So schützen Sie sich und Ihnen anvertraute Daten
Stellen Sie sich vor, sie transportieren oder verwahren sensible Daten, und plötzlich wird bei Ihnen eingebrochen oder ihr Fahrzeug gestohlen. Gestohlen werden unter anderem auch die Ordner mit den Dokumenten, in denen diese Daten enthalten waren.
Ein solcher Fall ereignete sich kürzlich in Polen. Dort war ein Arzt auf Hausbesuchen unterwegs – mit seinem Privatfahrzeug – in welchem medizinische Unterlagen auch betreffend andere Patienten verwahrt waren. Dieses Fahrzeug wurde während eines Hausbesuches aufgebrochen und mitsamt diesen Dokumenten gestohlen. Zwar hielt sich der Arzt wohl an die vorgeschriebenen Regeln. Im Nachhinein wurde jedoch festgestellt, dass die bestehenden Regelungen des Gesundheitszentrums, für welches der Arzt arbeitete, nicht ausreichten, um datenschutzrechtlichen Verpflichtungen nachzukommen. Folge war unter anderem ein Bußgeld.
Damit stellt sich nun die Frage, welche Verpflichtungen Sie einhalten und welche Maßnahmen Sie im Vorfeld ergreifen sollten, wenn Ihnen sensible Daten anvertraut sind. In diesem Beitrag wollen wir Ihnen – leider ohne einen Anspruch auf Vollständigkeit erheben zu können – eine kurze Orientierungshilfe geben.
DSGVO-konformer Umgang mit sensiblen Daten
Zunächst zu ein paar Begriffsbestimmungen, wobei der Begriff der „Verarbeitung“ in Fällen wie dem obigen eine zentrale Rolle spielt. Gem. Art. 4 Nr. 2 DSGVO bezeichnet der Begriff der Verarbeitung „…das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Grob und völlig unjuristisch ausgedrückt kann man sich als Merksatz behalten: sobald sie mit Daten arbeiten, mit ihnen „umgehen“, liegt eine Form der Verarbeitung vor. Wie eben bei obig genanntem Arzt.
Nun hat der Verantwortliche – das ist derjenige, der die Daten verarbeitet – sicherzustellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt, wofür er geeignete Maßnahmen zu treffen hat. Dies ergibt sich u.a. aus Art. 24 I DSGVO.
Das allgemeine Anliegen der DSGVO ist in deren Art. 1 niedergelegt. Hiernach soll die Verordnung natürliche Personen in der Ausübung ihrer Grundrechte und Grundfreiheiten schützen. Aus diesem übergeordneten Ziel ergeben sich die Grundsätze über die Verarbeitung personenbezogener Daten, die in Art. 5 DSGVO niedergelegt sind und hier grob skizziert werden sollen: personenbezogene Daten dürfen hiernach nur für festgelegte, eindeutige und legitime Zwecke (was in der DSGVO näher spezifiziert wird) verarbeitet werden. Dabei muss die betroffene Person in Grundzügen vorhersehen können, wofür ihre Daten verarbeitet werden. Und nachvollziehen können, was mit ihren Daten passiert. Nach dem die DSGVO durchziehenden Grundsatz der Datenminimierung soll das Maß, in welchem personenbezogene Daten verarbeitet werden, dabei aber weiterhin so gering wie möglich gehalten werden. Sind die Daten einmal erhoben, so sollen sie demnach nur so lange gespeichert bleiben, wie es für die jeweiligen Zwecke unbedingt notwendig ist. Bis zur Löschung müssen die Daten vor unbefugter und unrechtmäßiger (was darunter jeweils zu verstehen ist, definiert die DSGVO ebenfalls an anderer Stelle) Verarbeitung oder Verlust, Zerstörung oder Schädigung geschützt werden.
Daten im Gesundheits- oder Sozialbereich gelten dabei als besonders sensibel und dürfen daher nur unter besonderen Umständen überhaupt verarbeitet werden. Wird nun der Schutz personenbezogener Daten verletzt, so hat – wenn diese Verletzung zu dem Risiko führt, die Rechte und Freiheiten der betroffenen Personen zu beeinträchtigen – der Verantwortliche die Verletzung der datenschutzrechtlichen Bestimmungen gem. Art. 33 I DSGVO der zuständigen Aufsichtsbehörde zu melden. Dies ist in dem oben beschriebenen polnischen Beispiel auch erfolgt. Folge waren in diesem Fall, dass neue Richtlinien für den physischen Transport von Patientenakten eingeführt wurden. So dürfen von nun an Patientenakten nicht mehr unbeaufsichtigt zurückgelassen werden, sondern müssen – sollten sie auf Hausbesuche mitgenommen werden – am selben Tag zurück in die jeweilige Gesundheitseinrichtung gebracht werden. Zudem wurden abschließbare Dokumentenmappen zur physischen Sicherung der Akten eingeführt. Insgesamt wurde aus diesem Vorfall abgeleitet, dass Reaktion alleine nicht ausreicht. Vielmehr müssen bereits im Vorfeld mögliche Risiken durchdacht und Konzepte zur Sicherung der Daten eingeführt werden.
Dieses Ereignis ist übertragbar auf alle Berufsgruppen, die mit sensiblen Daten umgehen müssen: nicht nur Ärzte, auch Psychologen, Rechtsanwälte oder ähnliche Berufsgruppen sollten sich angesprochen fühlen. So sehr man im Zeitalter von elektronischer Patientenakte, digitalen Gerichtsakten oder Kommunikation per Mail, Messenger oder Ähnlichem vorwiegend an digitale Angriffe oder Datenlecks denken mag, so wenig darf man doch vergessen, dass sowohl noch physische Akten mit sensiblen Daten existieren oder schlicht auch die Datenträger der digitalen Akten gestohlen werden könnten. Es sind also zudem physische Sicherungsmaßnahmen unerlässlich.
Physische Schutzmaßnahmen
Um dem physischen Verlust von Daten vorzubeugen, empfehlen wir ihnen:
- Lassen Sie sensible Dokumente nie unbeaufsichtigt zurück
- Benutzen Sie sichere Transportbehältnisse, sollten Sie dennoch einmal sensible Daten mitführen müssen. Lassen sie auch diese – bestenfalls verschließbaren – Transportbehältnisse selbstverständlich nicht unbeaufsichtigt zurück.
- Folgen Sie ebenfalls dem Prinzip der Datenminimierung: nehmen Sie nur diejenigen Unterlagen mit, die Sie unbedingt benötigen.
- Kennzeichnung: machen Sie für alle Beteiligten kenntlich, welche Daten als besonders vertraulich und damit besonders umsichtig zu behandeln sind.
- Schulung: Das beste Konzept nützt nichts, wenn diejenigen, die damit umgehen müssen, sich der Risiken und Ihrer Verantwortung gar nicht bewusst sind. Sorgen Sie daher für regelmäßige Schulungen, um für den Datenschutz und den umsichtigen Umgang mit riskanten Daten zu sensibilisieren.
Digitale Schutzmaßnahmen
Daneben empfehlen wir folgende digitale Vorkehrungen:
- Geräteverschlüsselung: Keinesfalls sollte jeder ungehindert Zugriff zu Ihren Geräten haben können. Achten Sie auf sichere, starke Passwörter und richten Sie idealerweise eine Zwei-Faktor-Authentifizierung ein.
- Pseudonymisierung: Eine weitere Möglichkeit ist es, sensible Daten so zu verschlüsseln, dass auf die Identität der dahinterstehenden Personen nur mittels eines weiteren, ebenfalls gesicherten und nicht am selben Ort aufbewahrten Dokumentes geschlossen werden kann.
- Datenverschlüsselung: Sind zwar die Geräte verschlüsselt, die Daten selbst aber nicht, ergibt sich auch hier wieder ein mögliches Risiko. Noch sicherer fahren Sie daher, wenn sie auch die sensiblen Dokumente selbst noch einmal mit Passwörtern sichern.
- Backups: Erstellen Sie regelmäßige Backups, um einem Verlust der Daten durch Löschung im Falle eines Cyberangriffes vorzubeugen.
- Zugriffsbeschränkung: Können mehrere Personen auf bestimmte Daten zugreifen, macht es möglicherweise Sinn, die Zugriffsrechte auf diejenigen Personen zu beschränken, die tatsächlich mit diesen Daten umgehen müssen.
Möglichkeit datenschutzrechtlicher Beratung
Wir hoffen, Ihnen mit diesem Beitrag einige grundlegende Möglichkeiten aufgezeigt zu haben, wie sie sich vor datenschutzrechtlichen Verstößen absichern können. Und falls Sie darüber hinaus noch Fragen haben oder eine datenschutzrechtliche Beratung wünschen: wenden Sie sich jederzeit gerne an uns. Wir erstellen mit Ihnen ein Datenschutzkonzept, individuell angepasst auf Ihre Bedürfnisse. Kontaktieren Sie uns gerne über Anwalt.de oder direkt über unsere Website maisch.law. Wir freuen uns, Sie unterstützen zu können.