Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

Die Mappe mit den Tagesrezepten bleibt im aufgebrochenen Lieferwagen, der Kostenvoranschlag geht an die falsche Faxnummer, und am Montagmorgen startet das Warenwirtschaftssystem nicht mehr, dafür liegt eine Erpressernachricht auf dem Bildschirm: Datenpannen passieren auch im bestorganisierten Sanitätshaus, und weil dabei fast immer Gesundheitsdaten betroffen sind, läuft ab Kenntnis eine harte Frist: 72 Stunden bis zur Meldung an die Aufsichtsbehörde. Wer dann erst überlegt, wer zuständig ist und was überhaupt zu melden wäre, verliert die entscheidende Zeit. Dieser Beitrag erklärt, was rechtlich als Datenpanne gilt, welche Szenarien im Sanitätshaus typisch sind, wann gemeldet werden muss und wie der Sofortmaßnahmen-Fahrplan für die ersten 72 Stunden aussieht.

Was eine Datenpanne ist und warum im Sanitätshaus fast immer Gesundheitsdaten betroffen sind

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden: Daten geraten an Unbefugte, werden unbefugt verändert oder gehen verloren beziehungsweise sind nicht mehr zugänglich (Art. 4 Nr. 12 DSGVO). Wichtig ist die Breite dieses Begriffs: Auch der verschlüsselte Server, auf den nach einem Angriff niemand mehr zugreifen kann, ist eine Datenpanne, selbst wenn nichts abgeflossen ist, denn die Verfügbarkeit ist verletzt.

Im Sanitätshaus kommt die branchentypische Verschärfung hinzu: Rezepte, Kostenvoranschläge, Versorgungsdokumentationen und Abrechnungen enthalten Diagnosen und Verordnungen, also Gesundheitsdaten nach Art. 9 DSGVO. Bei dieser Datenkategorie fällt die Risikobewertung selten zugunsten der Stille aus: Was im Bürobetrieb vielleicht als risikolos durchginge, ist mit Gesundheitsbezug regelmäßig meldepflichtig. Welche Grundpflichten für Sanitätshäuser insgesamt gelten, lesen Sie in unserem Grundlagenbeitrag zum Datenschutz im Sanitätshaus.

Die typischen Szenarien im Sanitätshaus

  • Verlorene Rezepte und Unterlagen: Die Rezeptmappe verschwindet aus dem Fahrzeug, ein Ordner bleibt nach Filialumbau im Altpapier, Unterlagen werden beim falschen Kunden abgegeben. Klassiker mit Papierbezug, fast immer mit Diagnose und Verordnung, und damit meldepflichtig, sobald ein Zugriff Unbefugter nicht ausgeschlossen werden kann. Die Prävention beschreibt unser Beitrag zum Homecare-Außendienst: Tagesbedarf statt Aktenkoffer, verschlossene Box, nichts über Nacht im Auto.
  • Fehlversand von Abrechnungen und Kostenvoranschlägen:Die E-Mail mit dem Kostenvoranschlag geht an den falschen Empfänger, das Fax an die alte Arztnummer, der Serienbrief vertauscht Fenster und Inhalt, oder der Newsletter setzt alle Kunden sichtbar in CC. Der häufigste Pannentyp überhaupt. Entscheidend für die Bewertung: Wer hat es erhalten, und lässt sich die Löschung verlässlich bestätigen?
  • Angriff auf Warenwirtschaft und Branchensoftware: Ransomware verschlüsselt das System, Zugangsdaten werden abgephisht, oder ein Einbruch in den Server legt Kundendaten offen. Hier sind regelmäßig alle Kunden gleichzeitig betroffen, häufig inklusive möglicher Datenexfiltration, das ist der Fall mit dem höchsten Melde- und Benachrichtigungsdruck.
  • Verlorene Geräte: Das Außendienst-Tablet oder Diensthandy verschwindet. Ob daraus eine meldepflichtige Panne wird, hängt direkt von der Vorsorge ab: Ein verschlüsseltes, gesperrtes Gerät mit Fernlöschung kann die Risikobewertung entscheidend entschärfen, das ungesicherte Gerät nicht
  • Messenger und Mail im Alltag: Das Rezeptfoto im falschen Chat, die Wundaufnahme an die private Nummer, die unverschlüsselte Mail mit Versorgungsdetails an den falschen Verteiler. Warum diese Kanäle strukturell heikel sind und wie der Umstieg gelingt, zeigt unser Beitrag zu WhatsApp und Rezeptfotos im Sanitätshaus.

