Logo km
Logo ak
Logo kf

Datenschutzvorfall durch menschliches Versagen: Beispiel und Vorgehen

Erscheinungsdatum: 04.11.2024

Der Prozess zur Erfassung und Abwicklung von Datenschutzvorfällen ist ein fester Bestandteil des Qualitätsmanagementsystems einer jeden Einrichtung. Dieser Prozess stellt sicher, dass Datenpannen ordnungsgemäß dokumentiert und gemeldet werden. Gemäß § 33 DSGVO müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntniserlangung an die zuständige Datenschutzbehörde gemeldet werden, wenn ein hohes Risiko für die Rechte der betroffenen Personen besteht.

Besonders sensible Daten, wie Gesundheits- oder biometrische Daten, die gemäß § 9 DSGVO als „besondere Kategorien personenbezogener Daten“ gelten, erfordern eine spezielle Beachtung. Ein hohes Risiko liegt in der Regel vor, wenn solche Daten unbefugt offengelegt werden. In diesem Fall besteht eine Meldepflicht und dann auch eine Benachrichtigungspflicht gegenüber den betroffenen Personen (§ 34 DSGVO).

Im Rahmen des Qualitätsmanagements muss die Risikobewertung strukturiert und nachvollziehbar für Dritte sein sowie klar dokumentiert werden. Der Datenschutzbeauftragte spielt eine beratende Rolle, während die endgültige Verantwortung für die Bewertung des Risikos und die Einleitung der notwendigen Schritte bei den Verantwortlichen der Einrichtung liegt (§ 24 DSGVO). Zudem sollten alle Vorfälle, auch solche ohne Meldepflicht, in das Qualitätsmanagementsystem integriert werden, um kontinuierlich Verbesserungen zu erreichen und zukünftige Datenschutzverletzungen zu verhindern.

Datenpannen passieren nicht nur durch technische Fehler oder Hackerangriffe – häufig ist es auch menschliches Versagen, das zum unbeabsichtigten Verlust oder zur Offenlegung sensibler Daten führt. Ein aktuelles Beispiel zeigt, wie leicht eine solche Panne im medizinischen Bereich geschehen kann:

Wir haben eine Meldung über eine Datenpanne mit einer Patientenverwechslung erhalten. Uns wurde gemeldet, dass einem Patienten ein Arztbrief gesendet wurde, der versehentlich einen Laborbericht mit personenbezogenen Daten eines anderen Patienten enthielt. Diese sensiblen, medizinischen Informationen gemäß § 9 DSGVO wurden somit an eine unbefugte Person weitergeleitet – ein klarer Verstoß gegen den Datenschutz, verbunden mit einem hohen Risiko zur etwaigen Rechteverletzung der betroffenen Person. Solche Pannen passieren häufig durch menschliche Fehler und zeigen, wie empfindlich der Umgang mit personenbezogenen Daten im Gesundheitswesen ist.

Solche Fehler können schwerwiegende Folgen haben. Nicht nur wird das Vertrauen der Patienten in den sorgsamen Umgang mit ihren Daten erschüttert, sondern auch rechtliche Konsequenzen drohen, insbesondere durch die Datenschutz-Grundverordnung (DSGVO).

Was passiert in solchen Fällen, und welche Maßnahmen müssen ergriffen werden, um den Schaden zu begrenzen und ähnliche Vorfälle in Zukunft zu verhindern?

Wie sehen die weiteren Prozessschritte aus?

Prozessschritte:

  • Meldung der Datenpanne an den Datenschutzbeauftragten.
  • Durchführung der Bewertung zur Risikoabschätzung etwaiger Rechteverletzungen der Betroffenen
  • Prüfung der Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO).
  • Vollständige Dokumentation des Vorfalls.
  • Information der betroffenen Person(en) (falls erforderlich).
  • Ableitung und Umsetzung von Maßnahmen zur Vermeidung weiterer Vorfälle.

In diesem Fall wurde die Datenpanne innerhalb der nächsten 72 h durch den Verantwortlichen umgehend an den Datenschutzbeauftragten gemeldet und die Meldepflicht an die Aufsichtsbehörde gemäß Art. 33 DSGVO geprüft und umgesetzt, da es sich um sensible Gesundheitsdaten gemäß § 9 DSGVO handelte. Die betroffene Person wurden informiert, da sensible personenbezogene Daten einer unbefugten dritten Person zur Kenntnis gelangten.

Welche Maßnahmen sollten aus dem Vorfall abgeleitet werden?

Maßnahmen:

  • Schulung der Mitarbeitenden im Umgang mit sensiblen Daten.
  • Ggfls. Einführung von Kontrollmechanismen beim Versand von Patientendaten.
  • Technische Lösungen zur sicheren Datenverarbeitung.
  • Verbesserung von Zugriffs- und Berechtigungskontrollen.
  • Regelmäßige Überprüfung des Datenschutz-Managementsystems

In diesem Fall wurden als Maßnahmen zur Vermeidung weiterer Fehler eine ausführliche Dokumentation des Vorfalls sowie eine gezielte Mitarbeiterschulung zum korrekten Umgang mit sensiblen Daten durchgeführt. Dabei wurde insbesondere dieses konkrete Beispiel zur Sensibilisierung herangezogen, um die Achtsamkeit und Sorgfalt im Umgang mit personenbezogenen Informationen zu erhöhen.

Unsere Ausbildung zum Datenschutzbeauftragten bietet Ihnen die Möglichkeit, die korrekte Handhabung und Weitergabe von Daten, die Dokumentation von Datenschutzmaßnahmen in Gesundheit und Pflege, den Umgang mit Datenpannen sowie die Einordnung aktueller Themen, wie beispielsweise die datenschutzseitige Handhabung der elektronischen Patientenakte, Corona-Schutzmaßnahmen, elektronische Einbestellung und Datenschutzerklärungen für Patientinnen und Patienten zu erlernen.

Autorin: Gerda Reshetnykov