LDI NRW zu Datenpannenmanagement an Uni-Kliniken und Krankenhäusern

Veröffentlicht am 11. Mai 2026 von Günter Born

Gesundheit (Pexels, frei verwendbar)Noch ein Nachtrag zu einer Meldung von Ende April 2026. Wie sieht das Datenpannenmanagement an Uni-Kliniken und Krankenhäusern in Nordrhein-Westfalen aus? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen wollte es genauer wissen und hat das Datenpannenmanagement an Uni-Kliniken und Krankenhäusern geprüft.

Wie gehen größere Einrichtungen in Nordrhein-Westfalen mit Datenpannen um? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) hat 33 Kliniken zu ihren Fallzahlen und zum Datenpannenmanagement befragt. Das Ergebnis:

  • Neben einer positiven Entwicklung fallen auch mögliche Defizite auf.
  • So gaben 12 der untersuchten Einrichtungen an, dass bei ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde.

Das aber ist äußerst unwahrscheinlich – "Kein Umgang mit Daten ist dauerhaft völlig fehlerlos und unangreifbar", so die Landesbeauftragte Bettina Gayk. "Deshalb deuten solche Angaben darauf hin, dass etwaige Vorfälle womöglich nicht intern weitergegeben und ordnungsgemäß dokumentiert wurden."

Datenpannen, also die Verletzung des Schutzes personenbezogener Daten, können beispielsweise geschehen, wenn Daten aus Versehen an die falsche Person versendet oder durch einen kriminellen Cyberangriff verloren gehen. Selbst unter höchsten Sicherheitsstandards kommt es im Einzelfall immer wieder dazu, dass personenbezogene Daten ungewollt vernichtet, verloren, verändert, unbefugt zugänglich gemacht oder offengelegt werden.

Auch Universitätskliniken und Krankenhäuser sind davor nicht gefeit. Um hier eventuelle Lücken im Umgang mit solchen Fällen aufzuspüren, hatte die LDI NRW 23 Krankenhäuser der Landschaftsverbände Westfalen-Lippe und Rheinland sowie die zehn NRW-Unikliniken um Auskunft gebeten. Dass Kliniken für die Prüfung ausgewählt wurden, hat vor allem auch damit zu tun, dass diese besonders sensible Gesundheitsdaten verarbeiten und sich Datenverluste deshalb besonders schwerwiegend auswirken können.

Dabei zeigte sich, dass die Kliniken im Verhältnis zu den bei der LDI NRW insgesamt gemeldeten Datenpannen wenig von Cyberangriffen betroffen sind. Dies liegt vermutlich an den hohen IT-Sicherheitsstandards, die Kliniken auch wegen anderer Regulatorik bereits umgesetzt haben. Die größten Fallgruppen bei den Datenpannen waren Fehlversendungen und andere unbefugte Weitergaben.

Überraschender Weise gaben allerdings zwölf Kliniken an, dass dort über zwei Jahre hinweg keine einzige Datenpanne bekannt wurde. Dabei sind über diesen langen Zeitraum menschliche und technische Fehler praktisch kaum auszuschließen. "Wir nehmen deshalb an, dass etwaige Datenpannen direkt mit den betroffenen Personen geklärt wurden und daher oder aus Unkenntnis der Beschäftigten nicht über die internen Meldeprozesse weitergegeben wurden", betont Landesbeauftragte Gayk.

Das aber ist zwingend erforderlich. Denn im Fall einer Datenpanne müssen der LDI NRW als Aufsichtsbehörde zwar nur solche Vorfälle gemeldet werden, für die ein mehr als geringes Risiko für die betroffenen Personen festgestellt wurde. Die nicht gemeldeten Datenpannen müssen aber intern in jedem Fall dokumentiert werden. Das soll der Klinik notwendige Reaktionen auf Datenpanne ermöglichen und dient auch der Überprüfbarkeit der Panne im Fall einer Beschwerde oder einer Prüfung durch LDI NRW.

Um diese Abläufe künftig zu verbessern, rät Gayk den Klinikverantwortlichen, ihre Beschäftigte regelmäßig zu schulen, wann ein meldepflichtiger Sachverhalt vorliegt und wie die internen Meldewege aussehen. Denn die Erfassung und interne Dokumentation von Datenpannen – auch von denen mit geringem Risiko – hat zugleich den Zweck zu prüfen, ob in bestimmten Bereichen ungewöhnliche Häufungen auftreten und daher Nachbesserungsbedarf beim Pannenmanagement besteht.

Positives Ergebnis der Befragung war, dass im Jahr 2023 in 21 Prozent und 2024 in 13 Prozent der Datenpannen die betroffenen Personen informiert wurden – obwohl kein hohes Risiko für sie festgestellt wurde und damit keine Benachrichtigungspflicht bestand. Landesbeauftragte Gayk: "Das ist zu begrüßen, da eine Information der betroffenen Personen in vielen Fällen die möglichen Folgen für die Betroffenen abmildern kann."

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.