Buß­gel­der und Daten­schutz­ver­stö­ße im Gesund­heits­we­sen

Nach Inkraft­tre­ten der DSGVO ziehen wir Bilanz. Welche Buß­gel­der wurden im Gesund­heits­we­sen ver­hängt? Was sind die Gründe für die Straf­zah­lun­gen und in wel­cher Höhe liegen diese?

Die zuneh­men­de Ver­net­zung im Gesund­heits­we­sen bringt unbe­streit­bar Vor­tei­le für die Pati­en­ten. Ärzte können sich leich­ter über Vor­er­kran­kun­gen infor­mie­ren, die Kom­mu­ni­ka­ti­on zwi­schen Praxen und Kran­ken­häu­sern soll ein­fa­cher und direk­ter werden. Wenn nur die Pro­ble­me mit der Daten­si­cher­heit oder der Orga­ni­sa­ti­on eines ordent­li­ches Daten­schut­zes nicht wären. Daten­schutz­ver­stö­ße in Arzt­pra­xen kommen leider immer wieder vor. Die Daten­schutz-Grund­ver­ord­nung (DSGVO) regelt die Anfor­de­run­gen an die Akteu­re im Gesund­heits­sek­tor, und immer wieder werden Fälle bekannt, die ver­mu­ten lassen, dass es mit dem Sicher­heits­be­wusst­sein bei Medi­zi­nern nicht weit her ist. Nach dem Inkraft­tre­ten der DSGVO sind Gesund­heits­da­ten beson­ders zu schüt­zen.

Für die Main­zer Uni­ver­si­täts­kli­nik offen­sicht­lich eine Auf­ga­be, die die Kräfte der Ein­rich­tung über­stieg. Daten­schutz­ver­stö­ße Arzt­pra­xen konn­ten sich ereig­nen. Nun gab Pro­fes­sor Dieter Kugel­mann, der Daten­schutz­be­auf­trag­te des Landes Rhein­land-Pfalz, eine Strafe in Höhe von 105 000 Euro bekannt.

 

Wel­chen Ver­stoß gegen die DSGVO beging die Klinik?

Gleich meh­re­re Daten­schutz­ver­stö­ße wurden der Uni­ver­si­täts­kli­nik ange­las­tet:

  • Pati­en­ten­ver­wechs­lung
  • Falsch­ab­rech­nung

Der Lan­des­da­ten­schutz­be­auf­trag­te sprach von erheb­li­chen Defi­zi­ten tech­ni­scher und orga­ni­sa­to­ri­scher Art. Beson­ders beim Pati­en­ten­ma­nage­ment erga­ben sich bei der Gesund­heits­ein­rich­tung Daten­schutz­ver­stö­ße. Nach Ansicht des Daten­schüt­zers ist der Schutz der Pati­en­ten­da­ten man­gel­haft ent­wi­ckelt.

Die ver­häng­ten Buß­gel­der für die Ein­rich­tung sieht er als päd­ago­gi­sche Maß­nah­me auch gegen Daten­schutz­ver­stö­ße in Arzt­pra­xen und bei ande­ren Akteu­ren. Demons­triert wird außer­dem die Wach­sam­keit der Behör­den, denn Gesund­heits­da­ten sind beson­ders zu schüt­zen. Die Klinik akzep­tiert die Strafe. Auf der Gegen­sei­te erkann­te man den guten Willen der Ver­ant­wort­li­chen und hofft nun auf Ver­bes­se­run­gen, die das Daten­schutz­ma­nage­ment weiter ent­wi­ckeln.

 

Die Sta­tis­tik der DSGVO in Deutsch­land

Die Behör­den ver­zeich­ne­ten seit dem Inkraft­tre­ten des Geset­zes­werks im Jahr 2018 immer­hin 850 Ver­stö­ße. Daten­pan­nen ereig­nen sich beson­ders häufig in Kli­ni­ken, Arzt­pra­xen, Alten­hei­men und Abrech­nungs­stel­len.

  • 5.000€ kos­te­te ein klei­nes Unter­neh­men (2 MA) ein feh­len­der AV-Ver­trag.
  • 80.000€ Buß­geld wurden wegen der nicht aus­rei­chen­den Siche­rung von Gesund­heits­da­ten fällig. Diese lan­de­ten im Inter­net.

In einer ähn­li­chen Grö­ßen­ord­nung könnte der Daten­schutz­ver­stoß einer radio­lo­gi­schen Arzt­pra­xis in NRW liegen. Dort waren Pati­en­ten­da­ten eben­falls öffent­lich gewor­den. Es kam zwar nicht zu mas­sen­haf­ten Abmah­nun­gen von Rechts­an­wäl­ten oder dubio­sen Ver­ei­nen. Trotz­dem stel­len wir fest, dass die Auf­sichts­be­hör­den wach­sam sind und zuneh­mend auch Buß­gel­der ver­hän­gen. Somit ist die Schon­frist nach dem Start der DSGVO nun vorbei. Einige Behör­den kün­dig­ten bereits an, Arzt­pra­xen in den kom­men­den Mona­ten stär­ker unter die Lupe nehmen zu wollen.

