Hamburg: Patientenakten offen zugänglich im Container
Letzte Woche wurde ein Mann auf dem Gelände des ehemaligen Krankenhauses Eilbek in Hamburg dabei beobachtet und fotografiert, wie er in einen hohen Container kletterte und Patientenakten an sich nahm, die dort offen lagerten. Ein Sprecher des Krankenhauses sagte zur Hamburger Morgenpost, die über den Vorfall berichtete, man wisse nicht, wer die Akten in den Container getan habe und aus welchem Grund. Auch die Identität des Mannes war zunächst nicht bekannt.
Der Journalist als Aktendieb
Offenbar wurden über Wochen hinweg insgesamt 14 Container voller Akten aussortiert, von denen einige in einem unverschlossenen Container landeten, in denen sie nicht gehörten. Am nächsten Tag stellte sich der vermeintliche Aktendieb der Polizei. Der taz Journalist Marco Carini hatte einen Hinweis auf die Akten im Container bekommen und wollte nun herausfinden, wie und warum sie dorthin gekommen waren. Er fand hunderte Krankenakten und Notfallprotokolle, vor allem aus den ersten Jahren der 2000er. Neben den detaillierten Krankengeschichten waren Namen und Adressen der Patienten ebenso notiert wie chronische Leiden, Unfallursachen und private Probleme. Auf einigen war auch noch vermerkt: „Bis zum Jahr 2013 aufbewahren“.
Die verantwortliche Stelle merkt nichts
Der Journalist informierte den Hamburgischen Datenschutzbeauftragten. Die verantwortliche Asklepios Klinik erfuhr erst von diesem von den falsch entsorgten Akten. Auch fast eine Woche nach dem Vorfall ist der Klinik unklar, wie die Akten in den offenen Container gelangten. Man befrage Mitarbeiter von Fremdfirmen, die für die Entsorgung zuständig seien, wurde ein Kliniksprecher heute zitiert.
Aktenentsorgung ist Auftragsdatenverarbeitung
Eigentlich ist es ganz einfach. Die Entsorgung von Patientenakten ist datenschutzrechtlich formal betrachtet eine Auftragsdatenverarbeitung und für die gelten strenge Anforderungen, was die Auswahl und die Kontrolle der Dienstleister betrifft. Ein Krankenhaus, das eine Aktenentsorgung in Auftrag gibt, muss einen zuverlässigen Entsorger aussuchen, ihm genaue Vorgaben machen und diese vertraglich regeln. Die Umsetzung des Auftrags muss durch das Krankenaus kontrolliert werden. Es gibt Firmen, die über Datenschutz-Gütesiegel verfügen und denen man auch sensible Akten problemlos anvertrauen kann.
Große Lücke zwischen Theorie und Praxis
Und warum ist es dann offenbar so schwer, diese an sich einfachen Regeln einzuhalten? Ich würde behaupten, weil es vielen Krankenhäusern einfach egal ist. Datenschutz rangiert in zahlreichen Krankenhäusern und Arztpraxen auf dem untersten Platz der Skala der wichtigen Dinge. Ich erinnerte mich beim Lesen dieser Berichte an Gespräche, die ich im letzten Jahr mit Datenschutzbeauftragten aus verschiedenen Krankenhäusern hatte. „Ich bin gelernter Ingenieur“, sagte mir einer. „Ich bin in erster Linie für das Funktionieren der Solaranlagen zuständig, die unser Krankenhaus mit Energie versorgen. Von Datenschutz habe ich keine Ahnung, aber man hat mir diese Aufgabe übergeben“. So krass ist es sicher nicht überall, aber die Tendenz ist deutlich.
Mangelnde Datenschutzorganisation in Krankenhäusern
Es sind innerhalb der Krankenhäuser keine verbindlichen Abläufe definiert, welche Anforderungen an externe Dienstleister in puncto Datenschutz gestellt werden müssen und wie die Einhaltung vorgegebener Regeln zu kontrollieren ist. Sofern es überhaupt Datenschutzbeauftragte gibt und diese wissen, was sie tun, erfahren sie in der Regel erst von einem Auftrag, wenn dieser schon vergeben ist. Nachträglich gute Datenschutzstandards durchzusetzen, ist dann praktisch unmöglich. Dies ist in Bezug auf die ordnungsgemäße Entsorgung alter Akten besonders ärgerlich, weil diese – anders als andere Datenschutzfragen in Krankenhäusern – ganz einfach zu organisieren ist.
Spürbare Folgen
Nur mit Mahnungen und guten Worten wird der Versuch, wirksamen Datenschutz in Krankenhäusern zu etablieren, vergebene Liebesmüh bleiben. Es bleibt zu hoffen, dass Container-Nachlässigkeit für Asklepios spürbare Folgen haben wird. Das Bundesdatenschutzgesetz sieht für eine schlecht kontrollierte Auftragsdatenverarbeitung ein Bußgeld bis 50.000 EUR vor – und eine solche liegt dem Vorfall mit einiger Sicherheit zugrunde. Außerdem muss Asklepios bei einem Datenverlust dieser Größenordnung die Betroffenen informieren. Tut es das nicht, kann auch das ein Bußgeld nach sich ziehen.
Quellen: