Benachrichtigungspflichten bei Datenpannen richtig umsetzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat für seinen Tätigkeitsbericht 2019 Meldungen von Datenpannen ausgewertet (abrufbar unter https://ogy.de/tb-bw-2020). Eine Vielzahl dieser Meldungen betraf Arztpraxen. Arztbriefe, Rezepte, Diagnosen oder Röntgenbilder landen also durch verschiedentlichen Fehlversand bei falschen Empfängern.

• Geradezu ein Klassiker landet auf Platz 1 der Pannen: der Postfehlversand.
• Der E-Mail-Fehlversand erreicht Platz 3.
• Der Versand von E-Mails mit offenem Verteiler – also ohne die „bcc-Funktion“ zu verwenden – nimmt Platz 5 ein.
• Und der Fehlversand von Telefaxen landet auf Platz 7.

Welche Datenpannen Platz 4 und 6 belegen, ist dem Bericht nicht zu entnehmen.

Besonders kritisch ist Platz 2. Dabei geht es um Datenpannen aufgrund von Cyberangriffen auf Arztpraxen. Das lässt auf einen mangelnden technisch-organisatorischen Datenschutz schließen.

Was ist eine Datenpanne?

Die Datenschutz-Grundverordnung (DSGVO) spricht in Art. 33 nicht von Datenpannen, sondern von der „Verletzung des Schutzes personenbezogener Daten“.

Das ist nach Art. 4 Nr. 12 DSGVO eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“, die der Verantwortliche in irgendeiner Art und Weise verarbeitet hat.

Verantwortliche müssen beachten, dass auch eine vorübergehende Nicht-Verfügbarkeit aufgrund von Sicherheitsvorfällen eine Form von Datenschutzverlet…