Meldepflicht nach Art. 33 Abs. 1 DS-GVO

Nach Art. 33 Abs. 1 DS-GVO hat der Verantwortliche nach Bekanntwerden einer Datenschutzverletzung der für ihn zuständigen Aufsichtsbehörde den Verstoß zu melden, es sei denn, dieser führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Es ist im Kreise der staatlichen Datenschutzaufsichtsbehörden in Deutschland unstrittig, dass bei Verstößen gegen den Schutz von Patientendaten regelmäßig ein Risiko im Sinne von Art. 33 Abs. 1 DS-GVO anzunehmen ist. Gründe hierfür sind einerseits der qualifizierte Schutz der Daten nach Art. 9 DS-GVO, andererseits der von der Rechtsordnung garantierte hohe Grad an Vertraulichkeit bei der Datenverarbeitung durch Berufsgeheimnisträger. Dies bedeutet, dass Datenpannen, die in Heilberufspraxen vorgehaltene besonders schutzwürdige personenbezogene Daten im Sinne von Art. 9 DS-GVO betreffen, immer meldepflichtig sind.

Ob darüber hinaus die betroffenen Patienten gemäß Art. 34 DS-GVO unterrichtet werden müssen, hängt dagegen vom Einzelfall ab. Maßstab hierfür ist nach Art. 34 Abs. 1 DS-GVO das Vorliegen eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen. Dies kann - anders als bei dem bloßen Risiko nach Art. 33 Abs. 1 DS-GVO – nicht in jedem Fall unterstellt werden, wenn die Datenverarbeitung einer Heilberufspraxis betroffen ist. Vielmehr muss im konkreten Fall der Schadenseintritt wahrscheinlich oder der Schaden bereits eingetreten sein. Die lediglich abstrakte Möglichkeit eines Schadens – also im Falle von Heilberufspraxen die unbefugte Offenbarung von Patientendaten gegenüber Dritten – reicht nicht aus. Zudem ist nach den Vorgaben des Art. 34 Abs. 3 DS-GVO unter den dort genannten Voraussetzungen eine Unterrichtung der betroffenen Person entbehrlich.

Check

  1. Handelt es sich um ein Vorkommnis, aufgrund dessen Patientendaten in einer Arzt- oder Psychotherapeutenpraxis möglicherweise unzulässig verarbeitet wurden?
  2. Wenn ja: ist der Vorfall dem LfDI Rheinland-Pfalz gemeldet worden?
  3. Sind durch den Vorfall Patientendaten an Dritte unbefugt offenbart worden? Ist deshalb von einem hohen Risiko im Sinne von Art. 34 Abs. 1 DS-GVO zu Lasten des Patienten auszugehen?
  4. Welche technischen und organisatorischen Vorkehrungen hat die Praxis ergriffen, nachdem der Vorfall bekannt wurde?
  5. Wurde intern das Bestehen einer Benachrichtigungspflicht nach Art. 34 DS-GVO geprüft und das Ergebnis dokumentiert?