05.07.2019

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche

Die Datenschutz-Grundverordnung (DSGVO) regelt nicht nur wie mit personenbezogenen Daten umzugehen ist und welche Bestimmungen einzuhalten sind, sondern trifft auch Regelungen für den Fall, dass diesen Vorgaben nicht entsprochen wird.

Besonders hervorzuheben sind hier die Artikel 33 und 34 der DSGVO. In ihnen wird festgelegt, was der Verantwortliche (also das Unternehmen oder die Institution, die die Verarbeitung durchführt) zu tun hat, wenn es zu einem Datenschutzvorfall kommt. Hier sind schnelle Maßnahmen erforderlich, für die man als Verantwortlicher schon im Vorfeld Prozesse etablieren sollte, um im Falle eines Falles vorbereitet zu sein. Für Unternehmen, die mit Gesundheitsdaten agieren, sind diese Regeln noch einmal von besonderer Relevanz. Gesundheitsdaten werden von der DSGVO als besonders schützenswert angesehen und erfordern somit von den Verarbeitern eine besonders hohe Sorgsamkeit auch und gerade bei einem Datenschutzvorfall.

Im folgenden Text sollen Maßnahmen aufgezeigt werden, wie Akteure im Gesundheitswesen sich bestmöglich auf einen Datenschutzvorfall vorbereiten können.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Was ist ein Datenschutzvorfall?

Die Antwort auf diese Frage liefert die Datenschutz-Grundverordnung direkt im Gesetzestext, wo der Datenschutzvorfall in Art. 4 DSGVO definiert wird. Somit handelt es sich dabei um „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Gemeint sind damit die genauen Gegensätze zu den bei Datenverarbeitungen einzuhaltenden Gewährleistungen von Vertraulichkeit und Integrität personenbezogener Daten. Beispiele im Gesundheitsbereich sind hierbei das Versenden von Patienteninformationen an einen falschen Empfänger, das zu lange oder unsichere Speichern von Gesundheitsdaten oder der Hack einer vom verantwortlichen Unternehmen betriebenen Gesundheits-App.

Wichtig ist hier immer eine Prüfung, ob es sich bei dem Vorfall wirklich um einen Datenschutzvorfall handelt, oder ob z.B. ausnahmsweise kein Risiko für die Rechte und Freiheiten der betroffenen Person bestand. Zudem muss bewertet werden, wie schwer der Vorfall diese Rechte und Freiheiten gefährdet, nach dieser Bewertung sind verschiedene Maßnahmen zu treffen, die in den nächsten Abschnitten erläutert werden.

Kostenloses Webinar zum Thema Datenschutzvorfall

Melden Sie sich zu unserem kostenlosen Webinar zum Thema "Datenschutzvorfall: Das müssen Sie in den ersten 72h tun" am 6. August 2024 an.

Alle Infos zum Webinar

Konsequenzen eines Datenschutzvorfalls

Hat die Prüfung ergeben, dass der gegenständliche Vorfall als Datenschutzvorfall einzustufen ist, so hat der Verantwortliche ab dem Zeitpunkt der Kenntnisnahme maximal 72 Stunden Zeit zu handeln. Hier ist Vorsicht geboten, denn diese 72 Stunden beziehen sich nicht nur auf Werktage, sondern beinhalten auch Wochenend- und Feiertage! Aus dieser knappen Frist begründet sich auch die Erforderlichkeit eines effizienten Prozesses zur Behandlung von Datenschutzvorfällen. Zu beachten ist außerdem, dass die 72 Stunden eine Maximalangabe darstellen und bereits vorher ein Verstoß gegen die Bestimmungen der DSGVO vorliegen kann, wenn die Reaktion durch den Verantwortlichen nicht unverzüglich erfolgt. Je nach Schwere des Vorfalls ist innerhalb dieser Frist eine Benachrichtigung der zuständigen Aufsichtsbehörde oder, bei Bestehen eines hohen Risikos für Rechte und Freiheiten der betroffenen Person, zusätzlich auch noch die bestoffene Person selbst zu benachrichtigen. Anbieter von Gesundheitsdienstleistungen müssen hier besonders aufmerksam sein, denn teilweise wird von den Aufsichtsbehörden vertreten, dass ein Vorfall mit Gesundheitsdaten per se immer ein hohes Risiko bietet und damit die betroffene Person in jedem Fall zu benachrichtigen ist.

