\ Zugriff auf alle Patientendaten wird unverschlüsselt durch einen Konfigurationsfehler am Router für Unbefugte möglich gemacht \ Versendung einer E-Mail mit sensiblen Daten an eine falsche E-Mail-Adresse \ Virenbefall durch Trojaner \ Die Mitarbeitenden haben Zugriff auf die Personaldaten der jeweils anderen Mitarbeitenden \ Nutzung der Patientendaten durch den Praxisnachfolger WAS SIND DIE MÖGLICHEN KONSEQUENZEN? Auch wenn die Datenschutzbehörden oftmals kulant sind, können die Konsequenzen, wenn Sie Ihre Pflichten nicht ernst nehmen, höher als erwartet ausfallen. Die DS-GVO (Datenschutzgrundverordnung) stellt die Nichterfüllung Ihrer Meldepflicht gemäß Art. 83 Absatz 4a DS-GVO unter Strafe. Es sind Bußgelder in immenser Höhe von bis zu zehn Millionen Euro möglich oder von bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. Es gibt Fälle, in denen die Datenschutzbehörden diese Sanktionen ausschöpfen und die Strafen bei Verletzung der Meldepflicht auch tatsächlich durchsetzen. So wurden schon bei Falschversand eines Befunds und der verspäteten Meldung bei der Datenschutzbehörde 500 Euro als Bußgeld festgelegt. Die volle Ausschöpfung – orientiert am Jahresumsatz – zeigt sich durch Vorfälle der jüngeren Vergangenheit. Einem Krankenhaus wurde vor Kurzem ein Bußgeld von 50.000 Euro auferlegt, weil eine Mitarbeiterin Gesundheitsdaten dem Ehemann einer Patientin am Telefon offenlegte. Darüber hinaus ist die Geltendmachung von Schadenersatz aus Art. 82 DS-GVO durch die betroffenen Patientinnen und Patienten oder Mitarbeitenden denkbar. Es haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Hier sind Klageverfahren auf Zahlung eines Schadenersatzes gegen die Inhaberinnen und Inhaber einer Praxis als Verantwortliche möglich, deren Zahlen zuletzt immer mehr gestiegen sind. So kann beispielsweise eine Mitarbeitende Ihrer Praxis gegen Sie einen Schadenersatz in Höhe von mehreren hundert bis tausend Euro geltend machen, wenn beispielsweise Daten über deren Herkunft und religiöse Zugehörigkeit aus der Personalakte an Unbefugte offengelegt wurden. WIE SIE IM FALL EINER DATENPANNE KONKRET VORGEHEN MÜSSEN Vorranging sollten Sie, wenn Ihnen ein Fall wie in den Beispielen bekannt wird, als Praxisinhaberin oder -inhaber die Panne pflichtgemäß aufgrund der Risiken für die Betroffenen beurteilen. Denn Sie sind bei allen Datenpannen handlungs-, jedoch nicht immer meldepflichtig. Das Gesetz besagt hierzu Folgendes (Art. 33 DS-GVO): „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und zm112, Nr. 5, 1.3.2022, (391) aera-online.de ... UND DAS IST ERST DER ANFANG! IHRE PREISVERGLEICHS- UND BESTELLPLATTFORM FÜR DENTALPRODUKTE NEUES DESIGN PRAXIS | 21
RkJQdWJsaXNoZXIy MjMxMzg=