Datenschutz in der Praxis

Was Sie bei einer Datenpanne tun sollten

Eine an den falschen Adressaten versendete E-Mail mit sensiblen Gesundheitsdaten oder das Gespräch mit einer Patientin im vollen Wartebereich der Praxis, all das lässt sich schon als Datenpanne einordnen. 24 Prozent der Datenpannen werden laut einer Kaspersky-Studie durch Unachtsamkeit der Mitarbeitenden selbst verursacht. Es müssen also keine Hacker oder Softwarefehler am Werk sein. Wie Sie sich juristisch vor den Konsequenzen schützen können, erklärt die Rechtsanwältin Rebecca Richter.

Durch die Auswirkungen auf den Geschäftsbetrieb, die Reputation und letztlich die Finanzen können Datenpannen im schlimmsten Fall die Existenz einer Praxis gefährden. Sie treten potenziell jederzeit und unerwartet auf und müssen individuell bewältigt werden. Betroffene klagen in Fällen von Datenpannen über den Verlust der Kontrolle über ihre persönlichen Daten und über den Verlust der Vertraulichkeit – und damit ihres Sicherheitsgefühls. Schlimmstenfalls kommt es zu finanziellen Einbußen, Diskriminierung und Rufschädigung bei den Betroffenen.

Dieser sensible Bereich sollte durch eine entsprechende Implementierung des Datenschutzrechts in Ihre Praxisabläufe geschützt werden. Auch das Risikomanagement und die schnellstmögliche Meldung einer Datenpanne gehören dazu.

Was ist eine Datenpanne und wie kommt es dazu?

Eine Datenpanne ist juristisch ausgedrückt „die Verletzung des Schutzes personenbezogener Daten“. Wir gehen davon aus, dass jede Offenlegung an Unbefugte sowie jede Vernichtung oder Veränderung von Daten eine Datenpanne bedeutet. Auch kann es dazu kommen, dass Daten verloren gehen, weil sie unbefugt gelöscht wurden. Sie fragen sich vielleicht, wie es dazu kommt, dass die Konsequenzen für alle so massiv werden können. Stellen Sie sich vor:

Ein Patient befindet sich in Behandlung bei Ihnen und es werden intime Details besprochen, etwa der Zustand seines Gebisses oder wie viele Zahnfüllungen bereits stattgefunden haben. Auch ein Röntgenbild wird erstellt. Diese Daten sollen an einen weiteren Zahnarzt übermittelt werden, Sie oder Mitarbeitende übersenden die Daten jedoch versehentlich an einen anderen Arzt, der den Patienten privat kennt. Oder durch einen technischen Fehler am Router Ihrer Praxis sind über Wochen Patientendaten für jeden sichtbar. Das bedeutet Adressen, Gesundheitsdaten und so weiter sind für Unbefugte abrufbar.

Weitere Beispiele:

  • Einbruch in die Praxis und Diebstahl von Computern

  • Andere Patientinnen und Patienten hören im Wartezimmer mit

  • Zugriff auf alle Patientendaten wird unverschlüsselt durch einen Konfigurationsfehler am Router für Unbefugte möglich gemacht

  • Versendung einer E-Mail mit sensiblen Daten an eine falsche E-Mail-Adresse

  • Virenbefall durch Trojaner

  • Die Mitarbeitenden haben Zugriff auf die Personaldaten der jeweils anderen Mitarbeitenden

  • Nutzung der Patientendaten durch den Praxisnachfolger

Was sind die möglichen Konsequenzen?

Auch wenn die Datenschutzbehörden oftmals kulant sind, können die Konsequenzen, wenn Sie Ihre Pflichten nicht ernst nehmen, höher als erwartet ausfallen. Die DS-GVO (Datenschutzgrundverordnung) stellt die Nichterfüllung Ihrer Meldepflicht gemäß Art. 83 Absatz 4a DS-GVO unter Strafe. Es sind Bußgelder in immenser Höhe von bis zu zehn Millionen Euro möglich oder von bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. 

Es gibt Fälle, in denen die Datenschutzbehörden diese Sanktionen ausschöpfen  und die Strafen bei Verletzung der Meldepflicht auch tatsächlich durchsetzen. So wurden schon bei Falschversand eines Befunds und der verspäteten Meldung bei der Datenschutzbehörde 500 Euro als Bußgeld festgelegt. Die volle Ausschöpfung – orientiert am Jahresumsatz – zeigt sich durch Vorfälle der jüngeren Vergangenheit. Einem Krankenhaus wurde vor Kurzem ein Bußgeld von 50.000 Euro auferlegt, weil eine Mitarbeiterin Gesundheitsdaten dem Ehemann einer Patientin am Telefon offenlegte.

Darüber hinaus ist die Geltendmachung von Schadenersatz aus Art. 82 DS-GVO durch die betroffenen Patientinnen und Patienten oder Mitarbeitenden denkbar. Es haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hier sind Klageverfahren auf Zahlung eines Schadenersatzes gegen die Inhaberinnen und Inhaber einer Praxis als Verantwortliche möglich, deren Zahlen zuletzt immer mehr gestiegen sind. So kann beispielsweise eine Mitarbeitende Ihrer Praxis gegen Sie einen Schadenersatz in Höhe von mehreren hundert bis tausend Euro geltend machen, wenn beispielsweise Daten über deren Herkunft und religiöse Zugehörigkeit aus der Personalakte an Unbefugte offengelegt wurden.

