Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

27. Juni 2020

Benachrichtigungspflichten bei Datenpannen richtig umsetzen

DP+
Benachrichtigungspflichten bei Datenpannen richtig umsetzen
Bild: iStock.com / metamorworks
4,00 (1)
Wer ist wann wie zu informieren?
Eine Umfrage des Senders NDR unter den Datenschutz-Aufsichtsbehörden zeigt: Sensible Patientendaten landen in großer Zahl bei falschen Empfängern. Wer richtig mit solchen Datenpannen umgeht und dafür sorgt, sie zukünftig zu vermeiden, minimiert das Risiko von Bußgeldern.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat für seinen Tätigkeitsbericht 2019 Meldungen von Datenpannen ausgewertet (abrufbar unter https://ogy.de/tb-bw-2020). Eine Vielzahl dieser Meldungen betraf Arztpraxen. Arztbriefe, Rezepte, Diagnosen oder Röntgenbilder landen also durch verschiedentlichen Fehlversand bei falschen Empfängern.

  • Geradezu ein Klassiker landet auf Platz 1 der Pannen: der Postfehlversand.
  • Der E-Mail-Fehlversand erreicht Platz 3.
  • Der Versand von E-Mails mit offenem Verteiler – also ohne die „bcc-Funktion“ zu verwenden – nimmt Platz 5 ein.
  • Und der Fehlversand von Telefaxen landet auf Platz 7.

Welche Datenpannen Platz 4 und 6 belegen, ist dem Bericht nicht zu entnehmen.

Besonders kritisch ist Platz 2. Dabei geht es um Datenpannen aufgrund von Cyberangriffen auf Arztpraxen. Das lässt auf einen mangelnden technisch-organisatorischen Datenschutz schließen.

Was ist eine Datenpanne?

Die Datenschutz-Grundverordnung (DSGVO) spricht in Art. 33 nicht von Datenpannen, sondern von der „Verletzung des Schutzes personenbezogener Daten“.

Das ist nach Art. 4 Nr. 12 DSGVO eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“, die der Verantwortliche in irgendeiner Art und Weise verarbeitet hat.

Verantwortliche müssen beachten, dass auch eine vorübergehende Nicht-Verfügbarkeit aufgrund von Sicherheitsvorfällen eine Form von Datenschutzverlet…

Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.