Datenschutz am Karneval

Die tollen Tage sind vorbei, aber: Datenschutz-Kater in Thüringen

Der Umgang mit personenbezogenen Daten ist zwar in vielen Betrieben ein Thema, es gibt aber oft noch Nachholbedarf, wie ein Vorfall aus dem thüringischen Karneval bewiesen hat. Dr. Jörn Voßbein, Geschäftsführer der UIMC, weist darauf hin, dass es oft an einem durchdachten Entsorgungskonzept fehlt.

„Da ist wirklich Schluss mit lustig“, kommentiert UIMC-Geschäftsführer Dr. Jörn Voßbein die Ereignisse von Dermbach im Wartburgkreis (Thüringen). Was war passiert?

Kamelle, Strüßje und Konfetti gehören zu jedem ordentlichen Karnevalsumzug. In Dermbach wurde dem Publikum aber etwas Außergewöhnliches zugeworfen. Eine Konfettikanone feuerte geschredderte Patientenakten aus einer Außenstelle des Klinikums Bad Salzungen. Die Patientenakten wurden nicht fachgerecht vernichtet. Folge: Es waren personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen. Auf anderen fanden sich die Arbeitspläne der Ärzte. Aufgefallen war der ungewöhnliche Konfetti-Daten-Regen einer Anwohnerin erst beim Auffegen. Sie hatte plötzlich den Namen ihrer Schwester auf den nicht korrekt geschredderten Unterlagen entdeckt.

Für Dr. Jörn Voßbein ist dieser Vorgang Grund genug, um auf den fachgerechten Umgang mit Akten und anderen wichtigen Schriftstücken hinzuweisen: „Das beginnt bei der Entstehung des Schriftstückes und endet mit seiner korrekten Vernichtung." Aber Papier ist nicht der einzige Datenträger, den es zu beachten gilt, so Voßbein weiter. "Speziell bei den elektronischen Medien sind in den letzten Jahren neue Aspekte hinzugekommen. Nicht mehr genutzte Mobiltelefone, Kopier- und Navigationsgeräte verfügen über einen Speicher, der personenbezogene Daten enthalten kann."

Als Anhaltswert für die datenschutzgerechte Entsorgung dient die DIN-Norm 66399, die seit 2012 in Kraft ist. Hierbei werden die Daten entsprechend ihrer Sensibilität in drei Schutzklassen eingeordnet. Sieben untergeordnete Sicherheitsstufen geben je nach Art des Datenträgers den Aufwand wieder, der für eine korrekte Entsorgung notwendig ist. Außerdem beschreibt die Norm den kompletten Prozess der Datenträgervernichtung und die technisch-organisatorischen Maßnahmen.
Dr. Voßbein sieht in vielen Betrieben noch Nachholbedarf: "Die Notwendigkeit der Vernichtung sensibler Daten wird zwar meist gesehen, häufig gibt es aber Unklarheiten bei der Umsetzung und es fehlt an einem spezifischen Entsorgungskonzept."

Die Folgen sind bei einem nichtfachgerechten Umgang mit personenbezogenen Unterlagen nicht immer bis ins letzte Detail abzusehen. Jeder Fall liege schließlich anders. In Thüringen rief der Vorfall den Landesdatenschutzbeauftragten Lutz Hasse auf den Plan. Er leitete ein Verwaltungs- und Bußgeldverfahren wegen des Verstoßes gegen Datenschutzrecht ein.