Datenschutzverstöße: Drohende Konsequenzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des

Beträchtliche Bußgelder bei Datenschutzverstößen

 

Drohende Konsequenzen: Bußgelder in Höhe von 105.000 EUR und 9,5 Mio. EUR

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des Landesdatenschutzbeauftragten, Herrn Professor Dieter Kugelmann, offenbart dies „strukturelle, technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“. Das Bußgeld ist mittlerweile bestandskräftig.

Die Höhe eines Bußgeldes orientiert sich neben vielen anderen Kriterien grundsätzlich am entsprechenden Jahresumsatz des Verantwortlichen, der bei der Mainzer Uniklinik rund 480 Mio. € beträgt. Bei der Bemessung des Bußgeldes steht den Behörden ein Ermessen zu, das sich an einer Vielzahl von Kriterien orientiert, unter anderem am Grad der Gefährdung der Betroffenen und an der Einhaltung der datenschutzrechtlichen Vorgaben.

Datenschutzverstoß am Uniklinikum Mainz: Kein Einzelfall

In Hinblick auf die Höhe des Bußgeldes war der Landesdatenschutzbeauftragten wohl noch gnädig, denn das Bußgeld hätte noch deutlich höher ausfallen können. Die Uni-Klinik Mainz hatte dem Landesdatenschutzbeauftragten in der Zeit von Mai 2018 bis Mai 2019 insgesamt 23-mal diverse Datenschutzverletzungen gemeldet. Dies ergab eine Anfrage des Online-Portals „FragDenStaat“, welchem der Landesdatenschutzbeauftragte für Rheinland-Pfalz folgende Datenschutzverstöße mitteilte:

  • nichtfachgerechte Entsorgung von Patientendaten (z. B. Armbänder, Röhrchen mit Namen, Aufkleber, Akten)
  • vorübergehende externe Aufbewahrung von Dokumentationen
  • Verletzung der Vertraulichkeit (jeweils mehr als 5 Betroffene)
  • Auffinden von Behandlungsdokumentation (jeweils bis zu 36 Betroffene)
  • Fehler bei der Versendung von Patientendaten (jeweils bis zu 36 Betroffene)
  • externe Zugsmöglichkeit auf Patienten (889 Betroffene)
  • Diebstahl von mobilen Computern (Datenbank mit mehreren hundert Patienten-Datensätzen)
  • Patientendaten auf privaten IT-Systemen (ca. 200.000 Patienten-Datensätze)
  • unbefugte Weiterleitung von E-Mails (z. B. an Privat-Accounts – 168 Einzelfälle)

Datenschutzverstöße und Sicherheitsleck bei der 1&1 Telecom GmbH

Ein Bußgeld in Höhe von 9,55 Mio. € ist vom Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH verhängt worden. Hintergrund des Bußgelds war eine nicht ausreichende Verifikation der Identität von Anrufern. Dritte konnten somit über die telefonische Kundenbetreuung Kundendaten erfragen, wozu sie lediglich den Namen und das Geburtsdatum des Vertragspartners angeben mussten. Im konkreten Fall habe dies dazu geführt, dass ein Anrufer auf diese Weise die Handynummer seines ehemaligen Lebenspartners ermitteln konnte. Dabei seien in diesem Zusammenhang sämtliche – damals angeblich übliche – Sicherheitsrichtlinien eingehalten worden. Inzwischen müsse jeder Kunde seine persönliche PIN angeben, um telefonisch Informationen zu erhalten.

Nach Aussage der Behörde habe sich das Bußgeld noch im unteren Bereich des Möglichen befunden, da sich 1 & 1 „einsichtig und äußerst kooperativ“ gezeigt habe. 1 & 1 setzt jährlich 5,1 Mrd. € um. Das Bußgeld ist noch nicht bestandskräftig, 1 & 1 möchte dagegen vorgehen.

