Stellungnahme zu den Presseberichten vom 5. November 2021
Zu der heutigen Berichterstattung zum Thema Datenleck stellen wir fest:
Der Vorstand des Uniklinikums distanziert sich ausdrücklich vom Vorwurf, den Vorgang nicht ernst genommen zu haben. Das Gegenteil ist der Fall. Das Universitätsklinikum Magdeburg hat sich in Sachen Datenschutz an alle internen Regularien und an einschlägige datenschutzrechtliche Bestimmungen gehalten.
Die Hoheit für die Daten des Einwohnermeldeamtes liegt bei der zuständigen Meldebehörde. Das ist im Bundesmeldegesetz so festgeschrieben. Wie bereits mehrfach ausgeführt, hat das Universitätsklinikum Magdeburg keinerlei Zugriff auf Protokolldaten. Vielmehr verweigerte der Dienstleister DataPort mangels Rechtsgrundlage jegliche Auskunft zur Protokollierung gegenüber dem Uniklinikum und sogar gegenüber dem LKA.
„Wir sind der Meinung, dass künftig ein solcher Zwischenfall nur dann vermieden werden könnte, wenn die Eigentümerin der Daten, nämlich die zuständige Meldestelle, überhaupt Zugriffskontrollen ermöglichen würde. Hierzu fordern wir eindringlich eine Änderung des § 40 des Bundesmeldegesetzes.“
1. Datenabfrage erst nach Eingabe einer Patientenfallnummer
Der Datenbestand bzw. die Meldedaten sowie das technische System zur Abfrage der Meldedaten gehören nicht zum Universitätsklinikum Magdeburg. Das System wird auch nicht durch das Universitätsklinikum Magdeburg betrieben. Jegliche technischen Maßnahmen müssen vom technischen Dienstleister DataPort implementiert werden.
Eine in den Berichten genannte Plausibilitätsprüfung der Abfragen von Daten der Einwohnermeldeämter beispielsweise gegen eigene Daten wie die Patientenfallnummer ist somit für das Universitätsklinikum nicht möglich.
Das Unternehmen verweigerte mangels Rechtsgrundlage jegliche Auskunft zur Protokollierung gegenüber dem Uniklinikum und auch dem LKA.
Das Universitätsklinikum Magdeburg hat sich in Sachen Datenschutz an die internen Regularien und an einschlägige datenschutzrechtliche Bestimmungen gehalten: Die Mitarbeitenden des betroffenen Bereichs haben eine Dienstanweisung zur Nutzungsberechtigung klinischer IT-Systeme unterschrieben, wurden in das gesamte Thema eingewiesen und es erfolgten jährliche Unterweisungen. Alle Zugänge zum Serviceportal Sachsen-Anhalt und die eindeutige Zuordnung zu Mitarbeitern waren und sind zweifelsfrei dokumentiert.
2. Vier-Augen-Prinzip bei der Datenabfrage
Der Zugriff auf die Einwohnermeldedaten über das Serviceportal Sachsen-Anhalt ist von jedem internetfähigen Gerät weltweit per Browser möglich. Ein Vier-Augen-Prinzip lässt sich praktisch nicht durchsetzen – gerade in Zeiten der Pandemie und unter den Bedingungen der Arbeit aus dem Homeoffice. Mitarbeiter, die ihren Zugang missbrauchen wollen, werden dies in Zeiten durchführen, in denen sie sich unbeobachtet fühlen.
Hinzu kommt: Eine Kontrolle oder gar Überwachung von Beschäftigten unterliegt hohen Hürden. Der Arbeitgeber hat immer die individuellen Rechte des Arbeitnehmers, die Mitbestimmung des Personalrats und den Datenschutz zu berücksichtigen.
Technische Maßnahmen können nur durch den technischen Dienstleister DataPort geprüft und ggf. eingerichtet werden.
3. Stichprobenkontrollen
Verantwortlicher für die Datenverarbeitung ist gemäß Artikel 4 Nr. 7 der Datenschutzgrundverordnung die juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei den Daten des Einwohnermeldeamtes ist das die zuständige Meldebehörde. Gemäß Bundesmeldegesetz § 40 liegt die Hoheit über die Daten bei den Meldebehörden.
Die grundlegende Verantwortlichkeit für die Meldedaten obliegt also den jeweiligen Einwohnermeldeämtern. Jegliche Zugriffsdaten und deren Dokumentationen werden direkt beim externen Dienstleister DataPort gespeichert.
Wie bereits mehrfach ausgeführt, hat das Universitätsklinikum Magdeburg keinen Zugriff auf Protokolldaten, die Grundlage einer Stichprobenkontrolle sein könnten. Vielmehr verweigerte DataPort mangels Rechtsgrundlage jegliche Auskunft zur Protokollierung gegenüber dem Uniklinikum und auch dem LKA.
4. Bußgeldandrohung
Nach der Datenschutzgrundverordnung (DSGVO) ist für Datenschutzverletzungen der sogenannte „Verantwortliche“ haftbar.
„Verantwortlicher“ im Sinne der DSGVO ist „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Demnach ist die zuständige Meldebehörde bzw. deren Dienstleister Dataport verantwortlich im Sinne der DSGVO.
Die Uniklinik geht davon aus, dass sich etwaige Bußgelder entsprechend an die Verantwortlichen im Sinne der DSGVO richten und nicht gegen das Klinikum.