Nach den aufsehenerregenden Datenschutz-Sanktionen gegen Deutsche Wohnen (wegen nicht gelöschter Interessentendaten) und Lieferheld (wegen Newsletter-Versand trotz Abmeldung) wurde nunmehr das erste sechsstellige Bußgeld im Gesundheitssektor verhängt.
Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz am 3. Dezember 2019 mitteilte, wurden in Folge einer (!) Patientenverwechslung gravierende technische und organisatorische Mängel beim Datenschutz in einem Krankenhaus festgestellt. Zwar hat die Behörde die Bemühungen der Einrichtung, ihr Datenschutzmangement fortzuentwickeln und zu verbessern, positiv gewürdigt. Dennoch hilt sie es für notwendig und angemessen, die Datenschutzverstöße mit einer Geldstrafe in Höhe von 105.000 Euro zu belegen.
In ihrer Pressemitteilung machte die Behörde deutlich, dass es bei Bußgeldern neben der Sanktionierung des eigentlichen Verstoßes auch um eine abschreckende Wirkung geht:
„Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“
Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Patientenunterlagen in vielen Fällen falsch versandt
Dabei kommt es gar nicht so selten vor, dass Patientenunterlagen in falsche Hände gelangen. Zeitgleich zur Mitteilung der rheinland-pfälzischen Aufsichtsbehörde veröffentlichte der NDR einen Bericht über massenhaftes Fehlversenden von Patientendokumenten. Den Angaben des NDR zufolge wurden seit Inkrafttreten der DSGVO im Mai 2018 mehr als 850 Fälle von Datenpannen an die Behörden gemeldet, bei denen Patientenunterlagen von Kliniken, Arztpraxen, Laboren und Abrechnungsstellen an die falschen Empfänger versandt wurden. Ursache war regelmäßig menschliches Versagen: falsche Adressierung oder Kuvertierung, Tippfehler, Verwechslungen von Patienten und Ärzten. Die meisten gemeldeten Fälle gab es demnach in Bayern (383), die wenigsten in Bremen (21).
Effektives Datenschutzmanagement dringend geboten
Für Betreiber von Krankenhäusern und MVZ bedeuten diese Vorfälle und die damit verbundene Aufmerksamkeit der Datenschutzbehörden, dass ein effektives Datenschutzmanagement dringend geboten ist. Dazu gehört die Erfüllung der formalen Anforderungen wie die Pflege eines Verzeichnisses der Verarbeitungstätigkeiten, die Belehrung der Patienten zum Datenschutz sowie das Abschließen von Vereinbarungen zur Auftragsverarbeitun oder zur Datenübermittlung.
Aber mindestens genauso wichtig ist die nachweislich erfolgreiche Umsetzung technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung eines angemessenen Schutzniveaus nach Art. 24 DSGVO. Die zuletzt immer höheren Bußgelder zeigen, dass sich die Behörden die tatsächlichen Gegebenheiten in den Einrichtungen im Detail anschauen und unzulängliche Maßnahmen rigoros sanktioniren.
Helfen kann dabei neben der Einschaltung eines externen Datenschutzbeauftragten auch ein Datenschutz-Audit zur Erkennung und Beseitigung von Schwachstellen im Datenschutzmanagement.