Mit dem heutigen Blogbeitrag zur Serie der Datenpannen möchte ich über ein Mysterium aufklären, dem sicherlich viele von Ihnen Glauben schenken.
Wer ist, wenn aufgrund eines Fehlers in der Software, die Sie in Ihrem Haus nutzen, verantwortlich im Fall einer Datenpanne?
Stellen Sie sich folgendes vor:
Sie arbeiten in einer Arztpraxis, möchten mit dem Fortschritt gehen und haben dazu die Software „Doc Anatomy“ (Name frei erfunden) im Einsatz. Ein unabhängiges Kollektiv hat genauer beim deutschen Entwickler hingeschaut und festgestellt, dass aufgrund von Schwachstellen in der Software zeitweise Millionen von Patientendaten einsehbar waren – für den Arzt, aber auch für Interessierte oder Unbefugte. Die ganzen technischen Details, die zur Schwachstelle geführt haben und die weiteren Schritte, die im Anschluss eingeleitet wurden, erspare ich uns an dieser Stelle.
Der Name der Software ist zwar frei von mir erfunden, die Datenpanne allerdings war real. Patienten wurden laut Aussagen von deutschen Lokalsendern nicht informiert – die Softwarefirma dementiert dies. Zeitweise war die Software nicht zu erreichen, denn die Daten wurden nicht lokal, sondern in einer modernen Cloud gespeichert.
Was aber jederzeit auch Ihr Unternehmen, für das Sie verantwortlich sind oder in dem Sie arbeiten, treffen kann, ist die Tatsache, dass es bzw. Sie im Fall eines Datenverlusts aufgrund eines Softwarefehlers verantworlich im Fall einer Datenpanne ist.
Wie kann das sein? Nun- der Hersteller stellt lediglich die Software zur Verfügung und hat keinerlei Verpflichtung, diese datenschutzkonform zu gestalten. Das sollte er zwar tun, wenn er nennenswerten Marktanteil gewinnen möchte, muss es aber nicht. Der Anbieter haftet also nicht.
Als Nutzer der Software darf man sich nicht auf Zertifizierungen oder Gütesiegel verlassen. Vielmehr muss man in Eigenverantwortung prüfen, ob die Software, die zum Einsatz kommen soll, auch datenschutzkonform einsetzbar ist.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO sind hier die maßgeblichen Stichworte.
Übrigens: im Fall einer Datenpanne ist so zu verfahren, wie ich es im Blogbeitrag vom 08.09.2022 erklärt habe.
Sollte im oben beschriebenen Fall ein Schaden entstehen, könnten Sie als Verantwortliche versuchen, den Hersteller in Regress zu nehmen und die Schadenssumme einklagen. Dabei bleibt das Risiko, dass der Hersteller Schadenssummen über seine AGB begrenzt.
Sie fragen, wir antworten:
Leider hat mich in den letzten Wochen keine Frage erreicht, die ich heute beantworten könnte und die thematisch passend ist. Aus diesem Grund gibt es hier heute leider keinen Input. Damit diese Rubrik nicht einschläft, würde ich mich freuen, wenn Sie mir weiterhin Ihre Fragen schicken, die ich dann in den kommenden Wochen beantworten kann.
