Im aktuellen Tätigkeitsberichterklärt das ULD anhand eines Falles aus der Praxis, warum auch digitale Sicherungskopien von Patientendaten grundsätzlich zu verschlüsseln sind und welche Folgen ein Diebstahl für Arztpraxen und Patienten haben kann.

DAS WAR GESCHEHEN…

Der Einbrecher brach um Mitternacht in eine Arztpraxis ein. Bei diesem Einbruch wurde auch der Tresor der Gemeinschaftspraxis für Neurologie, Psychiatrie, Psychosomatik und Psychotherapie aufgebrochen. Entwendet wurden Medikamente und die Datenträger der Datensicherung.vAuf den Speichersticks waren Namen, Behandlungsdaten und Arztbriefe von weit über 40.000 Patientinnen und Patienten aus über 20 Jahren unverschlüsselt gespeichert.

FEHLENDE TOM

Die Praxisinhaber konnten den Einbruch natürlich nicht verhindern, aber sie hätten sich darauf vorbereiten müssen. Nicht nur die digitalen Daten des laufenden Praxisbetriebs, sondern auch die digitalen Sicherungskopien müssen verschlüsselt gespeichert werden. Der Gesetzgeber fordert technische und organisatorische Maßnahmen (TOM), damit gewährleistet wird, dass personenbezogene Daten gegen zufällige Zerstörung bzw. Verlust und gegen einen Zugriff durch Unbefugte, also auch gegen Diebstahl, geschützt sind. Die Kriminalpolizei ermittelte, aber die Datenträger blieben verschwunden. Es ist also nicht ausgeschlossen, dass irgendwann irgendwer die Patientendaten anschauen, auswerten oder weitergeben wird. Man mag sich nicht vorstellen, welche Folgen dies für die betroffenen Patientinnen und Patienten haben könnte.

UNTERRICHTUNG DER BETROFFENEN

Aber auch für die Arztpraxis hat diese Datenpanne gravierende Folgen. Der Gesetzgeber sieht vor, dass alle betroffenen Personen unverzüglich über den Vorfall unterrichtet werden und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen erhalten. In diesem Fall hätte die Praxis also über 40.000 Briefe verschicken müssen! Wenn Briefe einen unverhältnismäßigen Aufwand darstellen, tritt an ihre Stelle die Information der Öffentlichkeit. Dies kann durch Anzeigen
geschehen, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt sind, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen geeignete Maßnahme. Der damit einhergehende Imageverlust ist dann oftmals enorm. Wären die Patientendaten
auf den Datenträgern doch nur verschlüsselt gespeichert worden!