Datenklau – Mitteilungspflicht DSGVO – Klinikum Buch betroffen

Die Datenschutzgrundverordnung sieht in Art. 34 vor, dass von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen benachrichtigt werden müssen. So geschah es mit Januar 2019 durch eine halbseitige Zeitungsanzeige durch das Klinikum Buch. Was ist der rechtliche Hintergrund?

Wenn also beispielsweise Personalakten aus einem Unternehmen entwendet wurden oder es einen Hackerangriff gab, müssen die betroffenen unverzüglich in Kenntnis gesetzt werden.

Dies kann im Einzelfall einen erheblichen Aufwand für den Verantwortlichen bedeuten. Im Falle eines „unverhältnismäßigen Aufwandes“ sieht Art. 34 Abs. 3 c) DSGVO vor, dass eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen kann. Von dieser Möglichkeit hat unlängst das Helios Klinikum Berlin - Buch Gebrauch gemacht:
In halbseitige Zeitungsanzeigen (u.a. im Tagesspiegel) berichtet das Klinikum wie folgt:

„Es besteht der Verdacht, dass sich widerrechtlich Zutritt zum Gebäude des ehemaligen Krankenhauses des Ministeriums für Staatssicherheit, Hobrechtsfelder Chausee, 13125 Berlin verschafft wurde. Das derzeit ungenutzte Gebäude befindet sich im Eigentum der Berliner Immobilienmanagement GmbH (im Folgenden BIM).

Im Rahmen der Sachverhaltsklärung wurde am 15.01.2019 ein Aktenschrank aufgefunden, in welchem sich Unterlagen zu im sogenannten „Waldhaus“ (Teil IV des Städtischen Klinikums Buch), durchgeführten orthopädischen bzw. unfallchirurgischen Eingriffen sowie Betäubungsmitteldokumentationen befanden. Mit Erwerb des Objektes durch das Helios Klinikum Berlin-Buch (im Folgenden HK BB) im Jahr 2001 gingen auch die betreffenden Unterlagen in den Verantwortungsbereich des HK BB über. Trotz sorgfältig getroffener Maßnahmen wurde offensichtlich bei Übergabe des Objektes an die BIM im Jahr 2007 die dortige Aufbewahrung der Unterlagen nicht zur Kenntnis genommen.

Nach jetzigem Kenntnisstand handelt es sich bei den Dokumenten im Einzelnen um
•    drei OP-Bücher, in denen Operationen von rund 6.000 Patienten in den Jahren 1962 bis 1979 im Waldhaus aufgelistet wurden,
•    zwei Bücher zur Betäubungsmitteldokumentation aus den Jahren von 1967 bis 1976 sowie
•    27 Aktenordner mit Fotokopien von OP-Protokollen der Jahre 1991 bis 1999
•    (…)
•    Alle Betroffenen werden gebeten, besonders aufmerksam auf unerwartete Kenntnis von Informationen bei Dritten zu achten, die im Zusammenhang mit den entsprechenden Krankenhausbehandlungen stehen könnten und uns über entsprechende Auffälligkeiten zu informieren.“

Die DSGVO betrifft letztlich jeden Marktteilnehmer, der personenbezogene Daten verarbeitet. Insbesondere klein- und mittelständische Unternehmen haben die DSGVO noch nicht umgesetzt und sollten nun dringend tätig werden. Wenn Daten verloren gehen, müssen  diese sofort tätig werden. Andernfalls drohen rechtliche Konsequenzen und damit letztlich auch immer finanzielle Einbußen.