Dabei muss nicht unbedingt eigenes Verschulden – wie das Öffnen eines verseuchten E-Mail-Anhangs – ursächlich sein. Ein aktueller Großangriff zeigt, dass dies auch über Sicherheitslücken von Sub (oder Sub-Sub-Sub)-Dienstleistern geschehen kann. Sollte es einen treffen, ist Datenschutz sicher nicht das Erste, an was gedacht wird. Hauptsache die Systeme laufen wieder. Dennoch ist der Datenschutz hier streng. Sind personenbezogene Daten betroffen, wovon auszugehen ist, so müssen Datenschutzvorfälle innerhalb 72 Stunden bei der Aufsichtsbehörde gemeldet werden. Hier kann und sollte aber differenziert werden.
Bei Datenabfluss, wenn Daten verloren gehen, da kein aktuelles Backup besteht und wenn viele sensible Gesundheitsdaten betroffen sind, muss in der Regel eine Meldung erfolgen. Sind die Daten jedoch „nur“ verschlüsselt, es fand aber kein Datenabfluss statt und das Backup ist aktuell, so dass keine Daten verloren gegangen sind, so ist eine Meldung nicht zwingend erforderlich. Dies gilt zumindest, wenn z. B. „nur“ die Mitarbeiterdaten einer Praxis betroffen sind, nicht jedoch die Patientendaten.
Die Entscheidung ist komplex und sollte zusammen mit dem Datenschutzbeauftragten getroffen werden, damit zu dem Ärger durch die Verschlüsselung nicht auch noch welcher durch die Aufsichtsbehörden entsteht.
Außerdem interessant:
Datenschutz?…! Fax vor dem Aus?
Datenschutz?…! Befund per E-Mail an den Patienten?