Noch ein Nachtrag zu einer Meldung von Ende April 2026. Wie sieht das Datenpannenmanagement an Uni-Kliniken und Krankenhäusern in Nordrhein-Westfalen aus? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen wollte es genauer wissen und hat das Datenpannenmanagement an Uni-Kliniken und Krankenhäusern geprüft.
Wie gehen größere Einrichtungen in Nordrhein-Westfalen mit Datenpannen um? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) hat 33 Kliniken zu ihren Fallzahlen und zum Datenpannenmanagement befragt. Das Ergebnis:
- Neben einer positiven Entwicklung fallen auch mögliche Defizite auf.
- So gaben 12 der untersuchten Einrichtungen an, dass bei ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde.
Das aber ist äußerst unwahrscheinlich – "Kein Umgang mit Daten ist dauerhaft völlig fehlerlos und unangreifbar", so die Landesbeauftragte Bettina Gayk. "Deshalb deuten solche Angaben darauf hin, dass etwaige Vorfälle womöglich nicht intern weitergegeben und ordnungsgemäß dokumentiert wurden."
Datenpannen, also die Verletzung des Schutzes personenbezogener Daten, können beispielsweise geschehen, wenn Daten aus Versehen an die falsche Person versendet oder durch einen kriminellen Cyberangriff verloren gehen. Selbst unter höchsten Sicherheitsstandards kommt es im Einzelfall immer wieder dazu, dass personenbezogene Daten ungewollt vernichtet, verloren, verändert, unbefugt zugänglich gemacht oder offengelegt werden.
Auch Universitätskliniken und Krankenhäuser sind davor nicht gefeit. Um hier eventuelle Lücken im Umgang mit solchen Fällen aufzuspüren, hatte die LDI NRW 23 Krankenhäuser der Landschaftsverbände Westfalen-Lippe und Rheinland sowie die zehn NRW-Unikliniken um Auskunft gebeten. Dass Kliniken für die Prüfung ausgewählt wurden, hat vor allem auch damit zu tun, dass diese besonders sensible Gesundheitsdaten verarbeiten und sich Datenverluste deshalb besonders schwerwiegend auswirken können.
Dabei zeigte sich, dass die Kliniken im Verhältnis zu den bei der LDI NRW insgesamt gemeldeten Datenpannen wenig von Cyberangriffen betroffen sind. Dies liegt vermutlich an den hohen IT-Sicherheitsstandards, die Kliniken auch wegen anderer Regulatorik bereits umgesetzt haben. Die größten Fallgruppen bei den Datenpannen waren Fehlversendungen und andere unbefugte Weitergaben.
Überraschender Weise gaben allerdings zwölf Kliniken an, dass dort über zwei Jahre hinweg keine einzige Datenpanne bekannt wurde. Dabei sind über diesen langen Zeitraum menschliche und technische Fehler praktisch kaum auszuschließen. "Wir nehmen deshalb an, dass etwaige Datenpannen direkt mit den betroffenen Personen geklärt wurden und daher oder aus Unkenntnis der Beschäftigten nicht über die internen Meldeprozesse weitergegeben wurden", betont Landesbeauftragte Gayk.
Das aber ist zwingend erforderlich. Denn im Fall einer Datenpanne müssen der LDI NRW als Aufsichtsbehörde zwar nur solche Vorfälle gemeldet werden, für die ein mehr als geringes Risiko für die betroffenen Personen festgestellt wurde. Die nicht gemeldeten Datenpannen müssen aber intern in jedem Fall dokumentiert werden. Das soll der Klinik notwendige Reaktionen auf Datenpanne ermöglichen und dient auch der Überprüfbarkeit der Panne im Fall einer Beschwerde oder einer Prüfung durch LDI NRW.
Um diese Abläufe künftig zu verbessern, rät Gayk den Klinikverantwortlichen, ihre Beschäftigte regelmäßig zu schulen, wann ein meldepflichtiger Sachverhalt vorliegt und wie die internen Meldewege aussehen. Denn die Erfassung und interne Dokumentation von Datenpannen – auch von denen mit geringem Risiko – hat zugleich den Zweck zu prüfen, ob in bestimmten Bereichen ungewöhnliche Häufungen auftreten und daher Nachbesserungsbedarf beim Pannenmanagement besteht.
