Medizinisches Versagen im Datenschutz: der Mensch, die so gar nicht perfekte Maschine

Thomas Reisinger | 02.February 2020

Flupps da geht mal schnell die Krankengeschichte des HIV-Patienten an eine falsche Person. Keiner hats gesehen, alles wird sofort vernichtet (vielleicht) und der Arbeitsalltag geht weiter. Laut Deutschlands Aufsichtsbehörden sind Datenpannen wie diese im Gesundheitswesen flächendeckend verbreitet. Verantwortlich dafür ist nach - Einschätzung der Aufsichtsbehörden - ACHTUNG; nicht das Coronavirus, sondern - und das ist für uns alle jetzt eine große Überraschung - menschliches Versagen. Die Standard-Therapie in so einem Fall, scheint für die Aufsichtsbehörden ein alles andere als homöopathisches Bußgeld zu sein ;)

Datenflüsse im Gesundheitswesen sind sehr komplex: Es gilt Proben zu entnehmen, Befunde zu erheben, Diagnosen zu erstellen und Behandlungsmittel zu verschreiben. Dass damit eine große Anzahl an Datenverarbeitungen und -transfers einhergeht ist offensichtlich und "wo gehobelt wird, fallen bekanntermaßen Späne." Dass sich innerhalb dieses hochkomplexen Apparats also Datenpannen ereignen ist - um einen medizinischen Term zu verwenden - endemisch. Dennoch ist es durchaus besorgniserregend in welchem Ausmaß sich solche Datenpannen ereignen, wie eine durch den NDR durchgeführte Umfrage offenbart hat. Befragt wurden hierbei Datenschutzbehörden in der gesamten Bundesrepublik. Bundesweit wurden hier rund 850 Datenpannen festgestellt. Obgleich eine allgemeine Meldepflicht hinsichtlich solcher Datenpannen (Data Breach Notification) gilt, gehen die meisten Aufsichtsbehörden davon aus, dass diese in vielen Fällen nicht eingehalten wird, sondern man diese Datenpannen verschweigt.

Die Annahme, dass viele Datenpannen, welche sich innerhalb des Gesundheitswesens als solchem ereignen (zB von Klinik zu Labor) nicht gemeldet werden ist durchaus naheliegend. Motive können hierbei einerseits die Angst davor sein in das Radar der Aufsichtsbehörden zu gelangen, andererseits auch schlicht die Tatsache, dass der enge Arbeitsalltag hier eine Mehrbelastung in Form einer fristgerechten Meldung an die Behörde nicht zulässt. Anders verhält es sich hingegen, wenn der Empfänger nicht Teil des Gesundheitswesens selbst ist (zB wenn einer Privatperson Unterlagen über jemand anderen geschickt werden). In diesen Fällen ist - aufgrund der persönlichen Betroffenheit - die Wahrscheinlichkeit einer Meldung deutlich höher. Die Vermutung der Aufsichtsbehörden, dass die Dunkelziffer deutlich höher ist, ist somit durchaus wahrscheinlich.

Aus der vom NDR durchgeführten Umfrage geht hervor, dass sich Datenpannen durch das komplette Gesundheitswesen ziehen und sowohl in Laboren, und Kliniken als auch in Abrechnungsstellen, usw ereignen. Die häufigste Art von Datenpanne ist dabei, dass Patientenunterlagen an den falschen Empfänger verschickt werden. Ursächlich für solche Datenpannen seien laut Meinung der Aufsichtsbehörden meistens keine systemischen Fehler, sondern menschliches Versagen in Form von falscher Adressierung oder aber Tippfehler. Verantwortliche im Gesundheitsbereich sind daher gut beraten, wenn sie neben den allgemeinen Verpflichtungen, welche die DSGVO mit sich bringt, einen besonderen Fokus auf Mitarbeiter-Schulungen machen, sodass gerade diese Fehlerquelle reduziert wird.

Hinsichtlich der Frage wie durch die Behörden hier gegengesteuert werden kann vertreten manche den Standpunkt, dass es nun indiziert sei im Gesundheitswesen entsprechend empfindliche Geldbußen zu verhängen, sodass hier die notwendige Awareness bei den Verantwortlichen geschaffen wird. Eines dieser Exempel könnte über kurz oder lang dieHamburger Asklepios-Klinik werden, bei welcher sich bereits mehrere Datenpannen in relativ kurzem zeitlichen Abstand ereignet haben und die zur Zeit Gegenstand eines Ermittlungsverfahrens ist.

Links zum Artikel

Bericht (datenschutz.org)
Bericht (NRD)

---