Bei der Verarbeitung von Gesundheitsdaten von Patientinnen und Patienten müssen Unternehmen geeignete Technische und organisatorische Maßnahmen (TOM) ergreifen, um diese Daten angemessen zu schützen. Ein Hamburger Unternehmen der Gesundheitswirtschaft hat diesen Schutz nur unzureichend umgesetzt und wurde dafür mit einem niedrigen sechsstelligen Bußgeld belegt.
Insbesonders wurden folgende Punkte kritisiert:
- Mehrfacher Falschversand von Arztbriefen. Die Firma hat die Empfängerin zwar mit einem Sperrvermerk versehen, der aber aufgrund technischer Unzulänglichkeiten bei einem Software-Update nicht übernommen wurde.
- Unzulängliche TOM sind ein Verstoß gegen Art. 32 DSGVO.
- Die Firma hatte es längere Zeit unterlassen, technische Maßnahmen zu ergreifen, die eine Protokollierung der Zugriffe von Mitarbeitern auf die Daten zu gewährleisten. So war nicht bekannt, wer die Daten zuletzt oder überhaupt gelesen hatte. Eine Protokollierung ist hier zwingend erforderlich. Somit lag auch hier ein Verstoß gegen Art. 32 DSGVO vor.
- Verschärfend kam hinzu, dass die Firma mehrfach von der Empfängerin auf den Sachverhalt aufmerksam gemacht wurde, was dem Fall mehr Gewicht verlieh und dass Gesundheitsdaten, also Daten der besonderen Kategorie nach Art. 9 DSGVO, verarbeitet wurden.
Bußgeldmindernd wirkten:
- Es handelte sich um den ersten Verstoß bei der Firma.
- Die Firma hat umfassend mit der Aufsichtsbehörde kooperiert.
Das Unternehmen hat das Bußgeld akzeptiert. Übrigens, auch die Datenschutzaufsicht in Kiel berichtet von verstärkt fehlgeleiteten Patientendaten.
Quelle: Datenschutzaufsicht Hamburg, Tätigkeitsbericht 2021, S. 67 ff.
Datenschutzaufsicht Schleswig-Holstein, Tätigkeitsbericht 2022, S. 46 ff.