Ein fehlgeleitetet Fax, E-Mails beim falschen Empfänger, Rezepte in der Mülltonne. Was Apotheken bei Datenpannen beachten müssen. Gerne unterstützen wir Sie auch als externer Datenschutzbeauftragter für Apotheken bei Ihren Fragen.
Wann liegt eine Datenpanne im Sinne des Datenschutzes vor?
Das Datenschutzrecht kennt den Begriff Datenpanne nicht, sondern spricht von einer Verletzung des Schutzes personenbezogener Daten. Nach Art. 4 Nr. 12 DSGVO ist das der Fall,
- bei einer unbeabsichtigte oder unrechtmäßige Vernichtung, einem Verlust oder eine Veränderung der Daten
- bei einer unbefugte Offenlegung oder dem unbefugten Zugang zu personenbezogenen Daten
Beispiele für mögliche Datenpannen in der Apotheke
- Verlust von Datenträgern: Der Verlust oder Diebstahl von Laptops, Tablets, USB-Sticks oder anderen Speichermedien, die sensible Patientendaten enthalten.
- Hackingangriffe: Cyberangriffe, die zu einem unbefugten Zugriff auf Patientendaten führen, wie z.B. durch Ransomware oder Phishing.
- Fehlerhafte E-Mail-Weiterleitungen: Versehentliches Senden von Patienteninformationen an falsche Empfänger durch Mitarbeiter.
- Unbefugter Zugriff durch Mitarbeiter: Zugriff auf Patientendaten durch Mitarbeiter, die nicht die entsprechenden Berechtigungen haben.
- Technische Pannen: Systemfehler oder Softwareprobleme, die zu einer ungewollten Veröffentlichung oder Verfälschung von Patientendaten führen.
- Physischer Diebstahl: Diebstahl von Dokumenten oder Aufzeichnungen aus den Räumlichkeiten der Apotheke.
Risiko für Rechte und Freiheiten einer natürlichen Person
Wenn einer dieser Fälle vorliegt, müssen Apotheken prüfen, ob die Verletzung tatsächlich zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person führt. Apotheken müssen also das Risiko der Datenpanne prognostizieren:
- Welche Schäden sind denkbar?
- Wie groß ist die Eintrittswahrscheinlichkeit?
- Wie groß der potenzielle Schaden?
- Um wie viele Daten von wie vielen Personen geht es?
Beispiel: Eine Apotheke verliert eine Festplatte mit Daten aus der Kundenverwaltung. Wenn diese Festplatte fachgerecht verschlüsselt ist, kann niemand auf die Daten zugreifen. Es liegt keine meldepflichtige Datenpanne vor.
Apotheken müssen Datenpannen innerhalb von 72 Stunden melden
Gemäß Art. 33 DSGVO muss eine Datenpanne an die zuständige Aufsichtsbehörde gemeldet werden, wenn das tatsächliche Risiko für den Betroffenen nicht nur gering ist. In Niedersachsen ist dies die Landesbeauftragte für den Datenschutz. Hierfür wird in Niedersachsen ein spezielles Online-Meldeverfahren für Datenpannen genutzt. Für den Fall, dass Sie aus einem anderem Bundesland kommen, haben wir Ihnen in einer Liste die zuständigen Stellen für die Meldung einer Datenpannen nach Art. 33 DSGVO zusammengestellt.
Die Meldung muss unverzüglich abgegeben werden, möglichst binnen 72 Stunden nach Kenntnis der Datenpanne. Dauert es länger, muss dies gut begründet werden. Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person, muss auch diese Person darüber informiert werden, dass es eine Datenpanne gab.
Welche Angaben muss die Meldung enthalten?
Gemäß Art. 33 DSGVO muss die Meldung an die Datenschutzbehörde folgende Angaben enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
- die Kategorie der Betroffenen
- die ungefähre Anzahl der Betroffenen
- den Namen und die Kontaktdaten der/des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- eine Beschreibung der wahrscheinlichen Folgen der Datenpanne
- eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und zur Abmilderung ihrer möglichen Auswirkungen.
Die Benachrichtigung gegenüber der betroffenen Person muss dieselben Informationen enthalten. Hier ist auf eine klare und einfache Sprache zu achten.
Benachrichtigung des Betroffenen
Unter Umständen müssen auch die Betroffenen über die Datenpanne benachrichtigt werden. Dies gilt insbesondere dann, wenn eine Datenpanne bei Gesundheitsdaten vorliegt.
„Im Falle eines hohen Risikos sind die betroffenen Personen nach Art. 34 DSGVO zu benachrichtigen. Ein hohes Risiko liegt zumindest immer dann nahe, wenn besondere Kategorien personenbezogener Daten – z. B. Gesundheitsdaten – Unberechtigten zur Kenntnis gelangen können.“
Landesbeauftragter für Datenschutz Sachsen-Anhalt
Abhilfemaßnahmen
Die für die Datenschutzverletzungen verantwortlichen Stellen müssen Maßnahmen zur Behebung oder Abmilderung der nachteiligen Auswirkungen in die Wege leiten. Zeigt die Apotheke hier hohes Engagement, wird dies von den Datenschutzaufsichtsbehörden positiv bewertet. Beispiele:
Ursache der Verletzung | Reaktion |
---|---|
Versendung von E-Mails an Nichtberechtigte durch fehlerhafte Eingabe der E-Mailadresse | – Fehladressat zum Löschen auffordern – Bestätigung der Löschung einholen |
Fehlversand von Dokumenten per Fax (fehlerhafte Eingabe der Faxnummer) | – Fehladressat zum Vernichten auffordern – Fehladressat um Bestätigung der Löschung bitten |
Verschlüsselung von Dateien durch Angreifer | sofortige Trennung vom Netz Schwachstellen identifizieren und Konse-quenzen ziehen ggf. Neuinstallation befallener Rechner/Systeme Wiederherstellung der Daten aus dem Backup |
Unbefugte Datenverarbeitung oder Offenlegung durch eigene Mitarbeiter | Prüfung arbeitsrechtlicher Maßnahmen Prüfung strafrechtlicher Maßnahmen Entzug der Zugriffsrechte des Mitarbeiters Belehrung des Mitarbeiters, dass wahrge-nommene Daten nicht zu privaten Zwecken genutzt werden dürfen |
Jede Datenpanne muss dokumentiert werden
Ganz unabhängig davon, ob die Datenpanne nun gemeldet werden muss oder nicht – nach Art. 33 Absatz 5 DS-GVO müssen alle Datenpannen und die dazugehörige Risikoprognose dokumentiert werden. Hier sind auch die ergriffenen Abhilfemaßnahmen festzuhalten.
Es bietet sich an, eine interne Übersicht über Datenpannen anzulegen, die bei Bedarf der Aufsichtsbehörde vorgelegt werden kann.
Beratung im Datenschutz
Gerne können Sie uns bei Fragen zu Datenpannen kontaktieren. Wir stehen Ihnen als externe Datenschutzbeauftragte für Apotheken und Ärzte zur Verfügung. Rufen Sie uns an unter 0511/37388134 oder schreiben Sie uns eine Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen uns auf Ihre Anfrage.
Man muss auch sagen, dass die wenigsten Arztpraxen geeignete und zuverlässige Techniken besitzen. Meiner Erfahrung nach sind die meisten Geräte in der Medizin eher veraltet und haben keine Sicherheitsmauern in ihrer Software, was ein Eindringen einfach macht. Es ist gut zu wissen, dass Apotheken und Ärzte Datenpannen innerhalb 72 Stunden melden und die betroffenen Personen auch informiert werden müssen.