18.06.2025

Diebstahl in der Arztpraxis

Datenschutz bei Diebstahl in der Arztpraxis

Der Schutz von Gesundheitsdaten ist ein besonders sensibler Bereich des Datenschutzrechts. Die Datenschutz-Grundverordnung (DSGVO) stellt hier hohe Anforderungen. Ein Fall aus dem Tätigkeitsbericht 2024 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verdeutlicht, welche Maßnahmen bei einem Diebstahl in einer Arztpraxis notwendig sind.

Der Vorfall

In zwei Arztpraxen desselben Trägers wurden bei einem Einbruch Festplatten mit Patientendaten gestohlen. Die Täter verschafften sich außerhalb der Öffnungszeiten Zugang zu den Praxisräumen. Die gestohlenen Datenträger wurden später sichergestellt. Der Vorfall zeigt, dass Arztpraxen bei einem solchen Ereignis nicht nur strafrechtlich, sondern auch datenschutzrechtlich handeln müssen.

Zuständigkeiten: Polizei und Datenschutzaufsicht

Die strafrechtliche Verfolgung übernahm die Polizei. Solange ein strafrechtliches Ermittlungsverfahren läuft, ruht ein datenschutzrechtliches Ordnungswidrigkeitenverfahren wegen des Grundsatzes „ne bis in idem“ (keine Doppelbestrafung). Trotzdem bleiben datenschutzrechtliche Pflichten bestehen.

Meldepflicht nach Art. 33 DSGVO

Ein Sicherheitsvorfall wie ein Diebstahl ist der Datenschutzaufsicht binnen 72 Stunden zu melden, wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Ob ein Missbrauch tatsächlich erfolgt, ist für die Meldepflicht unerheblich.

Die Meldung muss folgende Informationen enthalten:

Art der Verletzung
Betroffene Datenkategorien und -mengen
Zahl betroffener Personen
Kontaktdaten des Datenschutzbeauftragten
Mögliche Folgen
Ergriffene und geplante Maßnahmen

Bei verspäteter Meldung ist die Verzögerung zu begründen. Die Behörde stellt dafür ein Online-Meldeformular bereit.

Informationspflicht nach Art. 34 DSGVO

Bei hohem Risiko müssen auch die betroffenen Personen informiert werden. Im vorliegenden Fall wollten die Praxen zunächst nur bei einem Folgetermin informieren. Das reichte aus Sicht der Aufsicht nicht aus. Wegen des Umfangs der gestohlenen Daten und der „hohen kriminellen Energie“ war ein hohes Risiko gegeben.

Da viele Patienten nicht zeitnah in die Praxis kommen würden, forderte der HmbBfDI eine öffentlich zugängliche Information. Die Praxen setzten dies über Hinweise auf ihrer Webseite um. Die Behörde akzeptierte diese Maßnahme, da eine individuelle Benachrichtigung bei einer sechsstellig hohen Zahl von Betroffenen mit unverhältnismäßigem Aufwand verbunden gewesen wäre. Sie betonte aber, dass es sich um eine eng auszulegende Ausnahme handelt. Bei datengetriebenen Unternehmen oder Konzernen kann die Bewertung anders ausfallen.

Übertragbarkeit auf andere Vorfälle

Der Fall zeigt, wie bei ähnlichen Datenschutzvorfällen in medizinischen Einrichtungen zu verfahren ist. Dazu zählen etwa:

Verlust von USB-Sticks oder Laptops
Fehlversand von Befunden per E-Mail oder Fax
Offen zugängliche Akten im Wartezimmer
Sicherheitslücken bei der elektronischen Patientenakte

In allen Fällen ist eine Risikobewertung entscheidend. Maßgeblich ist das Risiko im Zeitpunkt der Kenntniserlangung. Besteht ein solches Risiko, müssen Behörden und Betroffene unverzüglich informiert werden. Die Form der Benachrichtigung hängt vom Einzelfall ab.

Der Fall zeigt, wie wichtig ein strukturierter Umgang mit Datenschutzvorfällen in Arztpraxen ist. Es braucht klare Prozesse, schnelle Reaktionen und eine offene Kommunikation mit der Aufsicht und den Betroffenen. Behörden sind bereit, praktikable Lösungen zu akzeptieren, solange diese sich am Risiko und an den gesetzlichen Vorgaben orientieren. Improvisation ist fehl am Platz.

Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks