Sensible Patientendaten falsch versendet

In fast allen Bereichen des Gesundheitswesens wie Kliniken, Arztpraxen, Laboren und Abrechnungsstellen wurden seit Mai 2018 sensible Patientendaten an falsche Adressen verschickt. Den Verantwortlichen drohen empfindlich hohe Bußgelder.

Deit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 sind sensible Patientenunterlagen aufgrund von mindestens 850 Datenpannen an falsche Empfänger versendet worden. Diese Angaben basieren nach Informationen des Norddeutschen Rundfunks (NDR) auf Zahlenmaterial der Datenschutzbehörden der Länder.

„Sehr wesentliche Daten von Betroffenen“

Sechs Bundesländer konnten bei der NDR-Umfrage allerdings keine Zahlen nennen. Die Dunkelziffer ist nach Einschätzung der Behörden sehr hoch. Der Hamburger Datenschutzbeauftragte Johannes Caspar sprach von einem „hohen Datenschutzrisiko“ für „sehr, sehr wesentliche Daten von Betroffenen“. Die Behörde untersucht derzeit einen besonders gravierenden Fall mit einer Häufung von Fehlversendungen durch die Asklepios Klinik in Hamburg-Altona.

Menschliches Versagen ist Hauptursache

Die Pannen kommen nach Angaben der Landesdatenschützer in fast allen Bereichen des Gesundheitswesens vor, also in Kliniken, Arztpraxen, Laboren und Abrechnungsstellen. Ursache sei in der Regel menschliches Versagen durch falsche Adressierung oder Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler. 

Bei vielen Datenschutzbehörden stellen Fehlversendungen den größten Anteil der gemeldeten Datenpannen im Gesundheitswesen. Die Datenschützer gingen in ihren Antworten auf Fragen des NDR davon aus, dass es sich zumeist um Einzelfälle handelt und nicht um systematische Fehler. Spitzenreiter ist Bayern mit 383 Fällen.

Hohe Bußgelder angedroht

Die Datenschutzgrundverordnung (DSGVO) hat die Meldepflicht deutlich verschärft. Dennoch gehen die Landesdatenschutzbehörden von einer sehr hohen Dunkelziffer aus. Denn nicht alle Fehlversendungen werden bekannt und selbst von den bemerkten Pannen dann nicht alle gemeldet. Die Datenschützer können Verantwortliche nicht nur verwarnen und Anordnungen erlassen. Empfindlich hohe Bußgelder könnten den „Vermeidungsdruck“ bei Unternehmen erhöhen, sagte Caspar dem NDR.

Auch Asklepios in Hamburg könnte nach der noch laufenden Prüfung eines besonders gravierenden Falles ein hohes Bußgeld drohen. Die Asklepios Klinik Altona hatte seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Obwohl die Therapeutin die Klinik immer wieder darauf hinwies, ging die Pannenserie weiter. Asklepios nennt in einer schriftlichen Antwort an den NDR „menschliches Versagen“ als Ursache. „Nach den uns bisher vorliegenden Erkenntnissen wurde wiederholt versehentlich die falsche Therapeutin aus dem Klinik-Verzeichnis ausgewählt. Dabei gab es wohl zum Beispiel Verwechslungen aufgrund von Namensähnlichkeiten bzw. Namensgleichheiten.“