„Diskretion! Bitte Abstand halten.“ Solche Schilder sieht man in Arztpraxen häufig. Doch nicht die Patienten selbst sind in der Regel diejenigen, die Datenpannen verursachen, sondern das Praxispersonal selbst.

Immer mehr Datenpannen in Arztpraxen!

Gerade Daten über den Gesundheitszustand von Menschen sind äußerst sensibel und geheimhaltungsbedürftig. Doch immer wieder gelangen sie in falsche Hände. Ursache sind meist falsch versendete Briefe und Hacker.

Auf Platz eins der häufigsten Datenschutzverletzungen ist nach Angabe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg„Postfehlversand“, gefolgt von Hackerangriffen und E-Mail-Fehlversand. Weitere Ursachen sind Diebstahl und Verlust von Datenträgern, Fax-Fehlversand und Versendung von Mails mit offenem Adressverteiler. In einer Pressemitteilung von Ende Juli gingen im Jahr 2019 bereits 1000 Benachrichtigungen über Datenpannen beim Landesbeauftragten ein. 

Hierfinden Sie eine Handlungsanleitung bei Hackerangriffen. Wir berichteten dieses Jahr bereits über E-Mail-Verteiler, in denen die Adressaten nicht verborgen wurden, sondern für alle Empfänger sichtbar waren.

Rezepte, Röntgenbilder, Patientenberichte und andere Dokumente werden leider recht regelmäßig an den falschen Empfänger geschickt. Außerdem haben Praxen immer wieder mit Hackern zu tun. Der Landesbeauftrage Stefan Brink betont, dass das Thema Datenschutz ein Muss für Praxen ist. Sie müssen technische und organisatorische Maßnahmen treffen, um Datenpannen zu verhindern.

Was kann von Praxen zur Einhaltung des Datenschutzes verlangt werden?

Art. 32 DSGVO besagt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. 

Entscheidend ist also, dass die Arztpraxen geeignete technische und organisatorische Maßnahme zum Datenschutz treffen. Dazu kann gem. Art. 32 DSGVO zum Beispiel gehören, personenbezogene Daten zu verschlüsseln, Daten bei Verlust wiederherzustellen, Daten sicher aufzubewahren und die getroffenen Maßnahmen regelmäßig zu überprüfen. Dazu gehört auch die Sensibilisierung und Schulung der Praxismitarbeiter.

Wann müssen Datenpannen gemeldet werden?

Die Meldepflicht von Datenpannen ist in Art. 33 DSGVO geregelt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Eine Meldepflicht besteht also immer dann, wenn es durch die Datenpanne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Genaue Anforderungen an die Meldung sind in den „Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“ zu finden.

Als Folge von Datenpannen drohen hohe Bußgelder. Die Bußgeldstelle des LfDI hat insgesamt bereits Bußgelder im sechsstelligen Bereich verhängt.

Fazit

Datenpannen können jeden treffen und Datenschutz ist ein Thema, das recht kompliziert und unübersichtlich ist. Aber deshalb gilt umso mehr, dass es ernst genommen werden muss. Bei Datenpannen drohen nicht nur unangenehme Rechenschaftsplichten, sondern auch hohe Bußgelder. Es sollten daher vor einer Datenpanne geeignete Maßnahmen getroffen werden, die solche verhindern. Wir beraten Sie gerne zum Thema Datenschutz. Wenden Sie sich einfach an unsere Kanzlei, wir helfen Ihnen umgehend!