Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit dem Umgang zu Gesundheitsdaten:

• Celler Arztpraxis offen wie ein Scheunentor - 30000 Datensätze zu Patientendaten
• NDR-Untersuchung: Fehlversand von Patientendaten ist weit verbreitet
• 105.000 Euro Bußgeld gegen ein Krankenhaus - Was ist passiert?
• Fazit: Wie verhindere ich es mit meinem Gesundheitsunternehmen (Arzt, Pflegedienst, Apotheke, medizinisches Versorgungszentrum, Pflegeheim, Krankenhaus), selber in den Fokus zu kommen?

Ärzte sind in unserer Gesellschaft nicht wegzudenken. Laut (Muster-)Berufsordnung dient "der Arzt der Gesundheit des einzelnen Menschen und der Bevölkerung. Seine Aufgabe ist es, das Leben zu erhalten, die Gesundheit zu schützen und wiederherzustellen, Leiden zu lindern, Sterbenden Beistand zu leisten und an der Erhaltung der natürlichen Lebensgrundlagen im Hinblick auf ihre Bedeutung für die Gesundheit der Menschen mitzuwirken." Nicht ausgebildet werden Ärzte im Rahmen ihres Studiums zu datenschutzrechtlichen Aspekten ihrer Tätigkeit. Dies ist zeigte sich in den letzten Wochen deutlich durch eine Vielzahl öffentlich gewordener Sachverhalte:

1. Am Beispiel einer spezialisierten Celler Gemeinschaftsarztpraxis zeigt sich, dass Ärzte mit dem Schutz personenbezogener Daten überfordert sein können. Sei es dadurch, dass sie selber versuchen. Oder wie in diesem Fall das sie sich auf die Beratung eines IT-Unternehmens verlassen haben, welches keine angemessenen technisch-organisatorischen Maßnahmen für die Praxis IT-Infrastruktur bereitgestellt hat. Wäre der Rechner mit den Patientendaten nicht mit dem Internet frei verbunden gewesen (wie es die Bayerische Landesdatenschutzbehörde empfiehlt), dann wäre es nicht zu diesem Vorfall gekommen.
2. Nicht nur dieser Einzelfall ist dokumentiert. Der NDR hat in einer Untersuchung festgestellt, dass hundertfach Patientendaten falsch versendet werden und den Aufsichtsbehörden gemeldet werden. Ich persönlich gehe hier jedoch von einer hohen Dunkelziffer aus, weswegen die festgestellten 850 Fehlversendungen nur der Tropfen auf dem heißen Stein sein wird. Der Landesdatenschutzbeauftragte von Hamburg, Herr Caspar, fordert in diesem Zusammenhang bereits ein Bußgeld, um den "Vermeidungsdruck" zu erhöhen.
3. Apropos Bußgeld. Dagegen muss sich jetzt ein Krankenhaus in Rheinland-Pfalz wehren. 105.000 Euro werden fällig, weil das Krankenhaus seine Prozesse nicht derart gestaltet hat, dass immer nur der richtige Empfänger seine personenbezogenen Daten erhält. Bei einem Jahresumsatz von 480 Millionen Euro sind 105.000 Euro Bußgeld am unteren Ende der möglichen Spanne bemessen...
   

Alle drei Beispiele zeigen, dass der datenschutzkonforme Umgang mit personenbezogenen Daten gerade bei besonderen Kategorien (Gesundheitsdaten, Religionszugehörigkeit (auf der Lohnsteuerkarte), ethnische Herkunft, biometrische Daten) ins Fadenkreuz der Aufsichtsbehörden und der (Presse-)Öffentlichkeit geraten ist.

Schützen Sie sich als Eigentümer eines Gesundheitsunternehmens. Egal, ob Sie Arzt, Pflegedienstinhaber, Apotheker, Eigentümer eines MVZ, Chef eines Pflegeheims oder Krankenhauses sind - Sie sind für die Umsetzung der DSGVO und anderer datenschutzrechtlicher Anforderungen zuständig. Holen Sie sich Hilfe ins Haus.

Fragen Sie andere Unternehmen, ob sie mit ihrem Datenschutzbeauftragten wirklich zufrieden sind. Fragen Sie nach, ob sich der Datenschutzbeauftragter kümmert oder nur monatlich Rechnungen schickt. Ob er Kunden am Telefon abwimmelt oder auf Ihre Wünsche bedarfsgerecht und zeitnah reagiert.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen