Meldepflichten nach Art. 33 und 34 DS-GVO

Nach Art. 33 Abs. 1 DS-GVO hat der Verantwortliche nach Bekanntwerden einer Datenschutzverletzung der für ihn zuständigen Aufsichtsbehörde den Verstoß zu melden, es sei denn, dieser führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Es ist im Kreise der staatlichen Datenschutzaufsichtsbehörden in Deutschland unstrittig, dass bei Verstößen gegen den Schutz von Patientendaten regelmäßig ein Risiko im Sinne von Art. 33 Abs. 1 DS-GVO anzunehmen ist. Gründe hierfür sind einerseits der qualifizierte Schutz der Daten nach Art. 9 DS-GVO, andererseits der von der Rechtsordnung garantierte hohe Grad an Vertraulichkeit bei der Datenverarbeitung durch Berufsgeheimnisträger. Dies bedeutet, dass Datenpannen, die in Heilberufspraxen vorgehaltene besonders schutzwürdige personenbezogene Daten im Sinne von Art. 9 DS-GVO betreffen, immer meldepflichtig sind.

Wann liegt eine Datenschutzverletzung vor?

Nach Art. 4 Nr. 12 DS-GVO liegt eine Verletzung des Schutzes personenbezogener Daten vor, wenn diese übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden und dies unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt. Beispiele einer Datenschutzverletzung im ambulanten Heilberufsbereich sind u.a. der Falschversand, die Fehlzuordnung oder eine unbefugte Offenlegung personenbezogener Daten, der Einbruchdiebstahl oder ein Hacking-Angriff auf die Praxissoftware.

Was muss nach Bekanntwerden einer Datenschutzverletzung im Praxisbetrieb getan werden?

Maßgeblich sind die Art. 33 und 34 DS-GVO: 

1. Dokumentationspflicht
   In allen Fällen gilt die Dokumentationspflicht des Art. 33 Abs. 5 DS-GVO: Der Verantwortliche hat die bei ihm erkannten Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit zusammenhängender Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, zu dokumentieren. Ziel ist es, der Aufsichtsbehörde bei Bedarf die Überprüfung der Einhaltung der gesetzlichen Vorgaben zur Meldepflicht zu ermöglichen. Der Dokumentation sollte deshalb zu entnehmen sein, dass und in welcher Weise die nach Art. 33 Abs. 1 DS-GVO durchzuführende Risikoeinschätzung durchgeführt wurde.
    
2. Meldepflicht
   Maßstab für das Bestehen einer Meldepflicht bei einem Datenschutzverstoß ist Art. 33 Abs. 1 DS -GVO. Hiernach ist eine Datenschutzverletzung durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden des Verstoßes der zuständigen Datenschutzaufsicht zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Dies bedeutet, dass in jedem Fall bei einer erkannten Datenschutzverletzung abzuklären ist, ob durch den Verstoß Rechte und Freiheiten der betroffenen Person tatsächlich beeinträchtigt werden könnten und ggf. welche Auswirkungen dies dann haben würde. Wird das Vorliegen eines derartigen Risikos bejaht – was im Falle von Verstößen gegen den Schutz von Gesundheitsdaten regelmäßig anzunehmen ist (s.o.) – greift die gesetzliche Meldepflicht nach Art. 33 Abs. 1 DS-GVO.
   
   Auch im Falle eines Datenschutzverstoßes durch einen beauftragten Dienstleister obliegt die Meldepflicht der Heilberufspraxis als datenschutzrechtlich Verantwortlichem. Dem Dienstleister obliegt es gem. Art 33 Abs. 2 DS-GVO lediglich, die Heilberufspraxis über die Datenschutzverletzung unverzüglich in Kenntnis zu setzen. Diese muss dann den Vorfall der zuständigen Aufsichtsbehörde melden. 
    
