Datenpanne in der Arztpraxis – und jetzt?

Datenpannen treten häufiger auf als gedacht. Arztpraxen müssen schnell auf Datenpannen reagieren, um den Schaden für Betroffene möglichst gering zu halten und die Notwendigkeit einer Meldung an die Aufsichtsbehörde zu verringern.

Was ist eine Datenpanne im Sinne der DSGVO?

Eine Datenpanne liegt vor, wenn der Schutz personenbezogener Daten verletzt wurde. Gem. Art. 4 Nr. 12 DSGVO bedeutet dies eine Verletzung der Sicherheit, die sowohl unbeabsichtigt als auch beabsichtigt, unrechtmäßig als auch rechtmäßig sein kann. Jedenfalls muss die Sicherheitsverletzung zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führen bzw. einen unbefugten Zugang zu den personenbezogenen Daten verschaffen. 

Beispiele für Datenpannen:

Ohne eine Sicherheitsbeeinträchtigung liegt auch keine Datenpanne vor. Es kommt vielmehr maßgeblich darauf an, ob der Schutz der personenbezogenen Daten trotz „Panne“ nach wie vor gegeben ist. Ob dabei gegen datenschutzrechtliche Vorgaben verstoßen wurde, ist nicht maßgebliches Kriterium für die Bewertung einer Datenpanne. Deshalb liegt keine Datenpanne vor, wenn:

Welche Konsequenzen hat eine Datenpanne für eine Arztpraxis?

Den Mitarbeitenden sollte deutlich gemacht werden, dass eine Datenpanne nicht gleich heißt, dass weitreichende Konsequenzen drohen. Wichtig ist vor allem, dass sie erkannt und schnell darauf reagiert wird, damit die richtigen Maßnahmen ergriffen werden können. 

Gesetzliche Konsequenzen ergeben sich in erster Linie aus Art. 33 und Art. 34 DSGVO und beinhalten die Meldepflicht an die zuständige Aufsichtsbehörde bzw. an die betroffene Person, sofern durch die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten vorliegt. 

Zwar ist eine Meldung an eine Aufsichtsbehörde oder an die betroffene Person unangenehm, weil ein Fehler eingestanden werden muss und eine Meldung auch ggf. Nachfragen der Aufsichtsbehörden nach sich ziehen kann. Im härtesten Fall kann eine Aufsichtsbehörde auch Bußgelder verhängen, wenn festgestellt wird, dass gegen datenschutzrechtliche Vorgaben der DSGVO verstoßen wurde. Der Aufsichtsbehörde stehen aber gem. Art. 58 DSGVO auch mildere Mittel zur Verfügung. Die Aufsichtsbehörde kann u.a. auch Verwarnungen aussprechen und die Arztpraxis anweisen, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb einer bestimmten Zeit in Einklang mit der DSGVO zu bringen.

Die Praxis sollte für sich die Konsequenz ziehen, bestehende Prozesse zu überprüfen und zu evaluieren, ob weitere datenschutzrechtliche Maßnahmen eingeführt werden müssen, um das Sicherheitsniveau in der Arztpraxis zu erhöhen. 

Was ist zu tun?

Wird eine Datenpanne festgestellt oder besteht auch nur ein Verdacht, dass eine Datenpanne vorliegt, sollten die Mitarbeitenden unverzüglich die Praxisinhabenden informieren. Diese sind nach der DSGVO grundsätzlich für sämtliche Verarbeitungstätigkeiten in der Arztpraxis verantwortlich.  Gibt es einen Datenschutzbeauftragten in der Praxis, muss dieser über den Vorfall ebenfalls in Kenntnis gesetzt werden. 

Als nächstes muss der Sachverhalt ermittelt werden. Bei der Sachverhaltsermittlung sollten die zuständigen Personen einbezogen werden. Im Fall eines Hackings ist in jedem Fall ein IT-Experte hinzuzuziehen. Ziel der Analyse sollte es unter anderem sein, herauszufinden, wie genau die Datenpanne abgelaufen ist, welche Kategorien von Patientendaten in welchem Umfang von der Datenpanne betroffen sind, seit wann die Datenpanne besteht, welche Systeme und Prozesse betroffen sind und wie sich ähnlich gelagerte Fälle organisatorisch für die Zukunft ausschließen lassen. 

Wurde der Sachverhalt analysiert, sind Sofortmaßnahmen zu ergreifen, die geeignet sind, die eingetretenen Verletzungen zu beseitigen bzw. ihre Auswirkungen einzudämmen und abzumildern. 

Beispiele für Sofortmaßnahmen:

 

KI_Logo_DE_PNG.png

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.