Melden oder nicht? Die Risikobeurteilung nach Art. 33 und 34 DSGVO

Die Systematik ist dreistufig. Stufe eins: Jede Datenpanne, auch die nicht meldepflichtige, wird intern dokumentiert, mit Hergang, Auswirkungen und Abhilfemaßnahmen (Art. 33 Abs. 5 DSGVO); dieses Pannenregister ist der Nachweis gegenüber der Behörde, dass die Einrichtung ihre Fälle im Griff hat. Stufe zwei: Die Meldung an die Aufsichtsbehörde binnen 72 Stunden unterbleibt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Betroffenen führt, die Ausnahme ist also begründungsbedürftig, nicht die Meldung. Bei Gesundheitsdaten ohne wirksame Verschlüsselung ist ein Risiko kaum je auszuschließen. Stufe drei: Besteht voraussichtlich ein hohes Risiko, etwa weil Diagnosen in fremde Hände gelangt sind und Missbrauch oder Bloßstellung drohen, sind zusätzlich die betroffenen Kunden unverzüglich und in klarer Sprache zu benachrichtigen (Art. 34 DSGVO).

Zur Frist selbst: Sie beginnt mit der Kenntnis, also sobald hinreichende Sicherheit besteht, dass eine Verletzung vorliegt, und sie läuft auch über das Wochenende. Ist die Aufklärung nach 72 Stunden nicht abgeschlossen, wird zunächst gemeldet, was bekannt ist, und schrittweise nachgeliefert (Art. 33 Abs. 4 DSGVO); die unvollständige fristgerechte Meldung ist immer besser als die vollständige verspätete. Und ein Punkt, der in der Praxis Mut macht: Sanktioniert wird in aller Regel nicht die gemeldete Panne, sondern die verschleppte oder vertuschte, die unterlassene Meldung ist selbst bußgeldbewehrt.

Der Sofortmaßnahmen-Fahrplan: Die ersten 72 Stunden

  • 1. Eindämmen: Zuerst wird der Schaden gestoppt: Fernlöschung beim verlorenen Gerät, Passwort- und Zugangssperren bei kompromittierten Konten, Systeme vom Netz nehmen bei laufendem Angriff, beim Fehlversand den Empfänger kontaktieren und die Löschung schriftlich bestätigen lassen.
  • 2. Intern melden: Jeder Mitarbeiter meldet den Vorfall sofort an die definierte Stelle, ohne Angst vor Schuldzuweisungen; eine sanktionsfreie Meldekultur ist die wichtigste Früherkennung. Der Datenschutzbeauftragte wird unverzüglich eingebunden.
  • 3. Bewerten und dokumentieren: Was ist passiert, welche Daten und wie viele Personen sind betroffen, welches Risiko entsteht? Die Bewertung wird schriftlich festgehalten, auch wenn das Ergebnis „keine Meldepflicht“ lautet.
  • 4. Fristgerecht melden: Bei Risiko erfolgt die Meldung an die zuständige Landesdatenschutzbehörde über deren Online-Formular, binnen 72 Stunden ab Kenntnis, notfalls in Etappen. Inhalt: Art der Verletzung, betroffene Datenkategorien und Personenzahl, wahrscheinliche Folgen, ergriffene Maßnahmen, Kontakt des Datenschutzbeauftragten.
  • 5. Betroffene informieren: Bei hohem Risiko werden die betroffenen Kunden direkt, verständlich und ohne Beschönigung informiert: was passiert ist, was es für sie bedeuten kann, was das Haus tut und was sie selbst tun können.
  • 6. Ursachen beheben: Nach der Akutphase folgt die Aufarbeitung: Welche Schwachstelle hat die Panne ermöglicht, welche Maßnahme verhindert die Wiederholung? Das Ergebnis fließt in TOMs, Schulung und gegebenenfalls Verträge ein und wird im Pannenregister vermerkt.

