Kapitel 6 - Meldepflicht bei Datenschutzpannen

Welche Meldepflichten hat die Praxis?

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) sieht in Art. 33 vor, dass Datenpannen, die mit einem Risiko für die betroffenen Patienten einhergehen (z. B. durch Diebstahl von Computern oder Datensicherungen und Hackerangriffe auf Praxiscomputer zu melden sind.


Wer muss die Information über Datenschutzpannen erhalten?

Datenschutzpannen sind der zuständigen Landesdatenschutzbehörde

 

Landesbeauftragten für den Datenschutz
und die Informationsfreiheit Baden-Württemberg
Königstraße 10 a
70173 Stuttgart

 

in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, ab dem die Praxis Kenntnis von der Panne erlangt hat, zu melden.

 

Bei der Meldung ist nach folgendem Risikoraster vorzugehen:

  1. Besteht nur ein geringes Risiko für personenbezogene Daten, so ist nur eine interne Dokumentation nötig (bspw. eine gestohlene Festplatte ist physisch und kryptografisch gegen unbefugten Zugriff gesichert)

  2. Besteht ein mittleres Risiko für personenbezogene Daten, so ist dies intern zu dokumentieren und es muss eine Meldung an den Landesbeauftragten für Datenschutz erfolgen (z. B. Angriff mittels Verschlüsselungstrojaner, bei dem der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann)

  3. Besteht ein hohes Risiko für personenbezogene Daten, so ist dies intern zu dokumentieren und es muss neben einer Meldung an den Landesbeauftragten für Datenschutz auch eine Information an die betroffenen Patienten erfolgen (bspw. eine unverschlüsselte und auch nicht anderweitig gegen unbefugte Zugriffe geschützte Festplatte mit Patientendaten wird entwendet bzw. geht verloren). Eine solche Meldung sollte in Absprache mit der Landesdatenschutzbehörde erfolgen – siehe letzter Abschnitt "Wann muss der Patient informiert werden?“

 

Wann muss der Patient informiert werden?

Die EU-DSGVO sieht in Art. 34 auch eine Mitteilung der Datenpanne an die durch die Panne betroffenen Patienten vor. Diese Meldung ist aber nur dann erforderlich, wenn ein hohes Risiko mit der Datenpanne für die betroffenen Patienten verbunden ist. Eine solche Meldung sollte in Absprache mit der Landesdatenschutzbehörde erfolgen. Nur wenn diese eine Notwendigkeit für die Information der betroffenen Patienten sieht, muss eine entsprechende Mitteilung versandt werden. Eine Frist gibt es für diese Mitteilung an die Patienten, anders als bei der Meldung an die Behörde, nicht.

Ein Mustertext für diese Meldung steht ihnen rechts zum Download zur Verfügung.
Alternativ kann eine Datenpanne auch online unter
https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/
gemeldet werden.

 

Zurück zur Übersicht über die EU-DSGVO!

 

 

 

Erstellt von: Kristina Hauf, 12.04.2018

Aktualisiert von: Andrea Mader, 14.03.2019