400.000 Euro-Strafe – Krankenhaus soll hohes Bußgeld wegen DSGVO-Verstößen zahlen

Montag, 29. Oktober 2018

Weil zu viele Personen Einblick in Patientendaten hatten, droht dem Krankenhaus Barreiro Montijo in Portugal nun ein beträchtliches Bußgeld in Höhe von 400.000 Euro. Das berichtet das Nachrichtenportal Heise online mit Verweis auf die portugiesische Tageszeitung Público.

Viel zu leichter Zugang zu empfindlichen Daten

Die zuständige Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) wirft dem Krankenhaus laut Público vor, "bewusst" dafür gesorgt zu haben, dass auch Techniker in den IT-Systemen des Krankenhauses Patientendaten einsehen konnten. Eigentlich hätten nur Nutzer mit dem Profil "Arzt" Zugriff auf die Daten haben sollen. Zusätzlich habe die Datenschutzbehörde festgestellt, dass zwar 985 Arzt-Profile existieren, jedoch nur 296 Ärzte in dem Krankenhaus tätig sind.

Erste massive Sanktion seit Geltung der DSGVO

Die Untersuchung durch die Datenschutzbehörde fand bereits im Juli statt, jetzt führte sie zur ersten massiven Sanktion seit dem die DSGVO gültig ist. Gegen die Entscheidung der Aufsichtsbehörde will das Krankenhaus Medienberichten zufolge nun juristisch vorgehen. Das Krankenhaus habe die rund 700 überzähligen Profile lediglich angelegt, um einen kurzzeitigen Zugang im Rahmen von Dienstleistungsverträgen für befristet beschäftigte Ärzte möglich zu machen.

Die CNDP lässt diese Rechtfertigung jedoch nicht gelten. Die Accounts hätten unmittelbar nach dem Ausscheiden der Mediziner gelöscht werden müssen. Darüber hinaus sei es nicht zu rechtfertigen, dass sich etwa Techniker umfassende Informationen zum Gesundheitszustand der Patienten verschaffen konnten.

Einzelfall oder richtungsweisende Entscheidung?

Ob das erste große Bußgeld in der DSGVO-Geschichte richtungsweisend für Aufsichtsbehörden in anderen EU-Ländern ist, oder eher eine lokale Entscheidung bleibt, ist noch ungewiss. Die Entscheidung aus Portugal dürfte aber, so viel ist sicher, nicht für weniger Verunsicherung sorgen. Nach fünf Monaten DSGVO ist die Unsicherheit im Umgang mit der neuen Datenschutz-Grundverordnung nach wie vor groß. Viele Unternehmen sind nicht nur unsicher was die konkreten inhaltlichen Vorgaben betrifft – auch über die Frage, ob und wie Verstöße gegen die DSGVO geahndet werden, besteht immer noch Unklarheit.

Wie an anderer Stelle berichtet (hier), ist in Deutschland z.B. nach wie vor umstritten, ob Verstöße gegen die DSGVO im Internet durch Konkurrenten wettbewerbsrechtlich angemahnt werden dürfen oder nicht.

Orientierungshilfe Krankenhausinformationssysteme
Der Datenschutz in einem Krankenhaus hat einen besonders hohen Stellenwert. Dies fordern Patienten und Datenschützer gleichermaßen. Weil bei Prüfungen in verschiedenen Bundesländern teilweise beträchtliche Defizite in den Bereichen Datenschutz und ärztliche Schweigepflicht im Zusammenhang mit der Nutzung von Krankenhausinformationssystemen festgestellt worden waren, haben die Datenschutzaufsichtsbehörden bereits vor Jahren eine "Orientierungshilfe Krankenhausinformationssysteme" erstellt. Sie liegt in der Version 2 mit Stand März 2014 vor. (fl)

Quellen:

Heise online vom 23.10.2018: DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen

Datenschutz.org vom 23.10.2018: Erste DSGVO-Sanktion: Krankenhaus in Portugal soll Strafe zahlen