Professioneller Umgang mit Datenpannen

Ein typischer Freitagnachmittag in einer sozialen Einrichtung irgendwo in Baden-Württemberg. Der Vorstand V. genießt einen Espresso und freut sich auf das nahende Wochenende. Wie auch in den Wochen zuvor, lässt die E-Mail-Flut nach und es bleibt Zeit liegengebliebene Aufgaben zu erledigen. Gerade als Herr V. die monatlichen Kennzahlen prüfen will, klingelt das Telefon und es meldet sich ein zerknirschter Pflegedienstleiter, der nach kurzen einleitenden Worten eine schlechte Nachricht für Herrn V. hat: Eine Wunddokumentation einer Klientin wurde fälschlicherweise nicht an den zuständigen Wundmanager, sondern durch einen Fehler bei der Eingabe der E-Mail-Adresse an einen anderen Adressaten gesendet.

Was ist eine Datenpanne?

Herr V. schweigt für einen Moment und erinnert sich dann an die vor kurzem stattgefundene Datenschutzschulung mit seinem Datenschutzbeauftragten D. Da war doch was…er erinnert sich daran, dass für solche Fälle eine Richtlinie und ein Meldeformular auszufüllen sind, wenn eine Verletzung personenbezogener Daten vorliegt. Herr V. fragt beim Pflegedienstleiter nach, ob die Wunddokumentation einen Personenbezug enthält – leider ist dies der Fall. Da der E-Mail ein PDF-Dokument anhängt, welches nicht nur den Namen der Klientin, sondern auch ein Foto der Wunde enthält.

„Hmm, das könnte eine Datenpanne sein. Bitte füllen Sie das Meldeformular aus, das in unserem Datenschutzbereich im Intranet liegt und gehen Sie auf unseren externen Datenschutzbeauftragten D. zu, die Kontaktdaten sind auf dem Meldeformular notiert. Er wird wissen was zu tun ist. Halten Sie mich auf dem Laufenden und bitte kümmern Sie sich unmittelbar darum.“

Der Pflegedienstleiter findet das Meldeformular im Intranet, überfliegt die Fragen und füllt dieses aus:

      1. Was genau ist passiert? – Wunddokumentation wurde an falschen E-Mail-Empfänger gesendet.
      2. Welche Daten sind betroffen? – Name der Klientin, Foto der Wunde, detaillierte Beschreibung der Wunde
      3. Wie viele Personen, Datensätze und Kategorien sind betroffen? – 1 Person mit einem Datensatz und Wunddaten
      4. Wann ist der Verstoß geschehen? – 02.10.2019 12:00 Uhr.
      5. Welche Maßnahmen zur Eindämmung/Abmilderung wurden bereits ergriffen / sollen ergriffen werden?

Den letzten Punkt lässt er offen, da er nicht so recht weiß, was er da eintragen soll und schickt die erfassten Inhalte an den Datenschutzbeauftragten und informiert diesen umgehend telefonisch über den Vorfall.

 

Was prüft man bei einer Datenpanne?

Nach kurzer Zeit meldet sich der externe Datenschutzbeauftragte D. beim Pflegedienstleiter und bedankt sich für die Informationssammlung zum Vorfall. Da er bereits den Prozess kennt und dieser durch ihn im Verarbeitungsverzeichnis dokumentiert wurde, hat er nun noch ergänzende Fragen zum konkreten Vorfall:

      • Die E-Mails werden üblicherweise verschlüsselt an feste Ansprechpartner bei einem Wundmanagementdienstleister versendet. Er vermutet, dass beim Versenden der E-Mail ein Schreibfehler unterlaufen ist. Wenn die E-Mail ins Leere gegangen sein sollte, so läge kein Datenschutzverstoß vor.
      • Auf Rückfrage erhält er jedoch überraschend zur Antwort, dass die E-Mail in diesem Fall an einen neuen selbständigen Wundmanager versendet wurde.
      • Ohne Wissen des Pflegedienstleiters hat sich bei dem Dienstleister ein Personalwechsel ereignet. Der Mitarbeiter mit dem man in der Vergangenheit sehr zufrieden zusammengearbeitet hat, hat sich selbständig gemacht und hat dies einzelnen Mitarbeitern in der Einrichtung mitgeteilt und dass er sich in Abstimmung mit der Einrichtung befände und in Kürze einen eigenen Vertrag hätte.
      • Diese Information wurde nicht hinterfragt, so dass die E-Mail an eine neue E-Mail-Adresse musterman[at]gmail.de unverschlüsselt versendet wurde.
      • Erst einige Tage später als der selbständige Wundmanager nachfragte, wo denn die üblichen Wundinformationen seien und er nichts erhalten hätte, stellte die Pflegekraft fest, dass ein Fehler bei der E-Mail-Eingabe unterlaufen war und dass die E-Mail an mustermann[at]gmail.de versendet wurde.

