Datenschutzbeauftragter Arztpraxis - Datenschutzberatung

Wann müssen Ärzte eine Datenpanne melden?

Kommentar verfassen / Allgemein / Von /

E-Mail Irrläufer, Verlust von Patientenakten, versehentliche Faxsendungen: Was Ärzte bei Datenpannen beachten müssen. Gerne unterstützen wir Sie auch als externer Datenschutzbeauftragter für Arztpraxen bei Ihren Fragen.

Wann liegt eine Datenpanne im Sinne des Datenschutzes vor?

Das Datenschutzrecht kennt den Begriff Datenpanne nicht, sondern spricht von einer Verletzung des Schutzes personenbezogener Daten. Nach Art. 4 Nr. 12 DSGVO ist das der Fall,

  • bei einer unbeabsichtigte oder unrechtmäßige Vernichtung, einem Verlust oder eine Veränderung der Daten
  • bei einer unbefugte Offenlegung oder dem unbefugten Zugang zu personenbezogenen Daten

Beispiele für mögliche Datenpannen in der Arztpraxis

  • Verlust von Datenträgern: Verlust oder Diebstahl von Computern, Tablets, USB-Sticks oder anderen Speichermedien, die sensible Patienteninformationen enthalten.
  • Hackingangriffe: Cyberattacken, die zu einem unautorisierten Zugriff auf Patientendaten führen, etwa durch Malware oder Phishing.
  • Fehlerhafte E-Mail-Weiterleitungen: Versehentliches Versenden von Patientendaten an die falschen Empfänger durch das Praxispersonal.
  • Unbefugter Zugriff durch Mitarbeiter: Zugriff auf Patientendaten durch Mitarbeiter ohne entsprechende Berechtigung.
  • Technische Fehler: Softwarefehler oder Systemausfälle, die zu einer ungewollten Offenlegung oder Veränderung von Patientendaten führen.
  • Physischer Diebstahl: Entwendung von physischen Patientenakten oder Dokumenten aus der Praxis.

Risiko für Rechte und Freiheiten einer natürlichen Person

Bei einer Datenpanne müssen Ärzte prüfen, ob die Verletzung tatsächlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Dies umfasst:

  • die Einschätzung möglicher Schäden,
  • die Wahrscheinlichkeit ihres Eintretens,
  • das Ausmaß des möglichen Schadens,
  • die Menge und Sensibilität der betroffenen Daten.

Beispiel: Eine Arztpraxis verliert einen Laptop mit Daten zur Patientenverwaltung. Ist der Laptop korrekt verschlüsselt, sind die Daten unzugänglich, und es liegt keine meldepflichtige Datenpanne vor.

Meldung von Datenpannen

Nach Art. 33 DSGVO müssen Datenpannen der zuständigen Datenschutzbehörde gemeldet werden, wenn das Risiko für die Betroffenen nicht nur gering ist. Die Meldung sollte unverzüglich, möglichst binnen 72 Stunden nach Kenntnis der Datenpanne erfolgen. Verzögerungen müssen gut begründet sein. Bei hohem Risiko müssen auch die betroffenen Personen informiert werden.

Welche Angaben muss die Meldung enthalten?

Laut Art. 33 DSGVO sind folgende Informationen notwendig:

  • eine Beschreibung der Art der Datenschutzverletzung,
  • die Kategorien und die ungefähre Anzahl der Betroffenen,
  • Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle,
  • eine Beschreibung der wahrscheinlichen Konsequenzen,
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne.

Benachrichtigung der Betroffenen

In bestimmten Fällen müssen auch die betroffenen Personen über eine Datenpanne informiert werden, insbesondere bei Gesundheitsdaten, nach
Art. 34 DSGVO.

„Im Falle eines hohen Risikos sind die betroffenen Personen nach Art. 34 DSGVO zu benachrichtigen. Ein hohes Risiko liegt zumindest immer dann nahe, wenn besondere Kategorien personenbezogener Daten – z. B. Gesundheitsdaten – Unberechtigten zur Kenntnis gelangen können.“

Landesbeauftragter für Datenschutz Sachsen-Anhalt

Abhilfemaßnahmen

Die für die Datenschutzverletzungen verantwortlichen Stellen müssen Maßnahmen zur Behebung oder Abmilderung der nachteiligen Auswirkungen in die Wege leiten. Zeigt die Arztpraxis dabei großen Einsatz, wird dies von den Datenschutzaufsichtsbehörden positiv bewertet. Beispiele:

Ursache der VerletzungReaktion
Versendung von E-Mails an Nichtberechtigte durch fehlerhafte Eingabe der E-Mailadresse  – Fehladressat zum Löschen auffordern – Bestätigung der Löschung einholen  
Fehlversand von Dokumenten per Fax (fehlerhafte Eingabe der Faxnummer)– Fehladressat zum Vernichten auffordern – Fehladressat um Bestätigung der Löschung bitten
Verschlüsselung von Dateien durch Angreifersofortige Trennung vom Netz
Schwachstellen identifizieren und Konse-quenzen ziehen
ggf. Neuinstallation befallener Rechner/Systeme
Wiederherstellung der Daten aus dem Backup
Unbefugte Datenverarbeitung oder Offenlegung durch eigene MitarbeiterPrüfung arbeitsrechtlicher Maßnahmen
Prüfung strafrechtlicher Maßnahmen
Entzug der Zugriffsrechte des Mitarbeiters
Belehrung des Mitarbeiters, dass wahrge-nommene Daten nicht zu privaten Zwecken genutzt werden dürfen

Quelle: Landesbeauftragter für den Datenschutz Sachsenanhalt: Häufige Ursachen von Datenschutzverletzungen und Abwehrmaßnahmen

Dokumentation der Datenpanne

Unabhängig davon, ob eine Meldung notwendig ist oder nicht, müssen alle Datenpannen gemäß Art. 33 Absatz 5 DSGVO dokumentiert werden. Dies schließt die getroffenen Maßnahmen zur Behebung ein. Eine interne Übersicht über Datenpannen kann bei Bedarf der Aufsichtsbehörde vorgelegt werden.

Beratung im Datenschutz

Gerne können Sie uns bei Fragen zu Datenpannen kontaktieren. Wir stehen Ihnen als externe Datenschutzbeauftragte für Ärzte zur Verfügung. Rufen Sie uns an unter 0511/37388134 oder schreiben Sie uns eine Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen uns auf Ihre Anfrage.

Verwandte Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert