Die Meldepflicht bei Datenschutzvorfällen bezeichnet die gesetzliche Verpflichtung des Verantwortlichen nach Art. 33 Datenschutz-Grundverordnung (DSGVO), eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 72 Stunden nach Bekanntwerden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Arztpraxen und Medizinische Versorgungszentren sind als Verantwortliche im Sinn der DSGVO vollständig meldepflichtig; Patientendaten gelten als besonders sensible Kategorie nach Art. 9 DSGVO.
Bedeutung für Ärzte
Arztpraxen verarbeiten täglich große Mengen besonderer Kategorien personenbezogener Daten: Diagnosen, Laborbefunde, Medikamentenpläne und psychotherapeutische Aufzeichnungen. Ein Ransomware-Angriff, ein verlorenes unverschlüsseltes Laptop mit Patientendaten oder eine versehentliche E-Mail an falsche Empfänger können eine Meldepflicht auslösen. Die Nichtmeldung oder verspätete Meldung kann Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes, je nachdem was höher ist, auslösen. Neben der Behördenmeldung müssen betroffene Personen (Patienten) nach Art. 34 DSGVO informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Ärzteversichert empfiehlt Praxisinhabern, einen Notfallplan für Datenschutzvorfälle zu erstellen und eine Cyber-Versicherung abzuschließen, die auch die Kosten für Datenschutzexperten und Behördenmeldungen übernimmt.
Abgrenzung
Die DSGVO-Meldepflicht gilt für Datenpannen, also den unbefugten Zugriff, Verlust oder die Vernichtung von Patientendaten. Sie ist nicht identisch mit der IT-Sicherheitsmeldepflicht nach dem BSI-Gesetz (BSIG), die für kritische Infrastrukturen gilt. In der Arztpraxis ist in der Regel die staatliche Datenschutzaufsichtsbehörde des jeweiligen Bundeslands zuständig.
Beispiel
In einer Zahnarztpraxis wird ein Laptop mit unverschlüsselten Patientendaten (Name, Geburtsdatum, Behandlungsdaten von 800 Patienten) gestohlen. Innerhalb von 72 Stunden meldet die Praxis den Vorfall dem Landesbeauftragten für Datenschutz. Die Behörde prüft und sieht von einem Bußgeld ab, weil die Praxis schnell und transparent reagiert hat.
Quellen
- BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht
- Bundesärztekammer
- Bundesministerium für Gesundheit
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →