Das Universitätsklinikum Ulm hat dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg am Montag, 19. Januar den Verlust und das Wiederauffinden eines unverschlüsselten USB-Sticks mit Patientendaten gemeldet. Der USB-Stick wurde an einer Klinik im Stuttgarter Raum entdeckt und an das UKU zurückgegeben. Bei dem darauf gespeicherten Material handelt es sich um Daten von bis zu 7.000 Parodontitis-Patient*innen der Klinik für Zahnerhaltungskunde und Parodontologie sowie niedergelassener Zahnarztpraxen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde.
Die auf dem USB-Stick gespeicherten Daten aus den Jahren 2011 bis 2020 umfassen Anschriften von Zahnarztpraxen, Patientennamen, Geburtsdaten und Geschlecht sowie das Datum von Auswertungen und klinischen Diagnosen einer vorliegenden Parodontitis. Auf dem Datenträger waren außerdem weitere persönliche Angaben etwa zur Krankengeschichte der Patient*innen aufgeführt. Es sind ausschließlich Patient*innen mit einer schweren Parodontitis betroffen, bei denen ein Bakteriennachweis in den Zahnfleischtaschen durchgeführt wurde.
Der verantwortliche Mitarbeiter hatte die Daten nach eigener Aussage sichten wollen, um zu klären, ob diese eventuell für eine Studie nutzbar sein könnten. Eine unverschlüsselte Speicherung von Patientendaten auf USB-Sticks ist am Universitätsklinikum Ulm jedoch streng untersagt. Das Arbeitsverhältnis des Mitarbeiters soll aufgrund des schweren Datenschutzverstoßes beendet werden.
„Wir bedauern sehr, dass es zu einem solchen Vorfall gekommen ist und entschuldigen uns ausdrücklich bei den betroffenen Patientinnen und Patienten. Der Schutz personenbezogener Daten hat für das Universitätsklinikum Ulm oberste Priorität. Diese werden daher in Systemen des Klinikums unter Einhaltung besonderer Sicherheitsvorkehrungen verarbeitet. Weder eine unverschlüsselte Speicherung solch sensibler Daten außerhalb der Systeme noch deren Verlust darf in einer Klinik vorkommen,“ erklärt Professor Dr. Udo X. Kaisers, Vorstandsvorsitzender und Leitender Ärztlicher Direktor des Universitätsklinikums Ulm. „Da der verlorene USB-Stick zeitnah nach dem Verlust wiedergefunden und dem Universitätsklinikum Ulm übergeben wurde, gehen wir aktuell davon aus, dass kein Schaden für die betroffenen Patientinnen und Patienten entstanden ist.“
Das UKU hat den Vorfall umgehend nach seinem Bekanntwerden am Montag, 19. Januar dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg gemeldet. Die Klinik für Zahnerhaltungskunde und Parodontologie informiert die betroffenen Patient*innen und niedergelassenen Praxen über den Datenschutzverstoß.
„Wir untersuchen genau, wie es zu der unverschlüsselten Speicherung und dem vorübergehenden Verlust der Patientendaten kommen konnte. Sollte sich herausstellen, dass der Vorfall durch verbesserte Prozesse oder weitere Sicherheitsmaßnahmen hätte verhindert werden können, werden wir diese umgehend entsprechend anpassen. Aktuell gehen wir jedoch davon aus, dass es sich um das unbefugte Vorgehen eines einzelnen Mitarbeiters handelt,“ erklärt Professor Dr. Udo X. Kaisers.
Am Universitätsklinikum Ulm gibt es präzise Regelungen, die den Umgang insbesondere mit vertraulichen Daten festlegen. Diese dürfen auf Endgeräten grundsätzlich nicht unverschlüsselt gespeichert werden, die Speicherung ist in Klinikumsanwendungen bzw. auf Klinikumsservern vorgesehen. Jede Mitarbeiterin und jeder Mitarbeiter wird bei seiner Einstellung über diese Regelungen informiert und verpflichtet sich, diese zu befolgen. Dies wird auch bei den für alle Mitarbeiter*innen verpflichtenden Datenschutz-Schulungen vermittelt. Die Mitarbeiter*innen wurden in Folge des aktuellen Vorfalls zum Thema Datenschutz sensibilisiert.
Hinweis:
Für Rückfragen können sich betroffene Patient*innen an die 0731 500 64123 oder datenschutz.vorfall@uniklinik-ulm.de wenden.