+49 (0) 821 80 99 46-0
Rückruf anfordern
zum Kontaktformular
+49 (0) 821 80 99 46-0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    Weitere Versicherungen

    Haftpflicht für Dienstleister
    Cyber-Versicherung

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
     

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
"Sicherheit für Ihr Business - damit Sie im Schadenfall nicht alleine dastehen"
Carla Vega
Kundenbetreuung
Ihr Business bestens versichert
Carla Vega
Kundenbetreuung
Home / News&Stories /
Helau Datenschutz: Patientenakten aus der Konfetti-Kanone
Wenn der Konfettiregen Daten preisgibt

Helau Datenschutz: Patientenakten aus der Konfetti-Kanone

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Freitag, 19. Februar 2016
Freitag, 19. Februar 2016
Zurück zur Übersicht

Die letzten Narrenrufe des Umzuges klingen dumpf in der vortäglichen Erinnerung ab; nur ein Datenschutzbeauftragter im Thüringer Ort Dermbach ist am Morgen nach dem Karneval mit einem besonders schweren Kater in seinem ganz persönlichen Albtraum erwacht… Denn das, was am Tag zuvor als bunte Schnipsel in die „Helau und Alaaf“ jauchzende Menge katapultiert wurde, entpuppte sich am Morgen danach als schlecht zerkleinerte Patientenakten.

Das Thüringer Datendebakel und warum nicht jeder Papierschnipsel als Konfetti geeignet ist, thematisieren wir heute auf der InfoBase.

Kamelle beinhaltet Daten von Patienten

Das Spektakel um das Karnevalskonfetti in dem Thüringer Ort Dermbach wäre nicht der Rede wert gewesen, wären die Patientenakten des Klinikums Bad Salzungen nur fachgerecht zerkleinert worden. Doch dem war nicht so. Daher kam es wie es kommen musste, als in der vergangenen Woche – unter Missachtung sämtlicher Vorschriften – geschredderte Patientenakten mit Konfetti-Kanonen in die Thüringer Karnevalsgesellschaft katapultiert wurden.

Einer Anwohnerin des Kleinstädtchens ist am Morgen nach dem großen Karneval-Tohuwabohu beim Fegen ein Konfettischnipsel mit dem Namen ihrer Schwester vor die Füße gefallen. Entgegen datenschutzrechtlicher Vorgaben, waren auf den Resten der Akten einzelne Namen, Adressen und Telefonnummern von Patienten und Ärzten deutlich lesbar. So wurde das Debakel der datenschutzwidrig entsorgten Krankenakten mit einem Mal an die Öffentlichkeit gezerrt und mit ihm mögliche rechtliche sowie finanzielle Folgen, für die der zuständige Datenschutzbeauftragte wohl seinen Kopf hinhalten muss.

Akten nicht ordnungsgemäß zerkleinert

Denn wenn vertrauliche Daten entsorgt (das heißt in diesem Fall: zerkleinert) werden, dann muss dies in vorgeschriebenen Größen geschehen, wie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik nachzulesen ist. Es gibt, abhängig von der Sicherheitsstufe und der Vertraulichkeit der Daten, unterschiedliche Angaben zu der Partikelgröße, in die Akten zu zerkleinern sind. So heißt es:

„In der Norm DIN 66399:2012 ‚Vernichten von Datenträgern‘ sind drei Schutzklassen und sieben Sicherheitsstufen definiert. Grundlage für die Zuordnung in eine Schutzklasse ist der Schutzbedarf der Daten. Die Norm benennt für jede Schutzklasse die zugehörigen Sicherheitsstufen und damit die Größe der von den Aktenvernichtern erzeugten Partikel. In den niedrigeren Sicherheitsstufen gibt es Aktenvernichter, die das Material in Streifen schneiden (Streifenschnitt). In den höheren Sicherheitsstufen solche, die durch eine andere Schnitttechnik Partikel erzeugen (z. B. Kreuzschnitt) […].“

Diese festen Vorschriften zur Entsorgung sind im Fall des Thüringer Karneval-Konfettis nicht eingehalten worden. Nach einer genaueren Prüfung hat das für die Patientenakten zuständige Thüringer Klinikum feststellen müssen, dass die Daten nicht ordnungsgemäß entsorgt wurden – ein absoluter Super-GAU für den zuständigen Datenschutzbeauftragten.

