Das Kreiskrankenhaus Emmendingen sieht sich mit einem gewaltigen Datenschutzskandal konfrontiert. Über 135.000 Patientinnen und Patienten haben ihre persönlichen Daten in einer ungewollten E-Mail-Explosion wiedergefunden – und das alles wegen eines simplen Tippfehlers in einer Adresse. Man kann sich vorstellen, wie das in der Klinik war. Ein großes Datenpaket sollte bearbeitet werden, und zack – eine falsche E-Mail-Adresse und schon sind die sensiblen Informationen unterwegs zu einer unbekannten Person. Vor- und Nachnamen, Anschrift, Geburtsdaten, Behandlungsdaten und sogar Allergien und Medikamenten-Unverträglichkeiten – alles hat seinen Weg gefunden. Es ist wie der Albtraum eines jeden Datenschutzbeauftragten.

In der Aufregung um den Vorfall gibt es zum Glück bisher keine Hinweise auf Datenmissbrauch oder kriminelle Absichten. Das Kreiskrankenhaus hat sofort reagiert und die betroffenen Patientinnen und Patienten informiert. Besonders pikant: Bei rund 7.000 dieser Personen wurden auch extrem sensible Informationen versandt, und in etwa 150 Fällen wurde angegeben, dass die Betroffenen nicht krankenversichert sind. Eine massive Panne, die nicht nur die betroffenen Personen, sondern auch die Klinik selbst stark betrifft.

Was ist eine Datenpanne?

Im Datenschutzrecht ist der Begriff „Datenpanne“ nicht konkret definiert. Stattdessen spricht man von einer „Verletzung des Schutzes personenbezogener Daten“ nach Art. 4 Nr. 12 der DSGVO. Eine solche Panne tritt ein, wenn es zu unbeabsichtigtem oder unrechtmäßigem Verlust, Veränderung oder unbefugtem Zugang zu personenbezogenen Daten kommt. Typische Beispiele sind nicht nur das Versenden an falsche Empfänger, sondern auch Hackingangriffe oder der Verlust von Datenträgern. Der Vorfall in Emmendingen fällt genau in diese Kategorie.

Ärzte und Kliniken sind verpflichtet zu prüfen, ob eine solche Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Das ist kein Zuckerschlecken! Hier muss man mögliche Schäden abwägen, die Wahrscheinlichkeit eines Missbrauchs und das Ausmaß des Schadens betrachten. Wenn ein Risiko besteht, müssen die Datenpannen innerhalb von 72 Stunden gemeldet werden. Und ja, Verzögerungen müssen gut begründet sein – das bringt zusätzlichen Druck. Das Kreiskrankenhaus hat bereits einen externen Datenschutzbeauftragten sowie die Landesdatenschutzbehörde in Kenntnis gesetzt. Das zeigt, dass sie die Sache ernst nehmen.

Rechtliche Rahmenbedingungen und Maßnahmen

Wenn man an die rechtlichen Aspekte denkt, wird es noch komplizierter. Nach Art. 33 DSGVO sind Kliniken verpflichtet, jede Datenschutzverletzung zu dokumentieren, auch wenn keine Meldung notwendig ist. Man muss sich vorstellen, dass diese Dokumentation nicht nur ein lästiges Übel ist, sondern auch eine Art Sicherheitsnetz, das dem Krankenhaus hilft, im Falle weiterer Vorfälle besser gewappnet zu sein. Abhilfemaßnahmen sind unerlässlich. Beispielsweise müssen im Fall von Fehlversendungen – wie hier in Emmendingen – die Empfänger aufgefordert werden, die E-Mail zu löschen. Das ist eine heikle Angelegenheit, denn wer weiß schon, ob die unbekannte Person verantwortungsvoll damit umgeht?

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Zusätzlich ist es wichtig zu erwähnen, dass bei hohem Risiko – was hier definitiv der Fall ist, da es um Gesundheitsdaten geht – die betroffenen Personen informiert werden müssen. Die Klinik hat die Verantwortung, sicherzustellen, dass die betroffenen Patientinnen und Patienten über die Panne Bescheid wissen und gegebenenfalls auch über mögliche nächste Schritte aufgeklärt werden. Es wird spannend sein zu beobachten, welche weiteren Maßnahmen das Kreiskrankenhaus Emmendingen ergreift, um solche Vorfälle in Zukunft zu verhindern.

Fazit oder Ausklang?

Der Vorfall in Emmendingen ist nicht nur ein Weckruf für die Klinik selbst, sondern auch für viele andere Einrichtungen im Gesundheitswesen. Datenschutzverletzungen können aus Unachtsamkeit oder gezielten Angriffen entstehen, und sie sind immer ein Stresstest für bestehende Prozesse. Der Umgang mit sensiblen Daten ist ein ernstes Thema, das nicht auf die leichte Schulter genommen werden darf. Es bleibt zu hoffen, dass die Verantwortlichen aus diesem Vorfall lernen und die nötigen Schritte einleiten, um das Vertrauen der Patientinnen und Patienten zurückzugewinnen. Wir sind in einer Zeit, in der der Schutz unserer Daten wichtiger ist denn je – und das sollte uns allen ein Anliegen sein!

Hohe Datenschutzstandards und eine saubere technische Architektur schließen sich nicht aus. Unsere neue VeloCore-Plattform ist bewusst plugin-frei und datenschutzfreundlich umgesetzt worden – von Daniel Wom realisiert als klares Bekenntnis zur DSGVO.