Zurück zur Übersicht
27.01.2022

Patientenakten auf dem Friedhof

Im Fall einer „Datenpanne“ ist es hilfreich, wenn der Verantwortliche nachweislich alle organisatorischen und technischen Maßnahmen im Sinne von Art. 32 DSGVO umgesetzt hat, um den Schutz von (Patienten-)Daten umfassend zu gewährleisten.

Ende Juni 2020 meldete ein Thüringer Klinikum dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) eine Datenpanne der besonderen Art. Bei Aufräumarbeiten auf einem Friedhof wurden in einem Gebüsch Dokumente aus mehreren Patientenakten aufgefunden. Die Unterlagen waren ordentlich sortiert, mit Heftstreifen („Aktendullis“) zusammengeheftet und in eine Decke beziehungsweise ein Laken eingewickelt. Bei den Unterlagen handelte es sich um Stammdaten von Patienten (Name, Geburtsdatum et cetera), medizinische Befundunterlagen und Arztbriefe.

Im Rahmen eines Gesprächstermins und einer gemeinsamen Vor-OrtBegehung von Mitarbeitern des TLfDI, der Klinikleitung und des Datenschutzbeauftragten des Klinikums erfuhr der TLfDI, dass sämtliche aufgefundenen Unterlagen ursprünglich an das Klinikarchiv zur Aufnahme in die bereits dort befindlichen zugehörigen Patientenakten übergeben werden sollten. In der Form und Heftung, in der die Unterlagen auf dem Friedhof aufgefunden wurden, müssen sie sich ursprünglich auf der Station befunden haben, auf der die betroffenen Patienten sowohl stationär als auch ambulant behandelt worden waren. Von der Station sollten sie eigentlich durch das im Klinikum beschäftigte medizinische Personal ins Klinikarchiv, das sich im Keller des gleichen Gebäudes befindet, gebracht werden.

Behandlungsende für sämtliche aufgefundenen Aktenbestandteile der betroffenen Patienten war Juni/Juli 2019. Nach diesem Zeitpunkt befand sich keiner der betroffenen Patienten nochmals zur Behandlung im Klinikum. Somit müssten sich die Akten ab Juni/Juli 2019 bereits im Archiv befunden haben beziehungsweise auf dem Weg ins Archiv gewesen sein (Behandlungsstation, Postfächer und Archiv befinden sich im gleichen Gebäude). Sie konnten nur aus dem Postfach des medizinischen Personals auf der Behandlungsstation selbst und aus dem Postfach für das Patientenaktenarchiv im Kellerraum der Klinik abhandengekommen sein.

Aufgrund der Art der Aktenbestandteile und ihrer Auffindesituation war nicht von einem materiellen und/ oder kriminellen Hintergrund für das Entwenden der Aktenbestandteile auszugehen. Alle betroffenen Patienten wurden durch das Klinikum von dem Vorfall schriftlich gemäß Art. 34 Datenschutz-Grundverordnung (DSGVO) informiert; zudem wurde ihnen vom Klinikum ein Gespräch angeboten. Im Rahmen der Vor-Ort-Begehung mit Klinikleitung und Datenschutzbeauftragten erhielt der TLfDI ebenfalls umfassende Informationen über die technische und organisatorische Sicherung von Patientenunterlagen im Sinne von Art. 32 DSGVO. Hierzu wurde im Rahmen der Begehung Folgendes festgestellt:

Ohne klinikeigene elektronische Zutrittskarte, die nur das Klinikpersonal besitzt, war es von außen nicht möglich, in den Kellerraum zu gelangen, in dem sich die Klinikpostfächer befinden. Innerhalb des Gebäudes waren sämtliche Zugänge zum Kellerraum der Klinikpostfächer gesichert, so dass ein Betreten über die inneren Klinikbereiche durch unbefugte dritte Personen und/oder Patienten der Klink ebenfalls ausgeschlossen werden konnte.

Wenn die Behandlung der Patienten auf der Station beendet ist, wird die medizinische Dokumentation mit einem Arztbrief abgeschlossen und mit einem „Aktendulli“ zusammengeheftet. Sodann wird die geheftete Dokumentation von einer Stationsschwester persönlich in das Archivpostfach im Keller des Klinikgebäudes gebracht. Dieses Postfach wird zweimal täglich durch die Archivarin geleert und die Dokumente der bereits im Archiv befindlichen Patientenakte zugefügt beziehungsweise, wenn dies der erste stationäre Aufenthalt des Patienten war, wird ein neuer (roter) Papp-Archiveinband um die Dokumente angebracht und die Akte ins Archiv aufgenommen.

Infolge der im Gespräch und im Rahmen der Vor-Ort-Begehung erlangten Informationen stellte der TLfDI aus datenschutzrechtlicher Sicht fest, dass im Rahmen des organisatorischen Ablaufs der Postverteilung und Übergang von Patientenakten beziehungsweise deren Bestandteilen ins Klinikarchiv keine technischen und/ oder organisatorischen Sicherheitsdefizite bestanden haben. Die Patienten der Station, von der die aufgefundenen Bestandteile der Patientenakten stammten, werden auch im Gebäude regelmäßig vom Klinikpersonal begleitet und hatten daher keine Zugriffsmöglichkeit.

Aufgrund sämtlicher Informationen aus dem Gespräch mit der Klinikleitung und der Vor-Ort-Begehung war nicht plausibel nachvollziehbar, an welcher Stelle beziehungsweise auf welchem Wege die aufgefundenen Aktenbestandteile entwendet werden konnten. Von einem kriminellen und/oder materiellen Hintergrund war bei der Entwendung der aufgefundenen Aktenbestandteile nicht auszugehen. Da die organisatorischen und technischen Schutzvorgaben nach Art. 32 DSGVO ordnungsgemäß vorgegeben worden waren und sich der Sachverhalt nicht mehr weiter aufklären ließ, erschien die Verhängung eines Bußgeldes gegen das Klinikum nach Art. 83 DSGVO nicht angezeigt.

Quelle: LfDI Thüringen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks