Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat einen ehemaligen Mitarbeiter der privaten London Clinic verwarnt, weil dieser vorsätzlich versuchte, die Krankenakte von Catherine, Princess of Wales, zu entwenden und für Geld an Dritte weiterzugeben. Der Vorfall geht auf einen Klinikaufenthalt der Princess im Januar 2024 zurück, als sie sich in dem renommierten Haus einer abdominalen Operation unterzog. Die Klinikleitung meldete den versuchten Zugriff umgehend, woraufhin die ICO im März 2024 ein strafrechtliches Ermittlungsverfahren einleitete. Nun erklärte die Behörde, eine formelle Verwarnung sei die angemessene und verhältnismäßige Reaktion auf den „vorsätzlichen Missbrauch hochsensibler personenbezogener Daten“. Das London Clinic betonte, es habe keine regulatorischen Verstöße gegeben, und wertete den Abschluss des Falls als Beleg für die Wirksamkeit der internen Sicherheitsmechanismen.

Der Londoner Fall ist kein Einzelfall, sondern fügt sich in ein globales Muster von Spannungen zwischen Datenschutz, Patientensicherheit und institutioneller Verantwortung im Gesundheitswesen. In der kanadischen Provinz Neufundland und Labrador empörten sich Pflegegewerkschaften über eine interne Phishing-Übung der Gesundheitsbehörde NL Health Services. Diese hatte eine E-Mail mit dem Betreff „Zusätzlicher bezahlter Urlaubstag“ an Beschäftigte versandt, die während der CorCare-Umstellung gearbeitet hatten – als Lockmittel für einen simulierten Cyberangriff. Die Gewerkschaften RNU und NAPE kritisierten, die Aktion habe das ohnehin gestresste Personal getäuscht und verhöhnt, statt es für Cybersicherheit zu sensibilisieren. Aus australischer Perspektive wiederum zeigt sich eine tiefer liegende Governance-Krise: Der Integrity Commissioner des Australian Capital Territory ordnete eine Untersuchung an, nachdem Kardiologen des North Canberra Hospital und des Canberra Hospital ausgesagt hatten, Führungskräfte hätten durch erzwungene Rücktritte eine „erhebliche und konkrete Gefahr für die öffentliche Gesundheit und Sicherheit“ geschaffen. Zeitweise verfügte das North Canberra Hospital über keine festangestellten Kardiologen mehr.

Die drei Vorfälle beleuchten unterschiedliche Facetten desselben Problems: die Verletzlichkeit sensibler Gesundheitsdaten und die Folgen mangelhafter Führung. In London scheiterte der Datenklau an internen Kontrollen, doch die bloße Möglichkeit eines Insiderangriffs auf eine royalen Patientin offenbart, dass selbst Elitekliniken nicht immun gegen menschliches Fehlverhalten sind. Die kanadische Phishing-Panne illustriert, wie gut gemeinte Sicherheitsmaßnahmen das Vertrauen der Belegschaft untergraben können, wenn sie die psychische Belastung des Personals ignorieren. Der australische Fall schließlich macht deutlich, dass Integrität im Gesundheitswesen weit über Datenschutz hinausgeht: Personelle Entscheidungen, die die Versorgung gefährden, können ebenso schwer wiegen wie ein Datenleck.

Für Krankenhäuser in Deutschland, Österreich und der Schweiz, die unter der strengen Datenschutz-Grundverordnung operieren, sind diese Ereignisse ein Warnsignal. Die DSGVO sieht bei vorsätzlichen Verstößen empfindliche Bußgelder vor, doch der Londoner Fall zeigt, dass eine Verwarnung als abgestufte Sanktion ausreichen kann, wenn kein tatsächlicher Datenabfluss stattfand. Gleichzeitig mahnt die kanadische Erfahrung, dass Cybersecurity-Trainings mit Bedacht gestaltet werden müssen, um nicht als zynisch wahrgenommen zu werden. Der australische Untersuchungsauftrag könnte zudem eine Debatte darüber anstoßen, ob Integritätskommissionen auch in Europa stärker genutzt werden sollten, um systemische Risiken in der Krankenhausführung aufzudecken. Die gemeinsame Lehre lautet: Datenschutz und Patientensicherheit sind keine rein technischen, sondern zutiefst kulturelle Aufgaben, die von der Führungsebene bis zum einzelnen Mitarbeiter gelebt werden müssen.