Alle Ihre Daten sind natürlich geschützt, Sie Paranoiker

Die Angst mancher Patienten davor, dass die Ärzte und Krankenhäuser mit ihren Daten nicht sorgsam genug umgehen, wird oft genug eher belächelt. Dass sie durchaus ihre Gründe haben kann, zeigt sich nunmehr an einem Fall in Mittelbaden.

Für Datenschutzinteressierte gibt es etliche Blogs, an denen sie nicht vorbeikommen – Werner Hülsmanns "extdsb" (kurz für externer Datenschutzbeauftragter") gehört dazu. Der nicht nur beim AK Vorrat engagierte Herr Hülsmann weist auf Missstände hin, auf neue Schriften etc. Durch ein größeres Netzwerk von Freunden gelangen so auch öfter Informationen ins Internet, die sonst nur auf gedrucktem Papier zu finden sind. Ein Beispiel hierfür ist eine Anzeige in den Zeitungen "Die Welt" und "Frankfurter Rundschau", die gemäß §42a Bundesdatenschutzgesetz (BDSG) erfolgte.

Was steht in diesem Paragraphen? § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte

1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. […] Der gesamte Paragraph ist hier nachzulesen.

In der betreffenden Anzeige wurde mitgeteilt, dass es am Mittwoch, dem 19.09.2012, im Kreiskrankenhaus Rastatt in Baden-Württemberg, zu einer Entwendung von Archivierungsbändern gekommen war. Aufgefallen war dies allerdings erst eine Woche später, in der Zwischenzeit ging der Verantwortliche einfach davon aus, dass die Bänder nicht entwendet, sondern einfach falsch weggeräumt worden waren. Auch fürchtete er Konsequenzen und hielt den Vorfall daher zunächst geheim.

Doch damit ist die Kritik an dem Vorfall noch lange nicht beendet, wie Werner Hülsmann treffend darlegt. Denn weder waren die Bänder verschlüsselt, noch kümmerte sich derjenige, der die Bänder in den Serverraum bringen sollte, mit der erforderlichen Sorgfalt darum.

Alles in Ordnung, die Daten können gar nicht ohne uns ausgelesen werden

"Die Daten sind großteils ohne das klinikinterne EDV-System nicht auslesbar. Der Austausch und die Sicherung der Archivbänder ist sehr streng durch datenschutzkonforme Verfahrensanweisungen geregelt, so dass kein Anlass zur Verschlüsselung der Daten bestand", heißt es seitens der Verantwortlichen, was Herr Hülsmann mit der gebührlichen Fassungslosigkeit kommentiert.

Details zum Vorfall wie auch Werner Hülsmanns Einschätzungen sind in dessen Blog nachzulesen, doch der Vorfall lässt eine andere Thematik wieder akuell werden: Die Frage, inwiefern Daten von Patienten geschützt sind und inwiefern darum besorgte Patienten nicht allzu oft in die Paranoia-Ecke abgeschoben werden.

Im Artikel "Eine Krankheit namens Datenschutz" habe ich für die TAZ über einen Fall berichtet, in dem völlig selbstverständliche Fragen zum Datenschutz sowie zur Datensicherheit in einem psychotherapeutischen Krankenhaus in die Beurteilung eines Patienten einflossen und die Diagnose "Paranoia" mitverursachten. Im Artikel wird aufgezeigt, wie die Sorge um Datenschutz und die Probleme, die sich durch den Mangel daran ergeben (können), als Paranoia abgehandelt werden und sich somit auch die Diagnose verändert, frühere Diagnosen ins Hintertreffen geraten und durch die vermeintliche Paranoia ersetzt werden. Dies ist gerade bei dieser Krankheit ein Teufelskreis – je mehr der vermeintlich paranoide Patient darauf beharrt, seine Sorgen seien berechtigt, desto mehr sind Ärzte so manches Mal bereit, eine Verstärkung der Symptome zu attestieren, weshalb der Patient letztendlich nur aufgeben kann. Die gestellte Diagnose wird sich aber in den "Bias"-Diagnosen anderer Ärzten wieder verstärken können, das bedeutet, dass andere Symptome und Diagnosen an Bedeutung verlieren und der Patient letztendlich wegen etwas therapiert wird, was gar nicht sein ursprüngliches Problem darstellt.

Am Beispiel der Datenbänderentwendung zeigt sich, wie berechtig die Sorgen der Patienten sein können und wie leichtfertig vielerorts gerade auch mit sensiblen Patientendaten umgegangen wird. Patientenstammblätter im Restmüll, ungesicherte Laptops oder USB-Sticks, die in Zügen und Bussen verloren werden, Sicherungsbänder, die einfach liegengelassen werden... die Liste der Pannen ist lang und für die Patienten bedeutet das eine zunehmende Verunsicherung, was die Sicherheit ihrer Daten angeht. Aber das wäre dann wohl paranoid.