In ihrem Tätigkeitsbericht für 2016 (Abschnitt 1.4) hat die Berliner Datenschutzbeauftragte Maja Smoltczyk kritisiert, dass durch Kostendruck und damit verbundenes Outsourcing von Aufgaben in Krankenhäusern Gefahren für die Sicherheit von Patienten- und Behandlungsdaten entstehen. Aus dem Bericht geht hervor, dass einige Berliner Kliniken Patientenakten von Tochtergesellschaften oder externen Dienstleistern digitalisieren und archivieren lassen. Diese Praxis erklärt die Berliner Datenschutzbeauftragte für rechtswidrig. Sie stellt fest:
„Bedingt durch den steigenden wirtschaftlichen Kostendruck haben einige Kliniken Tochtergesellschaften gegründet, um bestimmte im Krankenhaus anfallende Dienstleistungen auszulagern… Mittlerweile gibt es Bestrebungen, weitere Tätigkeiten, die den inneren Bereich des Krankenhauses betreffen und bei denen unmittelbar medizinische Daten verarbeitet werden, wie die Archivierung und Digitalisierung von Patientenakten, ebenfalls an Dritte auszulagern. Bei dieser Tätigkeit ist es unumgänglich, anvertraute Patientendaten zur Kenntnis zu nehmen… Soweit Archivdienstleistungen durch das Krankenhaus selbst geleistet werden, unterliegen die mit dieser Aufgabe betrauten Mitarbeiterinnen und Mitarbeiter als Gehilfen des ärztlichen Personals der beruflichen Schweigepflicht. Durch die Auslagerung dieser Aufgabe an einen Dienstleister, bei dem die Beschäftigten nicht der ärztlichen Schweigepflicht unterliegen, würden schweigepflichtige Daten unzulässig und strafbewehrt offenbart.“
Abschnitt 1.3 des Berichts beschäftigt sich mit der Sicherstellung des Gesundheitsdatenschutzes in der öffentlichen Verwaltung des Landes Berlin und der Berliner Bezirksverwaltungen. Die Landesdatenschutzbeauftragte stellt fest, „dass im Gesundheitsdienst die Berufsgeheimnisse und insbesondere die ärztliche Schweigepflicht zu wahren sind. Genau mit dieser berechtigten Erwartung kommen die Bürgerinnen und Bürger in die Gesundheitsämter und andere Einrichtungen.“ Um dann Fragen zu stellen: „Doch kann ihr überhaupt entsprochen werden? Kommen tatsächlich nur Personen mit den Daten in Berührung, die selbst der strafbewehrten Schweigepflicht unterliegen? Liegt die Regelung der Zugriffsmöglichkeiten wirklich effektiv in der Hand der obersten selbst der Schweigepflicht unterliegenden Leitung? Wie weit geht z. B. das Weisungsrecht der Amtsärztinnen und Amtsärzte gegenüber den IT-Stellen der Bezirke? Was passiert, wenn ihre Dispositionsgewalt durch mangelhafte Technik und fehlende Ressourcen so eingeschränkt wird, dass es zu ungewollten Offenlegungen von Daten an unbeteiligte Beschäftigte kommen kann?“
Im Ergebnis stellt der Bericht fest: „Für die Planung der nötigen technischen und organisatorischen Maßnahmen muss es eine Risikoanalyse und ein Sicherheitskonzept geben. Eine Kontrolle der vorgesehenen Verarbeitung vor ihrer Aufnahme, eine sog. Vorabkontrolle, ist vorgeschrieben. Vielfach ist unsere Behörde daran zu beteiligen… Die Unterlagen dienen dazu, die nötigen Vorarbeiten und ihre Ergebnisse zu dokumentieren. Doch oft erhalten wir diese nicht oder müssen sogar feststellen, dass die Vorarbeiten nicht erledigt wurden…“
Im Klartext: Teile der öffentlichen Verwaltung in Berlin sind entweder nicht willens oder nicht in der Lage, zwingende gesetzliche Regelungen zum Schutz von Gesundheitsdaten zu beachten.