Die im August 2022 von der Aktivistengruppe Zerforschung aufgedeckten Sicherheitslücken in der Praxissoftware InSuite haben die Einsicht von Millionen Patientendaten ermöglicht. Dabei gehören Patientendaten zu den besonderen Arten personenbezogener Daten und sind durch den Datenschutz besonders geschützt. Solche Daten wecken unter anderem das Interesse von Arbeitgebern, Pharmaunternehmen und Versicherungen. Der Fall zeigt erneut, dass die Datenschutzrechte von Patienten durch Schwachstellen in Softwarelösungen von Arztpraxen und anderen Einrichtungen verletzt werden können. Ihr Rechtsanwalt für Datenschutz informiert Sie über Ihre Rechte bei der unrechtmäßigen Weitergabe von Patientendaten an Dritte und vertritt Sie bei Schadensersatzklagen!
Aktueller Fall: Wenn Patientendaten im Internet landen
Das Berliner Unternehmen Doc Cirrus entwickelt und verkauft die Praxissoftware inSuite an Arztpraxen. Diese soll den Arbeitsalltag unter anderem durch Terminbuchungen und die Option des Datenaustauschs erleichtern. Wie Sicherheitsexperten von Zerforschung jedoch zeigen konnten, war der Zugriff von Dritten auf Patientendaten über verschiedene Schwachstellen in der Praxissoftware möglich. 60.000 Patienten von mehr als 270 Arztpraxen waren betroffen. Wenn Hacker diese Schwachstellen ausgenutzt hätten, dann hätten beispielsweise Patientendaten im Internet landen und verkauft werden können. Zu den auslesbaren Informationen zählten unter anderem:
- Name
- Geburtsdatum
- Adresse
- Versicherungsstatus
- Diagnosen
- verschriebene Medikamente
- Behandlungsverläufe
- Laborbefunde
- Atteste
- die gesamte Kommunikation zwischen Arzt und Patient
Die Sicherheitsexperten informierten den Hersteller von inSuite darüber, dass aufgrund von Schwachstellen in der Praxissoftware Patientendaten im Internet landen können. Doc Cirrus fuhr das cloudbasierte System daraufhin vorübergehend herunter und beseitigte eigenen Angaben zufolge die entsprechenden Schwachstellen. Die bekannt gewordenen Sicherheitslücken seien zuvor nicht von Hackern missbraucht worden und es habe keine unrechtmäßige Weitergabe von Patientendaten an Dritte stattgefunden.
Das Problem: Softwareentwickler sind nicht verpflichtet, datenschutzkonforme Programme anzubieten – auch nicht, wenn diese sensible Daten verarbeiten. Stattdessen sind gemäß Datenschutzgrundverordnung (DSGVO) die Ärzte bzw. Arztpraxen für den Datenschutz verantwortlich und müssen überprüfen, ob eine Software datenschutzkonform ist.
Der Datenschutz bei Patientendaten: Ihre Rechte im Überblick
Informationen über Ihre Gesundheit unterliegen dem Arztgeheimnis. Die Patientendaten gehören zudem zu den besonderen Arten personenbezogener Daten. Die Erhebung, Speicherung, Nutzung und Weiterverarbeitung bzw. Weitergabe der Patientendaten ist damit an enge Voraussetzungen gebunden und bedarf Ihrer Zustimmung (oder muss nach einer gesetzlichen Regelung gestattet sein). Diese Voraussetzung wäre zum Beispiel erfüllt, wenn die Datenweitergabe mit lebenswichtigen Interessen der Patienten verbunden ist. Die Weitergabe von Patientendaten an Dritte ist nur in Ausnahmefällen erlaubt und setzt Ihre explizite Einwilligung voraus. In Arztpraxen und anderen medizinischen Einrichtungen müssen Patienten daher in der Regel eine Datenschutzerklärung unterschreiben. Für die Weitergabe Ihrer Patientendaten muss der Arzt von Ihnen eine Zustimmungserklärung unterschreiben lassen. Für ein ärztliches Gutachten können Sie Ihren Arzt gegebenenfalls von der Schweigepflicht entbinden. Darüber hinaus bedarf es für weitere Datenübermittlungen einer Einverständniserklärung zur Datenübermittlung.
Ausnahmen zum Datenschutz und Patientenrechten: Erlaubt ist die Weitergabe einzelner Patientendaten an Krankenkassen, das Gesundheitsamt (ggf. anonymisiert), bei Berufskrankheiten an Berufsgenossenschaften, an den medizinischen Dienst der Krankenversicherung und an Datenschutzbehörden. Der Empfänger und Sie als Patient müssen dabei über den Zweck der Datenübermittlung aufgeklärt werden.
Für Sie als Patient im Krankenhaus ist es rund um Ihre Patientenrechte und den Datenschutz wichtig zu wissen, dass der Datenschutz selbstverständlich auch hier gilt. So entbindet ein enges verwandtschaftliches Verhältnis die behandelnden Ärzte nicht von der Schweigepflicht! Ohne Ihre Zustimmung gilt die ärztliche Schweigepflicht ebenfalls gegenüber Ehepartnern und Kindern. Die unbefugte Weitergabe dieser Informationen ist ein Datenschutzverstoß. Ärzte machen sich strafbar und können auf Schadensersatz verklagt werden, wenn sie ohne Ihre Zustimmung Auskünfte geben und somit gegen die Patientenrechte und den Datenschutz verstoßen.
