Daten-Schlamperei: Patientenakten im Sperrmüll

HAMBURG | taz Deutschlands größter privater Krankenhauskonzern Asklepios, der allein in Hamburg zehn Kliniken betreibt, hat höchst sensible Patientenakten gleich kistenweise im Sperrmüllcontainer entsorgt. Notfallberichte und Abrechnungsberichte mit Tausenden von personenbezogenen Daten lagerten tagelang im offenen Container unter freiem Himmel, direkt neben einem von Spaziergängern stark genutzten Wanderweg am Rande des früheren Klinikgeländes in Hamburg-Eilbek. Hamburgs Datenschutzbeauftragter Johannes Caspar schlägt die Hände über dem Kopf zusammen: „Patientenakten im Müll sind einer der größten anzunehmenden Unfälle für eine Klinik.“

Neben ausgedienten Möbeln und Schrott befanden sich in dem von der Stadtreinigung aufgestellten Container mindestens fünf Kartons, randvoll mit alten Notfallberichten und Abrechnungsunterlagen mehrerer Krankenhäuser, darunter das AK Eilbek, das AK Harburg und das Klinikum Nord/Heidberg.

In den Ordnern befinden sich Diagnosen und Krankheitsvorgeschichten von mehreren Tausend Personen, die alle mit vollem Namen und Wohnort in den Berichten vermerkt sind. Briefwechsel mit dem Finanzdienstleister „Aktivia“ klären darüber auf, bei welchen Patienten eine Privatinsolvenz vorliegt. Hinweise auf Ehestreitigkeiten finden sich genauso in den Notfallberichten wie pikante Atteste in der Korrespondenz mit den Krankenkassen, aus der man etwa erfährt, das ein Patient aus Seevetal wohl unter einer „affektiven Psychose“ leide.

Am Dienstag hatte ein passionierter Sperrmüllsammler die taz von der brisanten Zwischenlagerung informiert. Der Mann hatte, wie nach seiner Aussage auch andere Spaziergänger, einen Blick in den Container gewagt, der zwar stattliche 2,60 Meter hoch ist, aber durch eine in dem Behälter eingelassene Stufenleiter leicht erklimmbar ist und dessen Seitenflügel zudem problemlos geöffnet werden kann.

Das Sperrmüllgefäß befindet sich direkt neben dem ehemaligen „Haus 33“ des Eilbeker Krankenhauses, in dem bis vor kurzem die Hamburger Abrechnungsstelle von Asklepios untergebracht war. Aus ihrem Bestand stammen nach taz-Recherchen die brisanten Unterlagen.

Während eine Sprecherin der Hamburger Gesundheitsbehörde sich am Freitag zu dem Vorfall nicht äußern wollte, wird Caspars Stellvertreter Hans-Joachim Menzel deutlich. „Das geht überhaupt nicht, das Patientendaten so gelagert werden“, betont Hamburgs Datenschutz-Vize. Für einen ungehinderten Zugang zu den sensiblen Daten habe es „kaum Schwellen“ gegeben. Menzel bewertet die Open-Air-Lagerung als „Verstoß gegen die ärztliche Schweigepflicht“.

Doch die wird vermutlich ungeahndet bleiben. Nachdem der Datenschutzbeauftragte die Polizei informiert hatte, stellte diese am Mittwoch die Akten sicher, sieht aber „keine Anhaltspunkte für eine Straftat“, so ihr Sprecher Andreas Schöpflin.

Auch der Datenschutzbeauftragte ist weitgehend machtlos. Er prüft derzeit „die Einleitung eines Bußgeldverfahrens“ gegen Asklepios wegen eines eklatanten „Verstoßes gegen Datenschutzrichtlinien“, muss es aber möglicherweise mit einer Rüge bewenden lassen. „Das ist für uns unbefriedigend“, sagt Johannes Caspar, der einen dringenden „legislativen Handlungsbedarf“ bei solch schwerwiegenden Verstößen gegen gültige Datenschutzrichtlinien sieht.

Denn diese sind unbestritten. Auch Asklepios-Sprecher Rudi Schmidt bestätigt, es seien „überwiegend Patientenunterlagen“ gewesen, die „ungeplant“ in dem Container gelandet seien. Schmidt: „Diese waren zur Vernichtung vorgesehen und sollten eigentlich im benachbarten Sicherheitscontainer sein“, der fest verschlossen ist. Merkwürdig daran: Mindestens einen Deckel der zur Sofortvernichtung vorgesehenen Ordner ziert ein „Vorblatt für Aktenarchivierung“ mit der Aufschrift: Aufbewahrung bis 12/2013“. Warum die Dokumente im falschen Container landeten, sei „noch nicht abschließend geklärt“, sagt Schmidt. Der Asklepios-Sprecher weiß nur: „Da ist etwas ziemlich schief gelaufen.“

Während für sein Unternehmen der Akten-GAU wohl ohne rechtliche Konsequenzen bleibt, übt sich der Konzern inzwischen in Drohgebärden gegenüber denjenigen, die den Datenskandal nun ans Licht bringen. Asklepios stellte Strafanzeige gegen den taz-Reporter, der den Datenschutzbeauftragten informierte und Einsicht in die öffentlich zugänglichen Unterlagen nahm. Der Vorwurf: „Ausspähen von Geheimnissen“.