VOLLTEXTSUCHE
Pressearchiv
ilex Datenschutz GbR
Pressemitteilung

Liverpool: Krankenhausmitarbeiterin missbraucht Patientendaten zu eigenen Zwecken

(PM) Potsdam, 26.03.2012 - Liverpool ist v.a. als Wiege exzellenter Musik bekannt. Seit Januar 2012 ist die Stadt im Nordwesten Englands auch Schauplatz eines handfesten Datenskandals. Die britische Datenschutzaufsicht, das Information Commissioner’s Office (kurz: ICO), berichtet bereits am 12. Januar 2012, dass eine Mitarbeiterin des Liverpooler Universittskrankenhauses sensible Patientendaten zu eigenntzigen Zwecken verwendet hat. Bedauerlicherweise beschftigt sich die Pressemitteilung vorwiegend mit der strafrechtlichen Haftung der Tterin. Der nachfolgende Beitrag zeigt aber das Haftungsrisiko des Krankenhauses – auch aus deutscher Perspektive – auf und fragt, ob nicht eine Pflicht bestand, einen solchen Skandal im Voraus zu verhindern. Hierbei wird nicht verkannt, dass brokratische Lsungen schdlich und wirtschaftliche Lsungen mglich sind.

Der Vorfall

Liverpool; die Wiege der Beatles und Heimat der berhmten Fuballvereine FC Everton und FC Liverpool ist nun um eine weitere Funote in der Stadthistorie reicher. Ein ehemaliger Patient des Krankenhauses erhielt rgerliche und unerwnschte Anrufe seiner einstigen Schwiegertochter. Alsbald besttigte sich der Verdacht, dass die Mitarbeiterin hierfr die Patientendaten des Betroffenen, aber auch weiterer Personen missbraucht hatte. Die Ermittlungen zeigten, dass die Mitarbeiterin Zugang zu Informationen ber Patienten hatte, die sie gar nicht betreut hatte.

Das Haftungsrisiko des Krankenhauses

Obwohl die Verurteilung der der Krankenhausmitarbeiterin im Ergebnis richtig ist, unterschlgt der Beitrag des ICO eine wichtige Frage: Wie konnte es so weit kommen?

Krankenhuser tragen die Verantwortung ber hoch sensible Daten. In Deutschland wird der Bedeutung der Patientendaten durch 3 Abs. 9 des Bundesdatenschutzgesetzes (BDSG) Rechnung getragen. Dort genannte Daten – also auch Patientendaten – drfen nur unter sehr engen Voraussetzungen verarbeitet werden, die v.a. in medizinrechtlichen Normen zu finden sind (Beispiel: 28 der Verordnung ber den Schutz vor Schden durch Rntgenstrahlen).

Mithin kann dem Datenschutzrecht ein allgemeiner Rechtsgedanke entnommen werden, wonach Krankenhuser weitaus intensivere Manahmen zum Schutz personenbezogener Daten treffen mssen als andere Stellen. bertragen auf Deutschland: Private Kliniken mssen im Rahmen von 9 BDSG ganz erhebliche Schutzmanahmen treffen. Fr die brigen Kliniken gilt im Rahmen vergleichbarer landesrechtlicher Vorschriften das gleiche. Etwa hat die Berliner Aufsichtsbehrde bereits 2011 angekndigt, sowohl Hersteller als auch Betreiber sog. Krankenhausinformationssysteme (KIS) in den Fokus seiner Ttigkeit zu nehmen. Hier htte das Krankenhaus durch Definierung eines Rechte- und Zugriffssystems den Vorfall leicht verhindern knnen.

Es ist aber auch wichtig, auch auf die finanziellen Belange eines Krankenhauses – gerade im Sinne eines funktionierenden Gesundheitswesens – Rcksicht zu nehmen. Doch einer wirtschaftlichen Lsung steht das Datenschutzrecht nicht entgegen. Im Gegenteil: Etwa begrenzt 9 BDSG die Pflicht zur Ergreifung von Schutzmanahmen auf verhltnismige Manahmen, wobei der Aufwand fr das Krankenhaus mit bercksichtigt wird.

Fazit

Insgesamt zeigt der Vorfall, dass die Verletzung des Gesundheitsdatenschutzrechts berall; selbst im vermeintlich wirtschaftsliberalen England ernsthafte Konsequenzen hervorruft. Hierbei sollte immer bedacht werden, dass dieses Haftungsrisiko nicht nur die handelnden Menschen, sondern auch die dahinter stehenden Stellen – wie etwa Krankenhuser – trifft. Dieses Haftungsrisiko kann nur begrenzt werden, wenn Arbeitsablufe von Anfang an auch unter Bercksichtigung des Datenschutzrechts geplant werden.

Hierbei sollte aber nicht vergessen werden, dass intensivere Schutzmanahmen auch Geld kosten. Daher sollten so frh wie mglich das Datenschutzrecht mit zu bedenken, denn dann kann Geld gespart und Haftung minimiert werden. Hierbei kann etwa die Bestellung eines Datenschutzbeauftragten, aber auch eine Einzelfallberatung helfen.

Dr. iur. Stephan Grtner
Compliance Manager
PRESSEKONTAKT
ilex Datenschutz GbR
Herr Dr. iur. Stephan Gärtner
Alleestraße 13
14469 Potsdam
+331-97 93 75 0
E-Mail senden
Homepage
ZUM AUTOR
�BER DR. IUR. STEPHAN GRTNER

Dr. iur. Stephan Gärtner ist als Compliance-Manager bei der ilex Datenschutz GbR tätig. In dieser Funktion berät er mittelständische private und kommunale Unternehmen, kommunale Gebietskörperschaften und Behörden in ...
DRUCKEN| VERSENDEN | RSS-FEED |
SOCIAL WEB
PRESSEFACH
ilex Datenschutz GbR
Alleestrae 13
14469 Potsdam
zum Pressefach
Anzeige
PRESSEARCHIV
Anzeige
BUSINESS-SERVICES
© novo per motio KG