Die Datenschutz-Grundverordnung (DSGVO) regelt nicht nur wie mit personenbezogenen Daten umzugehen ist und welche Bestimmungen einzuhalten sind, sondern trifft auch Regelungen für den Fall, dass diesen Vorgaben nicht entsprochen wird.
Besonders hervorzuheben sind hier die Artikel 33 und 34 der DSGVO. In ihnen wird festgelegt, was der Verantwortliche (also das Unternehmen oder die Institution, die die Verarbeitung durchführt) zu tun hat, wenn es zu einem Datenschutzvorfall kommt. Hier sind schnelle Maßnahmen erforderlich, für die man als Verantwortlicher schon im Vorfeld Prozesse etablieren sollte, um im Falle eines Falles vorbereitet zu sein. Für Unternehmen, die mit Gesundheitsdaten agieren, sind diese Regeln noch einmal von besonderer Relevanz. Gesundheitsdaten werden von der DSGVO als besonders schützenswert angesehen und erfordern somit von den Verarbeitern eine besonders hohe Sorgsamkeit auch und gerade bei einem Datenschutzvorfall.
Im folgenden Text sollen Maßnahmen aufgezeigt werden, wie Akteure im Gesundheitswesen sich bestmöglich auf einen Datenschutzvorfall vorbereiten können.
Was ist ein Datenschutzvorfall?
Die Antwort auf diese Frage liefert die Datenschutz-Grundverordnung direkt im Gesetzestext, wo der Datenschutzvorfall in Art. 4 DSGVO definiert wird. Somit handelt es sich dabei um „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Gemeint sind damit die genauen Gegensätze zu den bei Datenverarbeitungen einzuhaltenden Gewährleistungen von Vertraulichkeit und Integrität personenbezogener Daten. Beispiele im Gesundheitsbereich sind hierbei das Versenden von Patienteninformationen an einen falschen Empfänger, das zu lange oder unsichere Speichern von Gesundheitsdaten oder der Hack einer vom verantwortlichen Unternehmen betriebenen Gesundheits-App.
Wichtig ist hier immer eine Prüfung, ob es sich bei dem Vorfall wirklich um einen Datenschutzvorfall handelt, oder ob z. B. ausnahmsweise kein Risiko für die Rechte und Freiheiten der betroffenen Person bestand. Zudem muss bewertet werden, wie schwer der Vorfall diese Rechte und Freiheiten gefährdet, nach dieser Bewertung sind verschiedene Maßnahmen zu treffen, die in den nächsten Abschnitten erläutert werden.
Konsequenzen eines Datenschutzvorfalls
Hat die Prüfung ergeben, dass der gegenständliche Vorfall als Datenschutzvorfall einzustufen ist, so hat der Verantwortliche ab dem Zeitpunkt der Kenntnisnahme maximal 72 Stunden Zeit zu handeln. Hier ist Vorsicht geboten, denn diese 72 Stunden beziehen sich nicht nur auf Werktage, sondern beinhalten auch Wochenend- und Feiertage! Aus dieser knappen Frist begründet sich auch die Erforderlichkeit eines effizienten Prozesses zur Behandlung von Datenschutzvorfällen. Zu beachten ist außerdem, dass die 72 Stunden eine Maximalangabe darstellen und bereits vorher ein Verstoß gegen die Bestimmungen der DSGVO vorliegen kann, wenn die Reaktion durch den Verantwortlichen nicht unverzüglich erfolgt. Je nach Schwere des Vorfalls ist innerhalb dieser Frist eine Benachrichtigung der zuständigen Aufsichtsbehörde oder, bei Bestehen eines hohen Risikos für Rechte und Freiheiten der betroffenen Person, zusätzlich auch noch die bestoffene Person selbst zu benachrichtigen. Anbieter von Gesundheitsdienstleistungen müssen hier besonders aufmerksam sein, denn teilweise wird von den Aufsichtsbehörden vertreten, dass ein Vorfall mit Gesundheitsdaten per se immer ein hohes Risiko bietet und damit die betroffene Person in jedem Fall zu benachrichtigen ist.
