Datenpanne in zwei Kliniken
Gleich in zwei Kliniken in Baden-Württemberg sind im September 2012 hochsensible Patientendaten verschwunden.
Anscheinend sind zur Archivierung vorgesehene Sicherungsmedien von einer nicht bekannten Person entwendet worden.
Neben detaillierten Patientendaten, sind auch Befunde und ärztliche Schriftwechsel davon betroffen.
Das Klinikum Mittelbaden hat den Datenverlust in der Tageszeitung „Die Welt“, in der Ausgabe vom 12.10.2012 bekanntgegeben.
Ebenso wurde der Landesdatenschutzbeauftragte Baden-Württemberg informiert.
Dieser geht davon aus, dass Datensätze im sechsstelligen Bereich entwendet wurden.
Das Bundesdatenschutzgesetz und die Informationspflicht bei Datenpannen:
Bei gravierendem Datenverlust sieht der §42a BDSG (Bundesdatenschutzgesetz) eine „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ vor.
Die Informationspflicht gilt unter anderem bei „Besonderen Arten von personenbezogenen Daten“, zu diesen Daten zählen auch Gesundheitsdaten.
Neben den Aufsichtsbehörden sind auch die Betroffenen über den Datenverlust zu informieren.
Falls die persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, etwa weil eine große Anzahl betroffen ist, muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen, oder durch eine andere gleich geeignete Maßnahmen.
Anmerkung:
Dieser Fall zeigt einmal wieder, wie wichtig technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes sind.
Diese Maßnahmen regeln unter anderem, wer wann und wo Zutritt hat.
Durch eine solche Regelung kann der Personenkreis, der zum Beispiel Zugang zu Serverräumen hat, stark eingeschränkt werden. Dies erschwert dem Angreifer das Entwenden, denn er gerät dann sofort in den Kreis der verdächtigen Personen.
Michael Bätzler
TÜV Datenschutz Auditor und externer Datenschutzbeauftragter