Stellungnahme fehlende Kontrollen

14.10.2021 -  

Stellungnahme UKMD

Eine Person aus der Uniklinik Magdeburg hatte aus dienstlichen Gründen (Buchhaltung, gerichtliches Mahnwesen) berechtigten Zugriff auf Daten aus dem Einwohnermeldeamt. Diese Person steht im Verdacht, die Daten missbräuchlich und offensichtlich für kriminelle Zwecke genutzt zu haben.

Zu den Behauptungen fehlender Kontrollen nimmt die Uniklinik wie folgt Stellung:

Kontroll- und Sicherungsmechanismen

Das Universitätsklinikum Magdeburg hat sich in Sachen Datenschutz an die internen Regularien und an einschlägige datenschutzrechtliche Bestimmungen gehalten: Die Mitarbeitenden des betroffenen Bereichs haben eine Dienstanweisung zur Nutzungsberechtigung klinischer IT-Systeme unterschrieben, wurden in das gesamte Thema eingewiesen und es erfolgten jährliche Unterweisungen. Alle Zugänge zum Serviceportal Sachsen-Anhalt und die eindeutige Zuordnung zu Mitarbeitern waren und sind zweifelsfrei dokumentiert.

Daher richteten sich die Ermittlungen und Untersuchungen ausschließlich gegen die beschuldigte Person und nicht gegen das Uniklinikum Magdeburg.

In der Aufarbeitung des Vorfalls sieht das Uniklinikum keine Möglichkeit, wie der Vorfall hätte verhindert werden können. Grundsätzlich können interne Sicherheitsmaßnahmen nicht verhindern, dass eine Person mit entsprechender krimineller Energie bewusst Systeme missbrauchen kann.

Verantwortlichkeiten & Zuständigkeiten

Verantwortlicher für die Datenverarbeitung ist gemäß Artikel 4 Nr. 7 der Datenschutzgrundverordnung die juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei den Daten des Einwohnermeldeamtes ist das die zuständige Meldebehörde.

Auch gemäß Bundesmeldegesetz § 40 liegt die Hoheit über die Daten bei den Meldebehörden. In § 40 heißt es dazu unter anderem: „Die Meldebehörde hat bei einem automatisierten Abruf von Daten einer einzelnen Person Folgendes zu protokollieren…“ (u.a. sind das: die abrufberechtigte Stelle, die abgerufenen Daten, den Zeitpunkt des Abrufs, das Aktenzeichen der abrufenden Behörde und die Kennung der abrufenden Person). Und weiter: „Die Protokolldaten dürfen nur für Zwecke der Datenschutzkontrolle, hieraus folgender Strafverfahren, der Sicherstellung des Betriebs der Register und der Auskunftserteilung an die betroffene Person verarbeitet werden.“

Daraus ergibt sich: Die Verantwortung für die Daten sowie die Protokollierung der Datenzugriffe liegen bei den Eigentümern der Daten – den Meldebehörden. Das Uniklinikum ist gesetzlich nicht zum Zugriff auf die Protokollierung berechtigt.

Protokolle der Abfragen

Die Firma Dataport ist ein IT-Dienstleister, der im Auftrag des Landes die Daten des Einwohnermeldeamtes hostet. Das Unternehmen verweigerte mangels Rechtsgrundlage jegliche Auskunft zur Protokollierung gegenüber dem Uniklinikum und auch dem LKA.

In Zusammenarbeit mit dem LKA hat sich das Uniklinikum entschieden, Strafanzeige gegen die in Rede stehende Person zu stellen. Erst nach dem Stellen der Strafanzeige wurde dem LKA Zugriff auf die Protokolle gewährt. Das Uniklinikum hatte und hat zu keiner Zeit direkten Zugriff auf die Protokolldaten.

Überwachung und Kontrolle von Mitarbeitenden

Zur Arbeitsaufgabe der betreffenden Person gehörte es, Adressdaten von säumigen Schuldnern in der Datenbank der Meldebehörden zu recherchieren. Wie beschrieben, obliegt den Meldebehörden gemäß § 40 Bundesmeldegesetz die Protokollierung der Zugriffe.

Eine Kontrolle oder gar Überwachung von Beschäftigten unterliegt hohen Hürden. Der Arbeitgeber hat immer die individuelle Rechte des Arbeitnehmers, die Mitbestimmung des Personalrats und den Datenschutz zu berücksichtigen. Ganz grundsätzlich gesagt, verstößt jede Art der Überwachung von Beschäftigen gegen das Persönlichkeitsrecht der Beschäftigten aus Art. 2 Abs. 1 Grundgesetz (GG) i. V. m. Art. 1 Abs. 1 GG in Gestalt des Rechts am eigenen Bild und der informationellen Selbstbestimmung.