Erfolgt eine erforderliche Meldung nicht, besteht darin eine eigene Verletzung der Pflichten aus der DSGVO, die mit einem Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes von der jeweiligen Aufsichtsbehörde bestraft werden können. Dabei ist es auch unbeachtlich, ob der ursprüngliche Datenschutzvorfall bewusst oder fahrlässig herbeigeführt wurde, da die Verletzung der Meldepflicht ein eigener Verstoß ist. Die bewusste Nichtmeldung eines Datenschutzvorfalls aus Angst um Imageschäden kann also keine verantwortungsvolle Option sein.
Bußgelder vermeiden – Planung und Prozesse
Die beste Methode um Bußgelder auf Grund von Datenschutzvorfällen zu vermeiden, ist diese gar nicht erst entstehen zu lassen. Hier empfehlen sich eine Vielzahl von Maßnahmen, um das Risiko eines Datenschutzvorfalls zu minimieren. Dies beginnt bei allgemeinen Überlegungen, wie dem Schaffen eines datenschutzrechtlichen Problembewusstseins unter den Mitarbeitern und dem Vorleben einer Datenschutzkultur durch die Leitungsebene. Aber auch spezifisch können viele Gefahren schon im Vorfeld abgefangen werden. Hier bietet sich gerade bei der Arbeit mit Gesundheitsdaten generell die Durchführung einer Datenschutz-Folgenabschätzung um Risikoquellen zu identifizieren und Gegenmaßnahmen zu implementieren. Zusätzlich sollten bereits konkrete Prozesse zur Vorfallsvermeidung aufgebaut werden. Als Beispiel seien hier ein Löschkonzept genannt, aus dem klar hervorgeht, wann welche Daten wie gelöscht werden oder ein Berechtigungskonzept, das klare Vorgaben für die Zugriffe auf gespeicherte, personenbezogene (Gesundheits-)daten macht.
Trotzdem besteht immer ein Restrisiko, dass es trotz aller Vorsichtsmaßnahmen zu einem Datenschutzvorfall kommt. Für diesen Fall ist es wichtig klare Abläufe und Zuständigkeiten festzulegen und vor allem auch bekannt zu machen. Egal, welcher Mitarbeiter auf welcher Ebene einen (möglichen) Datenschutzvorfall bemerkt, immer muss für ihn oder sie klar sein, welche Person zu benachrichtigen ist. Die Kette der Benachrichtigungen ist ebenso festzulegen, wie die Einheit, die den Vorfall prüft und wer, falls erforderlich, die Meldung bei den Behörden und wenn nötig der betroffenen Person vornimmt. Auch an eine Einbeziehung des/der Datenschutzbeauftragten und eine interne Dokumentation des Vorfalls ist zu denken.
Für diesen Prozess kann keine Pauschallösung vorgeschlagen werden. Zu unterschiedlich können Strukturen seitens der Verantwortlichen sein, man denke als Extremfall an die Unterschiede in vorhandenem Personal zwischen einem Start-Up als Betreiber einer Gesundheitsapp und einem multinationalen Pharmaunternehmen. Entscheidend ist, dass der Prozess so auf den jeweils Verantwortlichen zugeschnitten ist, dass die erforderlichen Prüfungen und Meldungen innerhalb der knapp bemessenen Frist durchgeführt werden können.
Mehr Informationen zum Thema:
- Datenschutz im Krankenhaus: Ein Überblick
- Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?
- Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?
- Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit
Fazit
Datenschutzvorfälle sind Verletzungen der DSGVO, die durch den Verantwortlichen durch gute Datenschutz-Compliance unwahrscheinlicher gemacht, aber nie zu 100 Prozent ausgeschlossen werden können. Gerade im Gesundheitsbereich mit seinen sensiblen Daten und den ihnen innewohnenden hohen Risiken für die betroffenen Personen besteht dadurch eine erhebliche Gefahr für die Verantwortlichen sich nicht nur Imageschäden, sondern auch empfindlichen Geldbußen auszusetzen. Mit umfassender und umsichtiger Planung im Vorfeld können diese Risiken allerdings minimiert werden. Ein erfahrener (externer) Datenschutzbeauftragter kann bei der Planung sehr gute Unterstützung bieten. Unsere Datenschutz-Experten beraten Sie gerne für alle Fragen zur Vermeidung von Datenschutzvorfällen sowie auch dem richtigen Umgang mit diesen und können mit Ihnen gemeinsam maßgeschneiderte Prozesse für Sie aufsetzen.