Dass Daten bei der Verarbeitung „sachlich richtig und […] auf dem neusten Stand“ sein müssen, zeigt ein Fall aus einem Thüringer Klinikum, der in dem Tätigkeitsbericht für das Jahr 2020 des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse, erörtert wird.
Was ist vorgefallen?
Ein Bewohner eines Seniorenheims wurde regelmäßig physiotherapeutisch behandelt. Aufgrund von Beschwerden wurde dieser Bewohner in ein Klinikum eingeliefert. Im Klinikum sollte die Physiotherapie jedoch weiter stattfinden. Die zuständige Physiotherapeutin erkundigte sich also im Klinikum nach dem Zustand des Bewohners und gab die Information über den Aufenthalt des Bewohners auf der kardiologischen Station an die Leitung des Seniorenheims weiter.
In den nächsten Tagen erkundigte sich die Leitung des Seniorenheims regelmäßig nach dem Gesundheitszustand des Bewohners, damit die Physiotherapie fortgeführt werden konnte. Bei diesen Anrufen erhielt die Leitung verschiedene und sich teilweise widersprechende Informationen über den Verbleib und Aufenthalt des Bewohners (Reha-Maßnahme, Diabetes-Station etc.). Die dann folgende Information, dass sich der Bewohner gar nicht im Klinikum aufhalten würde, veranlasste die Leitung zur Erstattung einer Vermisstenanzeige bei der Polizei. Die Polizei erhielt wiederum die Auskunft, dass sich der Bewohner auf der Diabetes-Station befinden würde. Im Nachhinein stellt sich heraus, dass der Bewohner zum Zeitpunkt der erteilten Auskünfte bereits verstorben und in die Pathologie verbracht worden war.
Diese richtige Information ergab sich aus der sog. „digitalen Pförtnerliste“, mit welcher Klinikmitarbeitende Angehörigen von zu behandelnden Personen Auskunft über z. B. den Vitalzustand der zu behandelnden Person geben können. Dort war der Zeitpunkt des Ablebens des Bewohners korrekt verzeichnet. Nach Angabe des Klinikums gegenüber der Polizei hat es sich um eine „Patientenverwechslung“ gehandelt, da sich eine namensgleiche Person auf der Diabetesstation befunden hat.
Datenschutzrechtliche Einordnung
Im vorliegenden Fall ging es um sog. Gesundheitsdaten im Sinne des Art. 9 DSGVO. Diese Daten sind naturgemäß sehr sensibel und erfahren durch die DSGVO einen besonderen Schutz (grundsätzliches Verbot der Verarbeitung, nur mit Ausnahme gestattet). Auch hier gelten die Vorgaben des Art. 5 DSGVO:
[Personenbezogene Daten müssen…]:
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
Diese Vorgabe gilt nach dem TLfDI auch für das personenbezogene Datum über den physischen Vitalzustand einer Person („leben“ oder „verstorben“).
Grundsätzlich müssen diese Vorgaben im Berufsalltag Hand in Hand mit der Handhabung eines Rollen- und Berechtigungskonzeptes im Umgang mit digitalen Patientenakten im elektronischen Krankenhausinformationssystem (KIS) beachtet werden. Hierzu gibt es veröffentlichte Regelungen, die einzuhalten sind. Was passieren kann, wenn diese Regeln nicht eingehalten werden, zeigt ein anderes Beispiel.
Im vorliegenden Fall des „vermissten“ Patienten stellte der TLfDI fest, dass das KIS zur Verwaltung von Patienten- und medizinischen Daten korrekt funktionierte und die fehlerhaften Auskünfte des Klinikums nicht auf falschen Informationen der technischen Systeme beruhten. Trotzdem waren die Auskünfte – und damit die personenbezogenen Daten des Bewohners – nicht richtig. Dies bedeutet, dass die technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO nicht ausreichend waren, um die Integrität der personenbezogenen Patientendaten zu schützen.
Was war die Konsequenz?
Anlässlich dieses Vorfalles forderte der TLfDI das Klinikum auf, eine allgemeine Richtlinie bzw. Dienstanweisung zu verfassen, in welcher eindeutige Handlungsvorgaben für den Fall der Verarbeitung von zu behandelnden Personen ohne Angehörige bzw. mit gesetzlichen Betreuungspersonen enthalten sind. Diese Richtlinie wurde gemäß den Vorgaben des Art. 32 DSGVO erstellt und dem TLfDI übersandt.
Fazit
Die Verantwortung, Daten gem. Art. 5 DSGVO sachlich richtig zu verarbeiten trifft ein Klinikum bzw. eine verantwortliche Stelle auch dann, wenn die zu behandelnde Person verstorben ist. Auch wenn, wie in diesem Fall, das elektronischen Krankenhausinformationssystem (KIS) korrekt funktioniert hat, kann es an anderen Stellen innerhalb einer Organisationseinheit Verbesserungsbedarf geben, um Verwechslungen und falsche Auskünfte zu vermeiden.