Datenpanne im Sanitätshaus: Meldepflichten, Fristen und Sofortmaßnahmen
Die Mappe mit den Tagesrezepten bleibt im aufgebrochenen Lieferwagen, der Kostenvoranschlag geht an die falsche Faxnummer, und am Montagmorgen startet das Warenwirtschaftssystem nicht mehr, dafür liegt eine Erpressernachricht auf dem Bildschirm: Datenpannen passieren auch im bestorganisierten Sanitätshaus, und weil dabei fast immer Gesundheitsdaten betroffen sind, läuft ab Kenntnis eine harte Frist: 72 Stunden bis zur Meldung an die Aufsichtsbehörde. Wer dann erst überlegt, wer zuständig ist und was überhaupt zu melden wäre, verliert die entscheidende Zeit. Dieser Beitrag erklärt, was rechtlich als Datenpanne gilt, welche Szenarien im Sanitätshaus typisch sind, wann gemeldet werden muss und wie der Sofortmaßnahmen-Fahrplan für die ersten 72 Stunden aussieht.
Was eine Datenpanne ist und warum im Sanitätshaus fast immer Gesundheitsdaten betroffen sind
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden: Daten geraten an Unbefugte, werden unbefugt verändert oder gehen verloren beziehungsweise sind nicht mehr zugänglich (Art. 4 Nr. 12 DSGVO). Wichtig ist die Breite dieses Begriffs: Auch der verschlüsselte Server, auf den nach einem Angriff niemand mehr zugreifen kann, ist eine Datenpanne, selbst wenn nichts abgeflossen ist, denn die Verfügbarkeit ist verletzt.
Im Sanitätshaus kommt die branchentypische Verschärfung hinzu: Rezepte, Kostenvoranschläge, Versorgungsdokumentationen und Abrechnungen enthalten Diagnosen und Verordnungen, also Gesundheitsdaten nach Art. 9 DSGVO. Bei dieser Datenkategorie fällt die Risikobewertung selten zugunsten der Stille aus: Was im Bürobetrieb vielleicht als risikolos durchginge, ist mit Gesundheitsbezug regelmäßig meldepflichtig. Welche Grundpflichten für Sanitätshäuser insgesamt gelten, lesen Sie in unserem Grundlagenbeitrag zum Datenschutz im Sanitätshaus.
Die typischen Szenarien im Sanitätshaus
- Verlorene Rezepte und Unterlagen: Die Rezeptmappe verschwindet aus dem Fahrzeug, ein Ordner bleibt nach Filialumbau im Altpapier, Unterlagen werden beim falschen Kunden abgegeben. Klassiker mit Papierbezug, fast immer mit Diagnose und Verordnung, und damit meldepflichtig, sobald ein Zugriff Unbefugter nicht ausgeschlossen werden kann. Die Prävention beschreibt unser Beitrag zum Homecare-Außendienst: Tagesbedarf statt Aktenkoffer, verschlossene Box, nichts über Nacht im Auto.
- Fehlversand von Abrechnungen und Kostenvoranschlägen:Die E-Mail mit dem Kostenvoranschlag geht an den falschen Empfänger, das Fax an die alte Arztnummer, der Serienbrief vertauscht Fenster und Inhalt, oder der Newsletter setzt alle Kunden sichtbar in CC. Der häufigste Pannentyp überhaupt. Entscheidend für die Bewertung: Wer hat es erhalten, und lässt sich die Löschung verlässlich bestätigen?
- Angriff auf Warenwirtschaft und Branchensoftware: Ransomware verschlüsselt das System, Zugangsdaten werden abgephisht, oder ein Einbruch in den Server legt Kundendaten offen. Hier sind regelmäßig alle Kunden gleichzeitig betroffen, häufig inklusive möglicher Datenexfiltration, das ist der Fall mit dem höchsten Melde- und Benachrichtigungsdruck.
