DSGVO-Verstoß: Erste empfindliche Geldbuße gegen Krankenhaus in Portugal

Krankenhausbetrieb und Datenschutz

Portugals Datenschutzbehörde verhängt die erste empfindliche Geldbuße wegen Verletzung von Patientendaten; persönliche Haftung von Geschäftsführern, Vorständen und Aufsichtsräten denkbar.

400.000,- € Geldbuße muss das Hospital do Barreiro im Süden von Lissabon nach Meinung der portugiesischen Datenschutzbehörde Comissão Nacional de Protecção de Dados (CNPD) wegen Verletzung von Patientendaten zahlen. Damit hat die erste europäische Datenschutzbehörde auf der Grundlage der EU-DSGVO von ihren weitreichenden Möglichkeiten Gebrauch gemacht und eine nicht unerhebliche Geldbuße gegen das Krankenhaus verhängt.

Unzureichend gesicherter Zugriff auf Patientendaten

Die IT-Zugangsberechtigungen des Hospital do Barreiro waren wohl nicht ausreichend scharf abgegrenzt und überwacht. So sollen in dem Krankenhaus ca. 985 aktive Benutzer mit dem Profil „Arzt″ registriert gewesen, obwohl dort nur ca. 300 Ärzte tätig sind. Dies sei nach Aussagen des Krankenhausbetreibers auf die Erstellung von temporären Profilen zurückzuführen. Darüber hinaus und schwerwiegender war der Umstand, dass nicht nur Ärzte Zugriff auf die Patientendaten innehatten, sondern dass es für den Zugriff ausgereicht hatte, sich mit dem Profil „Techniker“ im System anzumelden. Dadurch soll es für eine Vielzahl nichtmedizinischen Personals möglich gewesen sein, auf die geschützten Daten der Patienten zuzugreifen.

DSGVO und Geldbuße

Die DSGVO regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Sie gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union. Bis dahin müssen Firmen und Behörden sicherstellen, dass sie persönliche Daten den Regeln entsprechend behandeln.

Datenschutzverstöße können nach der DSGVO mit einer Geldbuße von bis zu EUR 20 Millionen oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher der Beträge höher ist. Als Anknüpfungspunkt kommen verschiedene datenschutzrechtliche Pflichten in Betracht. Im Fall des Hospital do Barreiro ist es möglich, dass dieses gegen die Pflicht auf Datenminimierung verstoßen hat. Jeder Zugriff auf personenbezogene Daten muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mitarbeitern dürfen Daten nur auf sogenannter „need-to-know″ Basis zugänglich machen. Patientendaten dürfen regelmäßig nur für die behandelnden Ärzte und im notwendigen Umfang für das sonstige, involvierte medizinische Personal zugänglich sein.

Praxis

DSGVO ist somit längst kein theoretisches Risiko mehr. Die Verhängung der Geldbuße durch Portugals Datenschützer zeigt, dass Unternehmen und Behörden deren Regelungen ernst nehmen müssen. Um Geldbußen zu vermeiden, müssen Unternehmen die Grundsätze der Datenverarbeitung nach der DSGVO einhalten und insbesondere ein ausreichendes Sicherheitskonzept vorweisen.

Insbesondere GmbH-Fremdgeschäftsführer sollten sich bewusst machen, dass sie persönlich mit eigenem Vermögen ihrer GmbH nach § 43 GmbHG schadenersatzpflichtig sein können, wenn sie ein ausreichendes Sicherungskonzept vernachlässigen und gegen die GmbH aus diesem Grund eine Geldbuße festgesetzt wird. Eine entsprechende Haftung trifft den AG-Vorstand aus § 93 AktG sowie u.U. den Aufsichtsrat aus § 116 AktG.

Beitrag veröffentlicht am
14. November 2018

Diesen Beitrag teilen

Diese Fachbeiträge könnten Sie auch interessieren:

Handelsrecht
10.07.2026

Neue EU-Etiketten für Gewährleistung und Garantie – Der zweite Streich der EmpCo-Richtlinie

Vom Greenwashing zu den Gewährleistungsetiketten In unserem letzten Beitrag haben wir die weitreichenden Neuerungen der Richtlinie (EU) 2024/825, der sogenannten „EmpCo-Richtlinie", für die Umweltkommunikation beleuchtet: verschärfte Anforderungen an Umweltaussagen, das Aus für kompensationsbasierte Klimaneutralitäts-Werbung und strenge Vorgaben für Nachhaltigkeitssiegel. Doch die EmpCo-Richtlinie erschöpft sich nicht in der Bekämpfung von Greenwashing. Sie verfolgt ein breiteres Ziel: Verbraucherinnen und Verbraucher sollen umfassend in die Lage versetzt werden, informierte Kaufentscheidungen zu treffen. Dazu gehört auch, dass sie ihre Rechte bei mangelhafter Ware kennen und genau hier setzt der zweite große Regelungskomplex der EmpCo an: einheitliche Informationsetiketten über das gesetzliche Gewährleistungsrecht und über freiwillige Herstellergarantien. Die neuen Pflichten treten, ebenso wie die Greenwashing-Vorschriften, am 27. September 2026 in Kraft.

Beitrag lesen
Recht der unerlaubten Handlungen
26.06.2026

Neue Spielregeln für „grüne" Werbung: Die EmpCo-Richtlinie und ihre Umsetzung in Deutschland

Seit dem 19. Februar 2026 steht fest: Der deutsche Gesetzgeber hat das Gesetz gegen den unlauteren Wettbewerb (UWG) durch ein Drittes Änderungsgesetz grundlegend erweitert. Hintergrund ist die europäische Richtlinie (EU) 2024/825 vom 28. Februar 2024, die unter dem Kürzel „EmpCo" bekannt geworden ist. Diese Richtlinie zielt darauf ab, Verbraucherinnen und Verbraucher besser vor irreführenden Umwelt- und Nachhaltigkeitsversprechen zu schützen und dem weit verbreiteten Phänomen des Greenwashings einen Riegel vorzuschieben. Was bedeutet das konkret? Unternehmen, die ihre Produkte oder Dienstleistungen mit ökologischen Vorzügen bewerben, müssen sich ab dem 27. September 2026 an deutlich verschärfte Anforderungen halten. Übergangsfristen oder Abverkaufsregelungen sieht das Gesetz nicht vor: wer nicht rechtzeitig umstellt, riskiert ab dem ersten Tag Abmahnungen und behördliche Maßnahmen.

Beitrag lesen
Arbeitsrecht
17.06.2026

Zusammenhängender Erholungsurlaub: Grenzen der betrieblichen Steuerung

In vielen mittelständischen Unternehmen hat sich eine ungeschriebene Regel etabliert: Mehr als zwei Wochen zusammenhängender Urlaub werden nicht genehmigt. Die Gründe liegen auf der Hand, knappe Personaldecken, hohe Auslastung, kleine Teams. Was betriebswirtschaftlich nachvollziehbar erscheint, steht jedoch auf einem rechtlich unsicheren Fundament. Das Thüringer Landesarbeitsgericht (LAG) hat in einem aktuellen Beschluss vom 2. März 2026 (Az. 4 Ta 15/26) klargestellt, dass pauschale Obergrenzen für zusammenhängende Urlaubszeiträume nicht mit dem Bundesurlaubsgesetz (BUrlG) vereinbar sind, und zwar selbst dann nicht, wenn der Arbeitgeber auf personelle Engpässe verweist. Für Geschäftsführungen und Personalabteilungen im Mittelstand hat diese Entscheidung unmittelbare praktische Bedeutung.

Beitrag lesen