Auf den Knopf gedrückt ist schnell
Bayerns Datenschutzbeauftragter kritisiert den sorglosen Umgang mit Vertraulichem
- Seit fast 30 Jahren gibt es in Deutschland das Internet, aber im Umgang damit werden immer noch grobe Fehler gemacht. Das hat der bayerische Landesbeauftragte für den Datenschutz Thomas Petri im 29. Tätigkeitsbericht seiner Behörde festgestellt, der am Montag in München veröffentlicht wurde. Immer noch werden von staatlichen Behörden E-Mails an mehrere Adressaten so verschickt, dass unerwünscht alle Kenntnis vom Verteiler erhalten. Das lasse sich nun doch wirklich leicht vermeiden, indem man bei der Eingabe der Adressen das „bcc“-Feld anstelle des „cc“-Feldes verwende, belehrt Petri die Staatsbediensteten über den richtigen Umgang mit elektronischer Post.
Eine E-Mail ist schnell geschrieben und verschickt – und landet oft ebenso schnell beim falschen Adressaten, im Extremfall sogar bei einer ganzen Reihe von unberechtigten Empfängern, heißt es in dem Bericht. Gerade im Krankenhausbereich häuften sich Meldungen vom unsachgemäßen Versenden vertraulicher Unterlagen an unberechtigte Empfänger per Telefax. Der Telefaxversand sollte ohnehin „nur in Ausnahmefällen und wenn ja, dann exakt kontrolliert“genutzt werden, fordert der Datenschutzbeauftragte.
In etlichen Fällen seien dienstliche Notebooks und andere elektronische Geräte gestohlen oder dem Besitzer sonstwie abhanden gekommen, listete Petri auf. Ob die darauf gespeicherten Daten allesamt verschlüsselt waren, ist nicht bekannt. Die Fälle zeigten jedenfalls, dass es „zwingend nötig“sei, sensible Daten verschlüsselt abzuspeichern. Nicht immer gewährleistet ist der Schutz vertraulicher Daten nach den Beobachtungen des Datenschutzbeauftragten auch bei der Telearbeit. In einem Fall musste „eine öffentliche Stelle“den Verlust mehrerer Dutzend Patientenakten melden, die im öffentlichen Nahverkehr verloren gegangen seien.
Besonders Krankenhäuser bekamen im Berichtszeitraum Ärger mit dem Landesdatenschutzbeauftragten. „Über einen längeren Zeitraum“sei es bei einem Klinikum zum Fehlversand medizinischer Daten per unverschlüsselter E-Mail gekommen, ist dem Bericht zu entnehmen. In einem anderen Klinikum geschah dasselbe über den Faxweg. Schadsoftware sorgte in einem weiteren Krankenhaus für einen mehrtägigen Komplettausfall der IT. Solche Fälle gingen darauf zurück, dass „zu wenig Personal- und Sachmittel“in die ITSicherheit investiert würden, kritisiert Petri.
In einem anderen Fall seien alle Patienten seit Einführung des Krankenhausinformationssystems über die Suchfunktion jederzeit auffindbar gewesen. Wenn Name und Geburtsdatum des Patienten bekannt waren, konnte man ihre Daten auch noch nach Jahren abrufen.
Aber nicht nur im Gesundheitssystem passieren gravierende Datenschutzpannen. Im Schulbereich wurden unter anderem die dienstlichen Beurteilungen von 45 Lehrern für fünf Jahre unverschlüsselt an alle Gruppenmitglieder verschickt. Einen Datenschutzverstoß der guten alten Art wurde in einer nicht genannten Kommune beanstandet. Dort hatte eine Mitarbeiterin des Sozialamtes ein Schreiben mit personenbezogenen Daten, die dem Sozialgeheimnis unterliegen, offen an der Wohnungstür eines Bürgers in einem Wohnkomplex mit 45 Parteien angebracht – interessanter Stoff für den Hausklatsch.