Bericht des Landesdatenschutzbeauftragten
Massiver Datenschutzverstoß: Hautarzt ließ Patienten und MFA per Video überwachen
Um Patienten und MFA zu überwachen, installierte ein Dermatologe aus Baden-Württemberg Kameras in seiner Praxis. Der Landesdatenschutzbeauftragte verhängt ein Bußgeld – und rügt zudem Datenpannen beim Postversand.
Veröffentlicht:
Ärztinnen und Ärzte dürfen Patienten und ihr Personal nicht ungefragt per Video überwachen.
© Marco Bader / HMB Media / picture alliance
Stuttgart. Der Landesdatenschutzbeauftragte von Baden-Württemberg, Professor Tobias Keber, hat im vergangenen Jahr einen besonders krassen Fall von Datenschutzverstoß im Gesundheitswesen registriert: Eine Hautarztpraxis aus dem Ländle soll sowohl die Patienten als auch ihre Mitarbeiter „umfassend“ mit Kameras überwacht haben, heißt es im Tätigkeitsbericht für 2025. Über einen Monitor ließ sich laut Bericht sogar ins Behandlungszimmer schauen.
Der Hautarzt habe demnach die Videoüberwachung damit begründet, dass er so die Effizienz innerhalb der Praxis steigern wollte. Bei einem Arzt, bei dem sich Menschen naturgemäß öfter ausziehen, hält Keber diese Begründung für fragwürdig. Die Praxis wurde durchsucht und die Kameras sichergestellt. Die Praxis habe sich einsichtig gezeigt, heißt es. Dies habe sich positiv auf die Höhe des Bußgeldes ausgewirkt.
Fehlerquelle postalischer Versand
Keber nannte weitere Datenpannen, die seiner Behörde von Betroffenen gemeldet wurden: Um sich aufwändige Scanvorgänge zu ersparen, würden Arztpraxen immer wieder Arztbriefe oder vollständige Patientenakten auf einem mobilen Datenträger (z.B. USB-Stick oder CD) postalisch versenden. Diese seien aber oftmals nicht ausreichend verschlüsselt und gingen verloren.
Manche Sendungen erreichten die Adressaten teilweise überhaupt nicht. Zudem könnten Umschläge beim Versand beschädigt werden und kleine Trägermedien herausfallen. Sich optisch abzeichnende Gegenstände in Briefumschlägen ließen sich obendrein leicht ertasten und könnten zum Diebstahl verleiten.
Generell bildete der Fehlversand ganzer Schreiben und/oder von deren Anlagen einen Schwerpunkt der eingegangenen Datenpannenmeldungen nach Art. 33 DS-GVO. In zahlreichen Fällen gingen somit Gesundheitsdaten von Patienten z.B. ärztliche Befunde postalisch an falsche Adressaten, wodurch Dritte oftmals ungewollt Kenntnis erhielten.
Als Grund für den Fehlversand wurde dabei häufig unter anderem eine Fehladressierung, die Verwechslungen aufgrund von Namensgleichheit, eine fehlerhafte Zusammenstellung von Unterlagen im organisatorischen Tagesbetrieb oder eine hiermit einhergehende falsche Kuvertierung angegeben.
Namensgleichheit sorgt für Verwechslungen
Insbesondere eine Namensgleichheit dürfte bei der mitunter hohen Anzahl beispielsweise der von Kliniken oder der Ärzteschaft verarbeiteten personenbezogenen Daten vermehrt vorkommen, sodass diesbezüglich möglichst zuverlässige Maßnahmen getroffen werden müssen.
Namen allein sind nicht ausreichend für eine eindeutige Patientenzuordnung, betont der Landesdatenschutzbeauftragte. „Wir empfehlen stattdessen, eine Kombination von Identifikationsmerkmalen zu nutzen, wie etwa die eines Geburtsdatums oder einer Patienten-ID“. In technischer Hinsicht ließen sich zudem Validierungsregeln implementieren, die beispielsweise Warnhinweise bei Namensidentität aufzeigen. (kaha)
Tipps für den sicheren Postversand
Anders als Papiersendungen lassen sich Trägermedien verschlüsseln (dafür geeignete Verfahren empfiehlt das BSI in seiner Technischen Richtlinie BSI TR-02102). Auf diese Weise sind beim Verlust der Postsendung oder des Datenträgers die personenbezogenen Daten nicht lesbar, sollten die sensiblen Inhalte in falsche Hände geraten.
Zudem empfiehlt der Landesdatenschutzbeauftragte Baden-Württemberg, gepolsterte Umschläge mit verstärkten Seiten zu nutzen. Das Festkleben des Datenträgers am Anschreiben verhindert zusätzlich unnötige Bewegungen der CD/des USB-Sticks selbst. Darüber hinaus rät er Praxen, bei sensiblen Sendungen eine Sendungsnachverfolgung einzurichten.
