Datenschutzverletzungen in Krankenhäusern sind ein ernstes Problem, denn diese können das Vertrauen in den Umgang mit sensiblen Gesundheitsdaten erheblich beeinträchtigen (wir berichteten). Jüngste Fälle der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (LDA Brandenburg | Tätigkeitsbericht für das Jahr 2023, S. 56 f.) zeigen, dass es trotz Datenschutzschulungen und -richtlinien immer wieder zu sogenannten Mitarbeiterexzessen kommt, bei denen Beschäftigte aus Neugier ohne dienstlichen Grund auf Patientendaten zugreifen.
Fallbeispiel 1: Unbefugter Zugriff auf Operationsdaten
Ein besonders gravierender Fall wurde von einer Beschäftigten eines Krankenhauses an die LDA Brandenburg gemeldet. Die Beschäftigte war selbst auch als Patientin in diesem Krankenhaus behandelt worden. Sie stellte fest, dass ihre Kolleginnen und Kollegen wiederholt ohne einen dienstlichen Grund auf ihre eigene Patientenakte zugegriffen hatten, die in einem elektronischen Krankenhausinformationssystem gespeichert war. Diese Zugriffe erfolgten aus privatem Interesse, um sich über ihren Krankheitsverlauf zu informieren. Ermittlungen ergaben, dass insgesamt fünf Beschäftigte unbefugt auf die Patientenakte der betroffenen Beschäftigten zugegriffen hatten.
Fallbeispiel 2: Unbefugter Zugriff auf Operationsdaten
Ein ähnlicher Vorfall wurde aus einem Krankenhaus gemeldet, in dem eine Mitarbeiterin aus Neugier den Verlauf einer Operation einer Kollegin einsehen wollte und dazu – ohne sachlichen Grund – deren Patientenakte abrief. Auch in diesem Fall wurden besonders geschützte Gesundheitsdaten wie Arztbriefe, Laborergebnisse und Berichte über Behandlungen und Operationen unbefugt eingesehen.
Rechtsgrundlage
Diese Zugriffe sind nicht durch Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO in Verbindung mit § 28 Abs. 1 des Brandenburgischen Krankenhausentwicklungsgesetzes (BbgKHEG) gerechtfertigt. Gemäß § 28 Abs. 1 Nr. 1 BbgKHEG dürfen Patientendaten nur verarbeitet werden, soweit dies zur Behandlung und notwendigen Dokumentation erforderlich ist. Da die betreffenden Beschäftigten weder mit der Behandlung noch mit der Abrechnung der Patientinnen betraut waren, sondern ausschließlich aus privatem Interesse handelten, verstießen sie gegen das Datenschutzrecht.
Obwohl beide Krankenhäuser angaben, ihre Mitarbeiter im Datenschutzrecht geschult zu haben und entsprechende Dienstanweisungen zum Datenschutz vorlagen, kam es dennoch zu diesen Vorfällen.
Meldepflicht und Bußgeldverfahren
Im Berichtszeitraum verzeichnete das LDA Brandenburg eine auffällige Zunahme von Mitarbeiterexzessen – also Fällen, in denen Mitarbeiter dienstliche Auskunftssysteme aus privaten Gründen und ohne sachlichen Anlass nutzten.
Krankenhäuser sind verpflichtet, solche Exzesse gemäß Art. 33 DSGVO der zuständigen Landesdatenschutzbeauftragten zu melden. Bei Nichtbeachtung drohen Bußgeldverfahren nach Art. 83 Abs. 4 lit. a DSGVO. In den geschilderten Fällen wurden die Rechtsverstöße den einzelnen Beschäftigten zugerechnet, nicht den Krankenhäusern als datenschutzrechtlich Verantwortliche. Die Besonderheit: Beschäftigte, die sich auf diese Weise verhalten, werden selbst zu Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO, da sie eigene Zwecke für eigene Handlungen bestimmen und sich damit zum Verantwortlichen gemacht haben. Das Bußgeldverfahren wird dann gegen den einzelnen Beschäftigten geführt, wenn er als eigener Verantwortlicher im Exzess gehandelt hat. Daher setzte das LDA Brandenburg gegen die betreffenden Mitarbeiter Bußgelder in jeweils dreistelliger Höhe fest, die von den Betroffenen akzeptiert wurden.
Und nun – was können Krankenhäuser unternehmen?
Solche Verstöße können das Vertrauen in die Rechtmäßigkeit des Umgangs mit Gesundheitsdaten erheblich beeinträchtigen. Sie schaden dadurch mittelbar auch den Krankenhäusern bzw. deren Trägern. Gerade im Gesundheitsbereich ist das Vertrauen der Patientinnen und Patienten in die pflichtbewusste Datenverarbeitung und -verwaltung von besonderer Bedeutung.
Die aufgezeigten Fälle verdeutlichen die Notwendigkeit, die Krankenhausbeschäftigten kontinuierlich in datenschutzrechtlichen Belangen zu schulen und effektive organisatorische Maßnahmen – etwa, dass möglichst wenige Personen Zugangsrechte erhalten – einzuführen. An dieser Stelle weisen wir gerne auf unser eLearning Angebot hin. Mit dem Kurs „Datenschutz im Krankenhaus“ können Sie Ihre Mitarbeitenden ganz einfach schulen. Zusätzlich zu Schulungsmaßnahmen ist ein Berechtigungskonzept, nach dem die Beschäftigten nur auf solche Daten zugreifen können, die für ihre Tätigkeit tatsächlich erforderlich sind, sehr wirksam. Exzesse der Beschäftigten können nicht vollständig ausgeschlossen werden, aber durch geeignete Maßnahmen zumindest reduziert oder eingeschränkt werden. Zur Vorbeugung weiterer Fälle dieser Art, bot eines der Krankenhäuser an, die Patientenakten von Beschäftigten auf deren Wunsch unter einem fiktiven Namen zu führen, um künftige Missbrauchsfälle zu vermeiden. Gut dokumentierte Weisungen und regelmäßige Überprüfungen zeigen der Aufsichtsbehörde, dass das Unternehmen bzw. die Einrichtung alles Erforderliche getan hat, um einen solchen Vorfall zu verhindern.