Positives Ergebnis der Befragung war, dass im Jahr 2023 in 21 Prozent und 2024 in 13 Prozent der Datenpannen die betroffenen Personen informiert wurden – obwohl kein hohes Risiko für sie festgestellt wurde und damit keine Benachrichtigungspflicht bestand. Landesbeauftragte Gayk: "Das ist zu begrüßen, da eine Information der betroffenen Personen in vielen Fällen die möglichen Folgen für die Betroffenen abmildern kann."
MVP: 2013 – 2016
„Glaube keiner Statistik, die Du nicht selber gefälscht hast."
Einerseits ist die Fragestellung der LDI mehr als wichtig und andererseits ist diese negative Interpretation, es sei unmöglich keine Datenpanne zu haben schon bezeichnend. Warum sollte es an einer Universitätsklinik nicht so sein, wo gerade Forschung und Lehre aufgrund des Personals ein stark sensibilisierter Bereich ist?
Mehr Hintergrund zur Fragestellung würde gut tun, um die Ergebnisse besser einordnen zu können.
Ist es den wirklich so, dass es durch Forschung und Lehre aufgrund des Personals ein stark sensibilisierter Bereich ist? Ich würde erwarten, dass es "besser" ist aber ist es auch "besser" wenn man den Gesamtkontext betrachtet?
Die Daten sind im Vergleich zu einer Autowerkstatt kritischer, die Mitarbeiter sind definitiv auch besser geschult/informiert. Das Thema wurde zumindest mal erwähnt,davon kann man ausgehen. Aber ist das Verhältnis "kritische Daten" vs. "Mitarbeiterwissen/Schulung" an Uni-Kliniken besser oder evtl. noch schlechter?
Wäre halt mal interessant was die alles machen. Irgendwelche schlechten Awareness-Trainings oder Unterschriften beim Unterschreiben des Arbeitsvertrages würde ich genrell als nicht wirkungsvoll erachten. Das "Effektivste" sind evtl. jährliche Datenschutzschulungen, falls sowas stattfindet. Studenten werden sowas auch in der Vorlesung lernen. In anderen Bereichen unterschreibt man einmal was und das war es. Das bringt doch nichts? Ich würde eher noch erwarten, dass sich durch Forschung und Lehre noch deutlich größere Problemfelder ergeben. Einfach weil die Daten auch für die Forschung und Lehre benötigt werden.
Man würde doch z.B. nicht erwarten, dass ein Mitarbeiter einer Klinik den Nachbarn erzählt, dass der andere Nachbar eingewießen wurde… Das sind eigentlich NoGos die gar nicht vorkommen dürften.
Ich fang mal hinten an:
Dass Klinikmitarbeitende den Nachbarn erzählen, dass ein Nachbar eingeliefert wird, mag in einer grossen Stadt, in einer eher unpersönlichen Nachbarschaft ein NoGo sein. Auf dem Dorf unter einer anderen Nachbarschaft ist das vollkommen ok, eher sogar gewünscht. Klar sind es aus der Sicht der Klinik beides Fehlverhalten, aber ist das meldepflichtig?
Forschung und Lehre sind durchaus eine Klientel, die mehr Wert auf Datenschutz und seine anwendung legt. Allerdings müssen wir bei Kliniken immer an besondere Faktoren denken, wie z.B. Mehrbett-Zimmer. Ist es eine Datenpanne, wenn ich als Arzt mit meinem Patienten spreche und der Bettnachbar mithört?
Deswegen ist die Fragestellung der LDI so wichtig. Gerade die LDI NRW fällt ja häufiger durchaus, gelinde gesagt, merkwürdige Feststellungen auf.
Persönlich finde ich es schöner, daran zu glauben, dass die Aussagen der Kliniken stimmen und nicht immer alles direkt in Frage zu stellen mit dem Totschlagargument „100% gibt es nicht". Das mag in der Summe stimmen, aber nocht für jeden Einzelfall.