Personenbezogene Daten nach Art. 5 Abs. 1 Buchstabe d) DSGVO müssen „sachlich richtig und […] auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)“. Diese Vorgabe gilt auch für das personenbezogene Datum über den physischen Vitalzustand einer Person („leben“ oder „verstorben“).
Ende Juli 2019 fand sich in einer Thüringer Tageszeitung ein Artikel mit der Überschrift „Verschollen im […] Klinikum“. Diese Schlagzeile veranlasste den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), dem Sachverhalt nachzugehen.
Gesundheitsdaten gehören nach Art. 9 Abs. 2 Datenschutz-Grundverordnung (DSGVO) zu den sogenannten besonderen Datenkategorien, die einem erhöhten Schutz unterliegen. Dies gilt auch und ganz besonders für den Umgang mit digitalen Patientenakten im elektronischen Krankenhausinformationssystem (KIS). Ein datenschutzkonformes Rollen- und Rechtekonzept für Zugriffe von Krankenhausmitarbeitern auf Patientenakten muss technisch so gestaltet sein, dass jeder Mitarbeiter nur über Zugriffsrechte für „seinen“ medizinischen Anwenderbereich (beispielsweise „Pflege“) in seinem eigenen klinischen Fachbereich beziehungsweise auf „seiner“ Station verfügt. Die Orientierungshilfe Krankenhausinformationssystem der Arbeitskreise Gesundheit und Soziales sowie technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder enthält klare Regeln über die Rollen- und Rechtekonzepte für den Zugriff auf Patientendaten im KIS, die datenschutzrechtlich zwingend einzuhalten sind. Nach Art. 32 DSGVO muss der Verantwortliche alle technischen und organisatorischen Maßnahmen ergreifen, um ein angemessenes Schutzniveau bei der Verarbeitung von personenbezogenen (Gesundheits-)Daten zu gewährleisten.
Durch das Ereignis, das sich hinter der Zeitungsschlagzeile vom Juli 2019 verbarg, wurde deutlich, dass diese technischen und organisatorischen Maßnahmen im in Rede stehenden Krankenhaus nicht ausreichend waren, um die Integrität von Patientendaten zu wahren beziehungsweise zu schützen. Besonders bei Daten von Patienten, die keine Angehörigen (mehr) haben, sondern einen gesetzlichen Betreuer oder bei Patienten, die aus einem Seniorenheim ins Klinikum eingeliefert werden, ist dieser Aspekt aus Sicht des Datenschutzes besonders kritisch.
Im Mai 2019 war der Bewohner eines Seniorenheims aufgrund von Herzbeschwerden in das Klinikum eingeliefert worden. Bereits im Seniorenheim war der Patient regelmäßig physiotherapeutisch betreut worden. Sofern es der gesundheitliche Zustand des Patienten zuließ, sollte die Physiotherapie auch im Klinikum fortgesetzt werden. Daher begab sich die Physiotherapeutin nach vier Tagen ins Klinikum, um sich nach dem Gesundheitszustand des Patienten zu erkundigen. Im Klinikum wurde ihr mitgeteilt, dass sich der Patient auf der kardiologischen Station befinde, aber gegenwärtig bei einer medizinischen Untersuchung sei. Die Physiotherapeutin gab diese Information an die Leiterin des Seniorenheims weiter. In den Folgetagen erkundigte sich die Leiterin des Seniorenheimes wiederholt im Klinikum nach dem gesundheitlichen Befinden des Heimbewohners, damit gegebenenfalls seine physiotherapeutische Behandlung fortgesetzt werden könnte. Jedoch erhielt die Leiterin des Seniorenheims bei jedem Anruf unterschiedliche und sich zum Teil widersprechende Auskünfte: der Patient befinde sich auf der kardiologischen Station, nehme aber gerade an einer Reha-Maßnahme teil, der Patient befinde sich jetzt auf der Diabetes-Station, aber es könne nicht gesagt werden, ob der Patient gerade im Zimmer ist, man wüsste nicht, auf welcher Station sich der Patient zur Zeit befinde… Schlussendlich erhielt die Leiterin des Seniorenheims die Auskunft, dass sich ein Patient des genannten Namens gar nicht im Klinikum befände. Daraufhin erstattete die Heimleiterin eine Vermisstenanzeige bei der Polizei. Auf Nachfrage im Klinikum erhielt die Polizei die Auskunft, dass sich der Patient auf der Diabetes-Station befinde.