Zwei Sonderfälle: Ransomware und Pannen beim Dienstleister

Beim Ransomware-Angriff gelten drei Zusatzregeln. Erstens: Auch ohne nachgewiesenen Datenabfluss liegt durch den Verfügbarkeitsverlust eine Datenpanne vor, und moderne Angreifer kopieren Daten regelmäßig vor der Verschlüsselung, im Zweifel ist von Exfiltration auszugehen. Zweitens: Neben der Datenschutzmeldung gehören Strafanzeige und gegebenenfalls die Unterstützungsangebote des BSI auf die Liste; auf Lösegeldforderungen wird nicht vorschnell eingegangen. Drittens entscheidet die Vorsorge über den Ausgang: getrennte, getestete Backups und ein Notfallplan, mit dem Abrechnung und Versorgung auch ohne System einige Tage weiterlaufen können.

Der zweite Sonderfall betrifft die Dienstleisterkette: Passiert die Panne beim Abrechnungszentrum, Software-Anbieter oder IT-Dienstleister, muss dieser als Auftragsverarbeiter den Vorfall unverzüglich an das Sanitätshaus melden (Art. 33 Abs. 2 DSGVO), die Meldung an die Behörde bleibt aber Sache des Sanitätshauses als Verantwortlichem, und die 72 Stunden laufen ab dessen Kenntnis. Der AV-Vertrag sollte dafür konkrete Meldefristen und Unterstützungspflichten des Dienstleisters enthalten; worauf es dabei ankommt, zeigt unser Beitrag zur Auftragsverarbeitung im Sanitätshaus.

Wann externe Unterstützung sinnvoll ist

Im Ernstfall entscheidet die Vorbereitung: Wer Meldekette, Bewertungsraster, Behördenkontakt und Textvorlagen erst sucht, wenn die Frist läuft, meldet zu spät oder falsch. Ein externer Datenschutzbeauftragter definiert den Notfallprozess im Voraus, übernimmt im Vorfall die Risikobewertung und formuliert beziehungsweise begleitet die Meldung an die Behörde und die Benachrichtigung der Kunden, mit der Routine aus vielen Fällen statt mit dem Puls des ersten Mals. zweiplus leistet genau das für Einrichtungen im Gesundheitswesen, TÜV-zertifiziert, von der kostenfreien Schutzbedarfsfeststellung über den Notfallplan bis zur Begleitung im konkreten Vorfall. Für KMU besteht zudem die Möglichkeit, Beratungsleistungen über das Förderprogramm der BAFA bezuschussen zu lassen. Ob eine Förderung in Frage kommt, klären wir im Erstgespräch.

Datenpannen lassen sich nicht vollständig verhindern, wohl aber beherrschen: Wer weiß, dass verlorene Rezepte, Fehlversand und Systemangriffe die typischen Szenarien sind, wer jede Panne dokumentiert, die Meldepflicht binnen 72 Stunden ernst nimmt und einen geübten Sechs-Schritte-Fahrplan besitzt, macht aus dem potenziellen Krisenfall einen geordneten Prozess. Die Aufsichtsbehörden honorieren genau das: schnelle, ehrliche Meldungen und erkennbare Vorsorge. Wer seinen Notfallprozess aufbauen oder testen lassen möchte, findet in zweiplus einen Partner mit nachgewiesener Branchenerfahrung. Nehmen Sie Kontakt auf, am besten bevor die erste Frist läuft.

