Nur grob zerrissen waren die Patientendaten, die im Papiermüll einer Lüner Arztpraxis gefunden wurden. Der Fall sorgt für Aufsehen. Der Schutz von Gesundheitsdaten hat in der Datenschutz-Grundverordnung (DS-GVO) einen besonders hohen Stellenwert. Die Datenpanne muss der Aufsichtsbehörde möglichst binnen 72 Stunden gemeldet werden.
Das gilt zumindest immer dann, wenn das Risiko für die Rechte und Freiheiten Betroffener mehr als gering bewertet wird. Im Lüner Fall „dürfte eine Meldepflicht des Verantwortlichen gegeben sein“, teilt die Pressestelle der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) auf Nachfrage der Redaktion mit. Auch am siebten Tag nach dem Fund einer anonymen Hinweisgeberin war das nicht geschehen. „Uns liegt bislang keine entsprechende Mitteilung eines Arztes aus Lünen vor. Auch sind bis jetzt keine Beschwerden eingegangen, die auf den Sachverhalt hinweisen“, heißt es aus der LDI-Pressestelle am 9. Juli.
Sieben Tage vorher, am 2. Juli, hatte eine Lünerin abends die Datenpanne in dem öffentlich zugänglichen Papiermüll unweit der Arztpraxis entdeckt. Über den anonymen Briefkasten wandte sie sich an die Redaktion. Am nächsten Morgen fanden sich dort noch Schnipsel von 144 Namen, Rezepten, Krankschreibungen und Untersuchungsergebnissen. Auch ein Entlassbrief aus dem Lüner St. Marien Hospital mit Name, Adresse, Geburtsdatum und Diagnose war dabei.
Der betroffene Arzt reagierte auf Nachfrage der Redaktion am 3. Juli überrascht. Üblicherweise würden die Daten vor der Entsorgung geschreddert. Er wollte bei seinen Mitarbeitern nachhören. Vielleicht habe ein Praktikant das nicht bedacht. Drei Stunden, nachdem die Redaktion den Arzt auf die Daten im Müll hingewiesen hatte, lagen sie immer noch dort.
Der Arzt hatte gegenüber der Redaktion angekündigt, einen Anwalt einzuschalten und gerichtlich gegen eine Berichterstattung vorzugehen.
Bei Hinweisen Fall aufgreifen
Sobald der Schutz von personenbezogenen Daten nicht eingehalten wird, greifen Regeln der Datenschutzgrundverordnung. In jedem Fall muss der Verantwortliche die Datenpanne intern dokumentieren, damit die NRW-Datenschutzbeauftragte als zuständige Aufsichtsbehörde den Sachverhalt und die getroffenen Maßnahmen später nachvollziehen kann.
Nach Artikel 33 DS-GVO steht dann je nach Einschätzung des Risikos der Verletzung der Rechte und Freiheiten Betroffener die Meldung an die Behörde an. Geht von der Verletzung ein voraussichtlich hohes Risiko aus, muss der Verantwortliche zusätzlich die betroffenen Personen darüber informieren.
Aufgrund der nur halbherzig zerrissenen Patientendaten im Müll wurden laut LDI-Pressestelle „zudem keine ausreichenden Maßnahmen getroffen, die die Sicherheit dieser Daten gewährleisten (sog. TOM, technisch-organisatorische Maßnahmen).“ Aus Sicht der Pressestelle sei bereits ein Verletzungserfolg eingetreten „und aufgrund der Art der Daten ist wahrscheinlich ein mehr als nur geringes Risiko für die Betroffenen gegeben.“
Wie es aus Düsseldorf weiter heißt, wolle die LDI bei konkreten Hinweisen den Lüner Fall aufgreifen: „Sollten Betroffene von einer Datenpanne erfahren haben und Zweifel daran haben, dass die Stelle, wo es zur Datenpanne kam, ihren Pflichten nachgekommen ist, können sie dies der LDI NRW als Beschwerde mitteilen.
Risikoeinschätzung
Die LDI-Pressestelle erklärt darüber hinaus: „Für eine abschließende Risikoeinschätzung im vorliegenden Fall wären jedoch weitere Informationen erforderlich.“ Der Verantwortliche habe die Patientenunterlagen in jedem Fall sachgerecht zu entsorgen. Grob zerreißen sei zur sicheren Vernichtung der Daten nicht geeignet, teilt die Pressestelle mit.
Anonymer Briefkasten
Viele Missstände in Behörden, Firmen und Vereinen bleiben unentdeckt, weil sich niemand an die Öffentlichkeit traut. Das wollen wir ändern, mit einem anonymen Briefkasten (www.ruhrnachrichten.de/anonymer-briefkasten).
In diesem Briefkasten können Sie uns Ihre Hinweise und Informationen zukommen lassen. Sie können geheime Dokumente, Verträge, Fotos und Videos, die auf Missstände aufmerksam machen, hier hochladen. Wir werden Ihren Anregungen nachgehen. Dabei behandeln wir Ihre Informationen und Dokumente absolut vertraulich.
Der Schutz unserer Quellen hat für uns höchste Priorität. Wenn Sie möchten, dass wir Sie für Rückfragen kontaktieren können, tragen Sie ihre Mail-Adresse oder ihre Telefonnummer in das Formular ein.
