Wenn Sie sich diesen Artikel vorlesen lassen wollen benutzen Sie den Accesskey + v, zum beenden können Sie den Accesskey + z benutzen.

10. Februar 2012 22:44 Uhr

Programmfehler

Uniklink Freiburg gibt Hunderte Patienten-Daten in falsche Hände

Durch eine schwere Panne im Rechenzentrum der Uniklinik Freiburg sind Außenstehenden sensible medizinische Daten von Hunderten von Patienten bekannt geworden. Grund war offenbar ein Programmierfehler.

Ursache für die Panne: Ein Mitarbeiter wollte ein automatisches Programm zur Abrechnung von ärztlichen Leistungen verbessern.

Es ist alles da: Name, Vorname, Geburtsdatum, Patientennummer – und darunter die erbrachte Leistung durch die Uniklinik Freiburg: hier eine Urinuntersuchung, da ein Blutbild, dort die Spuren einer Chemotherapie oder Hormonbehandlung, die diese als Laborwert im Körper hinterlassen. Vom fünfjährigen Kind bis zur 82-jährigen Greisin, insgesamt 35 Rechnungen, 35 Menschen mit ihren großen und kleinen Krankheiten – und über alle weiß Thomas S. jetzt Bescheid.

Thomas S., als Selbstständiger privat krankenversichert, wohnt in einer Freiburger Umlandgemeinde. Mitte Dezember vorigen Jahres bekam er Post von der Privatärztlichen Verrechnungsstelle (PVS) Südwest in Mannheim. Diese stellt im Namen von Ärzten und Kliniken Rechnungen an Privatpatienten aus. "Mein Briefkasten war verstopft", schimpft er. "Da lag ein ganzer Packen Rechnungen, alle an mich adressiert. Ich dachte, das sei alles wegen unserer Tochter, die lange und intensiv in der Uniklinik Freiburg behandelt wurde." Angesichts des Rechnungsstapels sah sich S. schon bei der Bank einen Kredit aufnehmen, um die Forderungen zu bezahlen.

Doch es ist nur eine einzige eigene Rechnung dabei. Bei den anderen handelt es sich um Honorare für die Behandlung fremder Patienten. Als Empfänger ist auf allen Briefen aber nur ein Name vermerkt: der von Thomas S. "Die Rechnungsstellung erfolgt im Auftrag des Universitätsklinikum Freiburg", heißt es auf den teils mehrseitigen Abrechnungen; als Leistungserbringerin ist die "Abteilung Klinische Chemie, komm. Ärztlicher Direktor Herr Prof. Dr. K. Winkler" aufgeführt. Penibel wird dort jede einzelne Laboruntersuchung aufgeführt, die bei den für ihn meist wildfremden Menschen durchgeführt worden ist.

Thomas S. informiert den Absender, die PVS Südwest. Am nächsten Morgen liegt der 37. Brief der Verrechnungsstelle in seinem Briefkasten – Betreff: "Fehlerhafter Rechnungsversand der Uniklinik Freiburg". In dem Schreiben heißt es: "Durch einen EDV-technischen Übertragungsfehler wurden Sie leider mehrfach als Rechnungsempfänger ausgewiesen." Thomas S. wird dann aufgefordert: "Bitte vernichten Sie sämtliche Rechnungen (auch Ihre eigene) oder senden Sie uns die Rechnungen unfrei wieder zurück." Auf dem Schreiben findet sich leider kein persönlicher Absender, und nach freundlichen Grüßen zum Abschluss heißt es: "Dieses Schreiben wurde automatisch erstellt und ist ohne Unterschrift gültig." Das ist es, was Thomas S. am meisten aufregt: "Da machen die einen Fehler, schreiben mir, ich soll die Briefe vernichten – und geben dann nicht mal jemanden an, bei dem ich nachfragen kann. Und was heißt denn überhaupt vernichten: Soll ich die Briefe vor meinem Geschäft in den Papierkorb werfen?"


Thomas S. behält die Schreiben und wendet sich an den Landesbeauftragten für den Datenschutz (LfD) in Stuttgart. Er schildert der Behörde den Vorfall und bekommt am 23. Dezember 2011 ein Schreiben, in dem ihm mitgeteilt wird, der LfD habe bei der Privatärztlichen Verrechnungsstelle eine Stellungnahme eingefordert. Noch laufe allerdings die Prüfung des Verfahrens. Die PVS habe noch nicht alle Fragen vollständig beantwortet. Der LfD sagt aber zu, die Angelegenheit datenschutzrechtlich prüfen zu wollen.

Der Geschäftsführer der PVS Südwest, Peter Gabriel, erklärt der Badischen Zeitung, wie es aus seiner Sicht zu dem Vorfall kommen konnte. Danach hat ein Mitarbeiter des Uniklinik-Rechenzentrums Mitte Dezember ohne Absprache mit seinem Unternehmen das Programm geändert, das die Leistungen des Uniklinik-Zentrallabors automatisch zur Abrechnung an die Privatärztliche Verrechnungsstelle überspielt. Weil durch diese Änderung ein schwerer Fehler ins System eingebaut wurde, erhielten mehrere Rechnungsempfänger (die genaue Zahl kennt Gabriel angeblich nicht) Dutzende von Rechnungen anderer Patienten.

Ein Beschwerdeanruf machte schließlich Mitte Dezember, so der PVS-Geschäftsführer, die Verrechnungsstelle auf das Problem aufmerksam. Alle Betroffenen seien dann sofort telefonisch und schriftlich informiert worden. Der dazu versandte Brief, so gibt Peter Gabriel zu, sei von der Form her ungeschickt gewesen. "Wenn ich gesehen hätte, wie das rausgeht, hätte ich ihn zumindest selbst unterschrieben", sagt er.

Eine Version, die im Großen und Ganzen von der Uniklinik bestätigt wird. Dort spricht man von einem "sehr bedauerlichen Fehler bei einer Programmumstellung", der ursprünglich im Klinikum lag und leider von der PVS nicht bemerkt worden sei. "Eine Wiederholung können wir jedoch ausschließen", betont die Pressestelle. Das Programm sei umgestellt, derartige Probleme würden in Zukunft automatisch gemeldet.

Dem Anspruch der eigenen Webseite soll offensichtlich Genüge getan werden. Auf dieser weist das Uniklinikum schon seit längerer Zeit darauf hin, dass "der bewusste und verantwortungsvolle Umgang mit Daten sowie mit Informations- und Kommunikationstechniken die beste Grundlage für einen wirkungsvollen Datenschutz und eine effektive Datensicherheit" sei.

"Mich ärgert einfach der lapidare Umgang mit dem Vorfall", sagt Thomas S.. "Ich hätte gern eine Information gehabt, wie es passiert ist, ich möchte auch, dass das nicht noch einmal geschieht." Die Personen, deren Rechnungen er bekommen habe, hätten doch ein Recht darauf zu wissen, dass ihre Daten bei ihm gelandet sind. Einer der 35 Adressaten der verirrten Schreiben, so S., sei ein guter Bekannter von ihm: "Der ist hier aus dem Ort, den duze ich, den kenne ich sehr gut", sagt S. "Dem will ich doch sagen, was passiert ist."

Mehr zum Thema:

Autor: Michael Brendler und Hans-Peter Prinz