Der Landesbeauftragte für den Datenschutz
und die Informationsfreiheit Rheinland-Pfalz
Internet:
www.datenschutz.rlp.de
E-Mail:
<<E-Mail-Adresse>>
Telefon: (06131) 208 25 49
Telefax: (06131) 208 2497
Datum: 14.06.2019
Gesch.Z.: 4.04.19.012
Ihr Zeichen:
Herrn
Antragsteller/in Antragsteller/in
<<E-Mail-Adresse>>
Ihre ergänzende Nachfrage vom 30.05.2019 zu meiner Stellungnahme vom 27.05.2019
Sehr
geehrteAntragsteller/in
zu Ihrer ergänzenden Nachfrage vom 30.05.2019 teile ich Ihnen Folgendes mit:
Zunächst gestatten Sie mir den Hinweis, dass sich der Auskunftsanspruch nach § 2 Abs. 1 Landestransparenzgesetz (LTranspG) ausschließlich auf die bei den transparenzpflichtigen Stellen vorhandenen Informationen bezieht. Soweit wie im vorliegenden Falle keine Umweltinformationen begehrt sind, fallen hierunter nach den §§ 4 Abs. 1; 5 Abs. 1 und Abs. 2 LTranspG ausschließlich amtliche Informationen, d.h. alle dienstlichen Zwecken dienenden Aufzeichnungen. Nicht erfasst von der Transparenzpflicht sind nicht dokumentierte Strategien und Erwägungen, die seitens der transparenzpflichtigen Stelle ihrem Tätigwerden zugrunde gelegt werden.
Hinsichtlich der Ihnen in der Stellungnahme vom 27.05.2019 mitgeteilten Meldungen der Universitätsmedizin Mainz nach Art. 33 Abs. 1 DS-GVO teile ich Ihnen ergänzend mit, dass in den Schwerpunkten "nicht fachgerechte Entsorgung von Patientendaten", "vorübergehende externe Aufbewahrung von Dokumentation" und "Verletzung der Vertraulichkeit" jeweils nach den mir vorliegenden Informationen nicht mehr als 5 Personen betroffen waren. Eine aktive Benachrichtigung der Betroffenen erfolgte nach meiner Kenntnis zumindest in einem Fall. In den Schwerpunkten "Auffinden von Behandlungsdokumentation" und "fehlerhafte Versendung von Patientendaten" waren ausgehend von den Meldungen der Universitätsmedizin mindestens 31 bzw. 36 Personen betroffen. Hier ist mir durch die Universitätsmedizin Mainz in 13 bzw. 3 Fällen mitgeteilt worden, dass die Betroffenen benachrichtigt worden seien. Im Fall der "externen Zugriffsmöglichkeit auf Patientendaten" waren 889 Personen betroffen, davon 443 verstorbene; alle noch lebenden Personen wurden schriftlich informiert. Vom "Diebstahl eines Laptops" war eine Datenbank mit mehreren hundert personenbezogenen Datensätzen betroffen. Da das Gerät kurze Zeit nach der Meldung wieder aufgetaucht ist, ist noch klärungsbedürftig, ob ein unbefugter Zugriff erfolgt ist bzw. ein entsprechendes Risiko bestand. Von der "Speicherung von Patientendaten auf privaten Systemen" sind ca. 200.000 personenbezogene Datensätze betroffen; hier läuft ebenfalls noch die Prüfung, ob dabei eine Verletzung des Schutzes personenbezogener Daten erfolgt ist bzw. welches Risiko bestand. Die "unbefugte Weiterleitung von E-Mails" betrifft 168 Fälle, hier ist derzeit noch offen, in welchem Umfang personenbezogene Daten betroffen sind.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) geht im Falle von Meldungen nach Art. 33 Abs. 1 DS-GVO regelmäßig der Frage nach, ob im Vorfeld des gemeldeten Ereignisses überhaupt technische und organisatorische Vorkehrungen im Sinne von Art. 32 DS-GVO vorhanden waren, die geeignet waren, die eingetretene Datenschutzverletzung zu verhindern. Ggf. wird zudem geklärt, ob bislang bestehende derartige Maßnahmen effektiv genug waren, um dieses Ziel zu erreichen und inwieweit möglicherweise ein konkretes Verbesserungspotential in diesem Zusammenhang besteht. Im Regelfall handelt es sich bei den Vorfällen um abgeschlossene Ereignisse, die bereits aus der Sicht der meldenden Stelle zukünftig vermieden werden sollen. Die Frage, ob die Verstöße noch andauern, stellt sich deshalb grundsätzlich nicht. Dies gilt auch für die von der Universitätsmedizin Mainz gemeldeten Vorkommnisse.
Abschließend hoffe ich, zur Klärung der Angelegenheit beigetragen zu haben.
Mit freundlichen Grüßen