Datenschutzverstöße: Drohende Konsequenzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des

Beträchtliche Bußgelder bei Datenschutzverstößen

 

Drohende Konsequenzen: Bußgelder in Höhe von 105.000 EUR und 9,5 Mio. EUR

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des Landesdatenschutzbeauftragten, Herrn Professor Dieter Kugelmann, offenbart dies „strukturelle, technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“. Das Bußgeld ist mittlerweile bestandskräftig.

Die Höhe eines Bußgeldes orientiert sich neben vielen anderen Kriterien grundsätzlich am entsprechenden Jahresumsatz des Verantwortlichen, der bei der Mainzer Uniklinik rund 480 Mio. € beträgt. Bei der Bemessung des Bußgeldes steht den Behörden ein Ermessen zu, das sich an einer Vielzahl von Kriterien orientiert, unter anderem am Grad der Gefährdung der Betroffenen und an der Einhaltung der datenschutzrechtlichen Vorgaben.

Datenschutzverstoß am Uniklinikum Mainz: Kein Einzelfall

In Hinblick auf die Höhe des Bußgeldes war der Landesdatenschutzbeauftragten wohl noch gnädig, denn das Bußgeld hätte noch deutlich höher ausfallen können. Die Uni-Klinik Mainz hatte dem Landesdatenschutzbeauftragten in der Zeit von Mai 2018 bis Mai 2019 insgesamt 23-mal diverse Datenschutzverletzungen gemeldet. Dies ergab eine Anfrage des Online-Portals „FragDenStaat“, welchem der Landesdatenschutzbeauftragte für Rheinland-Pfalz folgende Datenschutzverstöße mitteilte:

  • nichtfachgerechte Entsorgung von Patientendaten (z. B. Armbänder, Röhrchen mit Namen, Aufkleber, Akten)
  • vorübergehende externe Aufbewahrung von Dokumentationen
  • Verletzung der Vertraulichkeit (jeweils mehr als 5 Betroffene)
  • Auffinden von Behandlungsdokumentation (jeweils bis zu 36 Betroffene)
  • Fehler bei der Versendung von Patientendaten (jeweils bis zu 36 Betroffene)
  • externe Zugsmöglichkeit auf Patienten (889 Betroffene)
  • Diebstahl von mobilen Computern (Datenbank mit mehreren hundert Patienten-Datensätzen)
  • Patientendaten auf privaten IT-Systemen (ca. 200.000 Patienten-Datensätze)
  • unbefugte Weiterleitung von E-Mails (z. B. an Privat-Accounts – 168 Einzelfälle)

Datenschutzverstöße und Sicherheitsleck bei der 1&1 Telecom GmbH

Ein Bußgeld in Höhe von 9,55 Mio. € ist vom Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH verhängt worden. Hintergrund des Bußgelds war eine nicht ausreichende Verifikation der Identität von Anrufern. Dritte konnten somit über die telefonische Kundenbetreuung Kundendaten erfragen, wozu sie lediglich den Namen und das Geburtsdatum des Vertragspartners angeben mussten. Im konkreten Fall habe dies dazu geführt, dass ein Anrufer auf diese Weise die Handynummer seines ehemaligen Lebenspartners ermitteln konnte. Dabei seien in diesem Zusammenhang sämtliche – damals angeblich übliche – Sicherheitsrichtlinien eingehalten worden. Inzwischen müsse jeder Kunde seine persönliche PIN angeben, um telefonisch Informationen zu erhalten.

Nach Aussage der Behörde habe sich das Bußgeld noch im unteren Bereich des Möglichen befunden, da sich 1 & 1 „einsichtig und äußerst kooperativ“ gezeigt habe. 1 & 1 setzt jährlich 5,1 Mrd. € um. Das Bußgeld ist noch nicht bestandskräftig, 1 & 1 möchte dagegen vorgehen.

Die Bußgelder betreffen hauptsächlich den weltlichen Datenschutz, bislang sind keine in der Höhe vergleichbaren Bußgelder im kirchlichen Bereich bekannt. Beachtenswert ist jedoch, dass das Katholische Datenschutzzentrum Dortmund im nächsten Jahr schwerpunktmäßig im Bistum Münster Datenschutzkontrollen von Kindertagesstätten durchführen wird.

Datenschutzverstoß - Konsequenzen und Handlungsempfehlungen

Insbesondere Kliniken sollten den Fokus ihrer Maßnahmen zur Einhaltung des Datenschutzes an den häufigsten Datenschutzverletzungen orientieren, da die genannten Vorfälle erfahrungsgemäß häufig geschehen. Aber auch der Grund für das Bußgeld gegen 1 & 1 weist Bezüge zum Gesundheitswesen auf, denn auch hier kommt es häufig zu Nachfragen von Unbekannten am Telefon, an der Pforte oder auf den Stationen. Daher ist es auch in diesem Zusammenhang sinnvoll, ein Verifikationsverfahren für Anfragen Dritter einzuführen und bereits im Behandlungsvertrag eine persönliche PIN zu vereinbaren, die der Dritte anzugeben hat, um telefonisch oder persönlich Informationen über den Patienten zu erlangen.

Weitere Artikel, die Sie interessieren könnten

02.06.2023

Lauterbach: Grundstruktur der Krankenhausreform steht

Nach dem Bund-Länder-Gespräch am 1. Juni 2023 sprach Gesundheitsminister Karl Lauterbach von einem Durchbruch und einem wichtigen Schritt nach vorn; man sei sich in 90 Prozent der Ziele einig.

26.05.2023

Neue Eckpunkte zur Krankenhausreform: Regionale Vielfalt und strukturelle Besonderheiten der Bundesländer müssen berücksichtigt werden!

Am 23. Mai 2023 traf sich Gesundheitsminister Karl Lauterbach mit den Ländervertretern zu einem vertraulichen „Kamingespräch“, um auf Grundlage eines im Vorfeld vom Bundesgesundheitsministeriums (BMG) vorgelegten, 11 Seiten langen Eckpunktepapiers über die strittigen Reformthemen zu beraten.(...)
25.05.2023

Fünf Jahre DSGVO – Datenschutz im Wandel

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Ziel war es, in der Europäischen Union die Vorschriften zur Verarbeitung personenbezogener Daten zu vereinheitlichen. Die DS-GVO gilt unmittelbar für alle EU-Mitgliedstaaten. Mit der Vereinheitlichung des(...)
16.05.2023

Nachhaltigkeitsbericht betrifft auch die Governance

Am 5. Januar 2023 ist die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD) in Kraft getreten. Zudem wurden bereits am 23. November 2022 die Entwürfe der europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS)(...)
16.05.2023

Transparenzregister: Permanente Aktualisierungspflicht

Meldepflichtige Vereinigungen müssen ihre wirtschaftlich Berechtigten ermitteln, an das Transparenzregister melden und ihre Meldungen auf dem jeweils aktuellen Stand halten. Dass meldepflichtige Veränderungen als solche wahrgenommen und gemeldet werden, ist mittels interner Prozesse(...)
16.05.2023

Geldwäsche-Compliance: Sorgfaltspflichten

Das Geldwäschegesetz (GwG) beinhaltet Transparenz- und Sorgfaltspflichten. Über die Transparenzpflichten, insbesondere die Pflicht zur Ermittlung und Meldung der wirtschaftlich Berechtigten an das Transparenzregister, haben wir wiederholt berichtet (siehe Solidaris Information 2/2022, Newsletter der(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß