Neben der klassischen Patientenakte gibt es im Krankenhaus auch noch weitere Bereiche, in denen auf den Schutz der Patientendaten geachtet werden muss. Auch bei Entsorgung von „Altglas“ kann es zu Datenschutzpannen kommen.
Vor dem 25.05.2018 war in Hessen eine Meldepflicht von Datenschutzvorfällen für Krankenhäuser, die dem HDSIG unterfallen, nicht vorgesehen. Mit dem Wirksamwerden der DS-GVO sind auch die hessischen Krankenhäuser, die im Krankenhausplan stehen, verpflichtet, gemäß Art. 33 DS-GVO selbstständig Datenschutzvorfälle zu melden. Der folgende Fall hat sich in einem hessischen Krankenhaus ereignet:
Der Datenschutzbeauftragte der Klinik wurde von einer Person darauf aufmerksam gemacht, dass ihr auf dem Klinikgelände ein überfüllter Altglascontainer aufgefallen sei. Bei dem Container handelte es sich um einen normalen Standardcontainer, wie er gewöhnlich von den Entsorgungsunternehmen zur Altglassammlung aufgestellt wird. In dem betreffenden Container entsorgte die Klinik Altglas, wie es unter anderem bei Infusionslösungsflaschen oder anderen Flüssigmedikamenten zum Einsatz kommt. Problematisch hierbei war, dass ein nicht unerheblicher Anteil dieser Glasbehälter mit einem zusätzlichen Etikett versehen war. Dieses Etikett enthielt zum Zeitpunkt des Vorfalls einen ausführlichen Datensatz des jeweils betroffenen Patienten mit:
- Patienten-Identifikationsnummer (PID)
- Name, Vorname
- Geburtsdatum
- Adresse
- Krankenversicherungsnummer
- Name der Krankenversicherung
- betroffene Krankenhausstation
- Name des behandelnden Arztes / der behandelnden Ärztin (teilweise)
Durch den offenen Aufbau des Containers war es mühelos möglich, die Daten von einigen Krankenhauspatienten und Krankenhausangestellten einzusehen und einzelne Flaschen zu entwenden.
Getroffene Maßnahmen
Nachdem die Klinik vom Sachverhalt erfahren hatte, hat sie den Vorfall umgehend nach Art. 33 DSGVO an die Aufsichtsbehörde gemeldet.
Um das Risiko der unbefugten Kenntnisnahme durch Dritte zu vermindern, wurden als Sofortmaßnahme die Container in einem abschließbaren Raum untergebracht. Dort sollten sie bis zur Abholung entsprechend unter Verschluss gehalten werden, so dass ausschließlich Mitarbeiter der Klinik und befugtes Personal Zugang haben. In einem weiteren Schritt hat die Klinik mit dem zuständigen Entsorgungsunternehmen vereinbart, dass die Container auch beim angesetztem Abholtermin nicht mehr öffentlich zugänglich sind.
Anschließend wurde geprüft, welche Daten im Hinblick auf die verwendeten Klebeetiketten für welchen Zweck zwingend erforderlich sind. Zudem wurde gleichzeitig kontrolliert, inwiefern Prozesse derart sinnvoll und verhältnismäßig umstrukturiert werden können, dass an einigen Stellen ggf. keine entsprechenden Daten bzw. Klebeetiketten mehr gebraucht werden.
Dabei stellte sich heraus, dass unter Beachtung des Art. 5 Abs. 1 c DSGVO an einer signifikanten Zahl von Verwendungsstellen auf einen Großteil der Daten verzichtet werden kann. Die Klinik hat sodann die Vorlagen für die zu verwendenden Klebeetiketten grundlegend überarbeitet und auf die verschiedenen Anwendungsbereiche spezifisch zugeschnittene Klebeetiketten mit entsprechend angepassten Datensätzen entwickelt.
Als weitere Sicherheitsmaßnahmen wurden die Entsorgungsprozesse angepasst, damit eine unbeabsichtigte Kenntnisnahme durch Dritte nicht weiter möglich ist. Dokumente bzw. Formulare, auf denen Etiketten verwendet werden, werden wie bisher datenschutzkonform nach Ablauf der gesetzlichen Aufbewahrungsfristen in die Aktenvernichtung eines zertifizierten Dienstleisters gegeben. Da es für entsprechende Medikamentenverpackungen (insbesondere Glas und Kunststoff) keine zertifizierten Entsorger im Sinne einer datenschutzkonformen Aktenvernichtung gibt und das Entfernen der Etiketten von etwaigen Medikamentenverpackungen kaum oder nur mit unverhältnismäßigen Aufwand möglich ist, wurden die Entsorgungsprozesse für derartige Verpackungen geändert. Diese werden nun an den verarbeitenden Stellen (Stationen der Klinik) gesammelt und täglich in verschlossenen Behältnissen in eine elektromechanische Müllpresse gegeben. Die abgeschlossene Müllpresse befindet sich auf dem Betriebsgelände der Kliniken und kann durch Dritte weder geöffnet noch anderweitig eingesehen werden. Diese Müllpresscontainer werden nach Abholung durch den Entsorger direkt in die abgeschlossene Vorkammer der Müllverbrennungsanlage (sog. Bunker) entleert, die aus Sicherheitsgründen zutrittsbeschränkt ist. Durch die Entleerung in den Bunker findet im ersten Schritt eine Durchmischung mit anderen Abfällen statt. Im zweiten Schritt wird der Inhalt des Bunkers kontinuierlich durch eine automatische Transportvorrichtung in die Brennkammer weitergeleitet, in der aufgrund der dort herrschenden enormen Temperaturen insbesondere die Etiketten und damit die personenbezogenen Daten unwiederbringlich vernichtet werden.
Fazit: Im vorliegenden Fall hat sich die Klinik nach vorbildlich verhalten und nach Kenntnis des Vorfalles sofort reagiert. In der Folge wurde ein Entsorgungsprozess für die Glasabfälle der Klinik geschaffen, der unter Beachtung von Art. 5 Abs. 1 f DSGVO das Risiko einer Kenntnisnahme der Patientendaten durch Dritte weitestgehend ausschließt.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks