Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz am 3. Dezember 2019 mitteilte, wurden in Folge einer (!) Patientenverwechslung gravierende technische und organisatorische Mängel beim Datenschutz in einem Krankenhaus festgestellt. Zwar hat die Behörde die Bemühungen der Einrichtung, ihr Datenschutzmangement fortzuentwickeln und zu verbessern, positiv gewürdigt. Dennoch hilt sie es für notwendig und angemessen, die Datenschutzverstöße mit einer Geldstrafe in Höhe von 105.000 Euro zu belegen.

In ihrer Pressemitteilung machte die Behörde deutlich, dass es bei Bußgeldern neben der Sanktionierung des eigentlichen Verstoßes auch um eine abschreckende Wirkung geht:

„Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Patientenunterlagen in vielen Fällen falsch versandt

Dabei kommt es gar nicht so selten vor, dass Patientenunterlagen in falsche Hände gelangen. Zeitgleich zur Mitteilung der rheinland-pfälzischen Aufsichtsbehörde veröffentlichte der NDR einen Bericht über massenhaftes Fehlversenden von Patientendokumenten. Den Angaben des NDR zufolge wurden seit Inkrafttreten der DSGVO im Mai 2018 mehr als 850 Fälle von Datenpannen an die Behörden gemeldet, bei denen Patientenunterlagen von Kliniken, Arztpraxen, Laboren und Abrechnungsstellen an die falschen Empfänger versandt wurden. Ursache war regelmäßig menschliches Versagen: falsche Adressierung oder Kuvertierung, Tippfehler, Verwechslungen von Patienten und Ärzten. Die meisten gemeldeten Fälle gab es demnach in Bayern (383), die wenigsten in Bremen (21).

Effektives Datenschutzmanagement dringend geboten

Für Betreiber von Krankenhäusern und MVZ bedeuten diese Vorfälle und die damit verbundene Aufmerksamkeit der Datenschutzbehörden, dass ein effektives Datenschutzmanagement dringend geboten ist. Dazu gehört die Erfüllung der formalen Anforderungen wie die Pflege eines Verzeichnisses der Verarbeitungstätigkeiten, die Belehrung der Patienten zum Datenschutz sowie das Abschließen von Vereinbarungen zur Auftragsverarbeitun oder zur Datenübermittlung.

Aber mindestens genauso wichtig ist die nachweislich erfolgreiche Umsetzung technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung eines angemessenen Schutzniveaus nach Art. 24 DSGVO. Die zuletzt immer höheren Bußgelder zeigen, dass sich die Behörden die tatsächlichen Gegebenheiten in den Einrichtungen im Detail anschauen und unzulängliche Maßnahmen rigoros sanktioniren.

Helfen kann dabei neben der Einschaltung eines externen Datenschutzbeauftragten auch ein Datenschutz-Audit zur Erkennung und Beseitigung von Schwachstellen im Datenschutzmanagement.

Zuerst ist gegen ein Krankenhaus in Portugal die europaweit erste substanzielle Geldstrafe in Höhe von 400.000 EUR wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) bekannt geworden.

Anfang der letzten Woche wurde nun die erste Rekorde-Strafe in Höhe von 50 Millionen EUR bekannt, die der Internetriese Google in Frankreich wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO-Bußgelder) zahlen soll. Hintergrund: der Weltkonzern hat die Pflicht missachtet, seine Nutzer transparent über die Datennutzung zu informieren, und zudem keine wirksame Einwilligung für die Verarbeitung der Daten zu Werbezwecken vorweisen könne.

Eher zu vernachlässigen erscheint dagegen ein Fall, welcher fast zeitgleich aus Hamburg bekannt wurde. Dort hatte die Datenschutzbehörde an das kleine Versandunternehmen Kolibri Image einen Bußgeldbescheid über 5.000 EUR aufgrund eines fehlenden Auftragsverarbeitungsvertrags erlassen.

Ergo: Ob Weltkonzern oder Kleinstunternehmen – Die DSGVO gilt für alle Unternehmen und mangelnde Verantwortung wird bestraft!

Die eigene Verantwortung muss von den Unternehmen daher erkannt und umgesetzt werden

Neben diesen medienbekannten Fällen gibt es natürlich bereits zahlreiche andere Entscheidungen der Aussichtsbehörden. Allein in Bayern laufen nach Angaben der Datenschutzbehörde zurzeit ca. 85 Bußgeldverfahren nach der DSGVO.

Die häufigsten Auslöser für die Bußgeldverfahren seien dabei Beschwerden von Betroffenen, welche nach Art 38 Absatz 4 DSGVO in erster Instanz dem Zuständigkeitsbereich des Datenschutzbeauftragten des Unternehmens unterfallen. Sie gehen in den meisten Fälle aufgrund von Werbemails, unzulässig aufgezeichneten Telefonaten o.a. ein.

Natürlich sind viele Bestimmungen der DSGVO hochgradig auslegungsbedürftig. Das gilt für „berechtigte Interessen“ (Art. 6 Abs. 1 Satz 1 lit. f DSGVO), für die Frage eines möglichen Kopplungsverbots (Art. 7 Abs. 4 DSGVO) und für unzählige andere Fragen.

Dass Aufsichtsbehörden strenge Maßstäbe an die Auslegung der DSGVO anlegen und im Zweifel für den Betroffenen argumentieren, ist ihnen nicht zu verdenken. Denn der Schutz der Betroffenen ist die originäre Aufgabe der Behörden.

Die Benennung eines Datenschutzbeauftragten kann Ihnen dabei helfen, die Unwägbarkeiten der Datenschutzgrundverordnung gut zu meistern und insbesondere Haftungs- und Bußgeldtatbestände zu vermeiden.