Datenklau an der Uniklinik
Befunde von Patienten tauchen in Stuttgarter Krankenhaus auf – Geschäftsleitung entlässt Mediziner
- Betroffen sind 7000 Patienten, die an Zahnfleischentzündung leiden. Ein an der Ulmer Uniklinik angestellter Zahnarzt hat sich ihre Befunde vom Klinikserver gezogen, obwohl er das nicht durfte. Ans Tageslicht kam der Vorgang, weil ein USB-Stick mit den Daten in einer anderen Klinik gefunden wurde. Ein solch fahrlässiger Umgang mit Patientendaten ist leider keine Seltenheit.
Am Freitag informierte die Leitung der Ulmer Uniklinik über den Vorfall. Demnach soll sich ein Zahnarzt der zur Uniklinik gehörenden Klinik für Zahnerhaltungskunde und Parodontologie unerlaubterweise Daten von 7000 Patienten beschafft haben, indem er diese auf einen USB-Stick kopierte. Die Daten aus den Jahren 2011 bis 2020 befanden sich in einer ExcelTabelle: Vor- und Zunamen der Patienten, Geschlecht und Geburtsjahr, Adressen von Zahnarztpraxen, in denen die Patienten behandelt werden, und auch die jeweiligen Befunde. Die Patienten leiden alle unter schwerer Zahnfleischentzündun (Parodontitis).
Das Ganze kam ans Licht, weil der beschriftete Stick Mitte Januar in einer Klinik im Stuttgarter Raum gefunden und anschließend ins dortige Klinik-Fundbüro gebracht wurde. Von dort aus trat er seinen Weg zurück nach Ulm an, wo er Anfang Februar dann vom Ärztlichen Direktor der Klinik für Zahnerhaltungskunde gesichtet wurde.
Wie das Speichermedium in die Stuttgarter Klinik kam, ist unklar. Klar ist aus Sicht der Ulmer Uniklinik allerdings, wie die Daten auf den Stick kamen. Der Zahnarzt habe zugegeben, diese auf den Stick gezogen zu haben – im Wissen, dass er damit gegen die datenschutzrechtlichen Vorgaben der Klinik verstößt. Allerdings bestreitet der Arzt, den Stick nach Stuttgart transportiert zu haben. Er habe diesen in seinem verschlossenen Schreibtisch aufbewahrt. Dies ist laut Klinikleitung allerdings auch schon verboten. Sie gab an, das Arbeitsverhältnis mit dem Mediziner zu beenden.
Warum er die Daten überhaupt auf einen Stick kopierte? Die Klinik geht nicht davon aus, dass er daran Geld verdienen wollte. Aus ihrer Sicht sind die Daten ausschließlich für Mediziner interessant. Und das habe der betreffende Zahnarzt auch angegeben. Er habe die Daten sichten wollen, um zu klären, ob diese für eine Studie geeignet sind. Nun ist er nicht nur seinen Job los, sondern muss auch noch mit einer Anzeige rechnen. Man ziehe dies in Erwägung, sagte Udo X. Kaisers, der Leitende Ärztliche Direktor der Uniklinik. Das Vergehen sei schließlich strafbewährt.
Mit solchen Datenpannen kennt sich Stefan Brink, der Datenschutzbeauftragte des Landes, naturgemäß aus. Es sei „gar nicht so selten“, sagt er der „Schwäbischen Zeitung“, dass medizinische Daten für Unbefugte zugänglich gemacht würden. Der Grund meistens: Schludrigkeit. Werden Arztpraxen aufgelöst, landeten beispielsweise häufig Patientendaten im Papiermüll. Dabei müssen sie vernichtet werden. Denkbar seien aber auch Szenarien, in denen Patienten echte Nachteile erlitten. Es sei außerhalb von Baden-Württemberg schon vorgekommen, dass Patienten mit ihrer Krankheitsgeschichte erpresst würden.
Das Vorgehen der Ulmer Klinik im vorliegenden Fall bezeichnet Brink als „gut“. Die arbeitsrechtlichen Maßnahmen will er nicht bewerten. Die Ulmer Verantwortlichen hatten Brink ebenso wie das für die Uniklinik verantwortliche Wissenschaftsministerium im Vorfeld eingeschaltet.
Klinikchef Kaisers entschuldigte sich für das „sehr bedauerliche Fehlverhalten“des Arztes. Alle Patienten sollen noch schriftlich informiert werden. Auf dem Stick befanden sich Analysen von Bakterien aus dem Mund der Parodontitis-Patienten, die im Auftrag der Praxen im Labor der Uniklinik angefertigt wurden. Für die Praxen lassen sich dadurch Rückschlüsse für die Behandlung der Patienten ziehen.
Laut Kaisers gebe es keine Hinweise darauf, dass die unverschlüsselten Daten von dem Stick auf weitere Geräte kopiert wurden. Er geht davon aus, dass kein Schaden für die Patienten entstanden ist. Laut dem Datenschutzbeauftragten Brink haben Patienten in solchen Fällen aber grundsätzlich die Möglichkeit, Schadensersatz zu fordern. Dies müssten allerdings zivile Gerichte klären.