Datenpanne: Poliklinik in Griechenland verliert Patientendaten

Aufgrund der Tatsache, dass Gesundheitsdaten besonders sensible Daten sind und somit umfassend geschützt werden müssen, spielt der Datenschutz gerade im Gesundheitsbereich eine zentrale Rolle. Im folgenden Artikel erläutern wir Ihnen die wichtigsten Punkte zum Thema Datenschutz und Datenverarbeitung im Gesundheitswesen.

Durch die Verarbeitung von besonders sensiblen Daten spielt der Datenschutz im Gesundheitswesen eine essenzielle Rolle. | Bildquelle: Have a nice day-stock.adobe.com | DATEI NR.: 533508922

Was sind Gesundheitsdaten?

Der Datenschutz umfasst mehrere Branchen, jedoch liegt ein wichtiger Schwerpunkt des Datenschutzes im Gesundheitswesen. Informationen über den Gesundheitszustand einer Person sind Gesundheitsdaten und stellen daher eine besondere Art von personenbezogenen Daten dar. Unter Gesundheitsdaten fallen beispielsweise Diagnosen, medizinische Befunde, Laboruntersuchungen oder auch der Gesundheitsstatus/-zustand des Patienten. Datenpannen, die insbesondere den Verlust von personenbezogenen Daten betreffen, häufen sich in letzter Zeit.

Datenpanne in griechischer Poliklinik

Erst vor kurzem ereignete sich eine Datenpanne in Griechenland. So fehlten beispielsweise entsprechende Patientendaten, die durch die Klinik zuvor erhoben und digital hinterlegt worden sind. Die Klinik meldete die Datenpanne zudem den entsprechenden Aufsichtsbehörden nicht innerhalb der vorgesehenen 72 Stundenfrist, sodass die Behörden gegen die Poliklinik ein Bußgeld in Höhe von 30.000 € verhängten.

Die Datenschutzpanne einer griechischen Klinik verdeutlicht die Auswirkungen von fehlenden Sicherheitsmaßnahmen im Gesundheitswesen. | Bildquelle: irishmaster-stock.adobe.com | DATEI NR.: 206661035

Der ganze Sachverhalt kam zum Vorschein, als ein griechischer Patient gegenüber einem Diagnosezentrum einer Poliklinik von seinem Auskunftsrecht gem. Art. 15 DSGVO Gebrauch machte. Die Poliklinik erteilt dem Patienten allerdings die entsprechende Auskunft über seine hinterlegten Daten nicht. Daraufhin beschwerte sich der Patient bei der zuständigen Aufsichtsbehörde. Im Untersuchungsverfahren stellte sich heraus, dass das Diagnosezentrum über keine ausreichenden technischen und organisatorischen Maßnahmen (TOM) verfügte. Durch diesen Umstand konnte kein angemessenes Schutz- und Sicherheitsniveau i.S.d Art. 32 DSGVO bzgl. der personenbezogenen Daten gewährleistet werden.

Versäumung der Meldepflicht nach der Datenpanne

Laut den Aufsichtsbehörden wurde durch die fehlende Speichermöglichkeit gegen den Grundsatz der Verfügbarkeit von Daten i.S.d. Art. 32 Abs. 1 lit. C DSGVO verstoßen. Dementsprechend sahen sich die Aufsichtsbehörden gezwungen, den Vorfall zugleich als Verstoß gegen Art. 33 DSGVO zu werten.

Begründet wurde dieses Vorgehen damit, dass das Diagnosezentrum und damit letztlich die Polyklinik Ihrer Meldepflicht nicht nachgekommen sei. Das Diagnosezentrum bzw. die Poliklinik wäre dazu angehalten gewesen, eine Datenpanne innerhalb von 72 Stunden an die entsprechende Aufsichtsbehörde zu melden. Dies ist nachweislich nicht geschehen. Daher verhängten die Behörden mit dieser Begründung gegen die Poliklinik ein Bußgeld in Höhe von 30.000 €.

Dieser Fall verdeutlicht noch einmal, wie wichtig die richtige Aufbewahrung von personenbezogenen Daten, Sozialdaten sowie insbesondere Patientendaten, ist. Patientendaten fallen als sensible Daten unter die besonders wichtige Kategorie von personenbezogenen Daten. Schließlich wird hier auch noch einmal deutlich, welche finanziellen Auswirkungen ein Fehlverhalten bzgl. der Versäumung der Meldefrist bei Datenpannen hervorrufen kann.

Verarbeitung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich nicht zulässig. Es gilt ein Verarbeitungsverbot von sensiblen Daten, worunter auch die Gesundheitsdaten fallen. Demzufolge verdienen besonders sensible Daten einen besonderen Schutz, da es mit der Verarbeitung dieser Daten zu schwerwiegenden Beeinträchtigungen der Grundrechte und Grundfreiheiten kommen kann. Jedoch sieht Art. 9 Abs. 2 lit. H DSGVO auch Ausnahmefälle vom Verarbeitungsverbot vor. Eine solche Ausnahme gilt beispielsweise, wenn die Daten zum Zwecke der medizinischen Diagnostik und der Versorgung oder Behandlung im Gesundheitsbereich benötigt werden. Auch bei der Verwaltung von Systemen und Diensten im Gesundheitsbereich kann die Ausnahme in Kraft treten.

In der Regel werden bei Verarbeitungen von Gesundheitsdaten einige technische Maßnahmen aus dem Bereich der Verschlüsselung eingesetzt. So speichern in Anwendungen oftmals keine Daten in Klartext, sondern nur “gehasht” – also pseudonymisiert.

Durch Pseudonymisierung wird der direkte Einblick in Gesundheitsdaten verhindert.
| Bildquelle: Maksim Kabakou-stock.adobe.com | DATEI NR.: 93102245

Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.