Cyberangriffe und Beschwerden wegen digitalen Terminerinnerungen
Im Jahr 2023 hat es zunehmend kriminelle Cyberangriffe auf Gesundheitseinrichtungen gegeben, wie aus dem Jahresbericht für Datenschutz in Bremen hervorgeht. Aber auch Beschwerden über digitale Terminerinnerungen von Arztpraxen wurden an die Bremer Datenschutzbehörde herangetragen.
Im Februar 2024 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremens (LfDI) Dr. Imke Sommer den 6. Datenschutz-Jahresbericht seit der Einführung der Datenschutzgrundverordnung (DSGVO) vorgestellt. Der Bericht zeigt die Schritte zur Stärkung des Datenschutzes in Bremen im Jahr 2023 auf. Insgesamt wurden 588 Beschwerden an sie herangetragen. Ein Großteil kam aus dem Bereich Gesundheit und Soziales. Dort wurden insgesamt 27 Datenschutzverletzungen gemeldet. Neben Fehlsendungen und Diebstählen von Datenträgern fiel auf, dass Gesundheitseinrichtungen vermehrt Opfer von Cyberangriffen geworden sind.
Phishing-Attacken und Hackerangriffe
Auffällig war, dass im Vergleich zu vorherigen Jahren vermehrt Vorfälle von Cyberkriminalität bei Gesundheitseinrichtungen gemeldet wurden. Die Angriffe erfolgten in Form von Phishing-Attacken oder auch gezielten Hackerangriffen. Der Schaden für die betroffenen Personen ist in solchen Fällen häufig nicht unmittelbar spürbar, heißt es in dem Bericht. Wenn der Angriff mit einem Abfluss von sensiblen Gesundheitsdaten einhergeht, führe dies jedoch zu einem Kontrollverlust über Daten, die ursprünglich nur für Kenntnis eines Berufsgeheimnisträgers bestimmt waren. Dies könne zu einem erheblichen Vertrauensverlust in die verantwortlichen Stellen führen, mahnt die Datenschutzbeauftragte in Bremen.
Um im Falle eines Angriffs die nötigen Schritte parat zu haben, empfiehlt die Datenschutzbehörde, dass sich Verantwortliche frühzeitig mit der Gefahr von Cyberangriffen auseinandersetzen und Strategien und Konzepte für den Ernstfall entwickeln.
Versand von Terminerinnerungen kommt nicht immer gut an
Regelmäßig erreichte die Bremer Behörde Beschwerden über den Versand von Terminerinnerungen per E-Mail und/oder SMS durch Arztpraxen oder Krankenhäuser. In vielen Fällen werden Dienstleister mit dieser Aufgabe beauftragt. Patientinnen und Patienten beklagten häufig, nicht darüber informiert worden zu sein, dass ihre Termindaten zu diesem Zweck an ein Unternehmen übertragen werden.
Das Versenden von Terminerinnerungen stelle eine Zusatzleistung von Praxen dar, welche nicht Teil der ärztlichen Behandlung ist, sagt die Datenschutzbehörde. Die Verarbeitung von Kontaktdaten wie E-Mail-Adressen und Telefonnummern sei daher zu diesem Zweck nur zulässig, wenn die Patientin oder der Patient gegenüber der Praxis in die Datenverarbeitung eingewilligt hat. Die Einwilligung müsse informiert erfolgen, was auch eine Information darüber erfordert, dass die Erinnerungen nicht von der Praxis selbst, sondern von einem Dienstleister verschickt werden. Praxen sollten Einwilligungen schriftlich einholen oder zumindest schriftlich dokumentieren.
Praxisinhaber verantwortlich
Die Praxis oder das Krankenhaus bleibt für die datenschutzkonforme Verarbeitung der Patientendaten verantwortlich. Ein besonderes Augenmerk sollte daher auf die Auswahl des Dienstleisters gelegt werden, rät die Datenschutzbeauftragte. Es müsse u. a. sichergestellt sein, dass nur diejenigen Daten an den Dienstleister übertragen werden, die dieser für die Erfüllung seiner Aufgabe benötigt. Zudem müssen sich auch die Geheimhaltungspflichten auf den Dienstleister und möglichen Unterauftragnehmer erstrecken. Die konkrete Datenverarbeitung sowie die Rechte und Pflichten der Parteien sind in einer Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO festzuhalten, sagt Bremens Datenschutzbeauftragte.
—
6. Jahresbericht der Landesbeauftragten für Datenschutz nach der Europäischen Datenschutzgrundverordnung
Quelle: Die Landesbeauftragte für Datenschutz und Informationsfreiheit
