… dann werden unzulässige Zugriffe erleichtert. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) aufmerksam. Unter der Überschrift „Wenn der Expartner die Patientenakte ‚filzt‘“ wird über einen illegalen Zugriff von Krankenhauspersonal auf Patient*innen-Akten informiert.

Ein Thüringer Krankenhaus meldete dem TLfDI, dass ein Klinikmitarbeiter unbefugt Einsicht in die elektronisch gespeicherte Patientenakte seiner ehemaligen Lebensgefährtin und deren neugeborenem Kind genommen hatte.

Die datenschutzrechtliche Prüfung ergab, dass der Klinikmitarbeiter, der im Fachbereich Psychiatrie/ Psychotherapie des Krankenhauses tätig war, auch über Zugriffsrechte auf Patientenakten des Fachbereichs Frauenheilkunde und Geburtshilfe verfügte. Aus der vom TLfDI hierzu geforderten Stellungnahme des Krankenhauses ging hervor, dass offensichtlich alle Mitarbeiter*innen nicht nur Zugriffsrechte auf Patientendaten ihrer eigenen Arbeitsbereiche, sondern auch auf Patientendaten anderer Stationen des Klinikums besaßen.

Der TLfDI stellt zu dieser – auch in anderen Krankenhäusern (siehe z. B. Klinikum Offenbach; Klinikum Frankfurt-Höchst) auftretenden – Praxis fest: „Für Zugriffe auf Patientenakten muss datenschutzrechtlich sichergestellt sein, dass nur befugte Personen (behandelnde Ärzte, Schwestern, Pfleger) Zugriff auf die Akten haben, das heißt jeder Mitarbeiter nur Zugriffsrechte auf Patientenakten ‚seines‘ klinischen Fachbereichs beziehungsweise ‚seiner‘ Station besitzt. Falls ein patientenbezogener erweiterter Zugriff (beispielsweise ein erweiterter Anwender- oder Stationsbereich) von Mitarbeitern erforderlich sein sollte, müssen entsprechende erweiterte Rechte punktuell und nachvollziehbar durch die IT im elektronischen Krankenhausinformationssystem (KIS) vergeben werden. Diese Vorgehensweise wurde jedoch im Klinikum nicht praktiziert. Somit war das Rollen- und Rechtekonzept des KIS für Zugriffe auf Patientenakten nicht datenschutzkonform im Sinne von Art. 32 DSGVO, das heißt, die geforderten organisatorischen und technischen Maßnahmen, um personenbezogene (Gesundheits-)Daten vor dem unbefugten Zugriff zu schützen, wurden nicht eingehalten.”

Auf der Grundlage von Art. 58 Abs. 2 Buchstabe d) DSGVO forderte der TLfDI das Krankenhaus auf, folgende Maßnahmen gemäß Art. 32 DSGVO sofort umzusetzen:

• „Die Zugriffsbefugnisse der einzelnen Rollen sofort einzuschränken und Rollenwechsel in der IT-Abteilung des Klinikums prioritär zu bearbeiten,
• den elektronischen ‚Behandlungsauftrag für Notfälle‘ in Betrieb zu nehmen, um abzusichern, dass jeder Zugriff auf Patientenakten, der außerhalb des jeweiligen Fachbereichs liegt, nicht ohne fachliche Begründung erfolgen kann und in den Logfiles (Protokolldateien über erfolgte Zugriffe) vermerkt wird.“

Zur Überprüfung, ob die (dann eigeschränkten) Möglichkeiten für illegale Zugriffe immer noch genutzt werden, empfiehlt der TLfDI ein Verfahren, dass sowohl dem Schutz der Patient*innendaten als auch dem Schutz der Beschäftigten dient:

• „…regelmäßig eine Stichprobe aus den Logfiles zu ziehen und den Zugriffsgrund zunächst beim Mitarbeiter persönlich zu erfragen. Nach Auffassung des TLfDI sollte hier eine Stichprobenziehung mit circa 20 Proben alle drei Monate genügen, um auch auf die abschreckende Wirkung der Prüfmaßnahmen zu setzen. Sobald auch die Protokollierung des Zugriffsgrundes technisch umgesetzt ist, können Menge und Häufigkeit der Stichproben so angepasst werden, dass der Stichprobenumfang einen vom Klinikum konkret festgelegten Prozentsatz der Belegschaft erfasst, um
  Missbrauchsfälle zu identifizieren.
• … wies der TLfDI das Klinikum darauf hin, dass der Zugriff auf die Logfiles immer im 4-Augen-Prinzip mit dem Personalrat / Betriebsrat zu erfolgen hat und sinnvollerweise auch in Anwesenheit des betrieblichen Datenschutzbeauftragten.
• Die Angestellten müssen gemäß Art. 12 in Verbindung mit Art. 13 DSGVO über das Vorgehen der gezielten Kontrolle beziehungsweise der Stichproben (sowie den Grund für dieses Vorgehen, beispielsweise tatsächliche und/oder Verdacht auf Missbrauchsfälle) und die damit verbundene Verarbeitung ihrer personenbezogenen Daten umfänglich informiert werden.“

Eine (unvollständige) Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.