Im Mai 2018 wurde europaweit die EU-Datenschutz-Grundverordnung (DSGVO) eingeführt, welche vor allem den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherstellen soll. Wie nun die portugiesische Tageszeitung Público berichtet, soll ein Krankenhaus in Portugal ein Bußgeld in Höhe von 400.000 Euro wegen eines Datenschutzverstoßes bezahlen.
Europaweit erstes hohes DSGVO-Bußgeld
Mit dem Verhängen der Geldstrafe über 400.000 Euro gegen das Krankenhaus “Barreiro Montijo” durch die in Portugal zuständige Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados), wurde erstmals in Europa ein größeres Vergehen gegen die DSGVO substanziell geahndet. Dabei richtet sich der Vorwurf vor allem dahingehend, dass außer den zuständigen Ärzten zu viele weitere Personen Zugriff auf sensible Patientendaten hatten, wofür alleine eine Strafe von 300.000 Euro verhängt wurde. Der Rest des Bußgeldes ist für ein weiteres Vergehen gegen die EU-Datenschutz-Grundverordnung zu zahlen.
Extrem leichter Zugang zu empfindlichen Daten
Auf seiner Webseite verspricht das Centro Hospitalar Barreiro Montijo in seiner Datenschutzerklärung, dass nur ausgewiesene Fachleute einen Zugang zu Informationen über den Gesundheitszustand seiner Patienten haben sollen. Doch gemäß der CNPD wurde das Krankenhaus in Wirklichkeit den Anforderungen der DSGVO nicht einmal ansatzweise gerecht: So hätten insgesamt 985 Personen über einen Ärztezugang Zugriff auf die Patientendaten, obwohl das Krankenhaus lediglich 296 Ärzte beschäftigte.
Wie die Zeitung Público ferner erläutert, habe der Betreiber des Krankenhauses laut der CNDP außerdem absichtlich dafür gesorgt, dass Nutzer mit dem Profil “Techniker” im Computersystem auf Daten zugreifen konnten, welche jedoch ausschließlich für Ärzte einsehbar sein dürften. Ermittelt wurde dies in einem Test, in dessen Rahmen ein derartiges Zugangsprofil mit unbegrenztem Datenzugriff erstellt werden konnte. Überhaupt auf den Fall aufmerksam wurde die portugiesische Datenschutzbehörde durch eine Warnung der Ärztekammer.
Datenschützer sehen keine Rechtfertigung für den Verstoß
Die Untersuchung durch die in Portugal zuständige Datenschutzbehörde fand bereits vier Monate zuvor statt, jetzt führte sie zur ersten massiven Sanktion seit dem Inkrafttreten der DSGVO. Gegen die Entscheidung der Aufsichtsbehörde wolle das Krankenhaus nun juristisch vorgehen. So zweifle man die Befugnis der Datenschutzbehörde an, eine solche Strafe überhaupt verhängen zu dürfen. Ferner erklärten die Krankenhausbetreiber in einer Stellungnahme, dass die rund 700 überzähligen Profile lediglich angelegt wurden, um einen kurzzeitigen Zugang im Rahmen von Dienstleistungsverträgen für befristet beschäftigte Ärzte möglich zu machen.
Die CNDP lässt diese Begründung jedoch nicht als Rechtfertigung gelten. So hätten diese Accounts unmittelbar nach dem Ausscheiden der Mediziner gelöscht werden müssen. Darüber hinaus sei es nicht zu rechtfertigen, dass sich etwa Techniker umfassende Informationen zum Gesundheitszustand der Patienten verschaffen konnten.
Fazit
Der Umfang der Vorwürfe und die Konsequenz des verhängten Bußgeldes im Falle der portugiesischen Klinik führen Datenschützern und Unternehmen in ganz Europa eindrucksvoll vor Augen, wie wichtig die sorgfältige Umsetzung der DSGVO ist. Etwaige “historisch gewachsene” Muster und Maßnahmen genießen auch unseres Erachtens keinen generellen Bestandsschutz und sind fortwährend auf den Prüfstand zu stellen.
Note: There is a rating embedded within this post, please visit this post to rate it.
(Bild-)Quellen: Público; scanrail – depositphotos