müssen
Ein Vorfall in zwei Hamburger Arztpraxen macht deutlich, wie schnell aus einem Einbruch ein datenschutzrechtlicher Ernstfall wird. Nach einem gezielten Diebstahl von Festplatten mit sensiblen Patientendaten musste nicht nur die Polizei informiert, sondern auch der Datenschutzbeauftragte einbezogen werden – und das innerhalb von 72 Stunden. Laut DSGVO sind zusätzlich auch die betroffenen Personen direkt zu informieren, sofern ein ernsthaftes Risiko für ihre Rechte besteht.
Besonders heikel: Obwohl die gestohlenen Datenträger später zurückgegeben wurden, bleibt der Zeitpunkt der Feststellung des Diebstahls entscheidend. Denn ab dann greifen die Melde- und Informationspflichten – unabhängig davon, ob sich später alles aufklärt. Der Bericht der Hamburger Datenschutzbehörde betont, dass selbst laufende Strafverfahren Unternehmen nicht von den DSGVO-Pflichten entbinden.
Interessant ist auch die Diskussion um die Form der Benachrichtigung. In diesem Fall – bei potenziell über 100.000 betroffenen Patient:innen – setzte der Betreiber zunächst auf persönliche Übergabe von Informationsblättern in der Praxis. Das reichte der Behörde allerdings nicht: Ein öffentlicher Hinweis auf der Website musste her. Die postalische Einzelbenachrichtigung blieb aus, weil viele Patient:innen keine digitalen Kontaktdaten hinterlegt hatten – ein Umstand, der bei Onlineunternehmen so kaum vorkäme.
Was bleibt: Wer mit besonders schützenswerten Daten arbeitet, sollte klare Notfallpläne parat haben – inklusive Verschlüsselungstechnologien und realistischen Informationswegen. Denn wenn der Ernstfall eintritt, zählt jede Stunde.
Quelle: www.datenschutz-notizen.de