Erfolgt eine erforderliche Meldung nicht, besteht darin eine eigene Verletzung der Pflichten aus der DSGVO, die mit einem Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes von der jeweiligen Aufsichtsbehörde bestraft werden können. Dabei ist es auch unbeachtlich, ob der ursprüngliche Datenschutzvorfall bewusst oder fahrlässig herbeigeführt wurde, da die Verletzung der Meldepflicht ein eigener Verstoß ist. Die bewusste Nichtmeldung eines Datenschutzvorfalls aus Angst um Imageschäden kann also keine verantwortungsvolle Option sein.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 1 und 2.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Bußgelder vermeiden – Planung und Prozesse

Die beste Methode um Bußgelder auf Grund von Datenschutzvorfällen zu vermeiden, ist diese gar nicht erst entstehen zu lassen. Hier empfehlen sich eine Vielzahl von Maßnahmen, um das Risiko eines Datenschutzvorfalls zu minimieren. Dies beginnt bei allgemeinen Überlegungen, wie dem Schaffen eines datenschutzrechtlichen Problembewusstseins unter den Mitarbeitern und dem Vorleben einer Datenschutzkultur durch die Leitungsebene. Aber auch spezifisch können viele Gefahren schon im Vorfeld abgefangen werden. Hier bietet sich gerade bei der Arbeit mit Gesundheitsdaten generell die Durchführung einer Datenschutz-Folgenabschätzung um Risikoquellen zu identifizieren und Gegenmaßnahmen zu implementieren. Zusätzlich sollten bereits konkrete Prozesse zur Vorfallsvermeidung aufgebaut werden. Als Beispiel seien hier ein Löschkonzept genannt, aus dem klar hervorgeht, wann welche Daten wie gelöscht werden oder ein Berechtigungskonzept, das klare Vorgaben für die Zugriffe auf gespeicherte, personenbezogene (Gesundheits-)daten macht.

Trotzdem besteht immer ein Restrisiko, dass es trotz aller Vorsichtsmaßnahmen zu einem Datenschutzvorfall kommt. Für diesen Fall ist es wichtig klare Abläufe und Zuständigkeiten festzulegen und vor allem auch bekannt zu machen. Egal, welcher Mitarbeiter auf welcher Ebene einen (möglichen) Datenschutzvorfall bemerkt, immer muss für ihn oder sie klar sein, welche Person zu benachrichtigen ist. Die Kette der Benachrichtigungen ist ebenso festzulegen, wie die Einheit, die den Vorfall prüft und wer, falls erforderlich, die Meldung bei den Behörden und wenn nötig der betroffenen Person vornimmt. Auch an eine Einbeziehung des/der Datenschutzbeauftragten und eine interne Dokumentation des Vorfalls ist zu denken.

Für diesen Prozess kann keine Pauschallösung vorgeschlagen werden. Zu unterschiedlich können Strukturen seitens der Verantwortlichen sein, man denke als Extremfall an die Unterschiede in vorhandenem Personal zwischen einem Start-Up als Betreiber einer Gesundheitsapp und einem multinationalen Pharmaunternehmen. Entscheidend ist, dass der Prozess so auf den jeweils Verantwortlichen zugeschnitten ist, dass die erforderlichen Prüfungen und Meldungen innerhalb der knapp bemessenen Frist durchgeführt werden können.

Fazit

Datenschutzvorfälle sind Verletzungen der DSGVO, die durch den Verantwortlichen durch gute Datenschutz-Compliance unwahrscheinlicher gemacht, aber nie zu 100 Prozent ausgeschlossen werden können. Gerade im Gesundheitsbereich mit seinen sensiblen Daten und den ihnen innewohnenden hohen Risiken für die betroffenen Personen besteht dadurch eine erhebliche Gefahr für die Verantwortlichen sich nicht nur Imageschäden, sondern auch empfindlichen Geldbußen auszusetzen. Mit umfassender und umsichtiger Planung im Vorfeld können diese Risiken allerdings minimiert werden. Ein erfahrener (externer) Datenschutzbeauftragter kann bei der Planung sehr gute Unterstützung bieten. Unsere Datenschutz-Experten beraten Sie gerne für alle Fragen zur Vermeidung von Datenschutzvorfällen sowie auch dem richtigen Umgang mit diesen und können mit Ihnen gemeinsam maßgeschneiderte Prozesse für Sie aufsetzen.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …