Dubletten als möglicher Datenschutzverstoß?

veröffentlicht am 31. Oktober 2022

Der Verantwortliche hat dafür Sorge zu tragen, dass die von ihm verarbeiteten Daten sachlich richtig und auf dem neuesten Stand sind. Dubletten bedeuten letztlich eine Unrichtigkeit der Daten und stellen damit einen Verstoß gegen das gesetzliche Gebot der Datenrichtigkeit gem. Art. 5 Abs. 1 lit. d) DS-GVO dar.

Wird der Schutz von personenbezogenen Daten verletzt, kann es sich um eine meldepflichtige Datenpanne handeln. In Krankenhäusern oder Pflegeeinrichtungen denkt man bei solchen Vorfällen typischerweise an verwechselte Patienten- bzw. Bewohnerdaten oder offenes herumliegen von Patienten- / Bewohnerdaten. Die Praxis der Datenschutz-Auditierung in Unternehmen der Sozialwirtschaft, in Krankenhäusern oder Pflegeeinrichtungen zeigt allerdings, dass innerhalb von IT-Systemen ebenso Datenschutzverstöße lauern, die man zu Beginn vielleicht gar nicht als solche einordnen würde. Hierzu zählt unter anderem das Auftreten von Dubletten in Datenbanken.

Unter Dubletten sind Datensätze zu verstehen, die doppelt oder mehrfach in einer Datenbank vorhanden sind. Die Gründe für das Entstehen von Dubletten können unterschiedlich sein. Dubletten können innerhalb von Prozessen entstehen, bei denen mehrere Mitarbeiter beteiligt sind und so eine Mehrfacheingabe der Daten stattfindet oder sie können bei der Zusammenführung von Datenbeständen bei Abteilungszusammenlegungen oder Systemumstellungen entstehen. Vor allem wenn Patienten- oder Bewohnerdaten in Systemen mit einer manuellen Erfassung, wie bspw. Excel, erfasst werden, kann es aufgrund fehlender Sicherungsmechanismen schnell passieren, dass unrichtige Datensätze entstehen.

Dubletten verursachen nicht nur einen enormen Zeitaufwand, da Mitarbeiter die Dubletten ggf. manuell nachpflegen müssen. Hinzu kommt, dass sie für das Unternehmen auch zu einem datenschutzrechtlichen Risiko führen. Denn der Verantwortliche hat dafür Sorge zu tragen, dass die von ihm verarbeiteten Daten sachlich richtig und auf dem neusten Stand sind. Dubletten bedeuten im Ergebnis eine Unrichtigkeit der Daten und stellen damit einen Verstoß gegen das gesetzliche Gebot der Datenrichtigkeit gem. Art. 5 Abs. 1 lit. d) DS-GVO dar.

Ein weiteres Problem in dem Zusammenhang liegt darin, dass bei Auskunftsbegehren ggf. nicht alle Daten an die betroffene Person geliefert werden können, da sich manche Informationen in Dubletten befunden haben, die fälschlicherweise übersehen wurden.

Noch kritischer verhält es sich, wenn eine betroffene Person die Löschung ihrer personenbezogenen Daten verlangt und aufgrund einer Dublette die Daten dieser Person tatsächlich nicht vollständig gelöscht wurden. Im schlimmsten Fall kann es dazu führen, dass der Datensatz dieser Person weiter genutzt wird, obwohl eindeutig ein Löschbegehren vorlag.

Für Unternehmen sollte es daher von hoher Priorität sein Dubletten zu erkennen bzw. sie direkt zu vermeiden. Werden in Systemen personenbezogene Daten verarbeitet, wie beispielsweise in Krankenhausinformationssysteme, Bewohnermanagementsysteme in der Pflege oder auch CRM-Systeme, sollten unbedingt Maßnahmen zur Vermeidung von Dubletten und zur Dublettenbereinigung getroffen werden. Dadurch kann der Verantwortliche die Einhaltung seiner Verpflichtungen i.S.d. Rechenschaftspflicht nachweisen.