Advertisement

hautnah dermatologie

, Volume 34, Issue 6, pp 54–54 | Cite as

DSGVO-Vorgaben

Das ist bei einer Datenpanne zu tun

  • Joachim Schütz
  • Bernd Halbe
Praxis konkret
  • 42 Downloads

Bei einem Datenleck in der Praxis sind die Inhaber nach DSGVO dazu verpflichtet, dies zu melden. Wem und wie, erläutern Medizinrechtler.

Bei einer Datenpanne handelt es sich um einen unbefugten Zugriff auf Daten von Patienten und Mitarbeitern. Ergeben sich daraus Risiken für die Rechte und Freiheiten der Betroffenen, muss der verantwortliche Praxisinhaber umgehend reagieren. Grundsätzlich sind viele Szenarien denkbar, die den Sachverhalt einer Datenpanne erfüllen:
  • Die Praxis wird Opfer eines Hackerangriffs.

  • Internetbasierte Anwendungen können einen Fehler („bug“) enthalten, der zu einer Sicherheitslücke führt

  • Bei einem Einbruch werden Backupspeichermedien entwendet.

  • Ein USB-Speichermedium mit patientenbezogenen Daten geht verloren

  • Die Verfügbarkeit personenbezogener Daten — etwa aufgrund einer technischen Störung — ist nicht mehr gewäht.

Wem muss was wann gemeldet werden?

In Artikel 33 der Datenschutzgrundverordnung (DSGVO) wird definiert, welche Pflichten im Falle einer Datenschutzverletzung dem verantwortlichen Praxisinhaber obliegen:

Eine Datenpanne muss der zuständigen Landesdatenschutzbehörde binnen 72 Stunden gemeldet werden und die folgenden Angaben zwingend enthalten:
  • Art der Datenschutzverletzung

  • Angabe der betroffenen Datenkategorie sowie Anzahl der schätzungsweise infolge der Datenpanne betroffenen Personen (soweit möglich)

  • Name und Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden, andernfalls einen geeigneten Ansprechpartner in der Praxis)

  • Beschreibung der Folgen, welche durch die Datenpanne wahrscheinlich eintreten (Prognose)

  • Angabe, welche Maßnahmen ergriffen wurden oder noch ergriffen werden, um einen etwaigen Schaden zu verhindern, zu beseitigen oder zu mildern

  • Angabe der Gründe für eine verzögerte Meldung, falls diese erst nach Ablauf der 72-Stunden-Frist erfolgt

Ob Hackerangriff, Einbruch oder verlorener Speicherstick — sobald ein Sicherheitsrisiko für den Datenschutz besteht, muss die Landesdatenschutzbehörde informiert werden.

© stokkete / stock.adobe.com

Eine Ausnahme von der Meldepflicht besteht lediglich dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko des Datenschutzes führt. Ob jedoch ein Risiko besteht, muss der datenschutzrechtlich verantwortliche Arzt entscheiden. Da dies mit Gewissheit oftmals schwer möglich ist und bei versäumter Meldepflicht ein Bußgeld verhangen wird, empfiehlt es sich, eine Datenpanne in jedem Fall zu melden.

Müssen Patienten informiert werden?

Wenn nach einer Datenpanne „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten“ von Patienten besteht, müssen diese grundsätzlich informiert werden. Ob ein Risiko besteht, muss allerdings allein von dem verantwortlichen Arzt beurteilt werden. Dieser sollte daher bei der Aufsichtsbehörde um Rat bitten.

Immer dokumentieren!

In aller Regel wird eine Information der betroffenen Patienten jedoch nicht erforderlich sein. Denn nach Artikel 34 der DSGVO gilt, dass für den Fall, dass der Verantwortliche nach einer Datenpanne „geeignete technische und organisatorische Sicherheitsvorkehrungen“ getroffen hat und somit „sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen [...] aller Wahrscheinlichkeit nach nicht mehr besteht“, Patienten nicht in Kenntnis setzen müssen — selbst wenn Unbefugte tatsächlich auf die Daten zuzugreifen konnten.

Ungeachtet dieser Meldepflichten ist jede Datenschutzverletzung zu dokumentieren. Insbesondere festzuhalten sind:
  • alle Tatsachen, die der konkreten Datenschutzverletzung zugrunde liegen;

  • die Auswirkungen, die die Datenpanne für betroffene Patienten haben könnte;

  • die Abhilfemaßnahmen, die ergriffen wurden — oder noch ergriffen werden sollen.

Die Dokumentation muss so erfolgen, dass überprüfen werden kann, ob der Verantwortliche seinen Pflichten, insbesondere seiner Meldepflicht sowie der Informationspflicht gegenüber Betroffenen im Einzelfall nachgekommen ist. Eine nachvollziehbare Dokumentation entscheidet letztlich mit darüber, ob ein Bußgeld erlassen wird oder nicht.

Jede Praxis sollte im Rahmen ihres Datenschutzkonzepts bei Datenschutzverletzungen standardisierte Meldeprozesse vorsehen und ihre Mitarbeiter für datenschutzrechtliche Belange sensibilisieren.

Copyright information

© Springer Medizin Verlag GmbH, ein Teil von Springer Nature 2018

Authors and Affiliations

  • Joachim Schütz
    • 1
  • Bernd Halbe
    • 1
  1. 1.

Personalised recommendations