Das Interdiözesane Datenschutzgericht ist zuständig für die Überprüfung von Entscheidungen der katholischen Datenschutzaufsichten. Viele Fälle wurden bislang nicht verhandelt oder zumindest veröffentlich. Umso mehr finden die publik gewordenen Entscheidungen Beachtung.
Der aktuelle Fall behandelt eine Datenpanne in einem katholischen Krankenhaus. Dieses verschickt seine Rechnungen und weitere Unterlagen an privatversicherte Patienten in Papierform. Ein Sachbearbeiter druckt alle Unterlagen aus und steckt diese in einen Briefumschlag. Ein Vorgang der so wohl unzähligen Male pro Tag in jedem Krankenhaus oder Abrechnungsstelle erfolgt. Allein in diesem Krankenhaus werden rund 20.000 solcher Briefe im Jahr verschickt. Hierbei ist einer Sachbearbeiterin ein Fehler unterlaufen: Sowohl ein Entlassungsbericht als auch eine Zahlungsaufforderung wurden an die falsche Person verschickt. Da hierbei sensible Gesundheitsdaten an eine unbefugte Person übermittelt wurden, hat das Krankenhaus diese Datenpanne bei der Aufsichtsbehörde gemeldet. Die Aufsichtsbehörde hat daraufhin ein Bußgeld in Höhe von 2.000 € gegen das Krankenhaus verhängt. Gegen dieses Bußgeld wurde Klage vor dem Interdiözesanen Datenschutzgericht erhoben. Die Entscheidung des Gerichts wurde hier veröffentlicht.
Diese Tatsachen an sich und auch der zugrundeliegende Vorfall sind nicht übermäßig interessant oder außergewöhnlich. Die Argumentation der Aufsichtsbehörde ist dafür an einigen Stellen umso bemerkenswerter. Welche der fünf katholischen Aufsichtsbehörden das Bußgeld erteilt hat, ist bislang nicht bekannt.
Kurioses Verständnis des Gesetzes über den Kirchlichen Datenschutz (KDG)
Zunächst führt die Datenschutzaufsicht an, dass die Fahrlässigkeit der Mitarbeiterin dadurch begünstigt worden sei, dass entsprechende Regelungen im Verzeichnis von Verarbeitungstätigkeiten (VVT) gefehlt haben. Im Umkehrschluss scheint die Aufsichtsbehörde also davon auszugehen, dass dieser Fehler nicht passiert wäre, wenn eine genauere Verfahrensbeschreibung im VVT enthalten gewesen wäre. Das VVT, das nach § 31 KDG von jedem Verantwortlichen geführt werden muss, enthält aber keine konkreten Verfahrensanweisungen, sondern dokumentiert lediglich den Status-Quo einer Datenverarbeitung. Der Aufsichtsbehörden wird zwar nach § 1 Abs. 1 Durchführungsverordnung zum KDG (KDG-DVO) das Recht eingeräumt, ein VVT-Muster zu erstellen, welches dann den Mindeststandard abbildet. Von diesem Recht wurde auch Gebrauch gemacht. Entsprechende Textfelder, die die Dokumentation von Verfahrensanweisungen ermöglichen finden sich dort jedoch nicht.
Das VVT ist auch nicht den Mitarbeitenden zugänglich (zu machen). Nach § 1 Abs. 1 KDG-DVO hat der Verantwortliche das VVT lediglich dem betrieblichen Datenschutzbeauftragten und auf Anfrage der Datenschutzaufsicht zur Verfügung zu stellen.
Im Ergebnis muss somit festgehalten werden, dass selbst bei einer genaueren Verfahrensbeschreibung, die Wahrscheinlichkeit einer Datenschutzverletzungen unverändert ist.
Darüber hinaus stellt die Aufsichtsbehörde in ihrer Einlassung immer wieder dar, dass VVT und Datenschutz-Folgenabschätzung (DSFA) durch den/die Datenschutzbeauftragten durchzuführen sind. So wird immer wieder mitgeteilt, dass die Datenschutzbeauftragten des Krankenhauses das VVT ändern müsste. Nach § 31 KDG ist es jedoch Aufgabe des Verantwortlichen, dass VVT zu führen und auch bei der DSFA kommt der/dem Datenschutzbeauftragten nur eine beratende Rolle zu
Hohe Anforderungen an die Dokumentation der TOMs
Aus der Urteilsbegründung geht hervor, dass das Gericht dieses fehlerhafte Verständnis des VVT nicht teilt. Dennoch verlangt auch das Gericht, dass die technischen und organisatorischen Maßnahmen (TOMs) ausführlich im VVT dargestellt werden. Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend. Wenn selbst bei einer überschaubaren Datenverarbeitung solche Anforderungen gestellt und dokumentiert werden müssen:
„Eine Mitarbeitende tackert die Dokumente zusammen; eine weitere Mitarbeitende faltet die Dokumente und steckt diese in die Briefumschläge.“
Hier möchte man sich gar nicht ausmalen, welchen Umfang die Beschreibung einnehmen muss, wenn in einem Krankenhaus aus dem RIS/KIS eine Röntgenuntersuchung beauftragt wird, die entsprechenden Daten auf den Workinglist-Sever der Radiologie übertragen, dort vom Personal abgerufen, an die Untersuchungsapparate weitergeleitet, die Bilder auf einem Stand-Alone-PC durch den Chefarzt befundet und anschließend per HL7-MDM ins RIS/ KIS und ins PACS übertragen werden.
Der Aufwand bei der Führung des VVT wäre enorm. Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen. Allerdings ist zu beachten, dass es sich um die fast schon massenhafte Verarbeitung von besonders schützenswerten Gesundheitsdaten handelt (20.000 Briefe im Jahr). Eine Aussage dazu, wie detailliert die Maßnahmen bei der gewöhnlichen Verarbeitung von weniger schützenswerten Daten dokumentiert werden müssen, ist dem Urteil daher nicht zu entnehmen.
Das Gericht hat den Bußgeldbescheid übrigens vorerst aufgehoben. Die Aufsichtsbehörde muss den Sachverhalt nun neu bewerten.
12. November 2021 @ 14:52
Zu Ihrem Absatz „Hier möchte man sich gar nicht ausmalen, welchen Umfang die Beschreibung einnehmen muss, …“.
Natürlich muss aus einem VVT hervorgehen, welche Rollen im Prozess einer Verarbeitungstätigkeit die Daten wann zu sehen bekommen, zu welchem Zweck das geschieht, auf welcher Rechtsgrundlage das erfolgt, und welche TOMs aufgrund welcher Risikoeinschätzung eingerichtet wurden. Wenn das aus einem VVT-Eintrag nicht klar wird, dann taugt er nichts. In unserem Unternehmen wird zudem zu jeder etwas komplexeren Verarbeitungstätigkeit ein Prozess-Schaubild erstellt und ins VVT integriert, schon damit wir beim Review im nächsten Jahr selbst gleich wieder verstehen, worum es geht. Und da wir uns diese Erläuterungen selbstvertändlich von den Ausführenden der VT diktieren lassen (und nachfragen), begreifen sie auch selbst, was sie da eigentlich machen. Ein gutes, reichhaltiges VVT macht der Verantwortliche in erster Linie zu seinem eigenen Nutzen, damit er endlich (sic!) weiß, was in seinem Unternehmen/seiner Einrichtung verarbeitet wird und welche Risiken damit für ihn einher gehen. Eine Aufsicht, die das einfordert, sollten Sie nicht veralbern, sondern unterstützen.