England: Patientendaten im Mülleimer gefunden
Ein pikanter Datenschutzvorfall beschäftigt derzeit die britische Datenschutzaufsichtsbehörde ICO. Binnen kurzer Zeit wurden zweimal sensible Patientenakten in öffentlich zugänglichen Mülleimern gefunden.
Die ganze Geschichte ereignete sich im University Hospitals Coventry & Warwickshire NHS Trust. Die Einzelheiten des Vorfalls und die Reaktion der Aufsichtsbehörde zeigen, wie Datenschutz „auf der Insel“ praktiziert wird.
Übersicht
1. Die ganze Geschichte
Der erste Vorfall ereignete sich bereits im Februar 2011. Nahe einer Wohnsiedlung wurden Krankenakten von 18 Patienten gefunden. Fundort: Ein Mülleimer. Mitarbeiter der University Hospitals Coventry & Warwickshire NHS Trust hatten die Akten zur Heimarbeit mitgenommen und später mit anderem Hausmüll gemeinsam entsorgt.
Ein weiterer Vorfall ereignete sich im Mai 2011. Hier wurden ausführliche Patientenakten ungeschützt und diesmal direkt vor dem Krankenhaus gefunden. Fundort: Wieder ein Mülleimer.
2. Die Reaktion der Aufsichtsbehörde
Die britische Datenschutzaufsichtsbehörde, das Information Commissioner’s Office (kurz ICO), ordnete umfangreiche Ermittlungen an. Die Ermittler deckten hierbei auf, dass die organisatorischen und technischen Sicherheitsvorkehrungen der betroffenen Universitätskliniken völlig unzureichend waren. Der ICO ordnete an, dass Sicherungsmaßnahmen, insbesondere Mitarbeiterschulungen, verbessert werden müssen.
Trotz dieser Maßnahmen sind die britischen Ermittler nach wie vor skeptisch. In einer Stellungnahme heißt es:
„The fact that the trust lost sensitive personal information on two separate occasions within the space of two months is clearly not acceptable. Organisations across the health service must recognise that they hold some of the most sensitive personal data available and that it must never be disposed of in the same way as routine household waste.“
3. Anmerkung
Die Analyse eines „englischen Rechtsfalls“ ist für kontinentaleuropäische Juristen, aber auch Unternehmer nicht immer leicht. Denn das englische Recht ist nicht nur dem sog. Common Law zuzuordnen, es ist dessen ideengeschichtliche Wiege. Es steht unserem kontinentaleuropäischen Recht, das durch die Allmacht und Allgegenwertigkeit geschriebener Gesetze geprägt ist, diametral gegenüber. Im Common Law und somit in England ist v.a. das sog. Richterrecht (case law) maßgeblich. Insofern wäre es wenig weitsichtig, englische Datenschutzvorfälle allein an dem dort geltenden Data Protection Act 1998 (kurz: DPA 1998) zu messen.
Im Gegenteil: Ein kleiner Einblick in das englische Richterrecht zeigt, wie groß die Vorbehalte gegen das Datenschutzrecht sind. So war in Entscheidung Kaye v Robertson von 1991 noch zu lesen (Kaye v Robertson [1991], FSR 62 70): „It is […] invasion of privacy which underlines the plaintiff’s complaint. Yet it alone, does entitle him to relief in English Law.”
Diese Information ist wichtig, um zu verstehen, wie Datenschutzrecht „auf der Insel“ praktiziert wird. Die Vorbehalte gegen eine Beschränkung der Kommunikationsfreiheit durch Privatsphäre sind im o.g. Urteil deutlich herauszulesen. Daher war das erste gesamtbritische Datenschutzgesetz (Data Protection Act 1984) nicht mehr als eine ordnungspolitische Lästigkeit. Erst die EU-Datenschutzrichtlinie 46/95/EG, die durch die britische Regierung angegriffen wurde, führte zu dem heutigen DPA 1998. Da dem Recht auf informationelle Selbstbestimmung an der Themse noch immer ein rauer Wind entgegenweht, ist die Anwendung des DPA 1998 längst noch nicht auf hohem Niveau.
Diese Information vor Augen, werden die oben geschilderten Vorfälle verständlich. Selbstverständlich sind auch im englischen Datenschutzrecht Gesundheitsdaten besonders geschützt; vgl. Section 2 (e) DPA 1998. Ebenso sind verantwortliche Stellen, hier also die Universitätsklinik, verpflichtet, angemessene Sicherheitsmaßnahmen zu treffen, vgl. Schedule 1 No. 7 DPA 1998. Doch trotz dieser Pflichtverstöße bleibt die Reaktion des ICO mehr als moderat, denn „auf der Insel“ ist man den entscheidenden Schritt hin zu mehr Datensicherheit und Datenschutz noch nicht gegangen.
Das Fazit könnte lauten: In England ist es also notwendig, Krankenhäuser darauf hinzuweisen, dass Patientenakten nicht in den Hausmüll gehören. Sollen deshalb alle deutschen Unternehmer nach England gehen, da sie dort geringen Beschränkungen unterliegen?
Die Antwort der ilex Datenschutz GbR lautet nein: Denn die Reaktion des ICO zeigt, dass man dort allenfalls bereit ist, einen Ausrutscher zu akzeptieren. Im Übrigen ist es auch in Deutschland möglich, wirtschaftliche Lösungen für den Umgang mit personenbezogenen Daten zu finden. Hierbei ist wichtig, den Weg vom Ziel zu trennen und neue Wege zu beschreiten. Krankenhäuser und Arztpraxen müssen das Datenschutzrecht nicht fürchten, sondern den falschen Weg.