HmbBfDI: Beanstandung von Notfallzugriffen auf Patientendaten im Universitätsklinikum Hamburg-Eppendorf

9. März 2012

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar (HmbBfDI) hat mitgeteilt, das Universitätsklinikum Hamburg-Eppendorf (UKE) formell beanstandet zu haben. Hintergrund dessen sei, dass jedem Arzt im UKE ein Notfallzugriff auf das Krankenhausinformationssystem und damit ein Zugriff auf alle zu dem Patienten vorgehaltenen Daten ermöglicht werde, unabhängig davon, ob er eine Behandlung durchführt oder nicht. Dies könne zwar in zeitkritischen Situationen medizinisch geboten sein, allerdings fehlten die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instrumentes. Der einen Notfallzugriff nutzende Arzt bekomme lediglich einen Warnhinweis nebst Aufforderung, einen Grund für einen Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine (stichprobenartige) Kontrolle finde nicht statt, so dass ein Missbrauch kaum entdeckt werden könne. Da über den Notfallzugriff der Nutzer alle jemals zu dem Patientenkreis des UKE und dessen Tochterunternehmen erfassten Daten einsehen könne, sei das Missbrauchspotential hoch. Das UKE soll eingeräumt haben, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Aktuellere Zahlen lägen nicht vor. Die hohen Zugriffszahlen seien auf Prozessablaufschwierigkeiten zurückzuführen.

Der HmbBfDI fordere daher nun einen regelmäßigen Bericht über Anzahl und Gründe der Notfallzugriffe sowie die Erstellung und Umsetzung eines Konzepts zur Auswertung der Zugriffsprotokolle. Weiterhin müsse eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Der Notzugriff müsse in seinen Ausmaßen deutlich eingedämmt und auf seine eigentliche Bestimmung begrenzt werden. Dem UKE werde eine Frist von drei Wochen zu einer schriftlichen Stellungnahme sowie eine dreimonatige Frist zur Umsetzung geeigneter Kontrollmaßnahmen gesetzt. „Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, kommentierte Caspar seine Schritte.