Ulm: Datenpanne an Uniklinik – bis zu 7.000 Patient*innen betroffen
Quelle: Pressemitteilung der Uniklinik Ulm vom 05.02.2021.
“Das Universitätsklinikum Ulm hat dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg am 19.01.2021 den Verlust und das Wiederauffinden eines unverschlüsselten USB-Sticks mit Patientendaten gemeldet. Der USB-Stick wurde an einer Klinik im Stuttgarter Raum entdeckt und an das UKU zurückgegeben. Bei dem darauf gespeicherten Material handelt es sich um Daten von bis zu 7.000 Parodontitis-Patient*innen der Klinik für Zahnerhaltungskunde und Parodontologie sowie niedergelassener Zahnarztpraxen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde. Die auf dem USB-Stick gespeicherten Daten aus den Jahren 2011 bis 2020 umfassen Anschriften von Zahnarztpraxen, Patientennamen, Geburtsdaten und Geschlecht sowie das Datum von Auswertungen und klinischen Diagnosen einer vorliegenden Parodontitis. Auf dem Datenträger waren außerdem weitere persönliche Angaben etwa zur Krankengeschichte der Patient*innen aufgeführt. Es sind ausschließlich Patient*innen mit einer schweren Parodontitis betroffen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde. Der verantwortliche Mitarbeiter hatte die Daten nach eigener Aussage sichten wollen, um zu klären, ob diese eventuell für eine Studie nutzbar sein könnten.”
Dem letzten Satz dieser Stellungnahme macht es notwendig, Fragen zu stellen:
- Durfte der das?
- Waren die Betroffenen der Datenzusammenstellung informiert, dass ihre Gesundheits- und Behandlungsdaten ggf. Gegenstand eines Studie (von wem?) werden sollten?
- Hatten Sie der Verwendung Ihrer Gesundheits- und Behandlungsdaten zugestimmt?
Mitarbeiter einer Klinik müssen sich mit gewissen Fragestellungen beschäftigen … und einen USB-Stick verlieren oder vergessen, das dürfte häufig vorkommen. Insofern sollte schon vorab an eine derartige Möglichkeit gedacht werden und deshalb gewisse Vorsichtsnahmen treffen.
Bei einer Datenbank dürfte vorliegende oder eben nicht vorliegende Einwilligung zur Weiterverwendung eigener Daten eine wichtige Rolle spielen. Sind derartige Faktoren bei „Abgriff“ von Daten von Belang?