Missachtung des Datenschutzes

Wenn schlecht geschredderte Krankenakten als Konfetti auf der Straße landen, dann ist der Schaden auch auf Patientenseite groß. Denn was nach dem Karnevalszug zurückbleibt, sind für jedermann einsehbare Namen und Krankheitsgeschichten von Patienten – Informationen und Daten von Privatpersonen, die nicht für die Öffentlichkeit gedacht sind. Derartige Datenschutzrechtsverletzungen können nicht nur rechtliche, sondern auch finanzielle Konsequenzen nach sich ziehen.   

Wenn beispielsweise eine ehemalige Patientin des Krankenhauses erfährt, dass intime Angaben zu ihrem Krankheitsverlauf wie ein Puzzle für Karnevalisten einsehbar gewesen sind, kann es gut sein, dass sie von dem Krankenhaus Schadenersatz (in Form von Schmerzensgeld) fordert. In einem solchen Fall wird das Unternehmen wiederum auf den zuständigen Datenschutzbeauftragten zukommen.

Angestellte Datenschützer haften auch persönlich!

Wer nun glaubt, ein angestellter Datenschutzbeauftragter sei in einer solchen Situation vor Ansprüchen sicher, da er als Angestellter besonderen Schutz genieße, der irrt sich. Das hängt mit der besonderen Stellung zusammen, die Datenschutzbeauftragte in Unternehmen haben. Ein Angestellter ist in seiner Funktion als Datenschutzbeauftragter weisungsfrei, was bedeutet, dass er sich in Fragen des Datenschutzes nicht nach den Anweisungen der Chefetage richten muss. Deshalb haftet ein Datenschutzbeauftragter auch umfassender, als ein „normaler“ Arbeitnehmer und muss zum Beispiel bei grober Fahrlässigkeit auch mit seinem Privatvermögen geradestehen. Ob es sich bei der Konfetti-Aktion um grobe Fahrlässigkeit gehandelt hat, müssen im Zweifel Richter entscheiden.

Interner Datenschutzbeauftragter

Wer den Posten des Datenschutzbeauftragten in einem Unternehmen übernimmt, sollte sich also dringend um eine geeignete Absicherung kümmern. Mit der persönlichen D&O-Versicherung über exali.de kann sich der Beauftragte durch einen eigenen Vertrag bei einer persönlichen Inanspruchnahme absichern. Zudem beinhaltet die D&O-Versicherung einen passiven Rechtsschutz, der vor ungerechtfertigten Ansprüchen schützt.

Sofern das Unternehmen selbst eine so genannte Firmen D&O-Versicherung abschließt, ist darüber auch der angestellte Datenschützer mitversichert.

Externer Datenschutzbeauftragte

Als selbständiger Datenschutzbeauftragter ist die Haftungssituation noch einmal deutlich risikoreicher. In diesem Fall haftet der Selbständige nicht nur bei grober Fahrlässigkeit, sondern bei jedem beruflichen Versehen, das zu einem Schadenersatzanspruch von Dritten führt.

Die Consulting-Haftpflicht bietet selbständigen Datenschutzbeauftragten deshalb umfassenden Versicherungsschutz bei Schadenersatzansprüchen Dritter und bestimmten Eigenschäden. 

Weiterführende Informationen:

  • Die verrücktesten Datenunfälle aus dem Jahr 2015 – eine etwas andere Hitliste
  • Das größte Risiko droht sonntags! Auf den Spuren der gefährlichsten DDos-Attacken
  • Daten als Geiseln: die perfide Erpressungsmasche mit Ransomware – Teil 1 des Interviews mit 

© Hannah Ziegler – exali AG

vorheriger Artikel
 
zurück
 
nächster Artikel
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
Kooperationspartner
Kooperationspartner
Kooperationspartner

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Cyber-Versicherung
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren
  • RSS Feed abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • Kontist
  • sevDesk
  • Kooperationspartner werden

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben
Choose the location of your headquarter
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.
Depending on your country, the insurance offered by exali may vary slightly. Please select the country where you have your headquarter to get the offer that suits you best.