- Verlorene Geräte: Das Außendienst-Tablet oder Diensthandy verschwindet. Ob daraus eine meldepflichtige Panne wird, hängt direkt von der Vorsorge ab: Ein verschlüsseltes, gesperrtes Gerät mit Fernlöschung kann die Risikobewertung entscheidend entschärfen, das ungesicherte Gerät nicht
- Messenger und Mail im Alltag: Das Rezeptfoto im falschen Chat, die Wundaufnahme an die private Nummer, die unverschlüsselte Mail mit Versorgungsdetails an den falschen Verteiler. Warum diese Kanäle strukturell heikel sind und wie der Umstieg gelingt, zeigt unser Beitrag zu WhatsApp und Rezeptfotos im Sanitätshaus.
Melden oder nicht? Die Risikobeurteilung nach Art. 33 und 34 DSGVO
Die Systematik ist dreistufig. Stufe eins: Jede Datenpanne, auch die nicht meldepflichtige, wird intern dokumentiert, mit Hergang, Auswirkungen und Abhilfemaßnahmen (Art. 33 Abs. 5 DSGVO); dieses Pannenregister ist der Nachweis gegenüber der Behörde, dass die Einrichtung ihre Fälle im Griff hat. Stufe zwei: Die Meldung an die Aufsichtsbehörde binnen 72 Stunden unterbleibt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Betroffenen führt, die Ausnahme ist also begründungsbedürftig, nicht die Meldung. Bei Gesundheitsdaten ohne wirksame Verschlüsselung ist ein Risiko kaum je auszuschließen. Stufe drei: Besteht voraussichtlich ein hohes Risiko, etwa weil Diagnosen in fremde Hände gelangt sind und Missbrauch oder Bloßstellung drohen, sind zusätzlich die betroffenen Kunden unverzüglich und in klarer Sprache zu benachrichtigen (Art. 34 DSGVO).
Zur Frist selbst: Sie beginnt mit der Kenntnis, also sobald hinreichende Sicherheit besteht, dass eine Verletzung vorliegt, und sie läuft auch über das Wochenende. Ist die Aufklärung nach 72 Stunden nicht abgeschlossen, wird zunächst gemeldet, was bekannt ist, und schrittweise nachgeliefert (Art. 33 Abs. 4 DSGVO); die unvollständige fristgerechte Meldung ist immer besser als die vollständige verspätete. Und ein Punkt, der in der Praxis Mut macht: Sanktioniert wird in aller Regel nicht die gemeldete Panne, sondern die verschleppte oder vertuschte, die unterlassene Meldung ist selbst bußgeldbewehrt.
Der Sofortmaßnahmen-Fahrplan: Die ersten 72 Stunden
- 1. Eindämmen: Zuerst wird der Schaden gestoppt: Fernlöschung beim verlorenen Gerät, Passwort- und Zugangssperren bei kompromittierten Konten, Systeme vom Netz nehmen bei laufendem Angriff, beim Fehlversand den Empfänger kontaktieren und die Löschung schriftlich bestätigen lassen.
- 2. Intern melden: Jeder Mitarbeiter meldet den Vorfall sofort an die definierte Stelle, ohne Angst vor Schuldzuweisungen; eine sanktionsfreie Meldekultur ist die wichtigste Früherkennung. Der Datenschutzbeauftragte wird unverzüglich eingebunden.
- 3. Bewerten und dokumentieren: Was ist passiert, welche Daten und wie viele Personen sind betroffen, welches Risiko entsteht? Die Bewertung wird schriftlich festgehalten, auch wenn das Ergebnis „keine Meldepflicht“ lautet.
- 4. Fristgerecht melden: Bei Risiko erfolgt die Meldung an die zuständige Landesdatenschutzbehörde über deren Online-Formular, binnen 72 Stunden ab Kenntnis, notfalls in Etappen. Inhalt: Art der Verletzung, betroffene Datenkategorien und Personenzahl, wahrscheinliche Folgen, ergriffene Maßnahmen, Kontakt des Datenschutzbeauftragten.
