Youtuber deckt Datenschutzskandal auf – Ein Super-GAU

​veröffentlicht am 29. Juni 2020; Autoren: Gabor Hadnagy, Christoph Naucke

Der Youtuber ItsMarvin hat Ende Mai einen Datenschutzskandal im St. Nikolaus‑Hospital in Büren aufgedeckt und als Video auf der Plattform Youtube veröffentlicht. Tausende von Patientenakten waren ohne nennenswerte Schutzmaßnahme frei zugänglich und damit für jedermann einsehbar. Die Gefahr, die von Patientenaktenarchiven aus der vor-digitalen Zeit ausgeht, wird von Krankenhausbetreibern oft unterschätzt.

Ein Youtube-Video in aller Munde

Ende Mai veröffentlichte der Youtuber ItsMarvin ein Video, in welchem er sich dabei filmte, wie er ein seit 2010 verlassenes Krankenhaus in Büren betritt und durchsuchte. Üblicherweise ist der Youtuber dabei zu sehen, wie er sogenannte Lost Places (verlassene Orte) aufsucht und seine Video anschließend auf Youtube veröffentlicht.

Sein Besuch im verlassenen Bürener St. Nikolaus-Hospital förderte in diesem Video eine böse Überraschungen zu Tage, die man aus Datenschutzsicht schwer nachvollziehen kann. In dem Video ist zu sehen, wie er mit zwei Begleitern sowohl uneingeschränkt Zutritt in das ehemalige Krankenhaus sowie ungehinderten Zugriff auf tausende Patientenakten hat. Die Akten befinden sich in offenen Aktenregalen. Die Männer in dem Video nehmen Einsicht in die Unterlagen und zitieren hieraus.

Die Stadt Büren äußerte sich hierzu bereits und gab bekannt, dass sich das St. Nikolaus‑Hospital bis zu seiner Schließung im Jahr 2010 in privater Trägerschaft der Marseille Kliniken AG befand. Wer letztlich die Verantwortung für diesen Vorfall trägt, ist nach aktuellem Stand noch nicht eindeutig. Die Stadt Büren beauftragte zeitnah nach der Veröffentlichung des Videos private Sicherheitsunternehmen mit zusätzlichen Kontrollen und sicherte die Räumlichkeiten durch bauliche Maßnahmen ab, um weitere unbefugte Einsichtnahme zu verhindern.

Patientenakten und Datenschutzrisiken

Das Beispiel aus Büren zeigt, dass gerade bei Liegenschaften, die schon vor langer Zeit für den Krankenhausbetrieb aufgegeben wurden oder auch bei nicht mehr im Klinikbetrieb genutzten Altbauten, die „nur noch” für Archivzwecke genutzt werden, immer wieder mit größter Aufmerksamkeit kontrolliert werden sollten. Neben der unsachgemäßen Lagerung steht ja auch die Frage im Raum, ob der Träger in Archiven mit solchen Altbeständen seinen gesetzlich verankerten Löschpflichten nachkommt bzw. ob er diesen überhaupt nachkommen kann.

Auch durch vermeintlich geringe Unaufmerksamkeiten kann es bei der Lagerung von Patientenakten in Krankenhäusern unversehens zu schweren Datenschutzverstößen kommen. Denkbare Beispiele sind:

• Unverschlossene Patientenaktenschränke auf dem Stationsflur oder im Treppenhaus
• Aufbewahrung von CD's mit Bilddaten in veralteten Archivschränken 
• Unbeobachtete Zwischenlagerung von Patientenakten, z.B. bei internen Umzügen

Auch in diesen Fällen liegt unter anderem ein Verstoß gegen die Vertraulichkeit und damit eine Verletzung von Art. 32 DS‑GVO („Sicherheit der Verarbeitung”) vor, die angesichts der enthaltenen Gesundheitsdaten umso schwerer wiegt.

Sicherheit der Verarbeitung – Zugangskontrolle

Je nach Art des Dokuments können Patientenakten Aufbewahrungsfristen von bis zu 30 Jahren unterliegen. Demnach scheidet eine schnelle Vernichtung der Patientenakten zunächst aus. Da Gesundheitsdaten besonders sensible Daten im Sinne des Art. 9 Abs. 1 DS-GVO sind, genießen sie einen erhöhten Schutzbedarf.

Die Verarbeitung personenbezogener Daten ist nur unter Einhaltung eines angemessenen Schutzniveaus rechtmäßig. Hierbei hat sich das Schutzniveau an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die von der Verarbeitung betroffenen Personen zu orientieren. § 64 BDSG nF. nennt insgesamt 14 verbindliche Maßnahmenziele, welche diesen Anforderungen begegnen sollen.

Unter anderem hat die datenverarbeitende Stelle angemessene Schutzmaßnahmen zu treffen, um den Zugang zu personenbezogenen Daten nur dem berechtigten Personenkreis zu ermöglichen. Dieses Kontrollziel kann beispielsweise durch Sicherheitsmitarbeiter am Eingang des Gebäudes, abgeschlossene Türen sowie durch eine Einbruchsicherung erreicht werden. Der Verantwortliche muss wirksam verhindern, dass sich unberechtigte Zugang zu Räumlichkeiten verschaffen können, in welchen sich personenbezogene Daten befinden. Darauffolgend ist zudem sicherzustellen, dass die Einsicht in diese Unterlagen lediglich denjenigen vorbehalten bleibt, die hierzu berechtigt sind.

Rödl & Partner unterstützt eine Vielzahl von Unternehmen der Gesundheits- und Sozialwirtschaft gezielt und mit langjähriger Branchenkenntnis dabei, die Anforderungen des Datenschutzes zuverlässig und möglichst unaufwändig umzusetzen.