Mayday – ein Datenleck! Das ist bei einer Datenpanne zu tun

 von RA, FA für MedizinR Christian Pinnow, D+B Rechtsanwälte Partnerschaft mbB, Düsseldorf, www.db-law.de

Das RIS und das PACS einer radiologischen Praxis enthalten eine Vielzahl hochsensibler Gesundheitsdaten der Patienten. Es versteht sich schon von selbst, dass solche Daten technisch besonders zu schützen sind. Diese Pflicht ist zuletzt aber auch durch die Datenschutz-Grundverordnung (DS-GVO) (erneut) gesetzlich angeordnet. Doch was ist zu tun, wenn die tatsächlichen Fehler in der Datenverarbeitung auftreten?

Datenpannen nicht auszuschließen

Nach Art. 25 DS-GVO sind „unter Berücksichtigung des Stands der Technik, der Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken“ für Patientendaten geeignete technische und organisatorische Maßnahmen zu treffen, um Daten vor dem Zugriff Dritter zu schützen.

Aber selbst wenn alle nötigen Maßnahmen getroffen sind, können dennoch Datenpannen eintreten: Ein Hackerangriff ist nie auszuschließen – das ist sicherlich die am schwersten wiegende Form des Datenlecks. Aber auch weniger kriminelle Umstände können eintreten: Die Festplatten des Servers werden unsachgemäß entsorgt oder Arztbriefe gehen auf dem Weg zur Post verloren.

Anforderungen an den Datenschutz sind gestiegen

In welcher Weise mit solchen Ereignissen mit Blick auf die Patienten umzugehen ist, war schon vor dem Inkrafttreten der DS-GVO dem Grunde nach geregelt. Gleichwohl sind die Anforderungen nun geschärft worden. Die DS-GVO regelt in 2 Vorschriften, welche Meldepflichten im Fall einer Datenpanne zu erfüllen sind:

  • Einerseits regelt Art. 33 DS-GVO eine Informationspflicht gegenüber den Datenschutzaufsichtsbehörden.
  • Andererseits ordnet Art. 34 DS-GVO eine Anzeigepflicht gegenüber dem Betroffenen – also dem Patienten – an.

Meldung an die Datenschutzbehörde

Tritt eine Datenpanne ein, ist dies gemäß Art. 33 DS-GVO unverzüglich und möglichst binnen 72 Stunden, nachdem dem Arzt die Verletzung bekannt wurde, der zuständigen Datenschutzbehörde zu melden. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen dieser 72 Stunden, so ist die Verzögerung mit der Meldung zu begründen. Jede Meldung muss folgende bestimmte Pflichtangaben enthalten:

  • Eine Beschreibung der Art der Datenpanne, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Eine Beschreibung der wahrscheinlichen Folgen der Datenpanne und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Datenlecks sowie ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Meldung an die Patienten

Auch Patienten müssen über ein Datenleck informiert werden. Bedeutet die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ des Betroffenen, ist dieser unverzüglich (= ohne schuldhaftes Zögern) nach Art. 34 DS-GVO von der Datenschutzverletzung „in klarer und einfacher Sprache“ zu unterrichten.

Eine Nachricht an die Patienten darf unterbleiben, wenn durch bereits vor der Datenpanne ergriffene technische und organisatorische Maßnahmen eine unbefugte Kenntnisnahme der Daten durch Dritte ausgeschlossen werden kann. Das ist z. B. der Fall, wenn ein Datenträger mit darauf gespeicherten Patientendaten verloren gegangen ist, die Daten aber ausreichend verschlüsselt sind. Hier kann ein Finder diese Daten nicht auslesen.

Konsequenzen bei Verstößen

Werden die Meldungen nicht wie von der DS-GVO angeordnet vorgenommen, drohen Geldbußen von bis zu 10.000.000 Euro. Auch wenn dieser Summe ein erhebliches Drohpotenzial innewohnt, darf sie bei einer Datenpanne nicht zur Paralyse oder Panik der Ärzte führen.

Handlungsempfehlung: Ermitteln und Ruhe bewahren!

Im Falle einer Datenpanne sollte in Ruhe ermittelt werden, um welche Daten es geht und im welchen Umfang diese gefährdet sind. Ein entdecktes Datenleck sollte zunächst geschlossen werden. Dies gilt insbesondere, wenn die Gefahr besteht, dass auch weiterhin Daten dem Zugriff Dritter zugänglich sind.

In Bezug auf die Meldungen an die Patienten und die Datenschutzbehörde ist es ratsam, die erforderlichen Meldungen durchaus unter anwaltlicher Beratung zu formulieren. Gerade weil die Patienten-Meldungen in einfacher und klarer Sprache abzufassen sind, erscheint externer Sachverstand zweckmäßig.