Datenschutzskandal! Patientendaten aus Klinik gestohlen – Unverschlüsselte Sicherungsbänder mit allen Daten entwendet

Die Benachrichtigung nach § 42a BDSG

Die Überschrift „Das Klinikum ist ein offenes Haus“ in der Badischen Zeitung vom 01.10.2012 (Seite 28), die sich auf ein (hier völlig unbeteiligtes) Offenburger Krankenhaus bezog, hat sich für die Patientinnen und Patienten des Kreiskrankenhauses Raststatt und des Medizinischen Versorgungszentrums der Klinikum Mittelbaden (MVZ) auf tragische Weise bewahrheitet.  Wie erst heute durch eine „Mitteilung nach § 42a BDSG“ (als Anzeige in der Frankfurter Rundschau und der Welt vom 12. Oktober 2012 veröffentlicht) bekannt wurde, wurden bereits am 19. September „zur Archivierung vorgesehene Sicherungsbänder entwendet.“ Die entwendeten Datensicherungsbänder sollen Namen, Adressen, Kontaktdaten, Geburtsdaten der PatientInnen sowie Befunde, ärztliche Briefwechsel und klinikinterne Schriftwechsel enthalten

Aufgefallen ist dieser Vorfall den verantwortlichen Stellen allerdings erst acht Tage später am 27. September 2012. Ein „kleiner“ Skandal innerhalb dieses erheblichen Datenschutzskandals ist die Tatsache, dass der verantwortliche Mitarbeiter den Vorfall acht Tage lang vertuschen konnte. Der für die Datensicherung verantwortliche Mitarbeiter habe erst am 27. September 2012 seinen Vorgesetzten über den Vorfall informiert. Offenbar habe er zunächst angenommen, dass die Bänder nicht entwendet, sondern innerhalb des Klinikums von einem Mitarbeiter nur weggeräumt wurden.

„Um arbeitsrechtlichen Maßnahmen zu entgehen hoffte er zunächst, die Bänder würden ihm wieder ausgehändigt werden.“, so die Pressestelle des Krankenhausträgers.

Dies läßt vermuten, dass es sich auf den entwendeten Bändern zumindest auch eine Wochensicherung befand. Meist werden Wochensicherungen als Vollsicherungen ausgeführt, sprich: Auf den Bändern einer Wochensicherung finden sich alle Daten, der jeweiligen Stelle. Das würde in diesem Fall bedeuten, dass alle Daten aller PatientInnen des Kreiskrankenhauses Raststatt und des Medizinischen Versorgungszentrums der Klinikum Mittelbaden (MVZ) in unbefugte Hände gefallen sind. „Details zu den enthaltenen Daten können aufgrund des laufenden Ermittlungsverfahrens nicht erfolgen“, so die Pressestelle weiter.

Erschwerend kommt hinzu, dass diese Sicherungsbänder unverschlüsselt waren., wie die Pressestelle bestätigte. Dies ist unfassbar. Spätestens seit dem 01.09.2009 sollte jedem  Verantwortlichem und jeder Verantwortlichen klar sein, dass insbesondere so sensible Daten wie Patientendaten zu verschlüsseln sind. Dies wird seit dem 01. September 20009 durch eine entsprechende Formulierung in der Anlage zu § 9 BDSG gefordert. Dort sind Mindestanforderungen an die zu ergreifenden technischen und organisatorischen Maßnahmen zur Datensicherheit bei der automatisierten Verarbeitung personenbezogener Daten aufgeführt. Zur unverschlüsselten Speicherung führt die Pressestelle aus:

„Die Daten sind großteils ohne das klinikinterne EDV-System nicht auslesbar. Der Austausch und die Sicherung der Archivbänder ist sehr streng durch datenschutzkonforme Verfahrensanweisungen geregelt, so dass kein Anlass zur Verschlüsselung der Daten bestand.“

Zum einen ist die Aussage, dass die Daten ohne das klinikinterne EDV-System nicht auslesbar seien in Frage zu stellen. Mit entsprechendem Aufwand lassen sich unverschlüsselte Daten egal in welcher Form sie gespeichert wurden, meist doch auslesen. Zum anderen  sind die Bänder „seit dem Vorfall nun auch zusätzlich zu den übrigen Maßnahmen – die ebenfalls nochmals verschärft wurden – verschlüsselt„. Jetzt wird also die Verschlüsselung doch für erforderlich gehalten. Die „sehr strenge Regelung“ des Austauschs und der Sicherung der Archivbänder hat im konkreten Fall offensichtlich nichts genutzt und war daher nicht streng genug. Vielmehr konnten die Maßnahmen ja nochmals verschärft werden.

Wie konnte es überhaupt zu einer Entwendung kommen. Schließlich werden die Bänder. laut Aussage der Pressestelle „aber laut Verfahrensanweisung stets auf direktem Wege vom Serverraum in einen eigens dafür vorgesehene Tresorschrank verbracht“.  Gab es also einen krimireifen Überfall auf den EDV-Mitarbeiter? Wurde er brutal niedergeschlagen oder etwas sanfter mit Chloroform betäubt? Nichts dergleichen!

Die Antwort ist so banal wie erschütternd:

„Ein Mitarbeiter der EDV-Abteilung hat die Datensicherungsbänder nach der routinemäßigen nächtlichen Datensicherung nicht sofort im Safe eingeschlossen, sondern weitere Erledigungen im Haus gemacht. Hier ließ er versehentlich die Datenträger liegen.“

Und seitdem sind sie weg. Eine – aus meiner Sicht – grobe Fahrlässigkeit hat also zu dem Verlust der Bänder geführt. Da solche menschlichen Fehler jederzeit passieren können, ist es aus meiner Sicht unverantwortlich gewesen, auf eine Verschlüsselung der Datensicherungen bei so sensiblen Daten wie Patientendaten zu verzichten!

Eine Frage ist allerdings noch völlig offen: Wer hat warum diese Sicherungsbänder entwendet. Um den Materialwert der Bänder wird es wohl kaum gegangen sein. Und solche Bänder ebenmal zu Hause zu verwenden, ist auch – ohne entsprechende Hardware – auch kaum möglich. Hat es hier also jemand geziehlt auf die Patientendaten abgesehen?

Dass die Veröffentlichung der Anzeige erst heute erfolgte ist das Ergebnis einer „Abstimmung mit der Datenschutzbehörde, der Staatsanwaltschaft und der Polizei“ um die Ermittlungen nicht zu gefährden. Dies ist im § 42a BDSG auch so vorgesehen.

P.S. Erhalten habe ich die FR-Anzeige von einem Mitglied der Gruppe „die Datenschützer Rhein-Main“. Danke hierfür!