Seit dem Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 werden dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DS-GVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht!

Kaum ein Tag vergeht, an dem der Landesbeauftragte keine Meldungen über Datenpannen erhält. Seit Anfang des Jahres gingen bereits knapp 1.000 solcher Benachrichtigungen ein. Die Themen reichen von Vorfällen mit Verschlüsselungstrojanern (Ransomware) bis zum Fehlversand von Arztberichten. Im Mai 2019 gingen mit 177 Meldungen so viele wie noch nie ein.

Die am häufigsten gemeldeten Datenschutzverletzungen:

Platz Art der Meldung
1 Postfehlversand
2 Hackingangriffe/Malware/Trojaner
3 E-Mail-Fehlversand
4 Diebstahl eines Datenträgers
5 Versendung einer E-Mail mit offenem Adressverteiler
6 Verlust eines Datenträgers
7 Fax-Fehlversand

 

Mit zunehmender Sorge beobachtet der LfDI dabei die hohe Anzahl an Datenpannen in Arztpraxen. Vor allem Verschlüsselungstrojaner machen den Verantwortlichen hier zu schaffen. Ein häufiges Versehen ist es auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln.

Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird. Technische und organisatorische Maßnahmen wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung der MitarbeiterInnen sind – wie in allen Bereichen, in denen mit personenbezogenen Daten umgegangen wird – ein unbedingtes Muss!“ Bei einer Datenpanne mit Gesundheitsdaten sind regelmäßig neben der Meldung an den LfDI auch die Betroffenen selbst zu benachrichtigen.

Wann müssen Datenpannen überhaupt gemeldet werden?
Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht nach Art. 33 DS-GVO. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erläuterungen hierzu und allgemein zur Meldepflicht mit anschaulichen Praxisbeispielen können den Leitlinien des Europäischen Datenschutzausschusses entnommen werden.

Bußgelder
Aufgrund fehlerhaften Umgangs mit Daten wurden bislang von der Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Die höchsten Geldbußen waren zwei Bußgeldbescheide in Höhe von jeweils 80.000,00 € – in beiden Fällen handelte es sich um Datenpannen: In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt.

Weiterführende Links zum Thema