Nach Art. 5 Abs. 1 Buchstabe d) DSGVO müssen personenbezogene Daten „sachlich richtig und […] auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)“. Zudem müssen personenbezogene Daten nach Art. 5 Abs. 1 Buchstabe f) DSGVO „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“. Der Verantwortliche ist für die Einhaltung dieser Vorgaben verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“), Art. 5 Abs. 2 DSGVO.
Ganz offensichtlich waren die personenbezogenen Daten des Patienten im vorliegenden Fall jedoch nicht richtig und wurden durch das Klinikum auch nicht berichtigt. Daher nahm der TLfDI den eingangs erwähnten Zeitungsartikel im Juli 2019 zum Anlass und wandte sich mit einem Auskunftsersuchen an das Klinikum, um den tatsächlichen Zustand beziehungsweise den Verbleib des Patienten zu erfahren. Hierbei stellte sich heraus, dass der Patient zu den Zeitpunkten der vom Klinikum erteilten Auskünfte bereits verstorben und in die Pathologie gebracht worden war. Der TLfDI stellte fest, dass das KIS zur Verwaltung von Patienten- und medizinischen Daten korrekt funktionierte und die fehlerhaften Auskünfte des Klinikums zum Verbleib des Patienten insofern nicht auf falschen Informationen der technischen Systeme beruhten.
Für die Auskunftserteilung gegenüber Angehörigen von Patienten des Klinikums steht den Klinikmitarbeitern eine sogenannte digitale „Pförtnerliste“ zur Verfügung. Wird die Liste über den Namenseintrag und das Geburtsdatum des nachgefragten Patienten aufgerufen, so werden die Station, das Zimmer und der Vitalzustand des Patienten angezeigt. Im vorliegenden Fall war für den Patienten in der Pförtnerliste richtig vermerkt „am 24. Mai 2019 verstorben“. Dennoch erteilten verschiedene Klinikmitarbeiter zu verschiedenen späteren Zeitpunkten die Auskunft, dass sich der Patient auf der kardiologischen Station im Klinikum befinde. Hieraus ergab sich die Vermutung, dass der Patient in der Pathologie vom Personal des Klinikums schlicht „vergessen“ wurde. Im Hinblick auf die Mitteilung des Klinikums gegenüber der Polizei legte das Klinikum dar, dass es sich bei der Information, dass der Patient auf der Diabetesstation liege, um eine namentliche Patientenverwechslung handelte, da ein Patient mit gleichem Namen zu dieser Zeit im Klinikum behandelt wurde.
Durch den Vorfall wurde deutlich, dass das Klinikum nicht über ausreichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO verfügt, um die Integrität von Patientendaten zu schützen. Dies bezieht sich insbesondere auf Daten von Patienten, die keine Angehörigen haben, sondern einen gesetzlichen Betreuer beziehungsweise Patienten, die aus einem Seniorenheim ins Klinikum eingeliefert werden. Auf Nachfrage des TLfDI teilte die Datenschutzbeauftragte des Klinikums mit, dass es keine allgemeine Richtlinie oder Dienstanweisung im Klinikum gibt, wie in solchen Fällen zu verfahren ist, das heißt, an wen welche Informationen weitergegeben werden. Der TLfDI hielt eine solche Richtlinie aus Datenschutzgründen jedoch für zwingend erforderlich, um derartige Vorfälle in Zukunft zu vermeiden und für alle Klinikmitarbeiter eindeutige Handlungsvorgaben festzulegen. Zudem ist aufgrund der Altersstruktur unserer Gesellschaft davon auszugehen, dass derartige Fälle häufiger vorkommen können. Daher forderte der TLfDI das Klinikum auf, eine entsprechende Richtlinie gemäß den Vorgaben von Art. 32 Abs. 1 DSGVO zu erstellen und dem TLfDI zu übersenden. Dies erfolgte schließlich im Mai 2020.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks