Nach Inkrafttreten der DSGVO ziehen wir Bilanz. Welche Bußgelder wurden im Gesundheitswesen verhängt? Was sind die Gründe für die Strafzahlungen und in welcher Höhe liegen diese?
Die zunehmende Vernetzung im Gesundheitswesen bringt unbestreitbar Vorteile für die Patienten. Ärzte können sich leichter über Vorerkrankungen informieren, die Kommunikation zwischen Praxen und Krankenhäusern soll einfacher und direkter werden. Wenn nur die Probleme mit der Datensicherheit oder der Organisation eines ordentliches Datenschutzes nicht wären. Datenschutzverstöße in Arztpraxen kommen leider immer wieder vor. Die Datenschutz-Grundverordnung (DSGVO) regelt die Anforderungen an die Akteure im Gesundheitssektor, und immer wieder werden Fälle bekannt, die vermuten lassen, dass es mit dem Sicherheitsbewusstsein bei Medizinern nicht weit her ist. Nach dem Inkrafttreten der DSGVO sind Gesundheitsdaten besonders zu schützen.
Für die Mainzer Universitätsklinik offensichtlich eine Aufgabe, die die Kräfte der Einrichtung überstieg. Datenschutzverstöße Arztpraxen konnten sich ereignen. Nun gab Professor Dieter Kugelmann, der Datenschutzbeauftragte des Landes Rheinland-Pfalz, eine Strafe in Höhe von 105 000 Euro bekannt.
Welchen Verstoß gegen die DSGVO beging die Klinik?
Gleich mehrere Datenschutzverstöße wurden der Universitätsklinik angelastet:
- Patientenverwechslung
- Falschabrechnung
Der Landesdatenschutzbeauftragte sprach von erheblichen Defiziten technischer und organisatorischer Art. Besonders beim Patientenmanagement ergaben sich bei der Gesundheitseinrichtung Datenschutzverstöße. Nach Ansicht des Datenschützers ist der Schutz der Patientendaten mangelhaft entwickelt.
Die verhängten Bußgelder für die Einrichtung sieht er als pädagogische Maßnahme auch gegen Datenschutzverstöße in Arztpraxen und bei anderen Akteuren. Demonstriert wird außerdem die Wachsamkeit der Behörden, denn Gesundheitsdaten sind besonders zu schützen. Die Klinik akzeptiert die Strafe. Auf der Gegenseite erkannte man den guten Willen der Verantwortlichen und hofft nun auf Verbesserungen, die das Datenschutzmanagement weiter entwickeln.
Die Statistik der DSGVO in Deutschland
Die Behörden verzeichneten seit dem Inkrafttreten des Gesetzeswerks im Jahr 2018 immerhin 850 Verstöße. Datenpannen ereignen sich besonders häufig in Kliniken, Arztpraxen, Altenheimen und Abrechnungsstellen.
- 5.000€ kostete ein kleines Unternehmen (2 MA) ein fehlender AV-Vertrag.
- 80.000€ Bußgeld wurden wegen der nicht ausreichenden Sicherung von Gesundheitsdaten fällig. Diese landeten im Internet.
In einer ähnlichen Größenordnung könnte der Datenschutzverstoß einer radiologischen Arztpraxis in NRW liegen. Dort waren Patientendaten ebenfalls öffentlich geworden. Es kam zwar nicht zu massenhaften Abmahnungen von Rechtsanwälten oder dubiosen Vereinen. Trotzdem stellen wir fest, dass die Aufsichtsbehörden wachsam sind und zunehmend auch Bußgelder verhängen. Somit ist die Schonfrist nach dem Start der DSGVO nun vorbei. Einige Behörden kündigten bereits an, Arztpraxen in den kommenden Monaten stärker unter die Lupe nehmen zu wollen.
Zwei Beispiele aus dem Ausland
Die internen wie externen Datenschutzbeauftragten hören hierzulande immer wieder, dass man sich wohl nur in Deutschland wirklich um die DSGVO kümmert und andere Länder damit viel entspannter umgehen. Die deutschen sollen es mal nicht übertreiben. Aber auch im sonnigen Spanien und Portugal werden Bußgelder verhängt,
Der Fall aus Portugal wird denn allermeisten bereits bekannt vorkommen, denn dieser machte ordentliche Wellen in den Medien. Bereits im Oktober 2018 wurde gegen ein Krankenhaus ein Bußgeld in Höhe von 400.000€ verhängt. Den Mammutanteil der Geldstrafe soll die Einrichtung, nach Informationen der Datenschutzbehörde (CNPD), zahlen, weil zu viele Mitarbeiterinnen und Mitarbeiter Zugriff auf zu viele Patientendaten hatten. Neben dem unerlaubten Zugriff für Techniker war auch das Berechtigungskonzept oder dessen Anwendung mangelhaft. Bei der Prüfung kaum raus, dass die Rolle “Arzt” dreimal häufiger vergeben war als es tatsächlich angestellte Ärzte gab. Die versuche diesen Umstand zu erklären, reichten der Aufsichtsbehörde nicht.
Die spanische Aufsichtsbehörde für Datenschutz verhängte gegen den Billigflieger Vuelling Airlines SA eine Buße über immerhin 30 000 Euro.
Ein inkriminierter Banner verstieß gegen das spanische Datenschutzrecht. Auf der Startseite von vuelling.com erscheint eine Informationen, welche Cookies auf dem PC des Surfers abgespeichert werden. Aber die Airline bietet dem Nutzer nicht an, die Cookies abzulehnen. Stattdessen verweist das Unternehmen auf die Möglichkeit, dass der Surfer ein sogenanntes Anti-Cookie-Tool installieren sollte, wenn er mit der automatischen Abspeicherung nicht einverstanden sein sollte. Auch sei es so möglich, die Annahme oder Verweigerung von Cookies zu konfigurieren. Zusätzlich bestehe jederzeit die Option, den Browser so zu konfigurieren, dass die Einwilligung zur Anwendung der Vueling-Cookies jederzeit widerrufen werden kann.
Die Aufsichtsbehörden für den spanischen Datenschutz erkannten im Verhalten der Airline eine Missachtung des nationalen „Spanish Law on Information Society Services and Electronic Commerce“, kurz E‑Commerce-Gesetz.
Datenschutzverstöße vor dem EuGH
Zwar argumentierten die Datenschützer mit den Bestimmungen, die im spanischen Recht festgelegt sind. Interessant ist aber auch ein Urteil des EuGH (C673/17), verkündet am 1.10.2019, das sich der Problematik ebenfalls annahm. Betreiber von Webseiten werden angehalten, sich um die Einwilligungen ihrer Kunden und deren Rechtsverbindlichkeiten nachhaltig zu kümmern und die Prozeduren der Rechtslage anzupassen. Beide Urteile weisen deutlich darauf hin, dass die Achtsamkeit gegenüber der Privatsphäre nicht unbedingt erwartet werden kann. Handelte es sich in Deutschland noch um peinliche Versehen und Unzulänglichkeiten, kann es im Fall der Airline immerhin nicht ausgeschlossen werden, dass wider besseren Wissens gehandelt wurde.