In dem vor  kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen.

Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die Praxen gezielt außerhalb der Geschäftszeiten unberechtigt betreten und die Festplatten ausgebaut bzw. entwendet haben. Der Betreiber der Arztpraxen hatte daraufhin Anzeige bei der Polizei erstattet und den Vorfall auch bei der zuständigen Hamburger Aufsichtsbehörde gemeldet. Neben der Meldung innerhalb der vorgesehenen Frist von 72 Stunden (gem. Art. 33 Abs. 1 DSGVO) war angesichts der betroffenen Personen (Patient:innen) auch noch von einer unverzüglichen Benachrichtigungspflicht gem. Art. 34 Abs. 1 DSGVO auszugehen. Auch wenn der Fall später aufgeklärt und die Festplatten wieder zurückgegeben worden sind, griffen zum Zeitpunkt der Feststellung des „Diebstahls“ diese datenschutzrechtlichen Pflichten aus Art. 33 und 34 DSGVO, wie der HmbBfDI  im Tätigkeitsbericht feststellte.

Gleichwohl lassen sich diesen Ausführungen der Aufsichtsbehörde noch ein paar erwähnenswerte Gedanken entnehmen.

Viele hilfreiche Hinweise

Zum einen wird das sog. Verbot der „Doppelbestrafung“ angesprochen, wonach dieselbe Tathandlung nur einmal sanktioniert werden könne:

„Die möglichen Ordnungswidrigkeitstatbestände der DSGVO treten dann hinter den Tatbeständen des Strafgesetzbuchs zurück, solange ein polizeiliches bzw. staatsanwaltschaftliches Ermittlungsverfahren läuft.“

Doch die Meldepflicht aus Art. 33 Abs. 1 DSGVO bestehe ungeachtet dessen weiterhin.

Obgleich es an weiteren Details zum Diebstahl der Festplatten fehlt, z.B. inwiefern diese verschlüsselt waren, wurde hier eine Meldepflicht angenommen. Denn zum Zeitpunkt der Feststellung des offenbar gezielten Diebstahls der Festplatten war vom Missbrauch der Daten auszugehen:

„Da die Motivation des Täters zunächst völlig unklar war, er jedoch gezielt die Datenspeicher entfernt hat, musste von einem Missbrauchsrisiko ausgegangen werden.“

Ferner war zu diskutieren, wie eine angemessene Benachrichtigung der betroffenen Personen (Patient:innen der Praxen) im Sinne von Art. 34 DSGVO erfolgen könnte. Denn grundsätzlich sollten die betroffenen Personen unverzüglich von dem Vorfall, beispielsweise auch zu den wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und den ergriffenen Abhilfemaßnahmen benachrichtigt werden. Diese Benachrichtigung ist auch in klarer und einfacherer Sprache zu formulieren.

Die DSGVO sieht in Art. 34 Abs. 3 allerdings gewisse Ausnahmen von dieser Benachrichtigungspflicht bei hohem Risiko vor, die im Einzelfall zu prüfen und zu begründen wären. Oftmals wird hier der „unverhältnismäßige Aufwand“ der (direkten) Benachrichtigung der betroffenen Personen als Ausnahme herangezogen.

Im Fall der zwei Arztpraxen soll theoretisch eine sechsstellige Anzahl an Patient:innen betroffen gewesen sein, weswegen der Betreiber diese Information zunächst „nur“ durch direkte Aushändigung eines Informationsschreibens beim nächsten Besuch vor Ort anstrebte. Dies reichte der Hamburger Aufsichtsbehörde jedoch – aus nachvollziehbaren Gründen – nicht aus und sie führte hierzu aus:

„Dem HmbBfDI reichte diese sukzessive Information jedoch nicht aus. Es kann nicht davon ausgegangen werden, dass die Mehrzahl der Patient:innen sich kurzfristig in den Praxen persönlich vorstellt, zumal in den Einrichtungen auch spezialisiertes fachärztliches Personal tätig ist. Er hat daher nachdrücklich auf eine öffentliche Information hingewirkt. In der Folge haben die beiden Praxen ausführliche und adressatengerechte Informationstexte an zentraler Stelle ihrer Internetseiten veröffentlicht.“

Allerdings bestätigte die Datenschutzaufsichtsbehörde hiermit auch diesen pragmatischen Ansatz der Information über die Webseite, womit natürlich auch nicht alle betroffene Personen erreicht werden dürften; denn nicht alle (gegebenenfalls über hunderttausende) von ihnen werden in diesem gewissen (vorübergehenden) Zeitraum auf die Webseite der Praxis gegangen sein. Obwohl hier mit den Daten der betroffenen Personen (Patient:innen) grundsätzlich äußerst sensible Daten betroffen waren, bestand die Behörde nicht auf die direkte, postalische Benachrichtigung aller Patient:innen. Dies überrascht.

Hätten hingegen elektronische Kontaktmöglichkeiten bestanden (wie z.B. die E-Mail-Adresse), wie es bei Daten von Kund:innen aus Onlineshops regelmäßig anzunehmen sein dürfte, wäre eine andere Form der Benachrichtigung angebracht gewesen.

Die Ausführungen der Behörde erscheinen diesbezüglich aber hier etwas widersprüchlich zu sein:

„Ein gewichtiges Argument war dabei die sechsstellige Anzahl an Patient:innen, für die in der Regel keine elektronische Kontaktmöglichkeit vorgelegen hat. Der HmbBfDI hat zudem die Tatsache, dass es sich um Arztpraxen handelte, in die Abwägung einbezogen. Wäre beispielsweise ein Unternehmen betroffen gewesen, dessen Geschäftszweck die intensive Verarbeitung personenbezogener Daten ist, wäre die ggf. postalische Einzelbenachrichtigung notwendig gewesen. Dasselbe würde in der Regel für Großunternehmen gelten, von denen ein erhöhter Grad an Professionalität und Compliance zu erwarten ist.“

Fazit

Insgesamt verdeutlicht der Fall, welche raschen Maßnahmen ein Verantwortlicher zu prüfen und umzusetzen hat, der Opfer von Einbruch oder Datendiebstahl geworden ist. Entscheidend ist hierbei der Zeitpunkt der Feststellung des Vorfalls. Im Hinblick auf die etwaige Benachrichtigung der betroffenen Personen der Datenschutzverletzung gem. Art. 34 DSGVO sollte ein angemessenes, aber auch gut begründetes Konzept gewählt werden. Ein auf der Webseite veröffentlichter, auffälliger Hinweis auf den Vorfall mit verständlichen, adressatengerechten Informationen erscheint grundsätzlich ein geeigneter Weg, wenngleich die direkte und nachweisbare Ansprache z.B. mittels Briefpost oder E-Mail bei intensiven/sensiblen Datenverarbeitungsvorgängen nach wie vor vorzuziehen ist. Zur Minimierung von Risiken empfiehlt sich der Einsatz strenger Sicherheitsvorkehrungen und verschlüsselter Datenträger.