die Software zugreifen und niemand vermochte zu sagen, ob die Daten überhaupt mit in die reguläre Datensicherung des Krankenhauses einflossen. Im Krankheitsfall oder schlimmerem wäre es also keinem anderen aus dem Krankenhaus möglich gewesen, das Verfahren weiter zu betreiben oder auch nur zu prüfen, worum es sich dabei handelte.
Wir wiesen das Krankenhaus mit einem umfassenden Bericht auf dieses und noch verschiedene andere Risiken in Bezug auf den Umgang mit Patientendaten hin. Im Ernstfall hätte ein Bußgeld von bis zu 300.000 Euro auf das Krankenhaus zukommen können, das nicht auf den betreffenden Chefarzt abzuwälzen gewesen wäre.
Das Krankenhaus machte sich daraufhin umgehend daran, das Problem der Chefarztsoftware zu beheben. Der Datenschutzbeauftragte war erfreut, nunmehr über eine umfassende Übersicht über alle Verfahren mit Bezug zu Patientendaten zu verfügen und über mögliche Schwachstellen informiert zu sein.
*Alle Namen und Orte wurden von der Redaktion geändert.
Haben auch Sie Fragen zu den Abläufen in Ihrem Krankenhaus? Wir beraten Sie gerne. Kontakt