Die Bußgelder betreffen hauptsächlich den weltlichen Datenschutz, bislang sind keine in der Höhe vergleichbaren Bußgelder im kirchlichen Bereich bekannt. Beachtenswert ist jedoch, dass das Katholische Datenschutzzentrum Dortmund im nächsten Jahr schwerpunktmäßig im Bistum Münster Datenschutzkontrollen von Kindertagesstätten durchführen wird.

Datenschutzverstoß - Konsequenzen und Handlungsempfehlungen

Insbesondere Kliniken sollten den Fokus ihrer Maßnahmen zur Einhaltung des Datenschutzes an den häufigsten Datenschutzverletzungen orientieren, da die genannten Vorfälle erfahrungsgemäß häufig geschehen. Aber auch der Grund für das Bußgeld gegen 1 & 1 weist Bezüge zum Gesundheitswesen auf, denn auch hier kommt es häufig zu Nachfragen von Unbekannten am Telefon, an der Pforte oder auf den Stationen. Daher ist es auch in diesem Zusammenhang sinnvoll, ein Verifikationsverfahren für Anfragen Dritter einzuführen und bereits im Behandlungsvertrag eine persönliche PIN zu vereinbaren, die der Dritte anzugeben hat, um telefonisch oder persönlich Informationen über den Patienten zu erlangen.

Weitere Artikel, die Sie interessieren könnten

29.09.2023

APG DVO NRW: Angemessenheitsgrenzen für das Jahr 2024

Das Ministerium für Arbeit, Gesundheit und Soziales des Landes NRW (MAGS) hat mit Erlass vom 6. September 2023 die Angemessenheitsgrenzen für die Investitionskostenfinanzierung von stationären Pflegeeinrichtungen im Jahr 2024 bekannt gegeben. Die für den Bau und die Modernisierung von(...)
29.09.2023

Zur Krankenhausreform: Träger-Organe und der Umgang mit der Ungewissheit

Nach wie vor ist ungewiss, welche Neuerungen die Krankenhausreform im Einzelnen bringen und welche Auswirkungen sich für einzelne Krankenhäuser im Detail ergeben werden. Schon auf dem Weg zur Krankenhausreform zeichnet sich aber ab, dass sich einige Träger in Zukunft mit wirtschaftlichen Engpässen(...)
21.09.2023

Krankenhausreform und Ambulantisierung: Kommt jetzt der große Durchbruch?

Im Zuge der Krankenhausreform soll es nach dem Vorschlag der Regierungskommission und den von Bund und Ländern abgestimmten Eckpunkten künftig sogenannte Level Ii-Krankenhäuser als sektorübergreifende Leistungserbringer geben, die unter pflegerischer Leitung stehen können. Im Kern soll damit eine(...)
14.09.2023

Krisenfrüherkennung – gut vorbereitet durch die Wahrnehmung erster Alarmsignale

Angesichts der Unwägbarkeiten, die die Krankenhausreform mit sich bringt, ist es für Krankenhäuser angezeigt, sich einen möglichst aktuellen Überblick über die eigene Finanz- und Ertragslage zu verschaffen, um möglichst frühzeitig reagieren zu können.

Ein besonderes Augenmerk ist dabei auf(...)
12.09.2023

Technische Aspekte einer erfolgreichen Einführung von Softwareprodukten in Gesundheits- und Sozialunternehmen

In Ausgabe 4/2022 der Solidaris Information haben wir organisatorische und konzeptionelle Aspekte einer erfolgreichen Softwareeinführung dargestellt. Um es vorweg zu bestätigen: Die Abdeckung der fachlichen Anforderungen an eine neue Software ist und bleibt das primäre Kriterium bei der(...)
12.09.2023

KHZG – nach dem Nachweis ist vor dem Nachweis

Nachdem das Jahr 2022 nicht zuletzt aufgrund der seinerzeit zögerlichen KHZG-Bewilligungen wenige Verpflichtungen zur KHZG-Nachweisführung mit sich gebracht hat, waren die Krankenhausträger zu Beginn dieses Jahres nunmehr allesamt aufgefordert, unter Berücksichtigung der vorliegenden Bewilligungen(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß