Abhandenkommen von Daten in der Arztpraxis

Ein Festplattendiebstahl in zwei Hamburger Arztpraxen zeigt: Datenschutzvorfälle können jeden treffen. Welche Meldepflichten Praxen bei Datenpannen haben und wie die richtige Reaktion aussieht – ein Leitfaden für den Ernstfall.

Diebstahl mit datenschutzrechtlichen Folgen

Der Fall ereignete sich außerhalb der regulären Öffnungszeiten. Ein Unbekannter verschaffte sich unbefugt Zugang zu zwei Arztpraxen desselben Trägers und entwendete gezielt Festplatten, auf denen sich Patientendaten befanden. Die Polizei konnte den Vorfall im Nachgang aufklären und die Speichermedien wurden zurückgegeben. Dennoch war der Schaden bereits entstanden, zumindest potenziell. Der Zugriff auf die sensiblen Daten durch eine unbefugte Person musste als wahrscheinlich angenommen werden. Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nahm den Fall daher zum Anlass, zentrale Pflichten bei Datenschutzvorfällen in medizinischen Einrichtungen zu betonen.

Strafrecht geht vor DSGVO

Während die Datenschutzgrundverordnung (DSGVO) den Schutz personenbezogener Daten zum Ziel hat, richtet sich das Strafrecht gegen Verbrechen und Vergehen allgemein. Teilweise kann es vorkommen, dass gewisse Taten sowohl Ordnungswidrigkeiten im Sinne der DGSVO darstellen als auch, wie hier der Diebstahl, Straftaten im Sinne des Strafgesetzbuchs sind. Der HmbBfDI erklärt in diesem Zusammenhang, dass dann vorrangig die Polizei und die Staatsanwaltschaft ermitteln, da sonst die Gefahr einer unzulässigen Doppelbestrafung besteht. 

Datenschutzrechtliche Meldepflicht unabhängig vom Strafrecht

Unabhängig vom Strafverfahren besteht jedoch eine Pflicht zur Meldung des Vorfalls bei der zuständigen Datenschutzaufsicht nach Art. 33 DSGVO. Hiernach müssen Praxen innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde mitteilen, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat, sofern ein Risiko für die betroffenen Personen anzunehmen ist. Ob die Daten tatsächlich missbraucht wurden, spielt für die Bewertung keine Rolle. Entscheidend ist die potenzielle Gefahr im Moment der Kenntniserlangung über den Vorfall.

Das Meldeformular für solche Fälle stellt der HmbBfDI auf seiner Internetseite zur Verfügung. Die Meldung muss alle relevanten Informationen enthalten. Dazu gehören etwa Angaben darüber, welche Daten betroffen sind, wie viele Personen betroffen sind und welche Maßnahmen bereits ergriffen wurden oder noch geplant sind. Außerdem muss ein Ansprechpartner, zum Beispiel der Datenschutzbeauftragte, genannt werden. Bei Meldungen, die zu spät eingehen, muss zudem die Verzögerung begründet werden.

Informationspflicht gegenüber betroffenen Personen

Neben der Meldung an die Behörde kann in gravierenden Fällen auch eine Informationspflicht gegenüber den betroffenen Personen nach Art. 34 DSGVO bestehen. Das ist der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Im Fall des Hamburger Festplattendiebstahls sei dies aufgrund der gezielten Tatbegehung und des Umfangs der entwendeten Gesundheitsdaten der Fall.

Zunächst planten die Praxen, die Patienten bei ihrem nächsten Besuch in der Praxis zu informieren. Der HmbBfDI hielt dies jedoch für ungenügend. Angesichts der sechsstelligen Zahl von Betroffenen und der Tatsache, dass es sich um Facharztpraxen mit tendenziell selteneren Praxisbesuchen handelte, sei nicht davon auszugehen, dass auf diesem Wege zeitnah eine ausreichende Information erfolgen könne.

Auf Drängen der Aufsicht wurden daher im Anschluss ausführliche Hinweise auf der Internetseite der Arztpraxis veröffentlicht. Der HmbBfDI erkannte in seinem Tätigkeitsbericht diese Form der öffentlichen Information als zulässige Alternative zur Einzelbenachrichtigung an. Hierbei handelt es sich um eine Ausnahme, die Art. 34 Abs. 3 lit. c DSGVO ausdrücklich vorsieht. Dies sei allerdings eine eng auszulegende Option. Entscheidend sei hier die Kombination aus sehr hoher Zahl Betroffener und dem Fehlen elektronischer Kontaktdaten gewesen.

Anwendbarkeit auf andere Datenschutzvorfälle in Gesundheitseinrichtungen

Der Fall des Festplattendiebstahls steht exemplarisch für eine Reihe weiterer Risiken, mit denen Ärzte, aber auch andere medizinische Einrichtungen konfrontiert sein können. So sind auch der Verlust eines Laptops oder eines USB-Sticks mit Patientendaten, das versehentliche Versenden eines Befundes an die falsche Person oder das Liegenlassen einer Patientenakte im Wartezimmer Situationen, in denen ein meldepflichtiger Vorfall vorliegen kann.

Auch neue digitale Prozesse wie die Nutzung der elektronischen Patientenakte (ePA) eröffnen zusätzliche Angriffspunkte. Entscheidend ist dabei stets, ob ein Risiko für die Betroffenen besteht. Das muss zum Zeitpunkt der Kenntniserlangung über die mögliche Datenpanne bewertet werden und nicht erst im Nachhinein, wenn ein Missbrauch tatsächlich nachgewiesen oder widerlegt ist.

Ist ein (hohes) Risiko gegeben, sind sowohl die Datenschutzbehörde als auch die betroffenen Personen umgehend zu informieren. Die Form der Benachrichtigung hängt vom konkreten Fall ab. Eine individuelle Information per Brief oder E-Mail ist die Regel, kann aber in Ausnahmefällen durch eine zentrale Veröffentlichung ersetzt werden, zum Beispiel wenn der Aufwand unverhältnismäßig hoch und eine Information ebenso gut über den Alternativweg erfolgen kann.

Fazit

Der Fall aus Hamburg zeigt, dass Datenschutz in der Arztpraxis kein theoretisches Konstrukt, sondern gelebte Verantwortung sein sollte. Wer Patientendaten verarbeitet, trägt eine besondere Sorgfaltspflicht und muss im Ernstfall wissen, wie er richtig handelt. Die DSGVO liefert dafür klare Maßstäbe, lässt aber auch Raum für pragmatische Lösungen, wenn Behörden und Verantwortliche im Dialog bleiben. Gerade für Ärzte und medizinisches Personal ist es daher ratsam, frühzeitig ein auf die Praxis zugeschnittenes Datenschutzkonzept inklusive Notfallplänen für Sicherheitsvorfälle zu erarbeiten. 

Wichtige Punkte im Überblick:

• Der Diebstahl von Festplatten mit Patientendaten löst häufig eine Meldepflicht gegenüber der Aufsichtsbehörden nach Art. 33 DSGVO aus.
• Bei hohem Risiko für Betroffene besteht zusätzlich eine Informationspflicht gegenüber Patienten nach Art. 34 DSGVO.
• Eine zentrale Veröffentlichung auf der Website kann im Einzelfall eine zulässige Alternative zur Einzelbenachrichtigung darstellen.
• Auch andere Vorfälle wie Datenverlust oder Fehlversand können meldepflichtig sein.

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.