Der Schutz sensibler Daten im Krankenhaus

Vor einigen Wochen hatte der STADTSPIEGEl über eine Datenschutzpanne berichtet, die durch das Fehlverhalten eines Mitarbeiters im St. Elisabeth-Krankenhaus entstanden war. Damals lagen Patientenakten auf dem Schreibtisch des STADTSPIEGELS, die ungeschreddert aus einem Altpapiercontainer gekommen waren. Dies haben wir zum Anlass genommen, uns mit dem Verwaltungsdirektor Dr. Nobert Ostlinning und der Datenschutzbeauftragten Petra Cieply zu treffen.

Immer noch sind beide entsetzt von den gerade zurückliegenden Ereignissen und der Verwaltungsdirektor spricht unumwunden von einem Supergau. „Es war der persönliche Fehler eines langjährigen Mitarbeiters und wir müssen nun entscheiden, welche Konsequenzen das haben wird. Zum einen sind solche Ereignisse immer auch ein Grund, die Abläufe in einem Haus mit sensiblen Daten zu hinterfragen. Wir sind davon überzeugt, viel für den Datenschutz zu tun, aber der Mensch ist und bleibt immer ein Risiko. Zum anderen müssen wir natürlich auch mit dem Mitarbeiter Konsequenzen bedenken. Wir haben bei der Kriminalpolizei Strafanzeige gestellt, weil wir möchten, dass unabhängige Personen den Vorfall überprüfen. Unstrittig ist, dass der Mitarbeiter die Datenlisten mit nach Hause genommen und sie für seine Arbeit mit persönlichen Anmerkungen versehen hat. Nicht ganz klar ist jedoch, wie die Daten tatsächlich in das Altpapier kamen. Grundsätzlich möchten wir nicht, dass sensible Daten mit nach Hause genommen werden. Wenn das aus Arbeitsgründen nötig sein sollte, dann läuft etwas in der Arbeitsorganisation nicht richtig“, so Dr. Norbert Ostlinning.
Schon bei mehr als zehn Mitarbeitern, die regelmäßig mit Datenverkehr zu tun haben, sollte es einen Datenschutzbeauftragten geben. Orientiert am Bundesdatenschutz gilt in den Katholischen Kliniken Ruhrhalbinsel die kirchliche Datenschutzordnung.
Petra Cieply kennt alle Tücken und ist oft mit dem Klemmbrett unangekündigt unterwegs, um die Einhaltung der Vorschriften zu überprüfen. „Grundsätzlich sollten die Geheimnisse anderer Menschen so behandelt werden, wie man es sich mit seinen eigenen Geheimnissen wünscht“, sagt sie. Schulungen der Mitarbeiter und ständige Überprüfung der Vorgänge seien unabdingbar. „Oft haben wir im Eingangsbereich an der Anmeldung Menschen stehen, die Fragen zu Patienten haben. Das können Privat-, aber auch Amtspersonen un Uniform sein. Da müssen unsere Mitarbeiter wissen, was sie sagen dürfen und was nicht und dass beispielsweise ein gerichtlicher Beschluss vorliegen muss, wenn Auskunft etwa an die Polizei gegeben werden soll.“
Die stationären Krankenakten werden zu einhundert Prozent noch in Papierform geführt, aber auch zusätzlich zu etwa achtzig Prozent in digitaler Form. Das Ziel ist mittelfristig natürlich die Umstellung auf papierlose Verwaltung der Daten.
„Passwörter, Bildschirmschoner, Kartenlesegeräte und der Zugriff nur auf bestimmte Daten, die für die jeweilige Arbeit notwendig sind, das kennt man oft. Firewalls, unabhängige Stromversorgung, ach, es gibt vieles in der Technik, was man machen kann. Und bei der Papierform gibt es entsprechende Datenschredder auf den Fluren. Sind sie voll, werden sie von der Technik abgeholt und speziell aufbewahrt, bis sie auf unserem Gelände von einer Spezialfirma geschreddert werden. Noch nicht einmal dann verlassen die Daten also unsere Klinik“, erläutert die Fachfrau.
Trotzdem, so sagt sie, sei der Mensch der entscheidende Risikofaktor und zugleich auch der wichtigste Schutz vor Datenmissbrauch.
„Auch die Umstellung auf digitale Formen wird grundsätzlich nicht alle Möglichkeiten des Missbrauchs bekämpfen. Immerhin kann man auch noch etwas ausdrucken und Fragen zur digitalen Unterschrift müssen sowieso noch geklärt werden.“
Wie schwierig Datenschutz sein kann, zeigt sich an einem einfachen Beispiel: „Wenn ein Patient uns verlässt, bekommt er einen Arztbrief mit. Steht der Patient bereits am Ausgang und die Ehefrau erledigt Verwaltungsdinge, so darf diese den Arztbrief nicht in Empfang nehmen – es sei denn, wir packen ihn in einen zugeklebten Briefumschlag und haben damit ein Briefgeheimnis in Kraft gesetzt“.
Oder die ärztliche Schweigepflicht: „Grundsätzlich endet sie mit dem Tod des Patienten. Doch wenn dieser jahrelang seinen Alkoholmissbrauch vor Angehörigen geheim halten wollte, so gilt diese über den Tod hinaus.“
Zehn, manchmal sogar 15 Jahre, müssen die Daten im Krankenhaus aufbewahrt werden. Danach werden die Daten digital gesperrt, in Papierform geschreddert auf dem Krankenhausgelände.
„Wir machen es uns wirklich nicht leicht und wir nehmen diesen besonderen Fall sehr ernst. Noch ist er nicht zu den Akten gelegt.“