19. April 2022

Datenschutzvorfall

Datenleck in der Arztpraxis – und jetzt?

Kommt es in der Praxis zu einem Datenschutzvorfall, haben Ärztinnen und Ärzte viele Fragen. Alexa Frey klärt, was ein Datenschutzvorfall überhaupt ist, wie man sich am besten verhält und wann es lohnt, rechtlichen Beistand zu suchen.

Lesedauer: 2 Minuten

Dieser Beitrag wird vertreten von Alexa Frey, Fachanwältin für Medizinrecht. Redaktion: Sebastian Schmidt

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall liegt dann vor, wenn eine oder mehrere unberechtigte Personen Zugriff auf Patientendaten erhalten. Eine ungewollte Löschung der Daten ist hiervon auch umfasst. Irrelevant ist es, ob es sich um personenbezogene Daten oder Gesundheitsdaten des Patienten handelt.

Ein Beispiel für solche „Datenpannen“ ist der Versand eines Arztbriefs an den falschen Empfänger. Aber auch ein Cyberangriff mittels Ransomware – Verschlüsselung von Daten gegen Lösegeldforderung – stellt einen solchen Datenschutzvorfall dar. 

Wie muss ich mich verhalten, wenn so etwas in meiner Praxis passiert?

Bei einem Datenschutzvorfall ist der verantwortliche Praxisinhaber verpflichtet diesen Vorfall an die zuständige Datenschutzbehörde zu melden, vgl. Art. 33 DSGVO.

Gibt es Ausnahmen dieser Meldepflicht?

Ja. Es kann und darf dann auf eine Meldung an die Datenschutzbehörde verzichtet werden, wenn es „nicht zu einem Risiko für die Rechte und die Freiheiten natürlicher Personen“ kommt.

Ob und inwieweit dieser Ausnahmetatbestand greift, muss stets im Einzelfall unter rechtlicher Begutachtung des vollständigen Sachverhalts geprüft werden. Diese Ausnahme greift aber nur in einer sehr geringen Anzahl von Fällen.

Was muss ich melden?

Die DSGVO gibt vor, dass eine umfassende Beschreibung des Sachverhalts, der Folgen für den Betroffenen, eine Übermittlung der Kontaktdaten des Datenschutzbeauftragten und weiterer Informationen erfolgen muss.

Wie schnell muss ich agieren?

Die Meldung muss innerhalb von 72 Stunden nach Kenntnis des Vorfalls bei der zuständigen Behörde eingehen.

Wichtig ist dabei, dass Verantwortliche – in diesem Fall also meist Praxisinhaberinnen und Praxisinhaber – erst einmal Kenntnis von dem Vorfall erlangen müssen. Je nach Größe der Praxis kann allein dieser Vorgang einige Zeit in Anspruch nehmen. Ein Problem aufgrund der kurzen Meldefrist.

Erfahrungsgemäß passieren Datenpannen auch oft bei den einzelnen Mitgliedern im Praxisteam, die mit den Patientinnen und Patienten kommunizieren. Diese sollten – um einen Datenschutzvorfall überhaupt erkennen zu können – entsprechend geschult und sensibilisiert werden, was ein Datenschutzvorfall ist und wie sie sich verhalten sollen, wenn ein solcher Vorfall vorliegt.

Zudem gilt es dem Praxisteam klarzumachen, dass – sofern einzelne Mitarbeitende eine solche Datenpanne verursacht haben – keine arbeitsrechtlichen Repressalien drohen. Auch die zeitliche Relevanz sollte dem Team mitgeteilt werden.

Brauche ich für die Meldung des Datenschutzvorfalls einen rechtlichen Beistand?

Die kurzfristige Beratung durch einen auf Datenschutz spezialisierten Rechtsbeistand ist empfehlenswert. Die Meldung selbst sollte – auch in Bezug auf mögliche sich anschließende Verfahren der Datenschutzbehörde – eng mit dem Rechtsanwalt abgestimmt werden. Zudem empfiehlt es sich die Datenpanne – soweit möglich – zu beheben und entsprechende Schutzmechanismen zu etablieren, um ähnliche Datenpannen zukünftig zu vermeiden.

  • Alexa Frey ist selbständige Rechtsanwältin und Fachanwältin für Medizinrecht und Fachanwältin für IT-Recht. Sie berät Leistungserbringer im Gesundheitswesen in Fragen des Arzthaftungsrechts, IT-Rechts, Datenschutzes, Vertrags- und Gesellschaftsrechts, Vergütungsrechts und Medizinstrafrechts.
    Kontakt: frey@wws-ulm.de

Bildquelle: 111802041 © Traimak Ivan Dreamstime.com

Jetzt kommentieren

Möchten Sie den Beitrag kommentieren?

Angemeldete Mitglieder unserer Ärzte-Community können Beiträge kommentieren und Kommentare anderer Ärzte lesen.


Jetzt kommentieren

Verantwortlich für den Inhalt dieser Seite ist 
coliquio GmbH gemäß §4 HWG.

coliquio GmbH
Turmstraße 22
78467 Konstanz
www.coliquio.de

Tel.: +49 7531 363 939 300
Fax: +49 7531 363 939 900
Mail: info@coliquio.de

Vertretungsberechtigter Geschäftsführer:
Jeremy Schneider, Blake DeSimone
Handelsregister: Amtsgericht Freiburg 
Registernummer: HRB 701556
USt-IdNr.: DE256286653