3. Unterrichtungspflicht
   Im Fall eines aus dem Datenschutzverstoß festgestellten hohen Risikos für die Rechte und Freiheiten der hiervon betroffenen Personen hat der Verantwortliche nach Art. 34 Abs. 1 DS -GVO diese unverzüglich zu informieren. Ob eine Unterrichtungspflicht besteht, hängt vom Einzelfall ab. Das Vorliegen eines hohen Risikos kann - anders als bei dem bloßen Risiko nach Art. 33 Abs. 1 DS-GVO – nicht in jedem Fall unterstellt werden, wenn die Datenverarbeitung einer Heilberufspraxis betroffen ist. Vielmehr muss im konkreten Fall der Schadenseintritt wahrscheinlich oder der Schaden bereits eingetreten sein. Die lediglich abstrakte Möglichkeit eines Schadens – also im Falle von Heilberufspraxen die unbefugte Offenbarung von Patientendaten gegenüber Dritten – reicht nicht aus. Zudem ist nach den Vorgaben des Art. 34 Abs. 3 DS-GVO unter den dort genannten Voraussetzungen eine Unterrichtung der betroffenen Person entbehrlich.
   
   Der genaue Inhalt der Unterrichtung bestimmt sich nach Art. 34 Abs. 2 i.V.m Art. 33 Abs. 3 DS-GVO. Demnach muss die Benachrichtigung zumindest Folgendes enthalten:
    
   • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
   • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
   • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Risikobeurteilung

Die Risikobeurteilung ist stets Einzelfallbetrachtung. Hierbei gilt es insbesondere die Schwere des möglichen Schadens sowie die mit dem Vorfall einhergehende Eintrittswahrscheinlichkeit zu betrachten. Hilfestellung bei der Beurteilung, ob ein hohes Risiko vorliegt, geben das Kurzpapier Nr. 18 der DSK sowie zwei Leitlinien des Europäischen Datenschutzausschuss aus dem Jahr 2021 und 2022. Erstere enthält viele Praxisbeispiele mit Risikobeurteilungen. 

Wie kann ich eine Meldung beim LfDI einreichen?

Für die Meldung einer Datenschutzverletzung stellt der LfDI ein Online-Formular zur Verfügung, das Sie hier abrufen können. Das Formular enthält dabei sämtliche für eine datenschutzrechtliche Beurteilung des LfDI relevanten Fragestellungen. 

Meldungen können allerdings auch über das Kontaktformular oder postalisch eingereicht werden. 

Was ist nach einer Datenschutzverletzung noch zu tun?

Es sollte seitens der Praxisleitung unter Einbindung des internen Datenschutzmanagements geklärt werden, ob und ggf. welche technischen und organisatorischen Maßnahmen ergriffen werden sollten, die geeignet sind, vergleichbare Vorkommnisse zukünftig zu verhindern.

Welche weiteren Stellen können behilflich sein?

In Fällen eines Cyberangriffs kann die ZAC (Zentrale Ansprechstelle Cybercrime) des Landeskriminalamtes einbezogen werden und erste Hilfestellungen im Umgang mit dem Vorfall geben. Sie erreichen diese unter: 06131 – 65-64760 oder per Mail unter: lka.cybercrime@polizei.rlp.de. 

Check

1. Liegt eine Datenschutzverletzung vor und ggf. wurde der Vorfall einschließlich der vorgenommenen Risikoeinschätzung dokumentiert?
2. Begründet die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten der betroffenen Person?
3. Müssen die betroffenen Personen über den Vorfall unterrichtet werden?
4. Welche technischen und organisatorischen Maßnahmen sind geeignet, um ähnliche Vorkommnisse künftig zu vermeiden?
5. Wurde im Falle eines Hacking-Angriffs die Zentralen Ansprechstelle Cybercrime konsultiert?

• Online-Meldeformular zur Meldung einer Datenschutzverletzung
• DSK Kurzpapier Nr. 18
• EDSA Leitlinie 09/2022
• EDSA Leitlinie 01/2021 mit Praxisbeispielen
• Zentrale Ansprechstelle Cybercrime