Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in seiner Pressemitteilung vom 21. Februar verkündet, dass in einem nicht gesicherten Kellergang eines Wohn- und Geschäftshauses unverschlossene Metallaktenschränke mit Akten einer Zahnarztpraxis stehen. Eine Aufforderung durch die Polizei, die Patientenakten sicher zu verwahren, war erfolglos, weshalb die Behörde einschreiten musste.

UNVERSCHLOSSENE PATIENTENSCHRÄNKE

Ein Bürger hatte das BayLDA darauf aufmerksam gemacht, dass in einem Mehrfamilienhaus mit einer Zahnarztpraxis und einer Bankfiliale in einem Kellergang herkömmliche unverschlossene Aktenschränke stünden. Dort würden sich Akten und anderes Material mit personenbezogenen Daten aus einer Zahnarztpraxis befinden. Das Gebäude sei durch eine unverschlossene Haustür und eine stets offene Tiefgarage leicht zu betreten. Bei solchen Mitteilungen bittet das BayLDA regelmäßig erst ein Mal die Polizei vor Ort, den Wahrheitsgehalt zu überprüfen und bei Bedarf kurzfristig eine geeignete Sicherungsmaßnahme zu suchen und anzuordnen. In diesem Fall erschien es am naheliegendsten, zu verlangen, dass die Schränke umgehend verschlossen werden. Die Polizei stellte bei einer Nachschau fest, dass der geschilderte Sachverhalt der Wahrheit entsprach und ordnete an, die Schränke sofort zu verschließen und verschlossen zu halten. Das BayLDA sandte noch am gleichen Tag ein Schreiben an den Zahnarzt mit der Aufforderung, sich rasch um eine längerfristige Lösung zu bemühen und ihnen diese mitzuteilen.

RECHTLICHER RAHMEN

Aus Datenschutzsicht ist zu gewährleisten, dass ausschließlich Berechtigte auf diese Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Gesundheitsdaten, wie in diesem Falle, unterliegen dabei noch strengerem Schutz, da es sich um besondere Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG handelt. Ein unverschlossener Metallschrank in einem allgemein zugänglichen Gang erfüllt diese Kriterien bei Weitem nicht. Thomas Kranig, der Präsident des BayLDA dazu: „Dieses Risiko ist bei Daten zu zahnmedizinischen Behandlungen nicht hinzunehmen, da es sich um Gesundheitsdaten und damit um Daten mit erhöhtem Schutzbedarf handelt“.

DAS ENDE VOM LIED

Trotz des Besuchs der Polizei erhielt das BayLDA erneut die Nachricht, dass die Schränke auch nach zwei Tagen immer noch oder schon wieder unverschlossen seien. So wurde noch am gleichen Tag unangekündigt eine Vor-Ort-Überprüfung angesetzt. Dabei konnte der Behördenmitarbeiter ungehindert in das Gebäude gelangen und die Schränke öffnen. Anschließend suchte man das Gespräch mit dem Zahnarzt und seinen Mitarbeiterinnen. Das BayLDA ordnete mündlich an, die Akten und anderen Gegenstände mit personenbezogenen Daten aus den Schränken zu entfernen und eine andere sichere Aufbewahrungsmöglichkeit zu finden. Der Zahnarzt brachte daraufhin die Akten aus den Schränken in seine Praxisräume und einen mit einer Metalltüre gesicherten Kellerraum.

SANKTIONEN NACH DER DS-GVO

Ein solch leichtfertiger Umgang mit Patientenakten stellt einen Verstoß gegen die Anforderungen der Datensicherheit dar, der nach derzeitiger Rechtslage nicht unmittelbar mit einem Bußgeld sanktioniert werden kann. Auf der Basis des neuen Datenschutzrechts, d.h. der ab dem 25. Mai 2018 wirksamen EU-Datenschutzgrundverordnung, können (und sollen – so der Wille des Gesetzgebers) derartige Verstöße mit einem Bußgeld von bis zu 10 Mio. EUR bestraft werden.

„Nicht nur Ärzte, sondern alle, die geschäftsmäßig mit personenbezogenen Daten Dritter umgehen, tun gut daran, sich mit den neuen Vorschriften auseinanderzusetzen und sich darauf einzustellen, was in Zukunft gilt, um ein böses Erwachen in Form eines kräftigen Bußgeldbescheides zu vermeiden“, so Thomas Kranig als Empfehlung für alle Unternehmen, Vereine, Verbände und freiberuflich Tätigen.