 

Zwei Bei­spie­le aus dem Aus­land

Die inter­nen wie exter­nen Daten­schutz­be­auf­trag­ten hören hier­zu­lan­de immer wieder, dass man sich wohl nur in Deutsch­land wirk­lich um die DSGVO küm­mert und andere Länder damit viel ent­spann­ter umge­hen. Die deut­schen sollen es mal nicht über­trei­ben. Aber auch im son­ni­gen Spa­ni­en und Por­tu­gal werden Buß­gel­der ver­hängt,

Der Fall aus Por­tu­gal wird denn aller­meis­ten bereits bekannt vor­kom­men, denn dieser machte ordent­li­che Wellen in den Medien. Bereits im Okto­ber 2018 wurde gegen ein Kran­ken­haus ein Buß­geld in Höhe von 400.000€ ver­hängt. Den Mam­mut­an­teil der Geld­stra­fe soll die Ein­rich­tung, nach Infor­ma­tio­nen der Daten­schutz­be­hör­de (CNPD), zahlen, weil zu viele Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter Zugriff auf zu viele Pati­en­ten­da­ten hatten. Neben dem uner­laub­ten Zugriff für Tech­ni­ker war auch das Berech­ti­gungs­kon­zept oder dessen Anwen­dung man­gel­haft. Bei der Prü­fung kaum raus, dass die Rolle “Arzt” drei­mal häu­fi­ger ver­ge­ben war als es tat­säch­lich ange­stell­te Ärzte gab. Die ver­su­che diesen Umstand zu erklä­ren, reich­ten der Auf­sichts­be­hör­de nicht.

Die spa­ni­sche Auf­sichts­be­hör­de für Daten­schutz ver­häng­te gegen den Bil­lig­flie­ger Vuel­ling Air­lines SA eine Buße über immer­hin 30 000 Euro.

Ein inkri­mi­nier­ter Banner ver­stieß gegen das spa­ni­sche Daten­schutz­recht. Auf der Start­sei­te von vuelling.com erscheint eine Infor­ma­tio­nen, welche Coo­kies auf dem PC des Sur­fers abge­spei­chert werden. Aber die Air­line bietet dem Nutzer nicht an, die Coo­kies abzu­leh­nen. Statt­des­sen ver­weist das Unter­neh­men auf die Mög­lich­keit, dass der Surfer ein soge­nann­tes Anti-Cookie-Tool instal­lie­ren sollte, wenn er mit der auto­ma­ti­schen Abspei­che­rung nicht ein­ver­stan­den sein sollte. Auch sei es so mög­lich, die Annah­me oder Ver­wei­ge­rung von Coo­kies zu kon­fi­gu­rie­ren. Zusätz­lich bestehe jeder­zeit die Option, den Brow­ser so zu kon­fi­gu­rie­ren, dass die Ein­wil­li­gung zur Anwen­dung der Vue­ling-Coo­kies jeder­zeit wider­ru­fen werden kann.

Die Auf­sichts­be­hör­den für den spa­ni­schen Daten­schutz erkann­ten im Ver­hal­ten der Air­line eine Miss­ach­tung des natio­na­len „Spa­nish Law on Infor­ma­ti­on Socie­ty Ser­vices and Elec­tro­nic Com­mer­ce“, kurz E‑Com­mer­ce-Gesetz.

 

Daten­schutz­ver­stö­ße vor dem EuGH

Zwar argu­men­tier­ten die Daten­schüt­zer mit den Bestim­mun­gen, die im spa­ni­schen Recht fest­ge­legt sind. Inter­es­sant ist aber auch ein Urteil des EuGH (C673/17), ver­kün­det am 1.10.2019, das sich der Pro­ble­ma­tik eben­falls annahm. Betrei­ber von Web­sei­ten werden ange­hal­ten, sich um die Ein­wil­li­gun­gen ihrer Kunden und deren Rechts­ver­bind­lich­kei­ten nach­hal­tig zu küm­mern und die Pro­ze­du­ren der Rechts­la­ge anzu­pas­sen. Beide Urtei­le weisen deut­lich darauf hin, dass die Acht­sam­keit gegen­über der Pri­vat­sphä­re nicht unbe­dingt erwar­tet werden kann. Han­del­te es sich in Deutsch­land noch um pein­li­che Ver­se­hen und Unzu­läng­lich­kei­ten, kann es im Fall der Air­line immer­hin nicht aus­ge­schlos­sen werden, dass wider bes­se­ren Wis­sens gehan­delt wurde.

 

Haben Sie Fragen oder Anre­gun­gen zu unse­rem Arti­kel?

Viel­leicht brau­chen Sie auch Unter­stüt­zung oder Bera­tung zur Umset­zung Ihres Daten­schut­zes? Schrei­ben Sie uns ein­fach direkt über unser Kon­takt­for­mu­lar

Recommended Posts