zm112, Nr. 5, 1.3.2022, (392) möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Eine Meldepflicht besteht damit erst, wenn im Wege einer Risikobewertung Gefahren und Einbußen für die Rechte und Freiheiten natürlicher Personen gesehen werden. Diese Bewertung können Sie selbst vornehmen, sie sollte aber im Zweifel durch Datenschutzbeauftragte Ihrer Praxis oder durch externe Experten, Anwälte oder Anwältinnen erfolgen. Die Meldung muss dann innerhalb von spätestens 72 Stunden bei der zuständigen Datenschutzbehörde Ihres Bundeslandes geschehen. Hier gibt es entsprechende Online-Formulare, die alles Wichtige abfragen. Folgende Schritte sollten Sie demnach im Fall einer Datenpanne durchlaufen: 1. Bereiten Sie den Sachverhalt der Datenpanne gewissenhaft und selbstkritisch auf Prüfen Sie, wer betroffen ist und erstellen Sie eine Liste der Datensätze, die offengelegt wurden. Stellen Sie fest, wo der Fehler lag. 2. Stellen Sie eine erste eigene Risikoabschätzung an Der Maßstab ist immer, ob ein Risiko für Rechte und Freiheiten der Betroffenen besteht. Das ist der Fall, wenn die Datenpanne etwa zu einer Rufschädigung, zu Identitätsdiebstahl oder zu einem Verlust der Vertraulichkeit des ärztlichen Berufsgeheimnisses führt oder führen kann. Wenn zum Beispiel ein PDF per Mail an einen falschen Adressaten versendet wurde, hier aber noch ein Passwort notwendig wäre, um dieses zu öffnen, dann kann Ihre Risikoabschätzung zu dem Ergebnis kommen, dass keine Gefahr für Rechte und Freiheiten der betroffenen Person besteht – und damit auch keine Meldepflicht. 3. Holen Sie bei der Risikoabschätzung gegebenenfalls Expertinnen oder Experten hinzu 4. Melden Sie die Datenpanne gegebenenfalls bei der zuständigen Datenschutzbehörde Hierfür stehen Online-Formulare auf den entsprechenden Webseiten der für Ihr Bundesland zuständigen Datenschutzbehörde bereit. Zu Beweiszwecken sollten Sie die Meldung ausreichend dokumentieren. Folgendes sollte -jede Meldung beinhalten: \ Art der Datenpanne: Was genau ist passiert? \ Die ungefähre Anzahl der Datensätze \ Welcher Personenkreis ist betroffen? (Mitarbeitende oder Patientinnen/Patienten? Wie viele Personen?) \ Eine Beschreibung der bereits ergriffenen Maßnahmen 5. Teilen Sie gegebenenfalls den Betroffenen die relevanten Informationen zur Datenpanne mit Dies wird eher selten erforderlich. Die Mitteilung an Betroffene muss oft nur nach Aufforderung der zuständigen Datenschutzbehörde erfolgen oder wenn ein erhöhtes Risiko für die Freiheit und die Rechte der Betroffenen besteht. Ein „erhöhtes Risiko“ für die Betroffenen liegt vor, wenn ein Schaden besonders schwer wiegt und wahrscheinlich eintreten wird. Hier kann auch die Datenschutzbehörde helfen bei der Einordnung, wenn Sie die Panne dort melden. 6. Lernen Sie für die Zukunft Klären Sie Ihre Mitarbeitenden auf und beseitigen Sie die Umstände, die zur Datenpanne geführt haben. FAZIT Im Zweifel sollten Sie jede Datenpanne an die entsprechende Aufsichtsbehörde melden. Denn es macht für Sie im Fall eines unerkannt eklatanten Verstoßes einen Unterschied, ob Sie einen Verstoß selbst gemeldet haben oder dies durch die Betroffenen erfolgt ist. Dies ist vor allem wichtig, da Sie es im Berufsalltag mit Gesundheitsdaten, die besonders sensibel sind, zu tun haben und diese gesetzlich besonders geschützt sind. Damit können die Konsequenzen grundsätzlich härter ausfallen. Im Rahmen einer durchdachten Praxisorganisation muss also auch immer die Beschäftigung mit den erforderlichen Handlungen bei Datenpannen erfolgen. \ REBECCA RICHTER DUNKEL RICHTER Rechtsanwältinnen Mühsamstr. 34, 10249 Berlin richter@dunkelrichter.de Foto: Arik Bauriedl Foto: AdobeStock_rdnzl 22 | PRAXIS
RkJQdWJsaXNoZXIy MjMxMzg=