ULD SH: Datenschutzlecks im Gesundheitssektor können teuer werden
Mit Pressemitteilung vom 25.04.2013 berichtet das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), die schleswig-holsteinische Datenschutzbehörde, von einem Verfahren gegen eine Hilfsorganisation für psychisch Kranke und deren IT-Dienstleister. In der Pressemitteilung heiß es:
„Anfang November 2011 wurde bekannt, dass im Internet etwa 3.600 Dokumente der Brücke Rendsburg-Eckernförde e. V. und von anderen Hilfsorganisationen für psychisch Kranke mit sensiblen Angaben von Patientinnen und Patienten im Internet technisch ungeschützt abgerufen werden konnten. Die Dokumente waren in einem für interne Zwecke genutzten System abgelegt, das über das Internet betrieben wurde. Die Dokumentenverzeichnisse waren nicht gegen einen Zugriff von Außen gesichert. Dienstleister für diesen Datendienst war die RebuS GmbH, eine hundertprozentige Tochter der Brücke Rendsburg-Eckernförde e. V.. Nach Einschaltung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wurde der Dienst abgestellt und das ULD begann die Ermittlungen, wie es zu diesem Datenleck kommen konnte.
Dabei ist das ULD auf ein unübersichtliches Konstrukt aus verschiedenen Partnern gestoßen, die an der Entwicklung und dem Betrieb des Dienstes beteiligt waren. Wer in dem Zusammenspiel dieser Stellen welche Aufgaben, Pflichten und Befugnisse hatte, war nicht geregelt. Mangels Dokumentation konnten wesentliche Schritte der Administration des Dienstes nicht mehr nachvollzogen werden. So konnten Brücke und RebuS nicht aufklären, ob für die Dokumentenablage in dem Dienst, der seit dem Jahr 2002 betrieben wurde, jemals ein wirksamer Zugriffsschutz bestanden hat.
Nun hat das ULD Bußgelder gegen die RebuS GmbH in Höhe von 30.000 Euro und gegen den Brücke Rendsburg-Eckernförde e. V. in Höhe von 70.000 Euro verhängt. Die Bußgeldbescheide sind bisher nicht rechtskräftig.
Thilo Weichert, Leiter des ULD: „Die Veröffentlichung der psychiatrischen Unterlagen stellten eine massive Verletzung der Vertraulichkeit dar, die die behandelten Personen berechtigterweise von den Hilfsorganisationen erwarten. Wir mussten mit Erschrecken feststellen, dass die verantwortlichen Stellen in der ganzen über ein Jahr dauernden Auseinandersetzung sich nicht über die Bedeutung des Unterlassens der nötigen technisch-organisatorischen Sicherungen und der Kontrolle im Rahmen der Auftragsdatenverarbeitung einsichtig zeigten. Zwar wurde umgehend das konkrete Datenleck geschlossen, doch bis heute wurde kein Konzept für ein valides Datenschutzmanagement vorgelegt." (abrufbar unter: https://www.datenschutzzentrum.de/presse/20130425-bussgeld-bruecke-rebus.htm)
Die Entscheidung zeigt, wie wichtige Datenschutz und Datensicherheit gerade im Gesundheitssektor sind und wie teuer ein zu lascher Umgang mit den hierzu im BDSG und dem SGB V normierten Verpflichtungen für die datenerhebende (verantwortliche) Stelle werden kann. Es sind eben nicht nur Google, Facebook und Co., die in das Visier der Datenschutzaufsicht gelangen können, nein es sind (und dies angesichts der hier vorgehaltenen besonderes sensiblen Daten auch zu Recht) auch Gesundheitsdienstleister. Der Unterzeichner hat an verschiedenen Stellen bereits mehrfach darauf hingewiesen, dass gerade im Bereich der niedergelassenen Ärzte und Zahnärzte (aber auch im Kliniksektor) z.T. enormer Nachholbedarf besteht. Das nunmehr bekannt gewordene Vorgehen des ULD SH sollte daher auch in diesem Bereich zum Anlass einer kritischen Überprüfung der Datenschutz- und Datensicherheits-Standards genommen werden.
Dr. Robert Kazemi