Beträchtliche Bußgelder bei Datenschutzverstößen
Drohende Konsequenzen: Bußgelder in Höhe von 105.000 EUR und 9,5 Mio. EUR
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des Landesdatenschutzbeauftragten, Herrn Professor Dieter Kugelmann, offenbart dies „strukturelle, technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“. Das Bußgeld ist mittlerweile bestandskräftig.
Die Höhe eines Bußgeldes orientiert sich neben vielen anderen Kriterien grundsätzlich am entsprechenden Jahresumsatz des Verantwortlichen, der bei der Mainzer Uniklinik rund 480 Mio. € beträgt. Bei der Bemessung des Bußgeldes steht den Behörden ein Ermessen zu, das sich an einer Vielzahl von Kriterien orientiert, unter anderem am Grad der Gefährdung der Betroffenen und an der Einhaltung der datenschutzrechtlichen Vorgaben.
Datenschutzverstoß am Uniklinikum Mainz: Kein Einzelfall
In Hinblick auf die Höhe des Bußgeldes war der Landesdatenschutzbeauftragten wohl noch gnädig, denn das Bußgeld hätte noch deutlich höher ausfallen können. Die Uni-Klinik Mainz hatte dem Landesdatenschutzbeauftragten in der Zeit von Mai 2018 bis Mai 2019 insgesamt 23-mal diverse Datenschutzverletzungen gemeldet. Dies ergab eine Anfrage des Online-Portals „FragDenStaat“, welchem der Landesdatenschutzbeauftragte für Rheinland-Pfalz folgende Datenschutzverstöße mitteilte:
- nichtfachgerechte Entsorgung von Patientendaten (z. B. Armbänder, Röhrchen mit Namen, Aufkleber, Akten)
- vorübergehende externe Aufbewahrung von Dokumentationen
- Verletzung der Vertraulichkeit (jeweils mehr als 5 Betroffene)
- Auffinden von Behandlungsdokumentation (jeweils bis zu 36 Betroffene)
- Fehler bei der Versendung von Patientendaten (jeweils bis zu 36 Betroffene)
- externe Zugsmöglichkeit auf Patienten (889 Betroffene)
- Diebstahl von mobilen Computern (Datenbank mit mehreren hundert Patienten-Datensätzen)
- Patientendaten auf privaten IT-Systemen (ca. 200.000 Patienten-Datensätze)
- unbefugte Weiterleitung von E-Mails (z. B. an Privat-Accounts – 168 Einzelfälle)
Datenschutzverstöße und Sicherheitsleck bei der 1&1 Telecom GmbH
Ein Bußgeld in Höhe von 9,55 Mio. € ist vom Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH verhängt worden. Hintergrund des Bußgelds war eine nicht ausreichende Verifikation der Identität von Anrufern. Dritte konnten somit über die telefonische Kundenbetreuung Kundendaten erfragen, wozu sie lediglich den Namen und das Geburtsdatum des Vertragspartners angeben mussten. Im konkreten Fall habe dies dazu geführt, dass ein Anrufer auf diese Weise die Handynummer seines ehemaligen Lebenspartners ermitteln konnte. Dabei seien in diesem Zusammenhang sämtliche – damals angeblich übliche – Sicherheitsrichtlinien eingehalten worden. Inzwischen müsse jeder Kunde seine persönliche PIN angeben, um telefonisch Informationen zu erhalten.
Nach Aussage der Behörde habe sich das Bußgeld noch im unteren Bereich des Möglichen befunden, da sich 1 & 1 „einsichtig und äußerst kooperativ“ gezeigt habe. 1 & 1 setzt jährlich 5,1 Mrd. € um. Das Bußgeld ist noch nicht bestandskräftig, 1 & 1 möchte dagegen vorgehen.
Die Bußgelder betreffen hauptsächlich den weltlichen Datenschutz, bislang sind keine in der Höhe vergleichbaren Bußgelder im kirchlichen Bereich bekannt. Beachtenswert ist jedoch, dass das Katholische Datenschutzzentrum Dortmund im nächsten Jahr schwerpunktmäßig im Bistum Münster Datenschutzkontrollen von Kindertagesstätten durchführen wird.
Datenschutzverstoß - Konsequenzen und Handlungsempfehlungen
Insbesondere Kliniken sollten den Fokus ihrer Maßnahmen zur Einhaltung des Datenschutzes an den häufigsten Datenschutzverletzungen orientieren, da die genannten Vorfälle erfahrungsgemäß häufig geschehen. Aber auch der Grund für das Bußgeld gegen 1 & 1 weist Bezüge zum Gesundheitswesen auf, denn auch hier kommt es häufig zu Nachfragen von Unbekannten am Telefon, an der Pforte oder auf den Stationen. Daher ist es auch in diesem Zusammenhang sinnvoll, ein Verifikationsverfahren für Anfragen Dritter einzuführen und bereits im Behandlungsvertrag eine persönliche PIN zu vereinbaren, die der Dritte anzugeben hat, um telefonisch oder persönlich Informationen über den Patienten zu erlangen.