Während der Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) hat u.a. ein Workshop zum Thema Datenpannen stattgefunden. Der Referent, Herr Behrendt, zeigte zehn kurze Fallbeispiele und fragte, ob dieser Sachverhalt jeweils eine an die Aufsichtsbehörde meldepflichtige Datenpanne sei oder nicht. Zum Beispiel: „Übersendung eines Arztbriefes an einen anderen Arzt ohne Einwilligung des Patienten“. Seine Meinung war zu jedem Beispiel: „Es kommt drauf an“. Allerdings saßen im Publikum mehr als 50 betriebliche Datenschutzbeauftragte. Von ihnen hatten viele zu jedem Fallbeispiel eine klare Meinung, dass „so etwas“ in jedem Fall eine meldepflichtige Datenpanne sei, oder: auf gar keinen Fall.

Tatsächlich ist es keineswegs einfach, festzustellen, ob eine meldepflichtige Datenpanne vorliegt oder nicht. Der Profi legt sich nicht voreilig fest. Entscheidend ist nach Art. 33 Abs. 1 DSGVO nicht nur, ob eine (in Art. 4 Nr. 12 DSGVO definierte) Verletzung des Schutzes personenbezogener Daten vorliegt, sondern auch, ob sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Schwierigkeit besteht nicht für Auftragsverarbeiter. Für sie besteht die Meldepflicht allein bei Verletzung des Datenschutzes – und das „unverzüglich“ – Meldung aber lediglich bei dem Verantwortlichen. Der Verantwortliche hat das Risiko festzustellen und zu bewerten, und meldet ggf. der Aufsichtsbehörde.

Auch ein „Virenbefall durch Kryptotrojaner mit Verschlüsselung der Kundendaten“ muss keine meldepflichtige Datenpanne sein, wenn der Verantwortliche schon nach einer Stunde ein Backup eingespielt hat, und in der Zwischenzeit nichts Böses passieren kann. Zum Beispiel, weil die Verschlüsselung nachts passierte, und nachts keine Kunden anrufen. Oder: Wenn für Personaldaten eine Zugriffsmöglichkeit für Unbefugte bestand, liegt keine meldepflichtige Datenpanne vor, wenn der Verantwortliche feststellt, dass die Zugriffsmöglichkeit tatsächlich von niemandem genutzt wurde und jetzt beendet ist.

So wichtig  es ist, die Meldepflicht von 72 Stunden zu berechnen – die Frist beginnt erst zu laufen, wenn der Verantwortliche weiß, dass die Meldepflicht besteht. Man muss und darf sich einige Stunden Zeit nehmen, um den Sachverhalt gründlich zu untersuchen, ohne wegen der 72-Stunden-Frist ständig auf die Uhr zu sehen. Nach einer angemessenen Untersuchungsfrist muss man, wenn man die Risiken nicht ausschließen kann, von einer Meldepflicht ausgehen, und ggf. gemäß Art. 33 Abs. 4 DSGVO der Aufsichtsbehörde weitere Informationen schrittweise zur Verfügung stellen.

Sendung von Befunden oder Arztbriefen an den falschen Arzt

Von allen Aufregern der größte war der Fall der Versendung von Befundberichten aus einer Arztpraxis oder einem Labor an einen anderen Arzt, als an den, für den der Befund bestimmt war. Ein solcher Vorfall ist im hektischen Alltag in Arztpraxen oder Laboren Alltag. Viele betriebliche Datenschutzbeauftragte mussten das schon einmal beurteilen. Sie glaubten die Lösung sicher zu wissen: keine Meldepflicht. Begründung: Der „falsche“ Arzt ist auch in Bezug auf die irrtümlich übersandten Patientendaten an seine ärztliche Schweigepflicht gebunden. Daher bestehe kein relevantes Risiko für die Betroffenen.

Der Referent wandte ein: dem Patienten könnte es durchaus darum gehen, dass gerade dieser Arzt diese Diagnose nicht erfahren darf. Zum Beispiel, weil er ein Nachbar des Patienten ist. Auch hier gelte also: erst den Sachverhalt richtig ermitteln.