Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite.
Untersuchungsgegenstand und Methodik
Die LDI NRW befragte 23 Krankenhäuser der Landschaftsverbände Westfalen-Lippe und Rheinland sowie die zehn NRW-Universitätskliniken. Der Fokus auf Kliniken begründet sich mit der besonderen Sensibilität der dort verarbeiteten Gesundheitsdaten, bei denen Datenverluste besonders schwerwiegende Folgen haben können.
Positiv: Geringe Cyberangriffslast, proaktive Betroffeneninformation
Verglichen mit anderen Sektoren sind Kliniken wenig von Cyberangriffen betroffen – ein Befund, den die LDI NRW auf bereits implementierte IT-Sicherheitsstandards zurückführt. Die häufigsten Datenpannen waren Fehlversendungen und unbefugte Datenweitergaben. Bemerkenswert positiv ist, dass in 21 Prozent (2023) bzw. 13 Prozent (2024) der Fälle betroffene Personen auch dann informiert wurden, wenn keine rechtliche Benachrichtigungspflicht bestand. Dieser Ansatz wird von der Landesbeauftragten Bettina Gayk ausdrücklich begrüßt.
Kritisch: Null-Meldungen als Warnsignal
Zwölf der befragten Einrichtungen gaben an, in den Jahren 2023 und 2024 keine einzige Datenpanne verzeichnet zu haben. Die LDI NRW wertet dies als Hinweis auf unzureichende interne Meldeprozesse: Vorfälle dürften direkt mit Betroffenen geklärt worden sein, ohne die vorgeschriebenen internen Dokumentationspflichten zu erfüllen.
Für Datenschutzverantwortliche in Gesundheitseinrichtungen ist dies ein zentraler Hinweis: Auch Datenpannen mit lediglich geringem Risiko müssen intern dokumentiert werden. Die Dokumentation dient nicht nur zur Erfüllung aufsichtsbehördlicher Anforderungen, sondern auch um Häufungen in bestimmten Bereichen zu erkennen und das Pannenmanagement gezielt weiterzuentwickeln.
Empfehlung der Aufsichtsbehörde
Landesbeauftragte Gayk empfiehlt regelmäßige Schulungen der Beschäftigten zu meldepflichtigen Sachverhalten und zu internen Meldewegen als wesentliche Maßnahme zur Verbesserung des Datenpannenmanagements.
(Foto: Suriyo – stock.adobe.com)
Das könnte Sie auch interessieren
-
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren -
KI-Verordnung: Rat und Parlament einigen sich auf Vereinfachungen im Omnibus-Paket
Am 7. Mai 2026 haben sich Europäisches Parlament und Rat auf eine vorläufige Einigung zum sogenannten „Digital Omnibus on AI“ verständigt. Es ist damit die erste substanzielle Änderung der KI-Verordnung (EU) 2024/1689, bevor deren zentrale Hochrisiko-Pflichten überhaupt in Kraft getreten sind. Der Vorschlag ist Teil des „Omnibus VII“-Gesetzgebungspakets im Rahmen der EU-Vereinfachungsagenda und zielt darauf
Mehr erfahren -
KI in der Justiz: Rahmen für den rechtskonformen Einsatz
Die Bundesregierung hat in einer Antwort auf eine Kleine Anfrage der AfD-Fraktion (BT-Drs. 21/5985, 18. Mai 2026) umfassend Stellung zum Einsatz künstlicher Intelligenz in der deutschen Justiz genommen. Ausgangspunkt war die öffentliche Diskussion um KI-generierte Schriftsätze bei Sozialgerichten, die der Mangel an Fachanwälten für Sozialrecht begünstigt, mithin ein Bereich, in dem mit rund 1.600 zugelassenen
Mehr erfahren
