Womöglich Datenleck bei „Dr. Ansay“: Ihre Rechte und mögliche Ansprüche
Wie unter anderem die Frankfurter Rundschau am 24.05.2024 berichtete, soll es in einem gravierenden Fall zu einem Datenleck und hierdurch zu einer Veröffentlichung von hunderten Rezepten auf der Telemedizin-Plattform „Dr. Ansay“ gekommen sein, wodurch im Internet die Rezepte und personenbezogene Daten der Patienten frei zugänglich gewesen seien. Dieses Ereignis, das am 14. Mai öffentlich wurde und über das die Plattform Dr. Ansay in einem Update vom 17.05.2024 selbst informierte, betrifft nicht nur sensible Gesundheitsdaten, sondern auch persönliche Informationen wie Name, Adresse und Geburtsdatum. Die Veröffentlichung dieser Daten stellt einen schwerwiegender Verstoß gegen Vorschriften des Datenschutzes, aber auch zugleich eine Verletzung des allgemeinen Persönlichkeitsrechts der betroffenen Personen dar. Mittlerweile sollen die Rezepte nicht mehr für unbefugte Dritte online aufrufbar und auch die personenbezogenen Daten der Betroffenen nicht länger für diese einsehbar sein.
Welche Daten wurden offengelegt?
Über den Vorschaumodus der Suchmaschinen sollen folgende Daten frei einsehbar gewesen sein:
- Namen
- Adressen
- Geburtsdaten
- Angaben zum bestellten Cannabis
Mögliche Ansprüche nach der DSGVO
Betroffene Personen haben nach der Datenschutzgrundverordnung (DSGVO) verschiedene Rechte und mögliche Ansprüche, die sie auch in diesem Fall geltend machen können:
Recht auf Auskunft (Art. 15 DSGVO): Betroffene können von „Dr. Ansay“ verlangen, Auskunft darüber zu erhalten, welche personenbezogenen Daten von ihnen verarbeitet und an wen diese Daten möglicherweise weitergegeben wurden.
Recht auf Löschung (Art. 17 DSGVO): Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, sofern und soweit diese nicht der Bearbeitung der Medikamentenbestellung dient. Dies gilt hier insbesondere für den Fall, dass weiterhin personenbezogene Daten aus den gegenständlichen Rezepten im Internet für Dritte abruf- oder einsehbar sein sollten.
Schadensersatzansprüche (Art. 82 DSGVO i.V.m. Art. 32 DSGVO)
Die DSGVO sieht in Art. 32 DSGVO vor, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, sodass die erhobenen und verarbeiteten personenbezogenen Daten vor dem unberechtigten Zugriff Dritter geschützt sind. Wird gegen diese Vorschrift verstoßen, da etwa keine ausreichenden Sicherheitsvorkehrungen getroffen wurden, um die personenbezogenen Daten zu schützen und gelangen diese deshalb in unberechtigterweise zur Kenntnis Dritter, haben betroffene Personen einen Anspruch auf Schadensersatz, wenn sie durch eben diese Datenschutzverletzung einen materiellen oder immateriellen Schaden erlitten haben. Im Fall von „Dr. Ansay“ könnte es deshalb zur Offenlegung der Gesundheitsdaten und persönlichen Informationen gekommen sein, da die Plattform womöglich nicht hinreichend vor dem Zugriff unberechtigter Dritter geschützt war. Die Veröffentlichung der sensiblen Daten könnte für Betroffene erhebliche negative Folgen haben, die einen Schadensersatzanspruch begründen würden. Dies deshalb, da es bei Kenntniserlangung dieser sensiblen Gesundheitsdaten durch Dritte zu nachteiligen Konsequenzen für die Betroffenen im alltäglichen Leben kommen kann. Diese Konsequenzen könnten von einer gesellschaftlichen Benachteiligung bis hin zu arbeitsrechtlichen Konsequenzen reichen, sollte etwa der Arbeitgeber Kenntnis darüber erlangt haben, dass ein vom Datenleck betroffener Angestellter Cannabis konsumiert.
Handlungsempfehlungen
Kontaktaufnahme mit der Datenschutzbehörde: Betroffene sollten sich an die zuständige Datenschutzbehörde, in diesem Fall die Landesdatenschutzstelle Hamburg, wenden. Diese Behörde kann Untersuchungen einleiten und Maßnahmen ergreifen, um den Datenschutzverstoß zu ahnden.
Rechtliche Beratung und Unterstützung: Ich empfehle betroffenen Personen, sich rechtlich beraten zu lassen, um ihre Ansprüche nach der DSGVO durchzusetzen. Als Rechtsanwalt im Medizinrecht bin ich mit der Problematik der unberechtigten Veröffentlichung sensibler Gesundheitsdaten vertraut und unterstütze Sie daher gerne dabei, Ihre Rechte geltend zu machen und mögliche Schadensersatzansprüche zu prüfen.
Dokumentation des Schadens: Dokumentieren Sie bitte alle Ihnen bekannten und relevanten Informationen und Schäden, die Ihnen durch das Datenleck entstanden sind. Dies kann bei der Durchsetzung von Schadensersatzansprüchen hilfreich sein.
Mein Ratschlag
Nehmen Sie als betroffene Person unverzüglich Kontakt zu einem Rechtsanwalt auf, der mit datenschutzrechtlichen Angelegenheiten, insbesondere auch mit der Bedeutung gesundheitsspezifischer Daten vertraut ist und lassen Sie dort Ihre Rechte prüfen und etwaige Ansprüche durchzusetzen.
Ich bin für Sie da, um Ihre Rechte zu schützen und Sie umfassend zu beraten. Lassen Sie uns gemeinsam sicherstellen, dass Datenschutzverletzungen wie diese nicht ohne Konsequenzen bleiben.