Unsere Geschichte zum Europäischen Datenschutz Tag
Nach Aufruf der GDD
Vor einiger Zeit haben Sie wir an dieser Stelle dazu aufgerufen, Ihre ganz persönliche Datenschutzgeschichte zu erzählen. Anlässlich des vorgestrigen Europäischen Datenschutz Tages sammelte die Gesellschaft für Datenschutz und Datensicherheit e.V. lustige, interessante oder einfach irrwitzige Geschichten aus dem bunten Alltag des Datenschutzes.
Auch wir haben eine Geschichte eingereicht – die hier neben vielen anderen interessanten und witzigen Erzählungen veröffentlicht wurde. Dr. Bettina Kähler erzählt darin von einem Vorfall, der ihr zwar in ihrer Funktion als Datenschützerin widerfuhr, sich aber auf schicksalhafte Weise mit ihrem eigenen Privatleben vermischte. Aber lesen Sie selbst:
Zum Diktat!
Wir schrieben das Jahr 2011/2012: Unser Datenschutz-Beratungsunternehmen stand kurz vor seinem zehnjährigen Jubiläum und einer unserer neuen Kunden war ein kleines Unternehmen, das Dienstleistungen für Krankenhäuser und Arztpraxen anbot, „Diktatservice“* genannt.
Dem Firmennamen entsprechend diktierten Ärztinnen und Ärzte ihre Berichte zu Operationen und Behandlungen mittels Telefon als Audiodatei direkt auf den Server des Unternehmens. Dort holten die Schreibkräfte die Dateien, schrieben die Berichte und legten sie zur Abholung durch die auftraggebenden Kliniken wieder ab. Eine erste Analyse der Prozesse beim Diktatservice durch uns ergab ein ziemlich ausgeprägtes datenschutzrechtliches Wildwest. Auf den Servern waren tausende von Jahren alte Berichte gespeichert, deren Löschung nie ein Krankenhaus verlangt hatte.
Der Diktatservice war der Meinung, nicht einfach löschen zu dürfen. Man könnte damit ja gegen gesetzliche Vorschriften verstoßen. Verträge zur Auftragsdatenverarbeitung waren ebenso Fehlanzeige wie eine Dokumentation technischer Sicherheitsmaßnahmen. Wir begannen, das alles in geordnete Bahnen zu lenken. Ironischerweise erkundigten sich auch immer wieder die Verantwortlichen in den Krankenhäusern, die den Diktatservice beauftragen wollten, bei uns nach der datenschutzrechtlichen Zulässigkeit der Ausgliederung dieser Dienstleistung. Zur selben Zeit erkrankte meine Tochter einigermaßen schwerwiegend und ich war viele Monate damit beschäftigt, sie zu verschiedenen Untersuchungen und Therapien zu begleiten. Ich erhielt aus einer ganz anderen Perspektive zahlreiche interessante Einblicke in Abläufe unterschiedlicher medizinischer Einrichtungen, die jede Menge Potential zur Verbesserung ihrer Datenschutzkonformität bargen. Jedes Mal wieder fand ich mich in dem Konflikt, einerseits reflexartig die Unzulässigkeit bestimmter Verfahren anmahnen zu wollen, aber andererseits zusätzlich zu der ohnehin großen Belastung durch die Krankheit meiner Tochter nicht auch noch mit den Ärzten über Datenschutz streiten zu wollen. (Zumal diese auch nicht diejenigen sind, die für die Organisation des Datenschutzmanagements in einem Krankenhaus zuständig sind).
Eines Tages war ich wieder bei unserem Diktatservice-Kunden zu Besuch, wo der Aufbau einer Datenschutzorganisation mittlerweile Fortschritte machte. Unvermittelt platzte ein Mitarbeiter in unsere Besprechung und bat seinen Kollegen um Rat: „Ich komme mit der Frau Dr. Schattschneider-Böhle nicht weiter, die Frau kann einfach nicht diktieren! Nuschelt vor sich hin und dann motzt sie ohne Ende, dass die Berichte so viele Fehler haben!“
Ich horchte auf. Schattschneider-Böhle? So einen sperrigen Doppelnamen hätte ich bis dahin eher bei Lehrerinnen Mitte fünfzig vermutet; er identifizierte aber eine noch recht junge Ärztin, die wenige Wochen zuvor eine Untersuchung meiner Tochter geleitet hatte. Meine Gesprächspartner bejahten meine Frage, ob die Klinik von Dr. Schattschneider-Böhle ein Auftraggeber von ihnen sei und schimpften gleich weiter.
Ich bat darum, einen Blick in die Datenbank werfen zu können, um zu sehen, ob der Bericht über die Untersuchung meiner Tochter dort gespeichert wäre. „Julie Kähler?“, fragte der zuständige Mitarbeiter – es dauerte keine fünf Sekunden, dann hatte er den Bericht aufgerufen, inklusive ihres vollen Namens, Geburtsdatums und der medizinischen Historie der letzten zwei Jahre. Nun war ich diejenige, die schimpfte. Eine Einwilligungserklärung oder wenigstens eine Information, dass die Daten meiner Tochter an externe Dienstleister des Krankenhauses übermittelt würden, hatte ich nie gesehen. Zusätzlich stellte sich bei dieser Gelegenheit heraus, dass es mit dem zügigen Löschen der abgeschlossenen Aufträge im Diktatservice noch nicht so klappte, wie ich mir das vorgestellt hatte.
„Willst du jetzt das Krankenhaus verklagen?“, fragte meine Tochter, als ich ihr davon erzählte, und in der Tat war dies mein erster Reflex gewesen. Wenn nie jemand diese Dinge beanstandet, werden sie immer so weitergehen, dachte ich verärgert. Und wer sollte denn anfangen, wenn nicht diejenigen, die sich auskennen. Die kühlköpfige Beraterin in mir gewann aber doch schnell die Oberhand und ich einigte mich stattdessen mit meinen Ansprechpartnern im Diktatservice auf eine bessere Umsetzung und Kontrolle der Löschung alter Berichte. Sie sagten außerdem zu, das betreffende Krankenhaus wie auch alle anderen Auftraggeber bei nächster Gelegenheit nochmals nachdrücklich auf die Möglichkeit des Diktierens ohne Nennung des Patientennamens hinzuweisen. Die einzige Vorteilsannahme, die ich mir erlaubte, bestand darin, dass der Bericht über meine Tochter vorzeitig aus der Datenbank meiner Kunden gelöscht wurde.
*Die Namen aller beteiligten Personen und Unternehmen wurden geändert.