• Nürnberg: Patientendaten aus Reha-Zentrum an Dritte gelangt
  • "Samt Anwendung": Mitarbeiterin hatte Tagespläne weitergegeben
  • "Datenschutzrechtlicher Verstoß": Reha-Zentrum meldet Vorfall an Behörde
  • "Umgehend reagiert": Klinikum Nürnberg nimmt als Gesellschafter Stellung 

Die Mitarbeiterin eines Nürnberger Reha-Zentrums im Stadtteil Langwasser hat mehrfach unbefugt Patientendaten an Dritte weitergegeben. Nach Recherchen von inFranken.de hat der Bayerische Landesdatenschutzbeauftragte eine entsprechende Meldung der Einrichtung bestätigt. Auch das Klinikum Nürnberg, das neben der Deutschen Rentenversicherung einer der Gesellschafter des Reha-Zentrums ist, nimmt Stellung zu den Vorfällen. Man bedaure das "Fehlverhalten" der Beschäftigten, heißt es dort. Es seien bereits Konsequenzen gezogen worden. 

Nürnberger Reha-Zentrum: Patientendaten weitergegeben - "persönliche Beziehung" mit Mitarbeiterin

Konkret soll die Empfängerin der Daten nach Informationen von inFranken.de von Oktober 2020 bis September 2021 Patientin des Rehazentrums gewesen. Die Sprecherin des Klinikums Nürnberg, Sabine Stoll, bestätigt, dass die Beschäftigte mit der Frau "eine persönliche Beziehung hatte". In einem Schreiben des Reha-Zentrums vom September 2021, das inFranken.de vorliegt, heißt es, die Empfängerin sei "im Besitz von Tagesplänen einer unserer Mitarbeiterinnen".

Diese Tagespläne enthielten "Therapiearten und teilweise Namen sowie Telefonnummern von in unserem Haus behandelten Patienten", heißt es in dem Brief. Laut der Sprecherin des Klinikums Nürnberg seien in den Dienstplänen konkret "Arbeitszeiten der Mitarbeiterin, in einigen Fällen auch Patientennamen samt Anwendung, unserem Kenntnisstand zufolge in einem Fall auch eine vollständige Telefonnummer" enthalten. Das Reha-Zentrum hatte in dem Brief an die Empfängerin ebenfalls davon geschrieben, auch eine dritte unbefugte Person habe Einsicht in die "digitalen Tagespläne" gehabt. 

Nach Informationen von inFranken.de soll es sich dabei um eine Person handeln, die zum damaligen Zeitpunkt ebenfalls in einer persönlichen Beziehung zur Empfängerin der Pläne stand. Diese soll es nach unseren Recherchen auch gewesen sein, die sich schlussendlich an das Nürnberger Reha-Zentrum gewandt hat. Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, erklärt auf Anfrage von inFranken.de, dass sich die Einrichtung im Anschluss an ihn gewandt habe, um den Vorfall zu melden

Einrichtung in Nürnberg meldet Vorfall - Datenschutzbeauftragter äußert sich

Mitte 2021 sei ihm "eine angebliche Verletzung des Schutzes personenbezogener Daten" gemeldet worden. Allerdings bestehe eine Verpflichtung zu solch einer Meldung nur, wenn die dem betroffenen Reha-Zentrum in Nürnberg-Langwasser "anvertrauten Daten aufgrund von Sicherheitsmängeln" bei der Einrichtung selbst "offenbart wurden", so Petri. "Solche Sicherheitsmängel waren nach meiner Einschätzung hier nicht ersichtlich".

Vielmehr habe "nach meinem Kenntnisstand eine Beschäftigte eigene Tageseinsatzpläne weitergegeben". Das Motiv der Beschäftigten möge dabei "in erster Linie gewesen sein, der Datenempfängerin Auskunft über die eigene Arbeitszeit zu geben", erklärt Petri. Derartige Fälle, "in denen Beschäftigte weisungswidrig personenbezogene Daten Dritten offenbaren", nenne man "Mitarbeiterexzess", erläutert er.

Das Reha-Zentrum hätte dies "mit technisch-organisatorischen Maßnahmen kaum im Vorhinein verhindern" können. Er sehe kein "Organisationsverschulden" der Einrichtung, eine Meldung sei daher nicht notwendig gewesen, auch eine Sanktion gegen das Zentrum komme hier "nicht in Betracht".  Das Zentrum habe hingegen "auf angemessene Weise reagiert", so der Datenschutzbeauftragte. 

"Bedauern das Fehlverhalten" - Reha-Zentrum zieht Konsequenzen aus Datenweitergabe

"Die Weitergabe der persönlichen Dienstpläne ist aus rein privaten Gründen und ohne böse Absicht seitens der Mitarbeiterin erfolgt", sagt Klinik-Sprecherin Stoll. "Gleichwohl handelt es sich um einen datenschutzrechtlichen Verstoß. Wir bedauern das Fehlverhalten der Mitarbeiterin."

Nach Bekanntwerden der Weitergabe habe das Reha-Zentrum "umgehend reagiert", so Stoll. "Es wurden arbeitsrechtliche Schritte gegen die Mitarbeiterin eingeleitet, der bayerische Landesdatenschutzbeauftragte wurde informiert." Intern seien alle Beschäftigten "datenschutzrechtlich noch einmal geschult" worden.

Der Datenschutzbeauftragte Petri bestätigt auch, dass das Reha-Zentrum korrekt gehandelt habe, als es die Patientin aufforderte, "alle erhaltenen Daten beziehungsweise Unterlagen zu löschen beziehungsweise zurückzugeben und hierüber eine Erklärung abzugeben". Dem sei diese nach Auskunft des Reha-Zentrums an Petri auch nachgekommen. Dass sich die Mitarbeiterin mit der Weitergabe nach dem Datenschutzgesetz strafbar gemacht habe, sehe Petri nicht - weil es "keine Schädigungsabsicht" gegeben habe und die Beschäftigte auch kein Geld für die Patientendaten aus dem Nürnberger Reha-Zentrum verlangt habe. 

Auch interessant: Wasserstoff für Lkw - MAN erhält Millionen-Förderung für "Bayernflotte"