 

Beim Datenschutzbeauftragten D. läuten die Alarmglocken. Die besagte E-Mail mit den Gesundheitsdaten wurde nicht nur unverschlüsselt übermittelt, sie wurde durch das GMail Postfach auf außereuropäische Server übermittelt und ging an einen unbekannten Adressaten. Er fragt nach, ob beim Versand der E-Mail eine Nichtzustellbarkeitsinformation eingegangen sei. Das verneint die Pflegekraft. Der Datenschutzbeauftragte schlägt vor, eine weitere E-Mail an diese Adresse zu schicken und eine Bitte um Rückmeldung zu formulieren, so dass die Einrichtung mit dem E-Mail-Adressaten in Kontakt treten kann. Er vermutet, dass die Datenpanne bei der Aufsichtsbehörde zu melden ist.

 

Was tun bei Datenpannen?

Nach dem Versand der E-Mail fragt die Pflegekraft nach: „Was passiert denn nun mit der Datenpanne und was ist zu tun?“ Der Datenschutzbeauftragte klärt auf: Bei Datenschutzverletzungen mit Risiken für den Betroffenen muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden über den Vorfall informiert werden (Anmerkung: im Geltungsbereich des DSG-EKD ebenfalls unverzügliche Meldung). Er verweist auf das Meldeformular und führt weiter aus, welche Informationen (Anmerkung: Die oben genannten 5 Punkte) an die Behörde zu melden sind.

 

Wo muss die Datenpanne gemeldet werden?

Die Pflegekraft will noch wissen, wer denn die zuständige Aufsichtsbehörde sei und wo die Datenpanne zu melden sei. Hier erklärt der externe Datenschutzbeauftragte, dass in der Regel die im Bundesland sitzende Behörde, also in diesem Fall der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg verantwortlich sei (Anmerkung: im Geltungsbereich des DSG-EKD ist das der Beauftragte für den Datenschutz der EKD). Über die Webseite der Behörde könne die Meldung über ein Webformular durchgeführt werden (Anmerkung: im Geltungsbereich des DSG-EKD hier).

Da es keine weiteren Fragen gibt, verabschiedet sich der Datenschutzbeauftragte am Telefon und bittet um erneute Information, sobald sich der fremde E-Mail-Empfänger gemeldet hat.

 

Maßnahmen zur Eindämmung der Datenpanne

Eine Stunde später klingelt wieder das Telefon beim Datenschutzbeauftragten. Die Pflegekraft meldet sich gemeinsam mit dem Pflegedienstleiter und teilt aufgeregt mit, dass sich der fremde E-Mail-Empfänger gerade eben gemeldet habe. Er sei über den Betreff der E-Mail verwundert gewesen und sei neugierig worum es denn gehe.

Der Datenschutzbeauftragte schlägt einen kurzen Antworttext vor und bittet darin den E-Mail-Empfänger, um eine Nennung einer Telefonnummer unter der er zu erreichen sei, damit der Sachverhalt besser erläutert werden könne. Kurz darauf geht eine erneute E-Mail mit einer Telefonnummer ein.

Der Datenschutzbeauftragte wählt die Nummer, stellt sich kurz vor, klärt darüber auf, dass neben ihm noch die Pflegedienstleitung und die Pflegekraft in der Leitung wären, fragt nach ob das für den Gesprächspartner so in Ordnung sei und erklärt dann den ganzen Sachverhalt. Der E-Mail-Empfänger reagiert überrascht. Ihm ist gar nicht bewusst, dass er eine E-Mail von der Einrichtung erhalten habe. Der Datenschutzbeauftragte denkt kurz nach und schlägt dann vor, den Spamordner zu prüfen. Eine kurze Pause am anderen Ende der Leitung und dann kommt die Bestätigung: Ja, die besagte E-Mail ist im Spamordner gelandet. Der Pflegedienstleiter bittet sofort darum, die E-Mail ungelesen zu löschen, was vom gegenüber dann auch sofort bestätigt wird. Er ist sogar froh, dass er mit dieser E-Mail nicht in Berührung gekommen ist und löscht dann noch den Papierkorb in seinem Postfach.

Der Datenschutzbeauftragte denkt noch einen Schritt weiter und bedankt sich sofort für die Kooperation und die Löschung der besagten E-Mail. Im Hinblick auf die Aufsichtsbehörde fragt er den E-Mail-Empfänger noch, ob es möglich sei, dass er der Einrichtung noch eine kurze E-Mail über die Löschung und die Nicht-Kenntnisnahme durch Eingang der Mail im Spamordner zulassen könne. Das bestätigt dieser umgehend. Abschließend bedanken sich alle bei dem Empfänger und der Pflegedienstleiter denkt noch über ein kurzes Dankespräsent nach, dass er dem Empfänger für die gute Kooperation zukommen lassen möchte.

 

Muss die Datenpanne an die die Behörde gemeldet werden?