FAQs – Häufig gestellte Fragen zur Datenpanne im Sanitätshaus

Jede Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten: der Zugriff Unbefugter, die unbefugte Veränderung, aber auch der bloße Verlust oder die Nichtverfügbarkeit, etwa durch Ransomware. Auf einen nachgewiesenen Missbrauch kommt es nicht an.

Binnen 72 Stunden ab Kenntnis, es sei denn, die Verletzung führt voraussichtlich zu keinem Risiko für die Betroffenen. Diese Ausnahme ist zu begründen und zu dokumentieren; bei unverschlüsselten Gesundheitsdaten wie Rezepten oder Kostenvoranschlägen lässt sich ein Risiko kaum je ausschließen.

Ab Kenntnis, also sobald mit hinreichender Sicherheit feststeht, dass eine Verletzung vorliegt, nicht erst nach vollständiger Aufklärung. Die Frist läuft auch über Wochenende und Feiertage. Ist die Analyse noch nicht abgeschlossen, wird fristgerecht gemeldet, was bekannt ist, und schrittweise ergänzt.

Nur bei voraussichtlich hohem Risiko, etwa wenn Diagnosen an Unbefugte gelangt sind und Missbrauch oder Bloßstellung drohen. Die Benachrichtigung erfolgt unverzüglich, direkt und in klarer Sprache: was passiert ist, welche Folgen möglich sind, was das Haus tut und was die Betroffenen selbst tun können.

Dokumentiert wird der Vorfall immer. Ob eine Meldung nötig ist, hängt von der Risikobewertung ab: Wirksame Verschlüsselung, aktive Sperre und erfolgreiche Fernlöschung können das Risiko so weit senken, dass die Meldung entbehrlich ist. Genau deshalb lohnt die technische Vorsorge doppelt.

Sofort den Empfänger kontaktieren, um Löschung bitten und sich diese schriftlich bestätigen lassen, den Vorfall dokumentieren und das Risiko bewerten. Bei Gesundheitsdaten an einen unbekannten oder nicht vertrauenswürdigen Empfänger ist regelmäßig zu melden; die bestätigte Löschung bei einem vertrauenswürdigen Fehlempfänger kann die Bewertung entschärfen.

Systeme isolieren, IT-Forensik und Datenschutzbeauftragten einbinden, binnen 72 Stunden melden, denn der Verfügbarkeitsverlust ist bereits eine Panne und eine Datenexfiltration im Zweifel anzunehmen. Hinzu kommen Strafanzeige und gegebenenfalls BSI-Unterstützung. Über den Ausgang entscheiden getestete Backups und ein Notfallplan für den Weiterbetrieb.

Der Dienstleister muss als Auftragsverarbeiter unverzüglich das Sanitätshaus informieren; die Meldung an die Aufsichtsbehörde bleibt Aufgabe des Sanitätshauses als Verantwortlichem, und die Frist läuft ab dessen Kenntnis. Der AV-Vertrag sollte dafür konkrete Meldefristen und Unterstützungspflichten enthalten.

Ja. Art. 33 Abs. 5 DSGVO verlangt ein internes Verzeichnis aller Verletzungen mit Hergang, Auswirkungen und Abhilfemaßnahmen, unabhängig von der Meldepflicht. Dieses Pannenregister ist zugleich der Nachweis gegenüber der Behörde, dass Vorfälle strukturiert behandelt werden.

Am besten vor dem ersten Vorfall: Ein externer Datenschutzbeauftragter definiert Meldekette, Bewertungsraster und Vorlagen, schult das Team auf die typischen Szenarien und übernimmt im Ernstfall Risikobewertung, Behördenmeldung und Kundenkommunikation. So bleibt aus den 72 Stunden genug Zeit für das Wesentliche.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.