Der Aschermittwoch stellt das Ende der Faschings- und den Beginn der 40-tägigen Fastenzeit dar. Für einige Thüringer Jecken kann die letzte Faschingszeit jedoch noch ein böses Nachspiel haben. Laut eines Berichtes des Focus sollen
„Beim Fasching in Dermbach (Wartburgkreis) […] zerschredderte Patientenakten als Konfetti unters Volk gebracht worden [sein]. Auf den nicht fachgerecht zerkleinerten Papierschnipseln seien personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen, sagte der Landesdatenschutzbeauftragte Lutz Hasse am Mittwoch und bestätigte entsprechende Medienberichte.
Eine Anwohnerin habe beim Straßenfegen nach dem Karnevalsumzug zerschredderte Patientenunterlagen gefunden, auf denen der Name ihrer Schwester erkennbar war. Hasse kündigte am Abend ein Verwaltungs-und Bußgeldverfahren wegen des Verstoßes gegen Datenschutzrecht an.“
Gesundheitsdaten sind besondere Arten personenbezogener Daten, deren Verarbeitung nur unter sehr engen Grenzen möglich ist. Zudem stehen diese Daten unter dem Schutz der ärztlichen Schweigepflicht (§ 203 StGB). Die Verwendung der zerkleinerten Akten als Konfetti im Karneval ist unter verschiedenen Aspekten rechtlich zu bewerten:
Verstoß gegen die ärztliche Schweigepflicht
Nehmen Personen von den der ärztlichen Schweigepflicht unterliegenden Daten Kenntnis, ohne, dass es eine entsprechende Offenbarungsbefugnis, z.B. in Form der Entbindung von der Schweigepflicht durch den Patienten, gibt, kann hierin eine Strafbarkeit nach § 203 StGB liegen. Die Indizien aus dem Artikel sprechen für eine entsprechende Strafbarkeit. Bereits der Umstand, dass eine Person Patient einer Gesundheitseinrichtung ist, wird von § 203 StGB geschützt.
Unzulässig Datenübermittlung?
In Betracht käme ferner ein Datenschutzverstoß, wegen einer unzulässigen Datenübermittlung.
Übermitteln ist nach § 3 Abs. 4 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
- a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft
Eine Datenübermittlung dürfte nicht vorliegen. Die Daten wurden nicht zielgerichtet an den Dritten weitergegeben oder zur Einsicht/ zum Abruf bereitgehalten.
Unzulässig Datennutzung?
Denkbar wäre auch ein Datenschutzverstoß, wegen einer unzulässigen Datennutzung.
Nutzen ist nach § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
Die Datennutzung ist als Auffangtatbestand immer dann einschlägig, wenn die sonstigen Verarbeitungsformen des Datenschutzrechts nicht zum Tragen kommen. Das wäre vorliegend der Fall. Unzulässig ist die Datennutzung, wenn Sie weder von einer gesetzlichen Grundlage (z.B. Gesetz oder Rechtsverordnung) oder durch die Einwilligung des Betroffenen erlaubt ist (sog. Verbot mit Erlaubnisvorbehalt). Eine entsprechende gesetzliche Regelung existiert nicht. Ebenso wenig kann von einer entsprechenden Einwilligung ausgegangen werden.
Verstoß gegen den Löschungsgrundsatz?
Patientendaten sind zu löschen, wenn der Zweck, zu dem Sie verarbeitet wurden weggefallen ist und keine Aufbewahrungsfristen bestehen. Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. Welche Anforderungen an eine Löschung bzw. Vernichtung von Daten gestellt werden, richtet sich nach der DIN 66399. Aufgrund der Einstufung der Patientendaten als besonders sensible Daten, ergibt sich als Mindeststufe P-4 (Materialteilchenfläche ≤ 160 mm2 und für regelmäßige Partikel: Streifenbreite ≤ 6 mm, z.B. Partikel 4 x 40 mm.
Unzulässige Auftragsdatenverarbeitung?
Sofern das Krankenhaus einen externen Dienstleister mit der Vernichtung der Unterlagen betraut hat, stellt sich ferner die Frage, ob dies überhaupt möglich war. Nach § 27b Thüringer Krankenhausgesetz ist dies nur im Einzelfall möglich, wenn sonst Störungen im Betriebsablauf nicht vermieden können. In diesem Fall muss die Einhaltung der ärztlichen Schweigepflicht sichergestellt sein und die Auslagerung rechtzeitig vor Auftragserteilung unter Darstellung von Art, Umfang und den getroffenen technische-organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde schriftlich angezeigt werden.