LDI NRW prüft Datenpannenmanagement in Kliniken
Datenschutzbehörde sieht hohe Sicherheitsstandards, mahnt aber bessere interne Meldestrukturen an
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat das Datenpannenmanagement größerer Kliniken in Nordrhein-Westfalen untersucht. Die Ergebnisse zeigen nach Angaben der Behörde insgesamt hohe IT-Sicherheitsstandards und vergleichsweise wenige Cyberangriffe. Gleichzeitig sieht die Datenschutzaufsicht Hinweise auf Defizite bei der internen Erfassung und Dokumentation von Datenschutzvorfällen.
Im Rahmen der Prüfung wurden 33 Einrichtungen befragt, darunter die zehn Universitätskliniken in Nordrhein-Westfalen sowie 23 Krankenhäuser der Landschaftsverbände Rheinland und Westfalen-Lippe. Hintergrund der Untersuchung ist die besondere Sensibilität der in Kliniken verarbeiteten Gesundheitsdaten.
Nach Angaben der LDI NRW meldeten zwölf der untersuchten Einrichtungen, dass ihnen in den Jahren 2023 und 2024 keine einzige Datenpanne bekannt geworden sei. Datenschutzbeauftragte Bettina Gayk bewertet dies kritisch. Vollständig fehlerfreie Datenverarbeitung über einen längeren Zeitraum sei in der Praxis kaum realistisch. Daher bestehe der Verdacht, dass Vorfälle intern nicht konsequent weitergegeben oder dokumentiert worden seien.
Als Datenpannen gelten unter anderem Fehlversendungen personenbezogener Daten, unbefugte Weitergaben oder auch Datenverluste infolge von Cyberangriffen. Laut Untersuchung waren Kliniken im Vergleich zu anderen Bereichen relativ selten von Cyberangriffen betroffen. Dies führt die Behörde auf bereits etablierte hohe IT-Sicherheitsstandards und regulatorische Anforderungen im Gesundheitswesen zurück.
Die häufigsten gemeldeten Vorfälle betrafen stattdessen Fehlversendungen und sonstige unbefugte Datenweitergaben. Die Datenschutzaufsicht weist darauf hin, dass auch Datenpannen mit geringem Risiko intern zwingend dokumentiert werden müssen – selbst dann, wenn keine Meldepflicht gegenüber der Aufsichtsbehörde besteht.
Nach Einschätzung der LDI NRW dient die interne Dokumentation nicht nur der Nachvollziehbarkeit, sondern auch der Analyse möglicher struktureller Schwachstellen. Werden Vorfälle nicht erfasst, könnten wiederkehrende Fehlerquellen unentdeckt bleiben. Die Behörde empfiehlt deshalb regelmäßige Schulungen der Beschäftigten zu internen Meldewegen und zur Bewertung datenschutzrechtlicher Risiken.
Positiv bewertet die LDI NRW, dass zahlreiche Kliniken betroffene Personen auch dann informierten, wenn hierzu rechtlich keine Verpflichtung bestand. Im Jahr 2023 traf dies auf 21 Prozent der gemeldeten Fälle zu, 2024 auf 13 Prozent. Dies könne dazu beitragen, mögliche Folgen für Betroffene frühzeitig abzumildern.
Die Ergebnisse verdeutlichen nach Einschätzung der Datenschutzaufsicht, dass Kliniken beim Datenschutz organisatorisch zunehmend professionalisiert arbeiten, zugleich aber weiterhin Verbesserungsbedarf bei internen Prozessen und Sensibilisierung der Mitarbeitenden besteht.
