Datenleck in der Arztpraxis – und jetzt?

Ein Beispiel für solche „Datenpannen“ ist der Versand eines Arztbriefs an den falschen Empfänger. Aber auch ein Cyberangriff mittels Ransomware – Verschlüsselung von Daten gegen Lösegeldforderung – stellt einen solchen Datenschutzvorfall dar. 

Wie muss ich mich verhalten, wenn so etwas in meiner Praxis passiert?

Bei einem Datenschutzvorfall ist der verantwortliche Praxisinhaber verpflichtet, diesen Vorfall an die zuständige Datenschutzbehörde zu melden, vgl. Art. 33 DSGVO.

Gibt es Ausnahmen dieser Meldepflicht?

Ja! Es kann und darf dann auf eine Meldung an die Datenschutzbehörde verzichtet werden, wenn es „nicht zu einem Risiko für die Rechte und die Freiheiten natürlicher Personen“ kommt.

Ob und inwieweit dieser Ausnahmetatbestand greift, muss stets im Einzelfall unter rechtlicher Begutachtung des vollständigen Sachverhalts geprüft werden. Diese Ausnahme greift aber nur in einer sehr geringen Anzahl von Fällen.

Was muss ich melden?

Die DSGVO gibt vor, dass eine umfassende Beschreibung des Sachverhalts, der Folgen für den Betroffenen, eine Übermittlung der Kontaktdaten des Datenschutzbeauftragten und weiterer Informationen erfolgen muss.

Wie schnell muss ich agieren?

Die Meldung muss innerhalb von 72 Stunden nach Kenntnis des Vorfalls bei der zuständigen Behörde eingehen.

Wichtig ist dabei, dass Verantwortliche – in diesem Fall also meist Praxisinhaberinnen und Praxisinhaber – erst einmal Kenntnis von dem Vorfall erlangen müssen. Je nach Größe der Praxis kann allein dieser Vorgang einige Zeit in Anspruch nehmen. Ein Problem aufgrund der kurzen Meldefrist.

Erfahrungsgemäß passieren Datenpannen auch oft bei den einzelnen Mitgliedern im Praxisteam, die mit den Patientinnen und Patienten kommunizieren. Diese sollten – um einen Datenschutzvorfall überhaupt erkennen zu können – entsprechend geschult und sensibilisiert werden, was ein Datenschutzvorfall ist und wie sie sich verhalten sollen, wenn ein solcher Vorfall vorliegt.

Zudem gilt es dem Praxisteam klarzumachen, dass – sofern einzelne Mitarbeitende eine solche Datenpanne verursacht haben – keine arbeitsrechtlichen Repressalien drohen. Auch die zeitliche Relevanz sollte dem Team mitgeteilt werden.

Brauche ich für die Meldung des Datenschutzvorfalls einen rechtlichen Beistand?

Die kurzfristige Beratung durch einen auf Datenschutz spezialisierten Rechtsbeistand ist empfehlenswert. Die Meldung selbst sollte – auch in Bezug auf mögliche sich anschließende Verfahren der Datenschutzbehörde – eng mit dem Rechtsanwalt abgestimmt werden. Zudem empfiehlt es sich die Datenpanne – soweit möglich – zu beheben und entsprechende Schutzmechanismen zu etablieren, um ähnliche Datenpannen zukünftig zu vermeiden.

Alexa Frey ist selbständige Rechtsanwältin und Fachanwältin für Medizinrecht und Fachanwältin für IT-Recht. Sie berät Leistungserbringer im Gesundheitswesen in Fragen des Arzthaftungsrechts, IT-Rechts, Datenschutzes, Vertrags- und Gesellschaftsrechts, Vergütungsrechts und Medizinstrafrechts.

Kontakt: frey@wws-ulm.de

Dieser Artikel ist im Original erschienen auf Coliquio.de.