Kapitel 6 - Meldepflicht bei Datenschutzpannen

Welche Meldepflichten hat die Praxis?

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) sieht in Art. 33 vor, dass Datenpannen, die mit einem Risiko für die betroffenen Patientinnen und Patienten einhergehen (z. B. durch Diebstahl von Computern oder Datensicherungen und Hackerangriffe auf Praxiscomputer zu melden sind.


Wer muss die Information über Datenschutzpannen erhalten?

Datenschutzpannen sind der zuständigen Landesdatenschutzbehörde

Landesbeauftragten für den Datenschutz
und die Informationsfreiheit Baden-Württemberg
Königstraße 10 a
70173 Stuttgart

in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, ab dem die Praxis Kenntnis von der Panne erlangt hat, zu melden.

Bei der Meldung ist nach folgendem Risikoraster vorzugehen:

  1. Besteht nur ein geringes Risiko für personenbezogene Daten, so ist nur eine interne Dokumentation nötig (bspw. eine gestohlene Festplatte ist physisch und kryptografisch gegen unbefugten Zugriff gesichert)
     
  2. Besteht ein mittleres Risiko für personenbezogene Daten, so ist dies intern zu dokumentieren und es muss eine Meldung an die oder den Landesbeauftragten für Datenschutz erfolgen (z. B. Angriff mittels Verschlüsselungstrojaner, bei dem der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann)
     
  3. Besteht ein hohes Risiko für personenbezogene Daten, so ist dies intern zu dokumentieren und es muss neben einer Meldung an die oder den Landesbeauftragten für Datenschutz auch eine Information an die betroffenen Patientinnen und Patienten erfolgen (bspw. eine unverschlüsselte und auch nicht anderweitig gegen unbefugte Zugriffe geschützte Festplatte mit Patientendaten wird entwendet bzw. geht verloren). Eine solche Meldung sollte in Absprache mit der Landesdatenschutzbehörde erfolgen – siehe letzter Abschnitt "Wann muss die Patientin bzw. der Patient informiert werden?“
     

Wann muss die Patientin bzw. der Patient informiert werden?

Die EU-DSGVO sieht in Art. 34 auch eine Mitteilung der Datenpanne an die durch die Panne betroffenen Patientinnen und Patienten vor. Diese Meldung ist aber nur dann erforderlich, wenn ein hohes Risiko mit der Datenpanne für die betroffenen Patientinnen und Patienten verbunden ist. Eine solche Meldung sollte in Absprache mit der Landesdatenschutzbehörde erfolgen. Nur wenn diese eine Notwendigkeit für die Information der betroffenen Patientinnen und Patienten sieht, muss eine entsprechende Mitteilung versandt werden. Eine Frist gibt es für diese Mitteilung an die Patientinnen und Patienten, anders als bei der Meldung an die Behörde, nicht.

Ein Mustertext für diese Meldung steht ihnen rechts zum Download zur Verfügung.
Alternativ kann eine Datenpanne auch online unter
https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/
gemeldet werden.
 

Zurück zur Übersicht über die EU-DSGVO!

Erstellt von: Kristina Hauf, 12.04.2018

Aktualisiert von: Claudia Richter, 03.07.2023