Helau Datenschutz: Patientenakten aus der Konfetti-Kanone

Das Thüringer Datendebakel und warum nicht jeder Papierschnipsel als Konfetti geeignet ist, thematisieren wir heute auf der InfoBase.

Kamelle beinhaltet Daten von Patienten

Das Spektakel um das Karnevalskonfetti in dem Thüringer Ort Dermbach wäre nicht der Rede wert gewesen, wären die Patientenakten des Klinikums Bad Salzungen nur fachgerecht zerkleinert worden. Doch dem war nicht so. Daher kam es wie es kommen musste, als in der vergangenen Woche – unter Missachtung sämtlicher Vorschriften – geschredderte Patientenakten mit Konfetti-Kanonen in die Thüringer Karnevalsgesellschaft katapultiert wurden.

Einer Anwohnerin des Kleinstädtchens ist am Morgen nach dem großen Karneval-Tohuwabohu beim Fegen ein Konfettischnipsel mit dem Namen ihrer Schwester vor die Füße gefallen. Entgegen datenschutzrechtlicher Vorgaben, waren auf den Resten der Akten einzelne Namen, Adressen und Telefonnummern von Patienten und Ärzten deutlich lesbar. So wurde das Debakel der datenschutzwidrig entsorgten Krankenakten mit einem Mal an die Öffentlichkeit gezerrt und mit ihm mögliche rechtliche sowie finanzielle Folgen, für die der zuständige Datenschutzbeauftragte wohl seinen Kopf hinhalten muss.

Akten nicht ordnungsgemäß zerkleinert

Denn wenn vertrauliche Daten entsorgt (das heißt in diesem Fall: zerkleinert) werden, dann muss dies in vorgeschriebenen Größen geschehen, wie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik nachzulesen ist. Es gibt, abhängig von der Sicherheitsstufe und der Vertraulichkeit der Daten, unterschiedliche Angaben zu der Partikelgröße, in die Akten zu zerkleinern sind. So heißt es:

„In der Norm DIN 66399:2012 ‚Vernichten von Datenträgern‘ sind drei Schutzklassen und sieben Sicherheitsstufen definiert. Grundlage für die Zuordnung in eine Schutzklasse ist der Schutzbedarf der Daten. Die Norm benennt für jede Schutzklasse die zugehörigen Sicherheitsstufen und damit die Größe der von den Aktenvernichtern erzeugten Partikel. In den niedrigeren Sicherheitsstufen gibt es Aktenvernichter, die das Material in Streifen schneiden (Streifenschnitt). In den höheren Sicherheitsstufen solche, die durch eine andere Schnitttechnik Partikel erzeugen (z. B. Kreuzschnitt) […].“

Diese festen Vorschriften zur Entsorgung sind im Fall des Thüringer Karneval-Konfettis nicht eingehalten worden. Nach einer genaueren Prüfung hat das für die Patientenakten zuständige Thüringer Klinikum feststellen müssen, dass die Daten nicht ordnungsgemäß entsorgt wurden – ein absoluter Super-GAU für den zuständigen Datenschutzbeauftragten.

Missachtung des Datenschutzes

Wenn schlecht geschredderte Krankenakten als Konfetti auf der Straße landen, dann ist der Schaden auch auf Patientenseite groß. Denn was nach dem Karnevalszug zurückbleibt, sind für jedermann einsehbare Namen und Krankheitsgeschichten von Patienten – Informationen und Daten von Privatpersonen, die nicht für die Öffentlichkeit gedacht sind. Derartige Datenschutzrechtsverletzungen können nicht nur rechtliche, sondern auch finanzielle Konsequenzen nach sich ziehen.   

Wenn beispielsweise eine ehemalige Patientin des Krankenhauses erfährt, dass intime Angaben zu ihrem Krankheitsverlauf wie ein Puzzle für Karnevalisten einsehbar gewesen sind, kann es gut sein, dass sie von dem Krankenhaus Schadenersatz (in Form von Schmerzensgeld) fordert. In einem solchen Fall wird das Unternehmen wiederum auf den zuständigen Datenschutzbeauftragten zukommen.

Angestellte Datenschützer haften auch persönlich!

Wer nun glaubt, ein angestellter Datenschutzbeauftragter sei in einer solchen Situation vor Ansprüchen sicher, da er als Angestellter besonderen Schutz genieße, der irrt sich. Das hängt mit der besonderen Stellung zusammen, die Datenschutzbeauftragte in Unternehmen haben. Ein Angestellter ist in seiner Funktion als Datenschutzbeauftragter weisungsfrei, was bedeutet, dass er sich in Fragen des Datenschutzes nicht nach den Anweisungen der Chefetage richten muss. Deshalb haftet ein Datenschutzbeauftragter auch umfassender, als ein „normaler“ Arbeitnehmer und muss zum Beispiel bei grober Fahrlässigkeit auch mit seinem Privatvermögen geradestehen. Ob es sich bei der Konfetti-Aktion um grobe Fahrlässigkeit gehandelt hat, müssen im Zweifel Richter entscheiden.

Interner Datenschutzbeauftragter

Wer den Posten des Datenschutzbeauftragten in einem Unternehmen übernimmt, sollte sich also dringend um eine geeignete Absicherung kümmern. Mit der persönlichen D&O-Versicherung über exali.de kann sich der Beauftragte durch einen eigenen Vertrag bei einer persönlichen Inanspruchnahme absichern. Zudem beinhaltet die D&O-Versicherung einen passiven Rechtsschutz, der vor ungerechtfertigten Ansprüchen schützt.

Sofern das Unternehmen selbst eine so genannte Firmen D&O-Versicherung abschließt, ist darüber auch der angestellte Datenschützer mitversichert.

Externer Datenschutzbeauftragte

Als selbständiger Datenschutzbeauftragter ist die Haftungssituation noch einmal deutlich risikoreicher. In diesem Fall haftet der Selbständige nicht nur bei grober Fahrlässigkeit, sondern bei jedem beruflichen Versehen, das zu einem Schadenersatzanspruch von Dritten führt.

Die Consulting-Haftpflicht bietet selbständigen Datenschutzbeauftragten deshalb umfassenden Versicherungsschutz bei Schadenersatzansprüchen Dritter und bestimmten Eigenschäden. 

Weiterführende Informationen:

• Die verrücktesten Datenunfälle aus dem Jahr 2015 – eine etwas andere Hitliste
• Das größte Risiko droht sonntags! Auf den Spuren der gefährlichsten DDos-Attacken
• Daten als Geiseln: die perfide Erpressungsmasche mit Ransomware – Teil 1 des Interviews mit 

© Hannah Ziegler – exali AG