Gleich in zwei Kliniken in Baden-Württemberg sind im
September 2012 hochsensible Patientendaten verschwunden.
Anscheinend sind zur Archivierung vorgesehene
Sicherungsmedien von einer nicht bekannten Person entwendet worden.
Neben detaillierten Patientendaten, sind auch Befunde und
ärztliche Schriftwechsel davon betroffen.
Das Klinikum Mittelbaden hat den Datenverlust in der
Tageszeitung „Die Welt“, in der Ausgabe vom 12.10.2012 bekanntgegeben.
Ebenso wurde der Landesdatenschutzbeauftragte Baden-Württemberg
informiert.
Dieser geht davon aus, dass Datensätze im sechsstelligen
Bereich entwendet wurden.
Das
Bundesdatenschutzgesetz und die Informationspflicht bei Datenpannen:
Bei
gravierendem Datenverlust sieht der §42a BDSG (Bundesdatenschutzgesetz) eine „Informationspflicht
bei unrechtmäßiger Kenntniserlangung von Daten“ vor.
Die
Informationspflicht gilt unter anderem bei „Besonderen Arten von
personenbezogenen Daten“, zu diesen Daten zählen auch Gesundheitsdaten.
Neben den
Aufsichtsbehörden sind auch die Betroffenen über den Datenverlust zu
informieren.
Falls die
persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand
erfordert, etwa weil eine große Anzahl betroffen ist, muss stattdessen die
Öffentlichkeit informiert werden. Dies kann durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen
erfolgen, oder durch eine andere gleich geeignete Maßnahmen.
Anmerkung:
Dieser Fall
zeigt einmal wieder, wie wichtig technische und organisatorische Maßnahmen zur
Gewährleistung des Datenschutzes sind.
Diese Maßnahmen regeln unter anderem, wer wann und wo
Zutritt hat.
Durch eine solche Regelung kann der Personenkreis, der
zum Beispiel Zugang zu Serverräumen hat, stark eingeschränkt werden. Dies
erschwert dem Angreifer das Entwenden, denn er gerät dann sofort in den Kreis
der verdächtigen Personen.
Michael Bätzler
TÜV Datenschutz Auditor und externer
Datenschutzbeauftragter