Bußgeld über 400.000 Euro wurde wegen eines DSGVO-Verstoßes gegenüber einem Krankenhaus verhängt

Die portugiesische Datenschutzaufsicht hat gegenüber dem Krankenhaus Barreiro Montijo ein Bußgeld von 400.000 Euro verhängt. Gründe waren vor allem die zu weitreichenden Dateneinsichten für Nicht-Ärzte sowie die zu hohe Zahl an Benutzern mit dem Profil „Arzt”. Die empfindlich höheren Bußgeldvorschriften der DSGVO zählen zu den bekanntesten Änderungen des neuen Datenschutz-Rechts. Geldbußen von bis zu 10 Mio. EUR oder von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen u.a. bei Verletzung der besonderen Schutzrechte von Kindern, Fehlen datenschutzfreundlicher Voreinstellungen, Nichtvorliegen eines Verarbeitungsverzeichnisses, der notwendigen Vereinbarungen zur Auftragsverarbeitung oder der erforderlichen Datenschutzfolgeabschätzungen sowie bei Versäumen der notwendigen Meldung eines Datenschutzverstoßes. Doppelt so hoch, also bis zu 20 Mio. EUR oder bis zu 4 Prozent des Jahresumsatzes, ist die Bußgeldandrohung u.a. bei Verstößen gegen die Grundsätze der Verarbeitung, Nichteinhaltung der Betroffenenrechte, unzulässiger Datenübermittlung in ein Drittland oder auch bei Nichtbefolgen von Anweisungen der Datenschutzbehörden.

Nachdem die drohenden Bußgelder zu Beginn des Jahres 2018 in den Medien intensiv diskutiert worden waren, war es darum zunächst wieder ruhiger geworden. Die deutschen Datenschutzbehörden haben bislang noch kaum erhebliche Bußgelder in Bezug auf Verstöße gegen die DSGVO bekannt gemacht.
 
Das hat manchen Verantwortlichen vielleicht zu der Annahme verleitet, dass die Aufsicht mit Rückständen bei der Umsetzung der DSGVO generell nachsichtig umgehen würde. Auch wenn dies für die ersten Monate seit Wirksamwerden der DSGVO zutreffen mag, dürfte es bei dieser Milde nicht dauerhaft bleiben.
 
Ein in Portugal verhängtes Bußgeld gibt eine erste Richtung vor. Das Nachrichtenportal heise online berichtet, dass die portugiesische Datenschutzbehörde Ende Oktober die Verhängung eines Bußgeldes über 400.000 EUR gegenüber dem Krankenhaus Barreiro Montijo verhängt hat.
 
Heise online schreibt: „Wie die portugiesische Tageszeitung [Público] erläutert, hat der Krankenhausbetreiber laut Datenschutzaufsicht ‚bewusst‘ dafür gesorgt, dass Nutzer mit dem Profil ‚Techniker‘ in den IT-Systemen auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein dürfen.” Außerdem seien in dem System insgesamt 985 aktive Benutzer mit dem Profil „Arzt” registriert, obwohl lediglich 296 Ärzte eingeteilt worden seien. Das Krankenhaus beabsichtigt nach dem vorliegenden Bericht, Rechtsmittel gegen das Bußgeld einzulegen.
 
Unabhängig vom tatsächlichen Ausgang des Verfahrens zeigt der Fall, dass die Sensibilität der Aufsichtsbehörden auch und gerade gegenüber den Leistungserbringern im Gesundheitswesen hoch ist. Ein insgesamt unstrukturierter oder nicht klar dokumentierter Umgang mit dem Benutzer- und Rechtemanagement erweist sich vor dem Hintergrund der DSGVO als ein konkretes Risiko für Krankenhäuser.
 
Quelle: heise online (heise.de)

Sprechen Sie uns an

Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.