Zwei Datenschutzskandale mit Patientenakten in einem Monat

Immer wieder berichten Medien über Hackerangriffe und Datenschutzskandale. Wenn dabei allerdings Gesundheitsinformationen einzelner Personen offenbart werden, ist der Schaden besonders groß.

Im Dezember schrieb die Süddeutsche Zeitung über einen Hackerangriff auf die Schweizer Tochter eines bekannten Inkassounternehmens mit Hauptverwaltung in Hamburg. Dabei sind Zehntausende Daten über Schuldner abgegriffen worden. Besonders brisant: Die Datensätze der Schuldner umfassten neben Name, Anschrift und Rechnungsbetrag auch Krankenakten, Kreditkartenabrechnungen und andere Details, die sich nicht im Besitz eines Inkassounternehmens befinden sollten. Die ältesten Dokumente reichten zudem bis in das Jahr 2002 zurück.

Gesundheitsinformationen zählen gesetzlich zu der Art von personenbezogenen Daten, die besonders zu schützen sind. Darüber hinaus unterliegen sie dem Arztgeheimnis. Patientendaten dürfen nur unter engen Voraussetzungen erhoben, gespeichert, genutzt und verarbeitet werden. Die Übermittlung der Patientendaten an Dritte ist nur in wenigen Ausnahmefällen zulässig und bedarf entweder der expliziten Einwilligung des Betroffenen oder einer gesetzlich bestimmten Erlaubnis.

Für das Eintreiben von Schulden sollten in der Regel Name, Anschrift und der Rechnungsbetrag ausreichen. Wer einem Inkassounternehmen Informationen übermittelt, die darüber hinaus gehen, macht sich strafbar. Ärzte, die Patientendaten weiterleiten, verstoßen gegen die ärztliche Schweigepflicht. Sobald ein Schuldner die ausstehenden Beträge begleicht, sind die personenbezogenen Daten sofort zu löschen.

Ebenfalls im Dezember berichtete der Euwid über 100 Patientenakten, die in einem Altpapiercontainer in Ravensburg gefunden wurden. Laut Ermittlung der Staatsanwaltschaft stammen die Akten aus den Jahren 1997 bis 2008 von einem Arzt, der mittlerweile im Ruhestand ist. Die nicht-ordnungsgemäße Entsorgung der Daten stellt dabei einen gravierenden Verstoß gegen den Datenschutz dar.

Organisationen, die Gesundheitsinformationen verarbeiten, empfehlen wir diese Daten nach Ablauf der Aufbewahrungsfristen im Rahmen der Schutzklasse 3 und Sicherheitsstufe 4 der DIN 663999 durch MAMMUT Deutschland vernichten zu lassen. Für Papierdokumente entspricht diese Sicherheitsstufe einer Teilchengröße von 160 mm², für Festplatten liegt die Teilchengröße bei 2000mm². Auf diese Weise vernichten Sie Ihre Patientendaten rückinformationssicher, gesetzeskonform und wirtschaftlich.