Datenschutzbeauftragter Paragraph blau

Wann müssen Apotheken und Ärzte eine Datenpanne melden?

Datenschutzrechtlich relevant sind Datenpannen, wenn sie zu einer Verletzung des Schutzes personenbezogener Daten führen. Nach Art. 4 Nr. 12 DSGVO ist das der Fall, wenn eine unbeabsichtigte oder unrechtmäßige Vernichtung, ein Verlust oder eine Veränderung der Daten vorliegt.

Auch eine unbefugte Offenlegung und der unbefugte Zugang zu personenbezogenen Daten ist eine Verletzung des Schutzes personenbezogener Daten.

In einem zweiten Schritt müssen Apotheken und Ärzte prüfen, ob die Verletzung tatsächlich zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person führt. Apotheken und Ärzte müssen also das Risiko der Datenpanne prognostizieren: Welche Schäden sind denkbar, wie groß ist die Eintrittswahrscheinlichkeit und wie groß der potenzielle Schaden. Bei der Ermittlung des Risikos ist es auch wichtig, zu schauen, wie viele Daten von wie vielen Personen betroffen sind.

Apotheken und Ärzte müssen Datenpannen innerhalb von 72 Stunden melden

Besteht durch die Datenpanne tatsächlich ein Risiko, das nicht nur gering ist, muss sie der Aufsichtsbehörde, also in Niedersachsen die Landesbeauftragte für den Datenschutz gemeldet werden. Hierfür wird in Niedersachsen ein spezielles Online-Meldeverfahren für Datenpannen genutzt (wir haben eine Liste der Zuständigen Stellen für die Meldung einer Datenpannen nach Art. 33 DSGVO zusammengestellt). Die Meldung muss unverzüglich abgegeben werden, möglichst binnen 72 Stunden nach Kenntnis der Datenpanne. Dauert es länger, muss dies gut begründet werden. Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person, muss auch diese Person darüber informiert werden, dass es eine Datenpanne gab.

Wenn die Apotheke oder der Arzt die Datenpanne meldet, muss die Art der Verletzung und die ungefähre Zahl der betroffenen Personen und der Datensätze benannt werden sowie der Datenschutzbeauftragte oder eine anderen Kontaktperson. Zudem müssen die wahrscheinlichen Folgen für den Betroffenen beschrieben und die ergriffenen oder vorgeschlagenen Maßnahmen benannt werden, mit denen die Folgen für den Betroffenen abgemildert werden können. Die Benachrichtigung gegenüber der betroffenen Person muss dieselben Informationen enthalten. Hier ist auf eine klare und einfache Sprache zu achten.

Ganz unabhängig davon, ob die Datenpanne nun gemeldet werden muss oder nicht – nach Art. 33 Absatz 5 DS-GVO müssen alle Datenpannen und die dazugehörige Risikoprognose dokumentiert werden. Hier sind auch die ergriffenen Abhilfemaßnahmen festzuhalten. Es bietet sich an, eine interne Übersicht über Datenpannen anzulegen, die bei Bedarf der Aufsichtsbehörde vorgelegt werden kann.

Gerne können Sie mich bei Fragen zu Datenpannen kontaktieren. Ich stehe Ihnen auch als externer Datenschutzbeauftragter für Apotheken und Ärzte zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.