- 5. Betroffene informieren: Bei hohem Risiko werden die betroffenen Kunden direkt, verständlich und ohne Beschönigung informiert: was passiert ist, was es für sie bedeuten kann, was das Haus tut und was sie selbst tun können.
- 6. Ursachen beheben: Nach der Akutphase folgt die Aufarbeitung: Welche Schwachstelle hat die Panne ermöglicht, welche Maßnahme verhindert die Wiederholung? Das Ergebnis fließt in TOMs, Schulung und gegebenenfalls Verträge ein und wird im Pannenregister vermerkt.
Zwei Sonderfälle: Ransomware und Pannen beim Dienstleister
Beim Ransomware-Angriff gelten drei Zusatzregeln. Erstens: Auch ohne nachgewiesenen Datenabfluss liegt durch den Verfügbarkeitsverlust eine Datenpanne vor, und moderne Angreifer kopieren Daten regelmäßig vor der Verschlüsselung, im Zweifel ist von Exfiltration auszugehen. Zweitens: Neben der Datenschutzmeldung gehören Strafanzeige und gegebenenfalls die Unterstützungsangebote des BSI auf die Liste; auf Lösegeldforderungen wird nicht vorschnell eingegangen. Drittens entscheidet die Vorsorge über den Ausgang: getrennte, getestete Backups und ein Notfallplan, mit dem Abrechnung und Versorgung auch ohne System einige Tage weiterlaufen können.
Der zweite Sonderfall betrifft die Dienstleisterkette: Passiert die Panne beim Abrechnungszentrum, Software-Anbieter oder IT-Dienstleister, muss dieser als Auftragsverarbeiter den Vorfall unverzüglich an das Sanitätshaus melden (Art. 33 Abs. 2 DSGVO), die Meldung an die Behörde bleibt aber Sache des Sanitätshauses als Verantwortlichem, und die 72 Stunden laufen ab dessen Kenntnis. Der AV-Vertrag sollte dafür konkrete Meldefristen und Unterstützungspflichten des Dienstleisters enthalten; worauf es dabei ankommt, zeigt unser Beitrag zur Auftragsverarbeitung im Sanitätshaus.
Wann externe Unterstützung sinnvoll ist
Im Ernstfall entscheidet die Vorbereitung: Wer Meldekette, Bewertungsraster, Behördenkontakt und Textvorlagen erst sucht, wenn die Frist läuft, meldet zu spät oder falsch. Ein externer Datenschutzbeauftragter definiert den Notfallprozess im Voraus, übernimmt im Vorfall die Risikobewertung und formuliert beziehungsweise begleitet die Meldung an die Behörde und die Benachrichtigung der Kunden, mit der Routine aus vielen Fällen statt mit dem Puls des ersten Mals. zweiplus leistet genau das für Einrichtungen im Gesundheitswesen, TÜV-zertifiziert, von der kostenfreien Schutzbedarfsfeststellung über den Notfallplan bis zur Begleitung im konkreten Vorfall. Für KMU besteht zudem die Möglichkeit, Beratungsleistungen über das Förderprogramm der BAFA bezuschussen zu lassen. Ob eine Förderung in Frage kommt, klären wir im Erstgespräch.
Fazit: Die Panne ist der Ausnahmefall, die Vorbereitung der Normalfall
Datenpannen lassen sich nicht vollständig verhindern, wohl aber beherrschen: Wer weiß, dass verlorene Rezepte, Fehlversand und Systemangriffe die typischen Szenarien sind, wer jede Panne dokumentiert, die Meldepflicht binnen 72 Stunden ernst nimmt und einen geübten Sechs-Schritte-Fahrplan besitzt, macht aus dem potenziellen Krisenfall einen geordneten Prozess. Die Aufsichtsbehörden honorieren genau das: schnelle, ehrliche Meldungen und erkennbare Vorsorge. Wer seinen Notfallprozess aufbauen oder testen lassen möchte, findet in zweiplus einen Partner mit nachgewiesener Branchenerfahrung. Nehmen Sie Kontakt auf, am besten bevor die erste Frist läuft.