Die Meldepflicht der DSGVO – ein Überblick

Datenpannen dsgvo anyaberkut adobestockws8xy5

Der Schutz von Patientendaten ist eine der größten Aufgaben im Alltag. Er beginnt mit einem Sicherheitsabstand am Empfang und der Lautstärke von Telefongesprächen und endet mit der Verschlüsselung elektronisch verarbeiteten Daten, die seit Mai 2018 unter die DSGVO fallen. Ziel ist es dabei immer, dass vertrauliche Informationen nicht in die falschen Hände geraten. Doch was passiert, wenn es doch dazu kommt?

Verlieren Sie oder Ihre Mitarbeiter eine Akte, können andere Patienten bei einem privaten Telefongespräch mithören oder ist ein Brief an die falsche Adresse geschickt worden, sollten Sie darauf reagieren. Im Idealfall überlegen Sie gemeinsam, wie das passieren konnte und was in Zukunft getan werden muss, um es zu vermeiden.

Anders sieht es bei elektronisch verarbeiteten Daten aus, etwa Informationen auf Ihrem Computer, in einer E-Mail oder auf dem Smartphone. Nach der DSGVO gibt es strenge Vorgaben, wie Sie diese Daten schützen müssen. Dazu gehört auch eine Meldepflicht bei Datenpannen.

Datenpannen nach DSGVO

Das Bundesdatenschutzgesetz beinhaltet schon immer eine Meldepflicht, etwa wenn Gesundheits- oder Bankdaten in falsche Hände geraten. Mit der DSGVO wird diese noch verschärft. Sie betrifft alle personenbezogenen Daten, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Das bedeutet für den Praxisalltag, dass Sie im Zweifel abwägen müssen.

Unter Erwägungsgrund 75 können Sie die Vorgaben dazu nachlesen. So besteht etwa auch bei Angaben zur ethnischen Herkunft, zur Arbeitsleistung oder zum Aufenthaltsort ein erhöhtes Risiko. Bei einer Datenpanne sollten Sie sich deshalb unbedingt von einem Fachmann beraten lassen. Im Zweifel ist eine Meldung immer ratsam, um einem unter Umständen hohen Bußgeld zu entgehen.

Datenpannen nach DSGVO können sein:

  • E-Mails an falsche Adressen mit Patientendaten
  • Ein verlorenes oder gestohlenes Smartphone
  • Ein Hackerangriff
  • Unberechtigte Mitarbeiter oder andere Praxen hatten Einsicht in Ihre Praxissoftware
  • Mitarbeiter oder fremde Personen hatten Zugriff auf Ihre Arbeitszeiterfassung oder die Urlaubsplanung

Datenpannen melden

Nach spätestens 72 Stunden muss eine Datenpanne der Aufsichtsbehörde gemeldet werden. Experten empfehlen dafür eine Vorlage anzulegen, damit Sie und Ihre Mitarbeiter alle Informationen zusammentragen können. Die Meldung sollte beinhalten:

  • Eine Beschreibung der Verletzung des Schutzes personenbezogener Daten (Was ist passiert?)
  • Eine Schätzung, wie viele Datensätze und wie Personen betroffen sind
  • Die Personengruppe, die betroffen ist (Mitarbeiter, Patienten, Lieferanten, etc.)
  • Kontaktdaten für weitere Nachfragen (Datenschutzbeauftragter, Verantwortlicher in der Praxis)
  • Die wahrscheinlichen Folgen durch die Verletzung
  • Die Maßnahmen, die Sie bereits ergriffen haben (Sperren von Zugängen, neue Sicherheitsvorschriften, etc.)

Die betroffenen Personen müssen erst bei einem besonders hohen Risiko für Ihre Rechte und Freiheiten informiert werden. Natürlich müssen Sie auch hier abwägen und sich vermutlich erst beraten lassen. Nach einer kurzen Bedenkzeit dürfen Sie die Benachrichtigung aber nicht mehr hinauszögern. Sie sollte in leicht verständlicher Sprache verfasst sein und etwa den gleichen Umfang wie die Meldung an die Aufsichtsbehörde haben.