Ein solcher Grundrechtseingriff muss daher immer verhältnismäßig sein. Mit Blick auf die individuellen Rechte von Arbeitnehmerinnen und Arbeitnehmern hatte das Uniklinikum Magdeburg keine Möglichkeit über die getätigten Aktivitäten weitergehende Kontrollen vorzunehmen.

Meldung an die Datenschutzbehörde

Die Verantwortung für die Daten sowie die Protokollierung der Datenzugriffe liegen bei den Eigentümern der Daten, in diesem Fall den Meldebehörden. Für eine Meldung ist nach der DSGVO der Eigentümer der Daten verantwortlich. Ein Zugriff auf die Protokolle der Meldebehörden war und ist aus Datenschutzgründen (siehe § 40 Bundesmeldegesetz) dem Uniklinikum zu keiner Zeit möglich gewesen.

Unabhängig davon erfolgte eine Meldung des Universitätsklinikums nach Art. 33 DSGVO deshalb nicht, weil sich Ermittlungen zum damaligen Zeitpunkt auf Daten einer Betroffenen bezogen, die in keinem Verhältnis zum Universitätsklinikum stand. Das heißt, die Betroffene war weder Patientin noch Schuldnerin des Universitätsklinikums. In diesem Fall war das Universitätsklinikum nicht Verantwortlicher im Sinne von Art. 33 DSGVO.

Erst mit dem Schreiben vom LKA Sachsen-Anhalt (Posteingang am 05.10.2021) teilten die Ermittler nunmehr mit, dass in 170 Einzelverfahren wegen des Verdachts des Ausspähens von Daten und Straftaten gegen das Landesdatenschutzgesetz ermittelt wird.

Damit konnte nicht mehr ausgeschlossen werden, dass auch Meldedaten von Patienten oder Schuldnern des Universitätsklinikums betroffen sind. Konsequenterweise erfolgte dann am 06.10.2021 die Meldung nach Art. 33 DSGVO.

Damit hat das Universitätsklinikum unverzüglich, verantwortungsvoll und im Rahmen der gesetzlichen Bestimmungen gehandelt. Vorwürfe, die eine Verzögerung unterstellen, sind damit als haltlos widerlegt.

Arbeitsrechtsverfahren

Das Uniklinikum hat unmittelbar nach Kenntnis des Ermittlungsverfahrens eine sogenannte außerordentliche Verdachtskündigung ausgesprochen (wegen des Verdachts der Beihilfe zur Körperverletzung durch Preisgabe dienstlich erlangter Personenstandsdaten). Dagegen hat die betreffende Person geklagt.

Die Uniklinik Magdeburg hat das Gerichtsverfahren im ersten Schritt verloren, weil das Arbeitsgericht den Tatverdacht des Uniklinikums als außerordentlichen Kündigungsgrund nicht anerkannt hat. Da das Universitätsklinikum keine Möglichkeit hatte auf die Protokollierung zuzugreifen, konnte es in diesem Punkt auch keine Aufklärungsarbeit leisten.

Trotz mehrfachem Hinweis durch das Uniklinikum hat das Arbeitsgericht die strafrechtliche Ermittlungsakte nicht beigezogen. Der Richter hat darauf abgestellt, dass Arbeitsgerichte gehalten sind, den Sachverhalt im Kündigungsschutzprozess ohne Bindung an das Strafurteil selbst aufzuklären und zu bewerten. Eben diese Aufklärung war aber aufgrund der Beschränkungen des § 40 Bundesmeldegesetzes nicht möglich.

Erschwerend kam hinzu, dass die Datenabfrage im Rahmen der Schuldnersuche der Uniklinik erfolgte, wodurch das Gericht allein diese Abfrage (Datenschutz) nicht als klar nachgewiesenen Datenschutzverstoß bewertet hat. Das Uniklinikum hat vor Gericht mehrfach darauf verwiesen, dass man absolut überzeugt sei, dass der Verdacht hinreichend war. Das Arbeitsgericht sah es anders.

Erst im Rahmen des Ermittlungsverfahrens hat das LKA der Uniklinik Datensätze zur Verfügung gestellt. Diese wurden klinikintern auf die Rechtmäßigkeit der Datenabfragen überprüft. Diese Überprüfung hat dazu geführt, dass zahlreiche Zugriffe identifiziert wurden, die nicht im Zusammenhang mit den Dienstgeschäften am Uniklinikum Magdeburg stehen. Diese Überprüfungen durch das LKA dauern an, führten aber zur erneuten Freistellung.

Letzte Änderung: 15.10.2021 - Ansprechpartner: Webmaster