Tipp des Monats: :Helau Datenschutz

Liebe Kolleginnen und Kollegen,

die Narrenrufe des Umzuges des vergangenen Jahres klingen dumpf in der Erinnerung ab; nur ein Datenschutzbeauftragter im Thüringer Ort Dermbach ist am Morgen nach dem Karneval mit einem besonders schweren Kater in seinem ganz persönlichen Albtraum erwacht... Denn das, was am Tag zuvor als bunte Schnipsel in die „Helau und Alaaf" jauchzende Menge katapultiert wurde, entpuppte sich am Morgen danach als schlecht zerkleinerte Patientenakten.

Thüringer Datendebakel und warum nicht jeder Papierschnipsel als Konfetti geeignet ist, thematisieren wir hier als Tipp des Monates im Vorfeld der Fastnacht oder Karnevals in unserem Bistum Mainz .

Kamelle beinhaltet Daten von Patienten

Das Spektakel um das Karnevalskonfetti in dem Thüringer Ort Dermbach wäre nicht der Rede wert gewesen, wären die Patientenakten des Klinikums Bad Salzungen nur fachgerecht zerkleinert worden. Doch dem war nicht so. Daher kam es wie es kommen musste, als - unter Missachtung sämtlicher Vorschriften - geschredderte Patientenakten mit Konfetti-Kanonen in die Thüringer Karnevalsgesellschaft katapultiert wurden.

Einer Anwohnerin des Kleinstädtchens ist am Morgen nach dem großen Karneval-Tohuwabohu beim Fegen ein Konfettischnipsel mit dem Namen ihrer Schwester vor die Füße gefallen. Entgegen datenschutzrechtlicher Vorgaben, waren auf den Resten der Akten einzelne Namen, Adressen und Telefonnummern von Patienten und Ärzten deutlich lesbar. So wurde das Debakel der datenschutzwidrig entsorgten Krankenakten mit einem Mal an die Öffentlichkeit gezerrt und mit ihm mögliche rechtliche sowie finanzielle Folgen, für die der zuständige Datenschutzbeauftragte wohl seinen Kopf hinhalten muss.

Akten nicht ordnungsgemäß zerkleinert

Denn wenn vertrauliche Daten entsorgt (das heißt in diesem Fall: zerkleinert) werden, dann muss dies in vorgeschriebenen Größen geschehen, wie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik nachzulesen ist. Es gibt, abhängig von der Sicherheitsstufe und der Vertraulichkeit der Daten, unterschiedliche Angaben zu der Partikelgröße, in die Akten zu zerkleinern sind. So heißt es:

In der Norm DIN 66399:2012, „Vernichten von Datenträgern“ sind drei Schutzklassen und sieben Sicherheitsstufen definiert. Grundlage für die Zuordnung in eine Schutzklasse ist der Schutzbedarf der Daten. Die Norm benennt für jede Schutzklasse die zugehörigen Sicherheitsstufen und damit die Größe der von den Aktenvernichtern erzeugten Partikel. In den niedrigeren Sicherheitsstufen gibt es Aktenvernichter, die das Material in Streifen schneiden (Streifenschnitt). In den höheren Sicherheitsstufen solche, die durch eine andere Schnitttechnik Partikel erzeugen (z. B. Kreuzschnitt) [...]." Diese festen Vorschriften zur Entsorgung sind im Fall des Thüringer Karneval-Konfettis nicht eingehalten worden. Nach einer genaueren Prüfung hat das für die Patientenakten zuständige Thüringer Klinikum feststellen müssen, dass die Daten nicht ordnungsgemäß entsorgt wurden - ein absoluter Super-GAU für den zuständigen Datenschutzbeauftragten.

Missachtung des Datenschutzes

Wenn schlecht geschredderte Krankenakten als Konfetti auf der Straße landen, dann ist der Schaden auch auf Patientenseite groß. Denn was nach dem Karnevalszug zurückbleibt, sind für jedermann einsehbare Namen und Krankheitsgeschichten von Patienten - Informationen und Daten von Privatpersonen, die nicht für die Öffentlichkeit gedacht sind. Derartige Datenschutzrechtsverletzungen können nicht nur rechtliche, sondern auch finanzielle Konsequenzen nach sich ziehen.

Wenn beispielsweise eine ehemalige Patientin des Krankenhauses erfährt, dass intime Angaben zu ihrem Krankheitsverlauf wie ein Puzzle für Karnevalisten einsehbar gewesen sind, kann es gut sein, dass sie von dem Krankenhaus Schadenersatz (in Form von Schmerzensgeld) fordert. 

Noch Fragen? Das Team der betrieblichen Datenschutzstelle hilft Ihnen gerne weiter!