Wenn die Post einen Patientenbrief an den falschen Empfänger schickt, obwohl die richtige Adresse auf dem Brief stand, liegt dann eine Datenpanne vor? Wir haben uns das mal angeschaut.
Gesundheitsdaten sind laut Datenschutzrecht besonders sensible personenbezogene Daten, die unter den besonderen Schutz der Datenschutz-Grundverordnung (DSGVO) fallen und zu den besonderen Kategorien personenbezogener Daten zählen (Art. 9 DSGVO). Ihre Weitergabe, auch versehentlich, berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße.
Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten, zu denen auch Gesundheitsdaten zählen, unrechtmäßig verarbeitet werden. Dies umfasst auch den Versand an den falschen Empfänger. Gemäß Artikel 33 DSGVO wird eine solche Situation explizit als Verletzung des Schutzes personenbezogener Daten angesehen.
Die Weitergabe von Gesundheitsdaten ist grundsätzlich nur mit der ausdrücklichen Einwilligung des Patienten zulässig. Die Patienten müssen über die Empfänger und den Zweck der Datenübermittlung eindeutig informiert werden. Eine versehentliche Weitergabe an einen falschen Empfänger verstößt gegen diese Grundsätze
Verantwortlichkeit liegt bei der Arztpraxis
Wenn der Fehler bei der Zustellung eines Briefes mit Gesundheitsdaten bei der Post liegt, ändert dies den Kontext der Verantwortlichkeit für die Datenschutzverletzung. Dennoch sind einige wichtige Punkte zu beachten:
- Verantwortung der Arztpraxis: Die Arztpraxis ist für die sichere Übermittlung personenbezogener Daten verantwortlich, einschließlich der Auswahl zuverlässiger Dienstleister für den Versand solcher Daten. Obwohl der Fehler konkret bei der Post lag, muss die Arztpraxis dennoch sicherstellen, dass sie angemessene Maßnahmen ergreift, um das Risiko einer fehlerhaften Zustellung zu minimieren, beispielsweise durch die Verwendung von Einschreiben oder anderen nachverfolgbaren Versandmethoden.
- Maßnahmen nach Kenntnisnahme der Fehlzustellung: Sobald die Arztpraxis von der Fehlzustellung Kenntnis erlangt, muss sie aktiv werden, um den Schaden zu begrenzen. Dies könnte die Kontaktaufnahme mit dem falschen Empfänger beinhalten, um die sichere Vernichtung des Briefes zu gewährleisten, sowie die Benachrichtigung des Patienten über den Vorfall.
- Meldung an die Aufsichtsbehörde: Gemäß DSGVO ist zu prüfen, ob der Vorfall ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Sollte ein Risiko bestehen, ist der Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Die Tatsache, dass der Fehler bei einem Drittanbieter (der Post) lag, entbindet die Arztpraxis nicht von ihrer Meldepflicht, falls ein Risiko vorliegt. Außerdem besteht in der Regel eine Benachrichtigungspflicht an den Betroffenen.
Als Dienstleister ist die Post ebenfalls an die Einhaltung von Datenschutzgesetzen gebunden. Sie ist in diesem Fall nicht Auftragsverarbeiter sondern selbst eigenständig Verantwortlicher. Die Post trägt die direkte Verantwortung für den Fehler bei der Zustellung. Die Arztpraxis kann von der Post eine Erklärung oder Maßnahmen verlangen, um ähnliche Vorfälle in Zukunft zu vermeiden.
Rechtliche Konsequenzen und Schadenersatz
Die rechtlichen Konsequenzen für die Arztpraxis hängen von verschiedenen Faktoren ab, einschließlich ihrer Bemühungen, den Datenschutz zu gewährleisten, und ihrer Reaktion auf den Vorfall. Patienten könnten potenziell Schadenersatzforderungen stellen, abhängig von der Schwere des Datenschutzvorfalls und den resultierenden Schäden
In der Gesamtbetrachtung bleibt die Arztpraxis verantwortlich für den Schutz der übermittelten personenbezogenen Daten, muss jedoch in diesem Fall auch die Rolle des Dienstleisters (der Post) und dessen Fehler bei der Zustellung berücksichtigen. Die Praxis sollte in Zusammenarbeit mit der Post und den zuständigen Aufsichtsbehörden handeln, um die Auswirkungen des Vorfalls zu minimieren und zukünftige Datenschutzverletzungen zu verhindern.
Beratung zum Datenschutz
Gerne beraten wir Sie hierzu und zu weiteren Themen als Datenschutzbeauftragter für Arztpraxen an. Sie erreichen uns unter 0511/37388134 oder per Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen auf Ihre Anfrage.