Georg Thieme Verlag KG

Strafanzeige gestelltUKMD nimmt Stellung zu Datenmissbrauch-Berichten

Das Universitätsklinikum Magdeburg äußert sich zum bekannt gewordenen, vermuteten Datenmissbrauch durch einen Mitarbeitenden. Dieser hatte aus dienstlichen Gründen berechtigten Zugriff auf Daten aus dem Einwohnermeldeamt.

Datenschutz
Eisenhans/stock.adobe.com

Symbolfoto

An der Uniklinik Magdeburg steht seit Anfang Oktober ein Mitarbeiter im Verdacht, seinen Zugang zu Daten aus dem Einwohnermeldeamt zu kriminellen Zwecken missbraucht zu haben. Dazu nimmt das Haus jetzt Stellung und äußert sich wie folgt:

1. Kontroll- und Sicherungsmechanismen

Das Universitätsklinikum Magdeburg hat sich in Sachen Datenschutz an die internen Regularien und an einschlägige datenschutzrechtliche Bestimmungen gehalten: Die Mitarbeitenden des betroffenen Bereichs haben eine Dienstanweisung zur Nutzungsberechtigung klinischer IT-Systeme unterschrieben, wurden anfangs und jährlich eingewiesen. Alle Zugänge zum Serviceportal Sachsen-Anhalt und die eindeutige Zuordnung zu Mitarbeitenden waren und sind zweifelsfrei dokumentiert.

Daher richteten sich die Ermittlungen und Untersuchungen ausschließlich gegen die beschuldigte Person und nicht gegen das Uniklinikum Magdeburg.

In der Aufarbeitung des Vorfalls sieht das Uniklinikum keine Möglichkeit, wie der Vorfall hätte verhindert werden können. Grundsätzlich können interne Sicherheitsmaßnahmen nicht verhindern, dass eine Person mit entsprechender krimineller Energie bewusst Systeme missbrauchen kann.

2. Verantwortlichkeiten & Zuständigkeiten

Verantwortlicher für die Datenverarbeitung ist gemäß Artikel 4 Nr. 7 der Datenschutzgrundverordnung die juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei den Daten des Einwohnermeldeamtes ist das die zuständige Meldebehörde.

Daraus ergibt sich: Die Verantwortung für die Daten sowie die Protokollierung der Datenzugriffe liegen bei den Eigentümern der Daten – den Meldebehörden. Das Uniklinikum ist gesetzlich nicht zum Zugriff auf die Protokollierung berechtigt.

3. Protokolle der Abfragen

Die Firma Dataport ist ein IT-Dienstleister, der im Auftrag des Landes die Daten des Einwohnermeldeamtes hostet. Das Unternehmen verweigerte mangels Rechtsgrundlage jegliche Auskunft zur Protokollierung gegenüber dem Uniklinikum und auch dem LKA.

In Zusammenarbeit mit dem LKA hat sich das Uniklinikum entschieden, Strafanzeige gegen die in Rede stehende Person zu stellen. Erst nach dem Stellen der Strafanzeige wurde dem LKA Zugriff auf die Protokolle gewährt. Das Uniklinikum hatte und hat zu keiner Zeit direkten Zugriff auf die Protokolldaten.

4. Überwachung und Kontrolle von Mitarbeitenden

Zur Arbeitsaufgabe der betreffenden Person gehörte es, Adressdaten von säumigen Schuldnern in der Datenbank der Meldebehörden zu recherchieren. Wie beschrieben, obliegt den Meldebehörden gemäß § 40 Bundesmeldegesetz die Protokollierung der Zugriffe.

Eine Kontrolle oder gar Überwachung von Beschäftigten unterliegt hohen Hürden. Der Arbeitgeber hat immer die individuelle Rechte des Arbeitnehmers, die Mitbestimmung des Personalrats und den Datenschutz zu berücksichtigen. Ganz grundsätzlich gesagt, verstößt jede Art der Überwachung von Beschäftigen gegen das Persönlichkeitsrecht der Beschäftigten aus Art. 2 Abs. 1 Grundgesetz (GG) i. V. m. Art. 1 Abs. 1 Grundgesetz in Gestalt des Rechts am eigenen Bild und der informationellen Selbstbestimmung.

Ein solcher Grundrechtseingriff muss daher immer verhältnismäßig sein. Mit Blick auf die individuellen Rechte von Arbeitnehmerinnen und Arbeitnehmern hatte das Uniklinikum Magdeburg keine Möglichkeit über die getätigten Aktivitäten weitergehende Kontrollen vorzunehmen.

5. Meldung an die Datenschutzbehörde

Die Verantwortung für die Daten sowie die Protokollierung der Datenzugriffe liegen bei den Eigentümern der Daten, in diesem Fall den Meldebehörden. Für eine Meldung ist nach der DSGVO der Eigentümer der Daten verantwortlich. Ein Zugriff auf die Protokolle der Meldebehörden war und ist aus Datenschutzgründen (siehe § 40 Bundesmeldegesetz) dem Uniklinikum zu keiner Zeit möglich gewesen.

Unabhängig davon erfolgte eine Meldung des Universitätsklinikums nach Art. 33 DSGVO deshalb nicht, weil sich Ermittlungen zum damaligen Zeitpunkt auf Daten einer Betroffenen bezogen, die in keinem Verhältnis zum Universitätsklinikum stand. Das heißt, die Betroffene war weder Patientin noch Schuldnerin des Universitätsklinikums. In diesem Fall war das Universitätsklinikum nicht Verantwortlicher im Sinne von Art. 33 DSGVO.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!