Wie eine Zigarettenpause 300.000 Patienten schädigt

gesundheit 03
News

Wir schreiben in diesem Blog häufig über die fehlende Datenschutzsensibilität von großen Medienkonzernen wie facebook, Google und Co. Kürzlich haben wir erst hier über das Verschwinden zweier unverschlüsselter mobiler Festplatten in Kanada berichtet. Dann verschwand eine Steuersünderdatei und wir berichteten über die Möglichkeiten von Transportsicherungen und der sog. „Security Breach Notification“ (der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten gemäß §42a BDSG).

Verschwundene Patientendaten

Das Krankenhaus Mittelbaden gehört wohl und leider nicht zu unseren Lesern, denn diesem sind schlappe 300.000 Datensätze mit sensiblen Patientendaten abhanden gekommen.

Das Krankenhaus veröffentlichte auch eine entsprechende Mitteilung nach §42a BDSG, in der zum Sachverhalt und den betroffenen Daten ausgeführt wird:

Im Kreiskrankenhaus Rastatt, Baden-Württemberg, wurden am Mittwoch, den 19.09.2012, zur Archivierung vorgesehene Datensicherungsbänder durch eine bislang unbekannte Person entwendet. Die Datensicherungsbänder konnten trotz intensiver Bemühungen bis heute nicht zurückerlangt werden. Der Vorfall ist dem Kreiskrankenhaus Rastatt am 27.09.2012 bekannt geworden.

Betroffene Daten:
Betroffen sind Daten der Patienten des Kreiskrankenhauses Rastatt, sowie des Medizinischen Versorgungszentrums der Klinikum Mittelbaden (MVZ) GmbH, jeweils Engelstraße 39, 76437 Rastatt.

Art der Daten:
Betroffen sind alle im Rahmen der Behandlung bzw. des Aufenthalts in den genannten Häusern angefallenen und erfassten Daten, somit Namen, Adressen, Kontaktdaten, Geburtsdaten, Befunde, ärztlicher Briefwechsel, klinikinterner Schriftwechsel und dergleichen.

Wie kam es aber nun zu dem Verlust. Dies beruhte auf einem Fehler eines Mitarbeiters, welcher unverschlüsselte Sicherungsbänder statt sofort (und das bedeutet in juristischer Hinsicht „ohne schuldhaftes Zögern“ gemäß § 126 I BGB) in den Tresorraum zu bringen, diese auf einer Laderampe abstellte und eine Zigarettenpause einlegte.

Uns liegt es fern, das Verhalten des Mitarbeiters zu werten, also ob die Handlung fahrlässig oder grob fahrlässig war. Denn solche Fehler passieren häufig und sind von dem Unternehmen im Rahmen seiner Organisationshoheit zu berücksichtigen. Auch deshalb ist in der Anlage zum §9 BDSG der Einsatz einer Verschlüsselung gefordert, genauer gesagt verlangt Ziff.4 der Anlage zu § 9 BDSG Maßnahmen, die

gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)

Das Gesetz benennt als eine hierfür geeignete Maßnahme ausdrücklich

die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Wie sagt man so schön: „ein kurzer Blick ins Gesetz erleichtert die Rechtsfindung.“

Die fehlende Sensibilität

Dabei verhält es sich leider so, dass durch die Aussagen der Krankenhausleitung die Angelegenheit eher verschlimmert wird. Nach deren Aussage sei eine Verschlüsselung vor dem Datendesaster nicht erforderlich gewesen, da die Bänder nicht einfach ausgelesen werden können. Gleichzeitig wird auf eine erstatte Strafanzeige verwiesen. Naja, liebe Krankenhausleitung, entweder habt Ihr vielleicht Glück und die Bänder wurden im Rahmen der vorliegenden fehlenden Datenschutzsensibilität einfach im Müll entsorgt, denn wenn es einem Dieb gerade auf die Bänder und die Daten ankam, wird er diese sicher auch unter Einsatz einfacher technischer Mittel auslesen können.

Wie geht es weiter

Die spannendste Frage ist sicherlich, wo sind die abhandengekommen Daten und wie erhält das Krankenhaus diese zurück. In der Mitteilung heißt es zu den getroffenen Maßnahmen recht lapidar:

Getroffene Maßnahmen:
Strafanzeige gegen Unbekannt wurde erstattet. Maßnahmen zur Wiedererlangung der Ba?nder, sowie zur Verhinderung eines Wiederholungsfalles sind in die Wege geleitet. Die zusta?ndige Aufsichtsbeho?rde ist informiert.

Das klingt ein wenig unbefriedigend und hilflos, und was Kindern schon anerzogen wird: „Was weg ist, ist weg. Bedauerlicherweise geht es vorliegend jedoch nicht um leicht ersetzbares Kinderspielzeug, sondern sensible Gesundheitsdaten mit Bedeutung für den Betroffenen.

Fazit

Unternehmen und vor allem die IT-Abteilung sollten bei dem Transport von Daten sensibilisiert sein. Dieses sollte zudem im Rahmen von Schulungen an die Mitarbeiter weitgegeben werden und zwar bevor das Kind in den Brunnen gefallen ist. Datenschutz und IT-Sicherheit sind eben nicht nur „JaJa, Datenschutz BlaBla“, sondern dienen unmittelbar dem Betrieb eines Unternehmens und stellt einen Wirtschaftsfaktor dar. Nur wenn ein Unternehmen diese beiden Aspekte auch hinreichend berücksichtigt und hierfür auch investiert, werden unternehmenskritische Schäden ausgeschlossen und Risiken minimiert.

Helfen kann Ihnen hierbei Ihr betrieblicher Datenschutzbeauftragter, im Rahmen von Schulungen, praktischen Hinweisen und Verfahrensanleitungen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.