Wie Sie im Fall einer Datenpanne konkret vorgehen müssen

Vorranging sollten Sie, wenn Ihnen ein Fall wie in den Beispielen bekannt wird, als Praxisinhaberin oder -inhaber die Panne pflichtgemäß aufgrund der Risiken für die Betroffenen beurteilen. Denn Sie sind bei allen Datenpannen handlungs-, jedoch nicht immer meldepflichtig.

Das Gesetz besagt hierzu Folgendes (Art. 33 DS-GVO):

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Eine Meldepflicht besteht damit erst, wenn im Wege einer Risikobewertung Gefahren und Einbußen für die Rechte und Freiheiten natürlicher Personen gesehen werden. Diese Bewertung können Sie selbst vornehmen, sie sollte aber im Zweifel durch Datenschutzbeauftragte Ihrer Praxis oder durch externe Experten, Anwälte oder Anwältinnen erfolgen. Die Meldung muss dann innerhalb von spätestens 72 Stunden bei der zuständigen Datenschutzbehörde Ihres Bundeslandes geschehen. Hier gibt es entsprechende Online-Formulare, die alles Wichtige abfragen.

Folgende Schritte sollten Sie demnach im Fall einer Datenpanne durchlaufen:

1. Bereiten Sie den Sachverhalt der Datenpanne gewissenhaft und selbstkritisch auf 

Prüfen Sie, wer betroffen ist und erstellen Sie eine Liste der Datensätze, die offengelegt wurden. Stellen Sie fest, wo der Fehler lag.

2. Stellen Sie eine erste eigene Risikoabschätzung an 

Der Maßstab ist immer, ob ein Risiko für Rechte und Freiheiten der Betroffenen besteht. Das ist der Fall, wenn die Datenpanne etwa zu einer Rufschädigung, zu Identitätsdiebstahl oder zu einem Verlust der Vertraulichkeit des ärztlichen Berufsgeheimnisses führt oder führen kann.

Wenn zum Beispiel ein PDF per Mail an einen falschen Adressaten versendet wurde, hier aber noch ein Passwort notwendig wäre, um dieses zu öffnen, dann kann Ihre Risikoabschätzung zu dem Ergebnis kommen, dass keine Gefahr für Rechte und Freiheiten der betroffenen Person besteht – und damit auch keine Meldepflicht.

3. Holen Sie bei der Risikoabschätzung gegebenenfalls Expertinnen oder Experten hinzu

4. Melden Sie die Datenpanne gegebenenfalls bei der zuständigen Datenschutzbehörde

Hierfür stehen Online-Formulare auf den entsprechenden Webseiten der für Ihr Bundesland zuständigen Datenschutzbehörde bereit. Zu Beweiszwecken sollten Sie die Meldung ausreichend dokumentieren. Folgendes sollte -jede Meldung beinhalten:

  • Art der Datenpanne: Was genau ist passiert?

  • Die ungefähre Anzahl der Datensätze

  • Welcher Personenkreis ist betroffen? (Mitarbeitende oder Patientinnen/Patienten? Wie viele Personen?)

  • Eine Beschreibung der bereits ergriffenen Maßnahmen

5. Teilen Sie gegebenenfalls den Betroffenen die relevanten Informationen zur Datenpanne mit

Dies wird eher selten erforderlich. Die Mitteilung an Betroffene muss oft nur nach Aufforderung der zuständigen Datenschutzbehörde erfolgen oder wenn ein erhöhtes Risiko für die Freiheit und die Rechte der Betroffenen besteht. Ein „erhöhtes Risiko“ für die Betroffenen liegt vor, wenn ein Schaden besonders schwer wiegt und wahrscheinlich eintreten wird. Hier kann auch die Datenschutzbehörde helfen bei der Einordnung, wenn Sie die Panne dort melden.

6. Lernen Sie für die Zukunft 

Klären Sie Ihre Mitarbeitenden auf und beseitigen Sie die Umstände, die zur Datenpanne geführt haben.

FAZIT

Im Zweifel sollten Sie jede Datenpanne an die entsprechende Aufsichtsbehörde melden. Denn es macht für Sie im Fall eines unerkannt eklatanten Verstoßes einen Unterschied, ob Sie einen Verstoß selbst gemeldet haben oder dies durch die Betroffenen erfolgt ist.

Dies ist vor allem wichtig, da Sie es im Berufsalltag mit Gesundheitsdaten, die besonders sensibel sind, zu tun haben und diese gesetzlich besonders geschützt sind. Damit können die Konsequenzen grundsätzlich härter ausfallen. Im Rahmen einer durchdachten Praxisorganisation muss also auch immer die Beschäftigung mit den erforderlichen Handlungen bei Datenpannen erfolgen. 

Melden Sie sich hier zum zm-Newsletter des Magazins an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Heft-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm Online-Newsletter und zm starter-Newsletter.