Case Study zur Verletzung der DSGVO #1 – kleine Verwechslung, großes Risiko

Kann eine Verletzung der Datenschutzvorschriften auch dann als erheblich eingestuft werden, wenn sie nur eine Person betrifft? Welche Kriterien gelten für die Beurteilung einer solchen Situation, in der eine Person zufällig die Daten einer anderen Person erhält? Die folgende Case Study zeigt, warum eine auf den ersten Blick unerhebliche Verwechslung ein großes Risiko birgt.

Zur Sache

Aktenzeichen: DKN.5131.34.2021

Datum: 6. Juli 2022

Verantwortlicher: Warschauer Universitätsklinikum (Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Klinicznego)

Höhe der Geldstrafe: 10 000 PLN

Welche Vorschriften der DSGVO wurden verletzt?

  • Art. 33 Abs. 1 Datenschutzgrundverordnung (DSGVO)

Unterlassene unverzügliche Meldung der Datenschutzverletzung an den Präsidenten des Datenschutzamtes, nicht später als 72 Stunden nach Feststellung der Verletzung

  • Art. 34 Abs. 1 DSGV

Unterlassene Benachrichtigung der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person

Was ist passiert?

Ein Patient erhielt von einem Arzt des Warschauer Universitätsklinikums (im Weiteren „Verantwortlicher“) eine Überweisung in die Fachambulanz, die die folgenden Daten einer anderen Person enthielt:

  • Vor- und Nachname
  • Wohnadresse
  • PESEL-Nummer (Identifikationsnummer, die jede in Polen gemeldete Person automatisch erhält und die sich aus ihrem Geburtsdatum sowie fünf anderen Ziffern zusammensetzt)
  • Informationen über den Gesundheitszustand, d.h. Informationen über die Diagnose und das Ziel der Behandlung.

Wie kam es zum Verfahren?

Der Patientenbeauftragte hat die Datenschutzbehörde über die mögliche Verletzung der Datenschutzvorschriften benachrichtigt.

Wie hat der Verantwortliche reagiert?

  • Nachdem die Datenschutzbehörde von der möglichen Verletzung erfahren hatte, wandte sie sich an den Verantwortlichen mit der Bitte um Mitteilung, ob eine Prüfung des Vorfalls im Hinblick auf die Risiken der Verletzung der Rechte oder Freiheiten natürlicher Personen stattgefunden habe.
  • Der Verantwortliche teilte daraufhin mit, dass
    • er eine vorläufige vereinfachte Risikoanalyse des Vorfalls durchgeführt habe
    • er den Vorfall als Sicherheitsvorfall klassifiziert und entschieden habe, diesen weder der Datenschutzbehörde noch den Personen zu melden, die die Daten betreffen, da „potenziell eine natürliche Person geschädigt wurde, deren Daten einer identifizierbaren Person in engem und fehlerhaftem Umfang offengelegt wurden“.
    • Der Verantwortliche legte ebenso ein „Formular zur Bewertung der Auswirkungen der Datenschutzverletzung“ vor.
    • Gemäß den Ausführungen des Arztes wurde der Patient an die Fachambulanz überwiesen, kehrte jedoch nach kurzer Zeit zurück, da er keinen Termin für die angeordneten Untersuchungen machen konnte. In Eile verwendete der Arzt nicht die richtige Krankenakte und trug irrtümlicherweise andere Patientendaten ein. Die Daten wurden auf den Patienten A.W. eingetragen, ein solcher existiert jedoch nicht, die Daten gehörten zu der Patientin A.W.
  • Die Datenschutzbehörde hat daraufhin ein Verfahren über die Verletzung von Datenschutzvorschriften eingeleitet.

Datenschutzbehörde: hohes Risiko auch bei nur einem Geschädigten möglich

  • Die Meldung von Datenschutzverletzungen bei der Datenschutzbehörde ermöglicht dieser eine angemessene Reaktion, die die Folgen der Verletzung mildern kann.
  • Die Information, dass eine bestimmte Person Patient einer Arztpraxis ist, stellt an sich bereits eine Information über den Gesundheitszustand dar und vergrößert die Möglichkeit, diese Person zu identifizieren.
  • Gemäß Art. 15 Abs. 2 des Gesetzes über das Bevölkerungsregister identifiziert die PESEL-Nummer eine natürliche Person eindeutig.
  • Der Verantwortliche klassifizierte den Risikograd bei einer Skala von 0 bis 21 bei 5, d.h. als mittelmäßig. Die Begründung lautete: „Natürliche Personen sind von der Verletzung nur mittelschwer betroffen, d.h. sie können bestimmte Unannehmlichkeiten erfahren, die leicht zu beseitigen sind (Zeitaufwand, Irritation etc.). Die Datenschutzverletzung hat jedoch keinen wesentlichen Einfluss auf die Rechte und Pflichten der betroffenen Person.“ Das Abhängigmachen der Reaktion auf die Verletzung vom Eintritt seiner potenziellen Folgen widerspricht dem Grundsatz, nach dem der Verantwortliche den Konsequenzen der Verletzung entgegenwirken oder ihre negativen Auswirkungen minimieren soll.
  • Die möglichen Konsequenzen des Vorfalls müssen nicht eintreten – allein das Vorliegen einer Datenschutzverletzung, mit der das Risiko der Verletzung von Rechten und Freiheiten natürlicher Personen einhergeht, impliziert die Pflicht, die Verletzung bei der zuständigen Behörde zu melden.
  • Die Möglichkeit, die Daten zur Aufnahme beispielsweise eines Darlehens zu missbrauchen und damit einen Vermögensschaden herbeizuführen, stellt ein hohes Risiko der Verletzung von Rechten oder Freiheiten natürlicher Personen dar.
  • Bei der Risikobewertung kann das Risiko nicht willkürlich herabgesetzt werden, weil die Verletzung nur eine Person betrifft, da die Verletzung selbst für diese eine Person erhebliche Konsequenzen haben kann.
  • Die Risikobewertung der Verletzung von Rechten oder Freiheiten natürlicher Personen ist aus der Interessenperspektive der betroffenen Person und nicht im Hinblick auf die Interessen des Verantwortlichen vorzunehmen.
  • Die Zugrundelegung herabgesetzter Wertmaßstäbe im Formular zur Risikobewertung hatte entscheidenden Einfluss auf die finale Bewertung des Risikos, das die Verletzung der Rechte oder Freiheiten natürlicher Personen mit sich bringt.
  • Der Vorfall stellte gleichzeitig eine Verletzung des Arztgeheimnisses dar – dieser Umstand spricht zusätzlich dafür, dass ein hohes Risiko für die Verletzung der Rechte und Freiheiten der von der Verletzung betroffenen natürlichen Person besteht.