Akten – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 31 Aug 2020 20:22:26 +0000 de hourly 1 Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz https://www.datensicherheit.de/stillegung-krankenhaus-bueren-patientenakten-datenschutz-vorfall https://www.datensicherheit.de/stillegung-krankenhaus-bueren-patientenakten-datenschutz-vorfall#respond Fri, 21 Aug 2020 19:19:32 +0000 https://www.datensicherheit.de/?p=37575 Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 21.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010 Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt.

Prof. Dr. Johannes Caspar

HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

Sicherung der Krankenakten im leerstehenden Gebäude in Büren erfolgte über Jahre nicht

Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hätten.

Wegen wiederkehrenden Einbruchsversuchen in Büren ordnete HmbBfDI sofortige Vollziehbarkeit der Grundverfügung an

„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“ Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet. Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.“

VG Hamburg sieht im bloßen Vorhandensein der Aktenbestände in Büren nur einen Zustand

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen.“

HmbBfDI fordert Prüfung: Lagern von Daten in eigenen Räumen in Büren gegenüber Betroffenen ggf. eine Verarbeitung

Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten sei „juristisch problematisch“ und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing (Lagerung) hindeute, welcher den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen“.

Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort in Büren gesichert

„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar, der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann“.

Weitere Informationen zum Thema:

ItsMarvin auf YouTube, 29.05.2020
LOSTPLACES: UNGLAUBLICH! 😱DIESES KRANKENHAUS IST 10 JAHRE ZU🤨 !

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

]]>
https://www.datensicherheit.de/stillegung-krankenhaus-bueren-patientenakten-datenschutz-vorfall/feed 0
Mainzer Augenklinik: Patientenunterlagen im Müllcontainer eines Lebensmittelmarktes https://www.datensicherheit.de/mainzer-augenklinik-patientenunterlagen-im-muellcontainer-eines-lebensmittelmarktes https://www.datensicherheit.de/mainzer-augenklinik-patientenunterlagen-im-muellcontainer-eines-lebensmittelmarktes#comments Sat, 21 Nov 2009 12:27:07 +0000 http://www.datensicherheit.de/?p=8516 Landesbeauftragter für den Datenschutz Rheinland-Pfalz ermittelt

[datensicherheit.de, 21.11.2009] Am 19. November 2009 wurde das Büro des „Landesbeauftragten für den Datenschutz Rheinland-Pfalz“ nach eigenen Angaben über den Fund zahlreicher Patientenunterlagen im Müllcontainer eines Lebensmittelmarktes in Mainz-Laubenheim unterrichtet:
Es soll es sich u.a. um OP-Berichte und Bilder von Patienten aus der Augenklinik des Universitätsklinikums Mainz handeln, die von einem früheren Arzt der Augenklinik weggeworfen worden seien, was dieser bestreite. Er habe die Unterlagen zwischenzeitlich wieder an sich genommen.
Der Landesbeauftragte für den Datenschutz ermittelt derzeit den Umfang und den Inhalt der betroffenen Unterlagen. Erst danach wird eine endgültige Bewertung möglich sein. Schon jetzt stehe allerdings fest, dass das Verhalten des Arztes zumindest in berufsrechtlicher, dienstrechtlicher, datenschutzrechtlicher und straf- bzw. bußgeldrechtlicher Sicht zu klären sei.
Dieser Fall beweist einmal mehr, dass das Datenschutzbewusstsein im Umgang mit persönlichen Daten deutlich gestärkt werden muss. Gerade die Häufung solcher Fälle in der jüngsten Vergangenheit zeigt, dass bei der Umsetzung der bestehenden datenschutzrechtlichen Vorgaben teilweise immer noch beachtliche Defizite bestehen.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, 20.11.2009
Erneut beachtliche Datenschutzverletzung: Arzt wirft Patientenunterlagen in Müllcontainer

datensicherheit.de, 22.09.2009
Aktenordner voller Zeugnisse, Fotos, Lebensläufe und Anschreiben in Papiercontainern / Mainzer Polizei und rheinland-pfälzische Datenschützer reagieren umgehend

]]>
https://www.datensicherheit.de/mainzer-augenklinik-patientenunterlagen-im-muellcontainer-eines-lebensmittelmarktes/feed 1
Datenschutz-Risiken bei der elektronischen Patientenakte https://www.datensicherheit.de/datenschutz-risiken-bei-der-elektronischen-patientenakte https://www.datensicherheit.de/datenschutz-risiken-bei-der-elektronischen-patientenakte#respond Wed, 03 Jun 2009 21:55:34 +0000 http://www.datensicherheit.de/?p=3035 Hamburger Datenschutzbeauftragter Caspar sieht die Softwarehersteller in der Pflicht

[datensicherheit.de, 03.06.2009] Johannes Caspar, Hamburger Datenschutzbeauftragter, sieht erhebliche Defizite in der Datensicherheit von Krankenhauspatienten.
Das papierlose Krankenhaus setze sich durch. Datenschutzrechtliche Prüfungen im UKE und bei Asklepios sowie Workshops mit den Datenschutzbeauftragten der Hamburger Krankenhäuser offenbarten jedoch erhebliche Missbrauchsgefahren bei der Nutzung der elektronischen Patientenakten. Die immer häufiger genutzte „elektronische Patientenakte“ erlaube es einem großen Kreis von Personen, sich einfach sämtliche Patienteninformationen auf den Bildschirm zu holen.
Die Versuchung für Klinikmitarbeiter, Behandlungsdaten von Bekannten, Kolleginnen und Kollegen oder Prominenten einzusehen, privat zu nutzen oder womöglich an Medien zu verkaufen, sei kein Hirngespinst besonders misstrauischer Datenschützer. Vielmehr gab es Missbrauch auch schon bei der herkömmlichen Papierakte. Bei der elektronischen Patientenakte sei dieser jedoch ungleich leichter – wie auch der Fall einer prominenten Patientin im UKE in der jüngeren Vergangenheit zeige.

Weitere Informationen zum Thema:

Der Hamburgische Datenschutzbeauftragte, 02.06.2009
Papierloses Krankenhaus = gläserner Patient ? / Datenschutz-Risiken der elektronischen Patientenakte

]]>
https://www.datensicherheit.de/datenschutz-risiken-bei-der-elektronischen-patientenakte/feed 0