Der Verlust von Geräten und Datenträgern wie Speicherkarten, USB-Sticks, CDs/DVDs und Festplatten ist von besonderer Bedeutung, wenn auf diesen Geräten Gesundheitsdaten, die ein höheres Missbrauchsrisiko haben, gespeichert sind.
Tagtäglich kommt es vor, dass Patienten beispielsweise von einer Arztpraxis die Zusendung von Unterlagen aus ihrer Patientenakte wünschen. Schnell sind die anforderten Befunde von der Arztpraxis auf einen einfachen USBStick kopiert, in einem Briefumschlag kuvertiert und per Post verschickt. Einige Tage später kommt der Anruf des Patienten, der Briefumschlag sei zwar angekommen, der USB-Stick sei aber nicht enthalten gewesen.
Wenn die auf dem USB-Stick enthaltenen Daten nicht gesichert waren, besteht theoretisch sowohl die Möglichkeit, dass es zu einer Offenlegung der personenbezogenen Daten kommen könnte, als auch, dass Unbefugte Zugang zu den Daten erhalten haben. Da man in diesen Fällen meist nichts Genaues zum Verbleib des USB-Sticks ermitteln kann, wird man diese Gefahr zumindest nicht ausschließen können. Es ist also von einer „Verletzung des Schutzes personenbezogener Daten“ gemäß Art. 4 Nr. 12 DSGVO auszugehen. Gemäß Art. 33 Abs. 1 DSGVO ist der Verantwortliche – hier die Arztpraxis – verpflichtet, unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt geworden ist, diese der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn ihnen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen (vgl. Erwägungsgrund 85 DSGVO).
Zusätzlich sieht Art. 34 DSGVO vor, dass die betroffenen Personen über die Datenpanne zu informieren sind, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Dabei wird bei Schutzverletzungen, die besondere Kategorien personenbezogener Daten nach Art.9 Abs.1 DSGVO (z.B. Gesundheitsdaten) betreffen, in den meisten Fällen von einem voraussichtlich hohen Risiko auszugehen sein, das eine Benachrichtigungspflicht begründet. Kein hohes Risiko bestünde dann, wenn die Daten sicher verschlüsselt worden wären, so dass Unberechtigte auch bei hohem Aufwand die Daten nicht nutzen könnten.
Die Benachrichtigung muss gemäß Art. 34 DSGVO i.V.m. Art. 33 Abs.3 lit.b, c und d DSGVO die folgenden Informationen erhalten: Art der Schutzverletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen sowie Empfehlungen an die betroffenen Personen, wie die nachteiligen Auswirkungen der Schutzverletzung gemindert werden können.
Für den beschriebenen Fall stellt sich außerdem die Frage, ob Daten per USBStick und Briefpost überhaupt unverschlüsselt versendet werden dürfen. Die DSGVO verlangt nach Art. 24, 25 Abs. 1 und 32, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen hat. Dass immer wieder einmal Postsendungen verloren gehen, wird auch in Zukunft nicht auszuschließen sein. Im Unterschied zu einem normalen Brief besteht bei elektronischen Datenträgern, wie z.B. USB-Sticks, jedoch die Möglichkeit, den Inhalt sicher zu verschlüsseln. Mit einer solchen Maßnahme lässt sich auch der Postversand sicherer gestalten. Die Gefahr, dass bei einem Verlust des Datenträgers die enthaltenen Daten Unbefugten zur Kenntnis gelangen können, kann mit dem Einsatz von verschlüsselten Datenträgern deutlich minimiert werden. Ein solcher Schutz ist damit grundsätzlich geboten.
Die gewählte Form der Verschlüsselung muss dabei geeignet sein, die gespeicherten personenbezogenen Daten tatsächlich wirksam vor einem unbefugten Zugriff zu schützen. Sie muss mit einer Verschlüsselungssoftware durchgeführt werden, die einen entsprechend starken Verschlüsselungsalgorithmus, wie z.B. AES-256, unterstützt. Verantwortliche können ihre Suche nach geeigneter Software mit diesem Schlüsselwort zielführend gestalten, wobei verschiedene kommerzielle und frei verfügbare Produkte zur Auswahl stehen, die einzelne Dateien oder ganze Datenträger verschlüsseln können. Die Übermittlung des Passworts zur Entschlüsselung an den Empfänger muss ebenfalls auf sichere Weise erfolgen. Das Passwort darf also nicht etwa im gleichen Umschlag wie das Speichermedium übermittelt werden. Eine Übermittlung auf separatem Weg (z.B. Telefon, verschlüsselte E-Mail, gesonderter Brief mit zeitversetztem Versand) ist zu empfehlen.
Wären auf dem Datenträger die Daten in einer ausreichend, nach Stand der Technik verschlüsselten Form enthalten, könnte sowohl eine Meldung der Datenpanne als auch das Risiko, dass Daten Unbefugten zur Kenntnis gelangen könnten, in vielen Fällen vermieden werden.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks