Datenschutzverstöße: Drohende Konsequenzen

Datenschutzverstoß: Hohe Bußgelder

Dtaenschutzrecht: Hohe Bußgelder wegen DatenschutzverstößenHeißer Herbst im Datenschutz: 105.000 EUR und 9,5 Mio. EUR

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat gegen die Uniklinik Mainz eine Geldbuße in Höhe von 105.000 € verhängt. Grund waren drei Datenschutzverstöße, bei denen es unter anderem zu einer Patientenverwechslung durch Namensgleichheit bei der Aufnahme gekommen war und hieraus eine falsche Rechnungsstellung resultierte. Nach der Ansicht des Landesdatenschutzbeauftragten, Herrn Professor Dieter Kugelmann, offenbart dies „strukturelle, technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“. Das Bußgeld ist mittlerweile bestandskräftig.

Die Höhe eines Bußgeldes orientiert sich neben vielen anderen Kriterien grundsätzlich am entsprechenden Jahresumsatz des Verantwortlichen, der bei der Mainzer Uniklinik rund 480 Mio. € beträgt. Bei der Bemessung des Bußgeldes steht den Behörden ein Ermessen zu, das sich an einer Vielzahl von Kriterien orientiert, unter anderem am Grad der Gefährdung der Betroffenen und an der Einhaltung der datenschutzrechtlichen Vorgaben.

Datenschutzverstoß am Uniklinikum Mainz: Kein Einzelfall

In Hinblick auf die Höhe des Bußgeldes war der Landesdatenschutzbeauftragten wohl noch gnädig, denn das Bußgeld hätte noch deutlich höher ausfallen können. Die Uni-Klinik Mainz hatte dem Landesdatenschutzbeauftragten in der Zeit von Mai 2018 bis Mai 2019 insgesamt 23-mal diverse Datenschutzverletzungen gemeldet. Dies ergab eine Anfrage des Online-Portals „FragDenStaat“, welchem der Landesdatenschutzbeauftragte für Rheinland-Pfalz folgende Datenschutzverstöße mitteilte:

  • nichtfachgerechte Entsorgung von Patientendaten (z. B. Armbänder, Röhrchen mit Namen, Aufkleber, Akten)
  • vorübergehende externe Aufbewahrung von Dokumentationen
  • Verletzung der Vertraulichkeit (jeweils  mehr als 5 Betroffene)
  • Auffinden von Behandlungsdokumentation (jeweils bis zu 36 Betroffene)
  • Fehler bei der Versendung vonPatientendaten (jeweils bis zu 36 Betroffene)
  • externe Zugsmöglichkeit auf Patienten (889 Betroffene)
  • Diebstahl von mobilen Computern (Datenbank mit mehreren hundert Patienten-Datensätzen)
  • Patientendaten auf privaten IT-Systemen (ca. 200.000 Patienten-Datensätze)
  • unbefugte Weiterleitung von E-Mails (z. B. an Privat-Accounts – 168 Einzelfälle)

Datenschutzverstöße und Sicherheitsleck bei der 1&1 Telecom GmbH

Ein Bußgeld in Höhe von 9,55 Mio. € ist vom Bundesdatenschutzbeauftragten gegen die 1&1 Telecom GmbH verhängt worden. Hintergrund des Bußgelds war eine nicht ausreichende Verifikation der Identität von Anrufern. Dritte konnten somit über die telefonische Kundenbetreuung Kundendaten erfragen, wozu sie lediglich den Namen und das Geburtsdatum des Vertragspartners angeben mussten. Im konkreten Fall habe dies dazu geführt, dass ein Anrufer auf diese Weise die Handynummer seines ehemaligen Lebenspartners ermitteln konnte. Dabei seien in diesem Zusammenhang sämtliche – damals angeblich übliche – Sicherheitsrichtlinien eingehalten worden. Inzwischen müsse jeder Kunde seine persönliche PIN angeben, um telefonisch Informationen zu erhalten.

Nach Aussage der Behörde habe sich das Bußgeld noch im unteren Bereich des Möglichen befunden, da sich 1 & 1 „einsichtig und äußerst kooperativ“ gezeigt habe. 1 & 1 setzt jährlich 5,1 Mrd. € um. Das Bußgeld ist noch nicht bestandskräftig, 1 & 1 möchte dagegen vorgehen.

Die Bußgelder betreffen hauptsächlich den weltlichen Datenschutz, bislang sind keine in der Höhe vergleichbaren Bußgelder im kirchlichen Bereich bekannt. Beachtenswert ist jedoch, dass das Katholische Datenschutzzentrum Dortmund im nächsten Jahr schwerpunktmäßig im Bistum Münster Datenschutzkontrollen von Kindertagesstätten durchführen wird.

Datenschutzverstoß - Handlungsempfehlungen

Insbesondere Kliniken sollten den Fokus ihrer Maßnahmen zur Einhaltung des Datenschutzes an den häufigsten Datenschutzverletzungen orientieren, da die genannten Vorfälle erfahrungsgemäß häufig geschehen. Aber auch der Grund für das Bußgeld gegen 1 & 1 weist Bezüge zum Gesundheitswesen auf, denn auch hier kommt es häufig zu Nachfragen von Unbekannten am Telefon, an der Pforte oder auf den Stationen. Daher ist es auch in diesem Zusammenhang sinnvoll, ein Verifikationsverfahren für Anfragen Dritter einzuführen und bereits im Behandlungsvertrag eine persönliche PIN zu vereinbaren, die der Dritte anzugeben hat, um telefonisch oder persönlich Informationen über den Patienten zu erlangen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Datenschutz im MVZ: Health & Care Management, 12/2019, S. 60


Veröffentlichungen in der Fachpresse
2018

  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018
  • Datenschutz erhält mehr Gewicht: neue caritas, 2/2018, S. 24.
  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39.

Veröffentlichungen in der Fachpresse
2017

  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.
  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.