Beispiel: Schadensersatz bei unerlaubt übermittelten Patientendaten
Bei Nachweis eines Schadens kann der Verstoß gegen die datenschutzrechtlichen Vorschriften zum Ausgleich des Schadens führen. In der Vergangenheit ist dies unter anderem im Fall eines Psychotherapeuten geschehen. In diesem Fall hatte eine Patientin den Alkoholkonsum ihres Ehemannes in einer Sitzung beklagt, daraufhin nahm der Ehemann allein an einer Sitzung teil. In dieser diagnostizierte der Psychotherapeut Verhaltensauffälligkeiten. Das Paar trennte sich später und die Trennung mündete in einem Sorgerechtsstreit. Der Therapeut leitete die Befundergebnisse an den Rechtsanwalt der Ehefrau weiter. In der Folge klagte der Ehemann aufgrund der unrechtmäßigen Übermittlung seiner Patientendaten und forderte 5.000 Euro Schadensersatz. Der Psychotherapeut wurde in dem Rechtsstreit zu einer Zahlung in Höhe von 4.000 Euro verurteilt, weil nach Art. 9 Abs. 2 DSGVO keine Rechtsgrundlage für die Datenübermittlung vorlag.
Nimrod kontaktieren und vom Rechtsanwalt für Datenschutz vertreten lassen

In unserem Team der Nimrod Rechtsanwälte arbeiten TÜV-zertifizierte Datenschutzbeauftragte, die sich mit Ihren Rechten bei der unrechtmäßigen Weitergabe von Patientendaten an Dritte auskennen. Wenn Sie als Patient von der unbefugten Weitergabe von Patientendaten an Dritte betroffen sind, können Sie Schadensersatz verlangen. Unsere Rechtsanwälte für Datenschutz vertreten Sie bundesweit im Datenschutzrecht. Wir beraten Sie und leiten gegebenenfalls die nächsten Schritte zur Schadensersatzforderung ein. Füllen Sie dazu einfach das Kontaktformular unten auf der Seite aus. Wir melden uns schnellstmöglich bei Ihnen.
FAQ: Häufige Fragen zum Datenschutz bei Patientendaten
-
Wie kann mir ein Rechtsanwalt für Datenschutzrecht weiterhelfen?
Wurden Ihre Rechte im Umgang mit Ihren Patientendaten verletzt, lohnt sich die Beratung durch einen spezialisierten Rechtsanwalt für Datenschutz. Dieser schätzt für Sie ein, ob eine Datenschutzverletzung vorliegt, klärt Sie über Ihre Rechte auf und setzt ggf. Ihre Rechte vor Gericht für Sie durch. Hinweis: Die verauslagten Kosten müssen regelmäßig durch die Gegenseite erstattet werden.
-
Was ist das Datenschutzrecht?
Das Datenschutzrecht bewahrt Ihr Recht auf informelle Selbstbestimmung und schützt vor der Beeinträchtigung Ihres Persönlichkeitsrechts durch den missbräuchlichen Umgang mit Ihren personenbezogenen Daten. Bei Verstößen ist ein spezialisierter Rechtsanwalt für Datenschutzrecht Ihr richtiger Ansprechpartner.
-
Welches Vorgehen ist bei einer Datenschutzverletzung ratsam?
Als Betroffener sollten Sie den Arzt, die Arztpraxis oder das Krankenhaus mit dem Verstoß konfrontieren und Informationen einfordern. Zur Prüfung möglicher Schadensersatzansprüche ist Ihr spezialisierter Rechtsanwalt für Datenschutz für Sie da. Zusätzlich können Sie bei der zuständigen Datenschutzbehörde eine Beschwerde einlegen.
-
Was ist das Patientendaten-Schutz-Gesetz?
Das Patientendaten-Schutz-Gesetz verfolgt zwei Ziele: Einerseits ermöglicht es die Nutzung digitaler Angebote wie die elektronische Patientenakte (ePA) und das E-Rezept, andererseits soll es die Gesundheitsdaten bestmöglich schützen. Als Patient entscheiden Sie dann allein, welche Daten in der ePA gespeichert werden und können die Zugriffsrechte für jedes einzelne Dokument bestimmen.
Welche Patientendaten gelten als personenbezogene Daten?
Neben Namen, Geburtsdatum und Kontaktdaten gelten unter anderem auch Vorerkrankungen und die Krankengeschichte als personenbezogene Daten besonderer Art. Diese Patientendaten sind durch den Datenschutz besonders geschützt. Der behandelnde Arzt muss dafür sorgen, dass keine Weitergabe von Patientendaten an Dritte erfolgt.
Was ist das Auskunftsrecht?
Als Patient haben Sie nach § 639g BGB das Recht, Ihre Patientenakte selbst zu überprüfen – dies gilt zumindest am Ort der Arztpraxis. Wenn Sie die Übersendung von Kopien wünschen, müssen Sie dafür einen wichtigen Grund angeben. Bleibt die Übersendung der Unterlagen dann aus, hilft nur die gerichtliche Durchsetzung Ihrer Ansprüche. Falls die in der Patientenakte enthaltene Informationen unzulässig erhoben wurden, dürfen Sie die Löschung dieser Daten verlangen. Unter gewissen Umständen haben Sie auch das Recht, einzelne Inhalte sperren oder berichtigen zu lassen. Lassen Sie sich hierzu von unseren Rechtsanwälten für Datenschutzrecht beraten. Wir sind auf Fälle, in denen eine Weitergabe von Patientendaten an Dritte erfolgte, spezialisiert und helfen Ihnen kompetent und erfolgreich weiter.