Diebstahl von Notebooks mit sensiblen Gesundheitsdaten

Während des Berichtszeitraums meldete eine öffentliche Stelle in Sachsen den Diebstahl mehrerer Notebooks. Auf diesen befanden sich Datenbankreplikationen mit einer großen Anzahl von Gesundheitsdaten, insbesondere von Kindern. Eine interne Überprüfung ergab, dass die gestohlenen Notebooks nicht ausreichend verschlüsselt waren, wodurch ein unbefugter Zugriff auf die personenbezogenen Daten nicht ausgeschlossen werden konnte.

Die fehlende Verschlüsselung führte zu der Einschätzung, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen besteht. Gemäß Artikel 34 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) sind in solchen Fällen die betroffenen Personen unverzüglich zu benachrichtigen. Obwohl die ursprüngliche Meldung des Vorfalls bereits 2023 erfolgte, wurden im Berichtszeitraum zusätzliche Informationen bekannt, die eine Neubewertung des Risikos erforderlich machten. Trotz weiterer Prüfungen blieb die Einschätzung bestehen, dass eine Benachrichtigungspflicht gemäß Artikel 34 Absatz 1 DSGVO besteht.

Gesundheitsdaten zählen gemäß Artikel 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen daher einem erhöhten Schutz. Zudem sind Kinder gemäß Erwägungsgrund 75 DSGVO besonders schutzbedürftig. Diese Faktoren verstärken die Notwendigkeit, angemessene Sicherheitsmaßnahmen zu ergreifen und die betroffenen Personen bei Datenpannen zu informieren.

Aufgrund der festgestellten Risiken stellte die Aufsichtsbehörde eine Anweisung gemäß Artikel 58 Absatz 2 Buchstabe e in Verbindung mit Artikel 34 Absatz 4 DSGVO in Aussicht, die betroffenen Personen zu benachrichtigen. Nach Anhörung des Verantwortlichen wurde diese Anweisung erlassen. Gegen die Anordnung wurde Klage eingereicht, über deren Fortgang die Behörde berichten wird.

Dieser Vorfall unterstreicht die immense Bedeutung der Festplattenverschlüsselung für mobile Endgeräte wie Notebooks. Eine wirksame Verschlüsselung schützt personenbezogene Daten vor unbefugtem Zugriff, selbst wenn das Gerät in falsche Hände gerät. Das Fehlen einer solchen Maßnahme kann nicht nur zu Datenverlust und Vertrauensverlust führen, sondern auch rechtliche Konsequenzen nach sich ziehen.

Der geschilderte Fall ist kein Einzelfall. Bereits in der Vergangenheit gab es ähnliche Vorfälle, die die Notwendigkeit von Verschlüsselungsmaßnahmen verdeutlichen:

• Diebstahl von Patientenunterlagen aus Fahrzeugen: In mehreren Fällen wurden dienstliche Fahrzeuge aufgebrochen und dabei unverschlüsselte Patientenunterlagen gestohlen. Die Verantwortlichen mussten ihrer Meldepflicht gemäß Artikel 33 DSGVO nachkommen und prüfen, ob die betroffenen Personen zu benachrichtigen sind.
• Verlust von unverschlüsselten USB-Sticks: Ein häufiges Szenario ist der Verlust von USB-Sticks mit sensiblen Daten. Wenn diese nicht verschlüsselt sind, besteht die Gefahr, dass Unbefugte Zugriff auf personenbezogene Daten erhalten. In solchen Fällen ist eine Meldung der Datenpanne an die Aufsichtsbehörde erforderlich.
• Fehlende Festplattenverschlüsselung als Bußgeldrisiko: Unternehmen, die auf Laptops personenbezogene Daten ohne angemessene Verschlüsselung speichern, riskieren Bußgelder. Ein Beispiel ist eine polnische Gemeinde, gegen die ein Bußgeld verhängt wurde, weil gestohlene Laptops nicht verschlüsselt waren.
• Arzt verliert Laptop mit Patientendaten: Ein britischer Arzt verlor einen unverschlüsselten Laptop mit Daten von über 1.100 Patienten. Dies führte zu Disziplinarmaßnahmen und verdeutlicht die Notwendigkeit von Verschlüsselung im medizinischen Bereich.

Um derartige Vorfälle zu vermeiden, sollten Organisationen und Unternehmen folgende Maßnahmen ergreifen:

• Verpflichtende Festplattenverschlüsselung: Alle mobilen Geräte, die personenbezogene Daten speichern, sollten mit einer starken Verschlüsselung versehen sein. Dies stellt sicher, dass Daten bei Verlust oder Diebstahl des Geräts nicht ohne Weiteres ausgelesen werden können.
• Sichere Speicherung und Transport: Personenbezogene Daten sollten nur in verschlüsselter Form gespeichert und transportiert werden. Bei der Nutzung von USB-Sticks oder anderen mobilen Datenträgern ist darauf zu achten, dass diese ebenfalls verschlüsselt sind.
• Schulung der Mitarbeiter: Mitarbeiter sollten regelmäßig im sicheren Umgang mit personenbezogenen Daten geschult werden. Dazu gehört auch das Bewusstsein für die Risiken, die mit unverschlüsselten Datenträgern verbunden sind.
• Einhaltung der Meldepflichten: Im Falle einer Datenpanne sind die gesetzlichen Meldepflichten gemäß DSGVO einzuhalten. Dies beinhaltet die unverzügliche Information der Aufsichtsbehörde und gegebenenfalls der betroffenen Personen.

Der Diebstahl von Notebooks mit sensiblen Gesundheitsdaten in Sachsen zeigt eindrücklich die Bedeutung von effektiven Sicherheitsmaßnahmen wie der Festplattenverschlüsselung. Organisationen und Unternehmen müssen sich der Verantwortung bewusst sein, die mit der Verarbeitung personenbezogener Daten einhergeht, und entsprechende Vorkehrungen treffen, um Datenverluste zu verhindern und den gesetzlichen Anforderungen gerecht zu werden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle: Tätigkeitsbericht Sächsische Datenschutz- und Transparenzbeauftragte 2024