Kürzlich wurde eine Datenpanne bei Patientendaten aufgedeckt. Es soll sich um stolze 16 Millionen Datensätze aus 50 Ländern handeln, auf die man recht einfach zugreifen können soll. Auch eine fünfstellige Zahl deutscher Patienten soll dazugehören. Betroffene sind schockiert – hochauflösende MRT-Bilder, gespickt mit Vor- und Nachnamen, Geburtsdatum und anderen Angaben sind offenbar quasi für jeden erreichbar.

Wie konnte es zu der Datenpanne kommen?

Die Bilder vom Röntgen, MRT, Screenings etc. werden zur Archivierung auf Server geladen. Wenn die Server nicht gesichert sind, zum Beispiel durch die Eingabe eines Passworts, kann sich quasi jeder durch den Download eines Programms Zugriff auf diese Bilder verschaffen. Inzwischen sollen die Server nicht mehr erreichbar sein.  Die Daten sollen aber schon seit Jahren ungeschützt auf diesen Servern gelegen haben.

Was bedeutet das Datenleck?

Für die Betroffenen bedeutet die Datenpanne, dass quasi jeder auf ihre Patientendaten zugreifen konnten. Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem „verheerenden ersten Eindruck“. Er erklärt: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“, dann die Daten gehörten „nicht in die Hände Dritter“.

Welche Folgen hat die Datenpanne?

Ob die Daten wirklich missbraucht wurden, ist nicht bekannt. Fest steht, dass es sich um sehr sensible Daten handelt, auf die in Zukunft besser aufgepasst werden muss. Wir berichteten erst kürzlich über einen aufgedeckten Skandal, bei dem aufgedeckt wurde, dass Gesundheitsportale zu Marketingzwecken Daten weitergeben.

Das Thema Datenschutz im Gesundheitswesen ist auch in der Politik bekannt. Der Gesundheitsminister Jens Spahn plant ein eigenes Gesetz für den Datenschutz im Gesundheitswesen.

Was sollten die Verantwortlichen tun?

Wenn einem Verantwortlichen, also „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO), eine Datenpanne auffällt, muss er dieses melden. Art. 33 DSGVO bestimmt, dass der Fall innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss. Außerdem müssen gem. Art. 34 DSGVO alle Betroffenen über die Datenpanne informiert werden, wenn „Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Außerdem muss gem. Art. 35 DSGVO eine Folgenabschätzung erstellt werden.

Das Unterlassen der Meldung kann mit einem hohen Bußgeld geahndet werden!

Haben Sie als Verantwortlicher eine Frage zu Datenpannen oder zu anderen Themen der DSGVO? Mit unserem DSGVO Online Test können Sie prüfen, ob Ihr Unternehmen fit für die DSGVO ist. Außerdem bieten wir ein DSGVO Website Update zum Festpreis an!

Was sollten betroffene Patienten tun?

Ein weiteres Problem ist die Unsicherheit: Niemand weiß genau, wer betroffen ist und ob diejenigen darüber informiert werden, ist offen. Im Zweifel kann bei der jeweiligen Praxis bzw. Klinik nachgefragt werden, ob die betroffenen Server benutzt wurden. Außerdem kann bei Datenpannen grundsätzlich ein Schadensersatz der Betroffenen verlangt werden. Mehr Infos darüber finden Sie hier.