Datensicherung verloren?
Hallo zusammen
ich arbeite in einer Praxis, wo wir mit Patienten und Ihre Daten zutun haben. Nun führen wir täglich eine Datensicherunng und speichern die Daten in einer externen Festplatte ab. Die externe Festplatte habe ich heute im Zug vergessen. Welches Problem stellt das dar? Hat das schlimme Konsequenzen?
Sind die Daten auf der Platte wenigstens verschlüsselt?
Die müssten tatsächlich verschlüsselt sein, da es von einer professionellen Firma durchgeführt wurde.
7 Antworten
Man kann es so oder so sehen...
Hast du die Festplatte aus eigenem Entschluss mit in den Zug genommen? Dann trägst du die Verantwortung und damit auch die Konsequenzen... Auch wenn die Daten verschlüsselt sind, ist das letztlich nur eine Sperre auf Zeit, nicht aber auf "ob" man die Daten entschlüsseln kann. Das kann schwerwiegende datenschutzrechtliche Konsequenzen haben.
Wenn man aber die Festplatte auf Anweisung des Arbeitgebers mit in den Zug genommen hat: Ja, dann ist das wieder etwas anderes. Der Arbeitgeber hätte damit rechnen müssen, dass die Festplatte gestohlen werden könnte. Da es sich nicht um ein Notebook o.ä. handelt, das sich "selbst zerstören" kann, sind die Daten offen, sobald man die Verschlüsselung umgangen hat.
Ich gehe zwar davon aus, dass die Verschlüsselung, wenn sie tatsächlich von einer professionellen Firma durchgeführt wurde, einem Einbruch standhält. Gut ist es definitiv nicht.
Auf jeden Fall gehört eine solche Festplatte nicht in einen Zug. Die Daten bzw. das Backup der Daten sollten sich niemals in der Öffentlichkeit befinden. Egal ob im Auto oder im Zug.
Ein Backup gehört an einen festen (und sicheren) Ort, wo es "eingeschlossen" werden kann.
Wenn selbst das nicht funktioniert, sollte man nicht mit Patientendaten umgehen dürfen.
Ich geb dir zu 99% recht.
Aber:
Ein gutes Backup wird an einem zweiten Ort aufbewahrt. Das heißt es darf auch transportiert werden. Klar sollte man dann entsprechend drauf aufpassen.
Naja - das klingt nicht gerade DSGVO-konform, vor allem: da medizinische Daten.
Kurz: Ja, Du könntest Probleme bekommen - vor allem wenn die Daten nicht adäquat verschlüsselt waren.
Natürlich musst Du alle betroffenen Personen (Patienten!) über den Verlust informieren. Sonst wird es richtig strafrechtlich relevant.
Klar - kannste machen, wenn Du das Strafmaß nach oben korrigieren möchtest.
Es wäre schon kritisch, wenn es normale personenbezogene Daten wären(!) - es handelt sich um medizinische Unterlagen, bei deren Entsorgung weder Verschlüsseln noch Löschen ausreichend ist - diese Datenträger müssen physisch vernichtet werden - was jetzt nicht mehr möglich ist.
(Solche Daten hätte auch erst recht nicht "via Zug transportiert" gehört!)
Zu warten, bis der Verlust zufällig im Darknet auftaucht macht sich nicht gut - ganz und gar nicht. 🤷♂️
Sagen wir es mal so: Wenn die Daten nicht sicher verschlüsselt waren, halt deine Praxis ganz massiv etwas verkehrt gemacht.
Fehler passieren. Dafür, dass solche Fehler keine ganz extremen Konsequenzen haben, müssen organisatorische und technische Vorkehrungen getroffen werden (insbesondere eben durch Verschlüsselung).
Die Kosten für eine neue Festplatte wird die Praxis wohl verkraften. Ohnehin ist wahrscheinlich, dass jemand die Festplatte gefunden und abgegeben hat. Morgen einfach mal bei der Bahn anrufen.
Wichtig ist, dass du unverzüglich deinen Arbeitgeber informierst, damit er ggf. Maßnahmen ergreifen kann, um einen weitergehenden Schaden zu verhindern.
----
Mal ganz grundsätzlich noch in den Raum geworfen: Es gibt keinen absolut sicheren Aufbewahrungsort. Wir hatten einen Teil unserer Sicherungsfestplatten im Büro in einem großen und sicheren Tresor eingeschlossen. Tja, jetzt wissen wir, dass es keine gute Idee war, die Festplatten zusammen mit dem Geld zu lagern - wir hatten letzte Woche drei fleißige Leute zu Besuch, die den gesamten Tresor rausgeschleppt haben.
Wenn die Daten verschlüsselt sind, dann ist das doo für die Festplatte, aber nicht schlimm.
Wenn die Platte nicht verschlüsselt ist und ein finder theoretisch an Daten kommen könnte, dann ist das ein Datenschutzvorfall, der meldepflichtig ist.
Die Praxis müsste ein Datenschutzbeauftragten haben. Den umgehend informieren und der wird wissen was zu tun ist.
Mindestens die Landesdatenschutzbehörde wird informiert werden müssen. Evtl, weil es sich um Gesundheitsdaten handelt, müssen noch andere Stellen informiert werden.
Jup. Du hast Sensitive Daten von Patienten Veruntreut, Möglichen Schaden Verursacht wenn der Backup mal gebraucht wird, und da es nicht mal Verschlüsselt ist hast du wohl auch die Schweigepflicht indirekt Verbrochen
Ja und nein. Die Info an Patienten und alle anderen Betroffenen muss erst raus, wenn die Daten wirklich extern bekannt werden können.
Wenn die Daten so ordentlich verschlüsselt sind, dann muss das nicht unbedingt sein.