Datenmissbrauch in Wiener Spital?
Schwerer Vorwurf.
Es besteht der Verdacht, dass in der Klinik Floridsdorf die Gesundheitsdaten eines Mitarbeiters illegal abgerufen wurden. Die Interne Revision ermittelt, das Spital dementiert.
Wien. Aufregung im Wiener Gesundheitsverbund (Wigev). Laut „Presse“-Informationen besteht der Verdacht auf einen Datenmissbrauch in einem Wiener Spital. Dort soll illegal auf die Gesundheitsdaten eines Mitarbeiters zugegriffen worden sein.
Konkret soll sich jemand Zugang zu den höchst sensiblen Daten der Elektronischen Gesundheitsakte Elga besorgt haben, deren Informationen (aus gutem Grund) zu den am strengsten geschützten Daten in Österreich gehören. Immerhin kann man mit Elga-Daten auf persönliche Gesundheitsprobleme schließen.
Kettenreaktion ausgelöst
Das Bemerkenswerte an dem Fall: Der Zugriff soll mit den Zugangsdaten einer namhaften, hochrangigen Ärztin des Gesundheitsverbunds erfolgt sein – was eine Kettenreaktion ausgelöst hat. Die Interne Revision hat bereits ihre Ermittlungen begonnen und Mitarbeiter befragt, Elga wurde informiert, das Gesundheitsministerium ist involviert, die Ärztekammer wurde nach „Presse“-Informationen ebenfalls informiert – auch die Datenschutzbehörde soll eingeschaltet werden, sobald ein Abschlussbericht der Internen Revision zu der Causa vorliegt.
Im Zentrum der Causa steht die Klinik Floridsdorf. Mitarbeiter wollen aus Angst vor Konsequenzen anonym bleiben. Bei der medizinischen Führungskraft, mit deren Zugangsdaten Gesundheitsdaten besorgt worden sein sollen, handelt es sich um eine hochrangige Ärztin des Wigev, konkret um die Ärztliche Direktorin der Klinik Floridsdorf, Margot Löbl.
Ministerium nimmt Stellung
Das Gesundheitsministerium (zuständig für die ausgegliederte Elga) bestätigt Erhebungen wegen der Causa: „Die zentrale Koordinierungsstelle der Elga-Ombudsstellen im Ministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz wurde über das Vorliegen eines entsprechenden Vorwurfs informiert.“Nachsatz: Nähere
Informationen zum Fall selbst können aus Datenschutzgründen nicht beauskunftet werden.“
Wie kam die Causa ins Rollen? Die Antwort liegt in den weiteren Ausführungen des Ministeriums: „Grundsätzlich ist die Einsichtnahme in die Elektronische Gesundheitsakte gesetzlich geregelt und die befugten Stellen (in der Regel Ärzte, Apotheken und Behörden aber stets im Auftrag des Patienten) eigens definiert.“Der entscheidende Satz: „Neben hohen Sicherheitsstandards für den Einstieg in die Elga wird zudem jeder Zugriff in einem Zugriffsprotokoll dokumentiert.“
Man kann also nachvollziehen, mit welchen Zugangsdaten auf welche Daten zugegriffen wurde. Wie geht es danach weiter? „Vermutet eine Person eine Einsichtnahme in ihre Elektronische Gesundheitsakte durch eine nicht befugte Stelle, so kann sie sich an eine Elga-OBST (Ombudsstelle) wenden. Diese gehen in Auftrag des Antragsstellers dem Verdacht
einer vermuteten Datenschutzverletzung in Zusammenhang mit einer Einsichtnahme in die Elga nach“, heißt es in der Stellungnahme des Ministeriums wörtlich.
Was passiert danach? „Bestätigt sich die Vermutung des Antragsstellers, holt die Elga-Ombudsstelle eine Stellungnahme der Stelle ein, welche Einsicht genommen hat. Diese leitet sie an die betroffene Person weiter, der in weiterer Folge der Weg zur Datenschutzbehörde offensteht.“
Ärztin verteidigt sich
Wie bei solchen Fällen üblich muss genau geprüft werden, ob die betreffende Ärztin selbst auf die sensiblen Daten zugegriffen hat. Theoretisch könnte es auch sein, dass eine Person illegal an die Zugangsdaten der Ärztin gelangt ist und sich die sensiblen Daten danach angesehen hat.
Der Akt liegt nach „Presse“-Informationen bereits bei der Disziplinarkommission der Ärztekammer, die dazu keinen Kommentar
abgibt. Auch im Wigev heißt es: „Es handelt sich um ein laufendes Verfahren.“Deshalb könne man dazu nichts sagen. Die Interne Revision sei am Zug. Auch Gesundheitsstadtrat Peter Hacker gibt sich abwartend: Der Bericht der Internen Revision liege noch nicht vor – man warte ab, was die Interne Revision ergebe, heißt es in seinem Büro.
In der Klinik Floridsdorf kann die ärztliche Direktorin, Margot Löbl, die Vorwürfe nicht nachvollziehen: „Da ging es um eine Qualitätskontrolle im Zuge der CovidImpfaktion, die damals erstmalig für 2000 Mitarbeiter*innen aus dem Boden gestampft wurde“, erklärt sie schriftlich der „Presse“: Sie habe, gemeinsam mit zwei Mitarbeiterinnen, kontrolliert, ob die Impfdaten richtig im System vermerkt seien. Und Löbl beteuert: „Angeschaut wurden dabei nur die Impfdaten von Personen, die ohnedies allen Beteiligten bekannt waren. Sonst wurde auf keinerlei Daten zugegriffen.“