Liverpool: Krankenhausmitarbeiterin missbraucht Patientendaten zu eigenen Zwecken

Liverpool ist v.a. als Wiege exzellenter Musik bekannt. Seit Januar 2012 ist die Stadt im Nordwesten Englands auch Schauplatz eines handfesten Datenskandals. Die britische Datenschutzaufsicht, das Information Commissioner’s Office (kurz: ICO), berichtet bereits am 12. Januar 2012, dass eine Mitarbeiterin des Liverpooler Universitätskrankenhauses sensible Patientendaten zu eigennützigen Zwecken verwendet hat. Bedauerlicherweise beschäftigt sich die Pressemitteilung vorwiegend mit der strafrechtlichen Haftung der Täterin. Der nachfolgende Beitrag zeigt aber das Haftungsrisiko des Krankenhauses – auch aus deutscher Perspektive – auf und fragt, ob nicht eine Pflicht bestand, einen solchen Skandal im Voraus zu verhindern. Hierbei wird nicht verkannt, dass bürokratische Lösungen schädlich und wirtschaftliche Lösungen möglich sind.

1. Der Vorfall

Liverpool; die Wiege der Beatles und Heimat der berühmten Fußballvereine FC Everton und FC Liverpool ist nun um eine weitere Fußnote in der Stadthistorie reicher. Ein ehemaliger Patient des Krankenhauses erhielt ärgerliche und unerwünschte Anrufe seiner einstigen Schwiegertochter. Alsbald bestätigte sich der Verdacht, dass die Mitarbeiterin hierfür die Patientendaten des Betroffenen, aber auch weiterer Personen missbraucht hatte. Die Ermittlungen zeigten, dass die Mitarbeiterin Zugang zu Informationen über Patienten hatte, die sie gar nicht betreut hatte.

 

2. Das Haftungsrisiko des Krankenhauses

Obwohl die Verurteilung der der Krankenhausmitarbeiterin im Ergebnis richtig ist, unterschlägt der Beitrag des ICO eine wichtige Frage: Wie konnte es so weit kommen?

Krankenhäuser tragen die Verantwortung über hoch sensible Daten. In Deutschland wird der Bedeutung der Patientendaten durch § 3 Abs. 9 des Bundesdatenschutzgesetzes (BDSG) Rechnung getragen. Dort genannte Daten – also auch Patientendaten – dürfen nur unter sehr engen Voraussetzungen verarbeitet werden, die v.a. in medizinrechtlichen Normen zu finden sind (Beispiel: § 28 der Verordnung über den Schutz vor Schäden durch Röntgenstrahlen).

Mithin kann dem Datenschutzrecht ein allgemeiner Rechtsgedanke entnommen werden, wonach Krankenhäuser weitaus intensivere Maßnahmen zum Schutz personenbezogener Daten treffen müssen als andere Stellen. Übertragen auf Deutschland: Private Kliniken müssen im Rahmen von § 9 BDSG ganz erhebliche Schutzmaßnahmen treffen. Für die übrigen Kliniken gilt im Rahmen vergleichbarer landesrechtlicher Vorschriften das gleiche. Etwa hat die Berliner Aufsichtsbehörde bereits 2011 angekündigt, sowohl Hersteller als auch Betreiber sog. Krankenhausinformationssysteme (KIS) in den Fokus seiner Tätigkeit zu nehmen.

Hier hätte das Krankenhaus durch Definierung eines Rechte- und Zugriffssystems den Vorfall leicht verhindern können.

Es ist aber auch wichtig, auch auf die finanziellen Belange eines Krankenhauses – gerade im Sinne eines funktionierenden Gesundheitswesens – Rücksicht zu nehmen. Doch einer wirtschaftlichen Lösung steht das Datenschutzrecht nicht entgegen. Im Gegenteil: Etwa begrenzt § 9 BDSG die Pflicht zur Ergreifung von Schutzmaßnahmen auf verhältnismäßige Maßnahmen, wobei der Aufwand für das Krankenhaus mit berücksichtigt wird.

3. Fazit

Insgesamt zeigt der Vorfall, dass die Verletzung des Gesundheitsdatenschutzrechts überall; selbst im vermeintlich wirtschaftsliberalen England ernsthafte Konsequenzen hervorruft.

Hierbei sollte immer bedacht werden, dass dieses Haftungsrisiko nicht nur die handelnden Menschen, sondern auch die dahinter stehenden Stellen – wie etwa Krankenhäuser – trifft. Dieses Haftungsrisiko kann nur begrenzt werden, wenn Arbeitsabläufe von Anfang an auch unter Berücksichtigung des Datenschutzrechts geplant werden.

Hierbei sollte aber nicht vergessen werden, dass intensivere Schutzmaßnahmen auch Geld kosten. Daher sollten so früh wie möglich das Datenschutzrecht mit zu bedenken, denn dann kann Geld gespart und Haftung minimiert werden. Hierbei kann etwa die Bestellung eines Datenschutzbeauftragten, aber auch eine Einzelfallberatung helfen.

Dr. iur. Stephan Gärtner
Compliance Manager

________________
Wir unterstützen Sie bei Ihrer Recherche.

ilex Datenschutz – Potsdam

Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de

Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!