Der Schutz von Gesundheitsdaten gehört zu den sensibelsten Bereichen des Datenschutzrechts. Die Vorgaben der Datenschutzgrundverordnung (DSGVO) greifen hier besonders streng, nicht zuletzt, weil medizinische Informationen besonders intime Einblicke in die Privatsphäre einer Person geben. Ein aktueller Fall, den der hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in seinem Tätigkeitsbericht von 2024 schildert, verdeutlicht, welche Pflichten bei einem Diebstahl in der Arztpraxis zu beachten sind. Konkret wurden Festplatten gestohlen, aber der Fall ist auf verschiedene Szenarien übertragbar.
Festplattendiebstahl aus Arztpraxen
Gegenstand des Falles war ein gezielter Einbruch in zwei Arztpraxen desselben Trägers. Der Täter verschaffte sich außerhalb der Öffnungszeiten Zutritt zu den Praxisräumen und entwendete Festplatten mit Patientendaten. Mittlerweile sei der Fall aufgearbeitet und die Festplatten wieder im Besitz der Arztpraxen. Trotzdem nimmt der HmbBfDI den Fall zum Anlass, zu erläutern welche Bedeutung der Datenschutz bei einem Diebstahl in der Arztpraxis haben kann.
Strafrecht vs. Datenschutzrecht
Die strafrechtliche Aufarbeitung des Falls übernahm die Polizei, da laut dem HmbBfDI die strafrechtliche Verfolgung datenschutzrechtlichen Sanktionen vorgeht, wenn eine Straftat möglicherweise begangen wurde. Ein paralleles Ordnungswidrigkeitenverfahren nach der DSGVO sei aufgrund der Gefahr einer Doppelbestrafung nicht möglich. Solange ein polizeiliches oder staatsanwaltliches Ermittlungsverfahren läuft, trete die DSGVO zurück.
Meldepflicht nach Art. 33 DSGVO
Das bedeutet aber nicht, dass sämtliche datenschutzrechtlichen Regeln entfallen. Laut dem HmbBfDI bestand beispielsweise für die betroffenen Praxen die Meldepflicht gegenüber der Datenschutzaufsicht weiter. Nach Art. 33 DSGVO muss nämlich ein Sicherheitsvorfall innerhalb von 72 Stunden gemeldet werden, wenn dabei ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. In einem Diebstahlsfall liegt regelmäßig die Gefahr eines Missbrauchs nahe, weshalb hier eine Meldung auch notwendig war. Ob es anschließend auch zu einem Missbrauch kommt, ist für diese Bewertung nicht relevant.
Die Meldung muss nach Abs. 3 Informationen über die Art der Verletzung enthalten inklusive der kompromittierten Datenkategorien, der geschätzten Zahl der Betroffenen Personen und der Datensätze. Weiterhin sind die Kontaktinformationen des Datenschutzbeauftragten oder anderer Anlaufstellen zu nennen und eine Beschreibung der wahrscheinlichen Folgen aufzulisten. Zuletzt ist auch eine Beschreibung der ergriffenen und zu ergreifenden Maßnahmen notwendig. Bei einer verspäteten Meldung bedarf es außerdem einer Begründung für die Verzögerung. Um die Meldung vorzunehmen, steht auf der Webseite der HmbBfDI ein Meldeformular zur Verfügung.
Informationspflicht gegenüber den Betroffenen
Bei einem hohen Risiko sind zudem nach Art. 34 DSGVO auch Betroffene zu informieren. Wann ein hohes Risiko vorliege, bestimme sich „in der Gesamtschau aus dem möglichen Schaden und dessen Eintrittswahrscheinlichkeit“.
Die Praxisbetreiber entschieden sich zunächst für ein gestaffeltes Vorgehen. Patienten sollten beim nächsten Besuch persönlich informiert werden. Aus Sicht des HmbBfDI reichte dies jedoch nicht aus. Aufgrund der „hohen kriminellen Energie“ und des Umfangs an gestohlenen Daten bestünde ein hohes Risiko. Außerdem könne „nicht davon ausgegangen werden, dass die Mehrzahl der Patient:innen sich kurzfristig in den Praxen persönlich vorstellt“, insbesondere da es sich um eine Facharztpraxis handle. Die Behörde drängte daher auf eine öffentlich zugängliche Information, die die Praxen schließlich in Form ausführlicher Hinweise auf ihren Internetseiten umsetzten.
Die Behörde akzeptierte diese Maßnahme als ausreichende Form der Benachrichtigung im Sinne des Art. 34 Abs. 3 lit. c DSGVO. Hiernach ist eine individuelle Informierung der Betroffenen nicht erforderlich, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre und stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme, durch die die betroffenen Personen vergleichbar wirksam informiert werden können, erfolgt ist. Der HmbBfDI wies allerdings darauf hin, dass es sich dabei um eine eng auszulegende Ausnahme handle. Ein entscheidender Faktor sei hier die hohe sechsstellige Zahl betroffener Patienten gewesen, für die in den allermeisten Fällen keine aktuelle elektronischen Kontaktoption vorlag. Er weist auch darauf hin, dass dies bei Unternehmen, deren „Geschäftszweck die intensive Verarbeitung personenbezogener Daten ist“ oder bei Großkonzernen schnell anders zu bewerten sein kann.
Übertragbarkeit auf andere Vorfälle in Arztpraxen
Der geschilderte Vorfall bietet Anknüpfungspunkte für eine Reihe weiterer Datenschutzrisiken, mit denen medizinische Einrichtungen konfrontiert sein können. Dazu zählt beispielsweise der Verlust von mobilen Datenträgern wie USB-Sticks oder Laptops mit Patientendaten. Auch das irrtümliche Versenden von Befunden an falsche Empfänger, etwa durch Fax oder E-Mail, kann meldepflichtig sein, wenn der Inhalt Rückschlüsse auf die Gesundheit zulässt. Selbst Akten, die versehentlich im Wartebereich liegen bleiben, können je nach Inhalt und Zugriffsmöglichkeit ein Risiko im Sinne der DSGVO darstellen. Hinzu kommen auch neue Sicherheitsrisiken, die mit der Einführung der elektronischen Patientenakte einhergehen.
In all diesen Fällen ist eine sorgfältige Risikobewertung erforderlich. Entscheidend ist nicht, ob schlussendlich tatsächlich ein Risiko für die Rechte der betroffenen Personen bestand, sondern ob im Zeitpunkt der Erkenntniserlangung über die unbefugte Datenweitergabe, ein solches Risiko zu erwarten war. Ist das der Fall, müssen sowohl die Behörde als auch die Betroffenen unverzüglich informiert werden. Die Form der Information richtet sich dabei nach den Umständen des Einzelfalls. Ein pauschaler Verweis auf organisatorische Maßnahmen genügt häufig nicht.
Fazit
Der Fall macht deutlich, dass Datenschutz bei einem Diebstahl in der Arztpraxis einen hohen Stellenwert haben sollte. Hier gibt es in der Regel keinen Spielraum für Improvisation gibt. Eine transparente, schnelle und risikoorientierte Kommunikation mit Aufsichtsbehörde und Patienten ist nicht nur gesetzlich geboten, sondern schützt auch vor Reputationsschäden. Gleichzeitig zeigt der Fall, dass Behörden wie der HmbBfDI bereit sind, praktikable Lösungen zu akzeptieren, sofern sie sich an der rechtlichen Risikobewertung orientieren. Bei der Ausarbeitung eines entsprechenden Datenschutzkonzepts für Ihre Gesundheitseinrichtung stehen wir Ihnen als Externe Datenschutzbeauftragte gerne zur Seite.