Alle freuen sich über die positive Entwicklung. Der Pflegedienstleiter möchte nun noch wissen, ob denn nun alles in Ordnung sei oder ob die Datenpanne immer noch an die Behörde gemeldet werden müsse. Der Datenschutzbeauftragte erläutert seine Risikoeinschätzung: Positiv ist, dass die E-Mail nicht gelesen wurde und die Löschung erfolgt ist. Die Bestätigung des Empfängers hilft als Nachweis. Faktisch wurden Gesundheitsdaten unverschlüsselt an einen fremden Empfänger auf Server in einem Drittland übermittelt. Vermutlich drohen keine Auswirkungen durch Identitätsdiebstahl, finanzielles Risiko, Imageschaden, Mobbing/Bloßstellung oder gar existentielle Problem. Das wäre ja nur dann der Fall, wenn der Anbieter des Dienstes diese Daten zweckentfremdet verwenden würde.

 

Muss die Datenpanne an den Betroffenen gemeldet werden?

Der Pflegedienstleiter erinnert sich an die Datenschutzschulung. Er möchte wissen, ob zusätzlich noch der Betroffene über den Vorfall zu informieren sei. Der Datenschutzbeauftragte freut sich über den aufmerksamen Zuhörer und erklärt, dass Betroffene einer Datenpanne dann über den Vorfall zu informieren seien, wenn ein hohes Risiko für sie bestünde. In Anlehnung an die oben genannte Risikobetrachtung schätzt er die Situation jedoch so ein, dass in dem vorliegenden Fall keine hohen Risiken erkennbar seien.

Abschließend möchte die Pflegekraft noch wissen, ob ihr durch den Vorfall Konsequenzen drohen. Der Pflegedienstleiter schließt salomonisch: Da er selbst vergessen habe, die neue Pflegekraft zur Datenschutzschulung anzumelden, könne er schlecht einen Vorwurf machen. Er bittet jedoch darum, beim Hinzuziehen neuer Ansprechpartner zukünftig immer einen Kollegen oder ihn zu informieren und nachzufragen.

 

Wer meldet die Datenpanne bei der Behörde?

Der Datenschutzbeauftragte D. dokumentiert den Sachverhalt und schickt eine Zusammenfassung und seine Empfehlung zur Meldung an den Vorstand V und gibt noch Hinweise, wie ähnliche Fälle für die Zukunft vermieden werden können. Dieser meldet sich kurz danach telefonisch bei D.:

„Verstehe ich das richtig, dass wir den Vorfall bei der Behörde melden müssen, jedoch nicht verpflichtet sind, den Vorfall der Betroffenen zu melden?“ Ja, das sei so richtig. Herr V. entscheidet kurzerhand:

„Herr D., Sie wissen welches Menschenbild wir in unserer Einrichtung vorleben. Die Einhaltung des Schutzes des Persönlichkeitsrechts gehört für mich elementar dazu. Wir melden den Vorfall bei der Behörde und zusätzlich auch unserer Klientin. Da wir den Sachverhalt sorgfältig aufgearbeitet haben, wird sie verstehen, dass hier keine Risiken zu erwarten sind.“

D. freut sich über dieses transparente Vorgehen und fragt nach, ob er den Vorstand dadurch entlasten könne, dass er die Meldung gemäß der Zusammenfassung über das Webportal der Behörde vornehme oder ob dieser selbst melden wolle. Der Vorstand bedankt sich für das Angebot und bittet den externen Datenschutzbeauftragten diese vorzunehmen (Anmerkung: im Geltungsbereich des DSG-EKD ist die Meldung durch die Leitung der Einrichtung zu unterzeichnen, die Meldung kann jedoch auch durch den Datenschutzbeauftragten vorgenommen werden). Dieser verspricht die erforderlichen Meldungen unmittelbar umzusetzen. V. bedankt sich ebenfalls und freut sich über die Unterstützung durch seinen externen Datenschutzbeauftragten. Er möchte noch wissen, was üblicherweise nach der Meldung an die Behörde passiere. D. erklärt, dass es bei einer sorgfältig aufbereiteten Meldung einer Datenpanne in der Regel keine Rückfragen gäbe und dass der Sachverhalt nach 14 Tagen ohne Rückmeldung der Behörde üblicherweise abgeschlossen sei. Andernfalls wäre es möglich, dass noch Rückfragen gestellt werden.

Die Antwort stellt ihn zufrieden und zur weiteren Prävention für die Zukunft sendet er eine Erinnerungsmail an sein Leitungsteam, dass neue Kollegen immer zeitnah an den Datenschutzschulungen teilnehmen sollen und erinnert an den sorgfältigen Umgang beim E-Mail-Versand. – Die Dämmerung setzt langsam ein, zufrieden und entspannt, schließt er sein Büro ab und fährt ins Wochenende.

Dieser Artikel stellt wie immer keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder. Dies ist ein fiktiver Fall, Ähnlichkeiten zu lebenden Personen oder realen Ereignissen sind rein zufällig und nicht beabsichtigt.

Von Julian Häcker

 

Bildquelle: Bild von Gaby Stein auf Pixabay