Datenschutzverletzung: schnelles Handeln angesagt

Der verlorene USB-Stick mit den Personaldaten, der an den falschen Empfänger verschickte Laborbericht oder die Patientenakte, die ein Windstoß durch das offene Fenster auf der Straße verteilt – alles Situationen aus dem Arbeitsalltag und Anlässe, die der Datenschutzaufsicht mitgeteilt wurden.

In solchen Fällen muss die datenschutzrechtlich verantwortliche Stelle entscheiden, ob ein nach § 33 Kirchliches Datenschutzgesetz (KDG) relevanter Vorfall vorliegt. Und diese Entscheidung ist schnell zu treffen, denn das Gesetz sieht eine Meldung des Problems an die Datenschutzaufsicht innerhalb von 72 Stunden nach Kenntnisnahme des/der Verantwortlichen vor.

Nach Paragraph 33 Abs. 1 KDG meldet der/die Verantwortliche der Datenschutzaufsicht unverzüglich die Verletzung des Schutzes personenbezogener Daten unter den dort beschriebenen Voraussetzungen, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt.

Allerdings wird die 72-Stunden-Frist nach § 33 Abs. 1 KDG, in der die Meldung an die Datenschutzaufsicht spätestens erfolgen muss, oft überschritten. Dann aber sieht das Gesetz zwingend eine Begründung für die Überschreitung der Frist vor. Die Anforderungen an diese Begründung sind umso höher, je schwerer die Schutzverletzung wiegt und je härter die möglichen Folgen für die betroffenen Personen sind oder sein können. Es ist in keinem Fall ausreichend, wenn das Überschreiten dieser Frist mit der Unkenntnis der Meldepflicht, dem Urlaub einer zuständigen Person oder gar mit Personalmangel begründet wird. Allein der Umstand, dass eine meldepflichtige Schutzverletzung ohne ausreichende Begründung nicht binnen 72 Stunden angezeigt wird, ist für sich bereits ein Verstoß gegen das KDG. Daher ist es wichtig, dass in den Einrichtungen vorab ein Prozess implementiert wird, wie mögliche Schutzverletzungen erkannt und rechtzeitig gemeldet werden sollen. Somit sollten die Melde- und Benachrichtigungspflichten der §§ 33 und 34 KDG im Datenschutz- und Datensicherheitsmanagement des/der Verantwortlichen verankert sein.

Worst Case: Patientenbericht falsch adressiert

Der Prozess beginnt mit der Feststellung oder dem Verdacht auf einen Datenschutzvorfall. In der Regel sind es die jeweiligen Mitarbeiter(innen) der Einrichtung, die einen solchen Datenschutzvorfall identifizieren oder zumindest einen Verdacht haben. Nach Bekanntwerden ist unverzüglich der/die Verantwortliche hierüber zu informieren.

Der/Die Verantwortliche muss, gegebenenfalls nach Rücksprache mit dem/der betrieblichen Datenschutzbeauftragten, entscheiden, ob eine meldepflichtige Schutzverletzung vorliegt oder nicht. Besteht zudem voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten von Personen, so sind diese ebenfalls zu informieren. Die Anforderungen an die Informationspflicht ergeben sich unmittelbar aus § 34 Abs. 2 KDG. Beispiele der Datenschutzaufsichten bislang gemeldeter Sachverhalte sind etwa die Versendung von Patienteninformationen per Fax, wie Laborberichten oder anderen Untersuchungsergebnissen, an falsche Empfänger(innen). Dies geschieht unter anderem durch eine falsche Eingabe der Empfängernummer. In diesen Fällen sind technische, meistens aber organisatorische Maßnahmen zu ergreifen, damit diese Fehlversendungen nicht mehr vorkommen. Auch sollten die Mitarbeiter(innen) vor allem im Umgang mit Gesundheitsdaten, die zu besonderen Kategorien der personenbezogenen Daten gemäß § 4 Nr. 2 KDG gehören, dahingehend sensibilisiert werden, dass besondere Schutzmaßnahmen notwendig sind. Aber auch der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist in der Praxis ein oft anzutreffendes Problem.

Bei Einbruch droht Datenklau

Ebenfalls gehäuft kommt es vor, dass gerade in Kindertagesstätten oder Bildungseinrichtungen Datenträger gestohlen werden. Auch wenn der Grund des Einbruchs vermeintlich nicht der Zugriff auf die Datenträger und somit auf die darauf befindlichen Dokumente oder Bilder sein mag, liegen die Daten meist in ungesicherter Form vor, so dass die Möglichkeit der Einsichtnahme und der Verbreitung durch Unbefugte einfach ist. Hier ist als notwendige technische Schutzmaßnahme die Verschlüsselung der Daten notwendig und umzusetzen.

Außerdem kam es ebenfalls oft zu Meldungen, die den Zugriff auf personenbezogene Daten betreffen, weil es kein Berechtigungskonzept mit unterschiedlichen Befugnissen für verschiedene Mitarbeitende gibt, die
auf digitale Daten zugreifen können. Dies ist gerade im Gesundheitsbereich ein großes Problem und muss durch das Einrichten von personalisierten Arbeitsplätzen organisiert werden.