In der aufsichtsbehördlichen Praxis nehmen Meldungen über Datenschutzverletzungen nach Art. 33 DSGVO einen breiten Raum ein.
Der Tätigkeitsbericht 2025 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) greift in diesem Zusammenhang Problemaufrisse zum Versand personenbezogener Daten im Gesundheitswesen auf. Dadurch soll zum einen die behördliche Praxis bei der Bearbeitung entsprechender Meldungen näher beleuchtet werden. Zum anderen sollen Verantwortliche für Risiken im Umgang mit personenbezogenen Daten sensibilisiert werden.
Versand von Patientendaten: Besondere Risiken und Anforderungen
Beim Versand von Patientendaten, insbesondere bei digitalen Datenträgern, sind besondere Anforderungen zu beachten. Werden Gesundheitsdaten als besondere Kategorien personenbezogener Daten auf mobilen Datenträgern postalisch versandt, sind diese nach Maßgabe von Art. 24 und Art. 32 Abs. 1 DSGVO angemessen und nach dem Stand der Technik zu verschlüsseln.
In der Praxis wird häufig auf den Versand digitaler Datenkopien zurückgegriffen, insbesondere wenn keine Webportallösungen mit sicher verschlüsselter Übertragung zur Verfügung stehen.
In diesem Zusammenhang stellen auch Meldungen über verloren gegangene Trägermedien im Postversand keine Seltenheit dar. Neben Fehlversendungen komme es vor, dass Sendungen den Adressaten nicht erreichen, Umschläge beschädigt werden oder Datenträger herausfallen. Auch können sich Gegenstände in Briefumschlägen abzeichnen und zur Entnahme verleiten.
Zur Risikominimierung empfiehlt die Aufsichtsbehörde daher insbesondere die Verschlüsselung von Datenträgern, die Nutzung gepolsterter Umschläge mit verstärkten Seiten sowie Maßnahmen zur Fixierung der Datenträger innerhalb der Sendung. Darüber hinaus wird bei sensiblen Sendungen eine Sendungsverfolgung empfohlen, um den Verbleib nachvollziehen zu können.
Fehlversand an unberechtigte Empfänger als häufige Datenpanne
Ein weiterer Schwerpunkt liegt auf Fehlversendungen an unberechtigte Empfänger. Der Bericht stellt fest, dass entsprechende Vorfälle im Berichtszeitraum gehäuft auftraten und einen Schwerpunkt der gemeldeten Datenpannen darstellten. Dabei gelangten Gesundheitsdaten wie etwa ärztliche Befunde an falsche Adressaten.
Auffällig ist der Aufsichtsbehörde zufolge, dass Verantwortliche vielfach lediglich auf Sensibilisierungsmaßnahmen für Einzelpersonen abstellten, ohne die zugrunde liegenden technischen und organisatorischen Maßnahmen umfassend zu analysieren oder anzupassen.
Technische und organisatorische Maßnahmen im Fokus
Der Bericht stellt klar, dass Verantwortliche nach Art. 24 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu implementieren haben, um die Einhaltung der datenschutzrechtlichen Anforderungen sicherzustellen und nachweisen zu können.
In Konkretisierung des Grundsatzes der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verlangt Art. 32 Abs. 1 DSGVO die Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Diese Maßnahmen sind regelmäßig zu überprüfen und bei Bedarf anzupassen.
Als Beispiele für organisatorische Maßnahmen seien unter anderem klare Arbeitsanweisungen für Versandprozesse, Checklistenprüfungen vor dem Versand, dokumentierte Zuständigkeiten sowie regelmäßige Schulungen anzuführen.
Zudem wird empfohlen, bei der Identifikation von Patienten nicht allein auf Namen abzustellen, sondern zusätzliche Merkmale wie Geburtsdatum oder Patienten-ID heranzuziehen und technische Validierungsmechanismen zu implementieren.
Umgang mit Fehlversendungen
Kommt es dennoch zu einer Datenpanne, ist der Verantwortliche gehalten, neben der Überprüfung seiner Maßnahmen auch geeignete Abhilfemaßnahmen zu ergreifen. Hierzu gehört insbesondere die Rückforderung fehlversandter Unterlagen.
Der Bericht empfiehlt, die Rücksendung organisatorisch zu erleichtern, etwa durch Bereitstellung eines frankierten Rückumschlags oder durch Abholung. Zudem soll der Empfänger zur Verschwiegenheit und zur Unterlassung der Nutzung der Daten aufgefordert werden sowie bestätigen, keine Kopien zurückbehalten zu haben.
Fazit
Die dargestellten Problemaufrisse verdeutlichen, dass der Versand personenbezogener Daten im Gesundheitswesen mit erheblichen Risiken verbunden ist und einen Schwerpunkt der aufsichtsbehördlichen Praxis nach Art. 33 DSGVO bildet.
Zugleich zeigt der Bericht des LfDI, dass insbesondere Fehlversendungen häufig auftreten und nicht allein auf individuelles Fehlverhalten zurückzuführen sind. Vielmehr kommt der Ausgestaltung und regelmäßigen Überprüfung technischer und organisatorischer Maßnahmen zentrale Bedeutung zu.
Durch eine Sensibilisierung der Verantwortlichen sowie die strukturierte Organisation von Versandprozessen sollen folglich Datenschutzverletzungen vermieden werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
