Krankenhausbetrieb und Datenschutz
Portugals Datenschutzbehörde verhängt die erste empfindliche Geldbuße wegen Verletzung von Patientendaten; persönliche Haftung von Geschäftsführern, Vorständen und Aufsichtsräten denkbar.
400.000,- € Geldbuße muss das Hospital do Barreiro im Süden von Lissabon nach Meinung der portugiesischen Datenschutzbehörde Comissão Nacional de Protecção de Dados (CNPD) wegen Verletzung von Patientendaten zahlen. Damit hat die erste europäische Datenschutzbehörde auf der Grundlage der EU-DSGVO von ihren weitreichenden Möglichkeiten Gebrauch gemacht und eine nicht unerhebliche Geldbuße gegen das Krankenhaus verhängt.
Unzureichend gesicherter Zugriff auf Patientendaten
Die IT-Zugangsberechtigungen des Hospital do Barreiro waren wohl nicht ausreichend scharf abgegrenzt und überwacht. So sollen in dem Krankenhaus ca. 985 aktive Benutzer mit dem Profil „Arzt″ registriert gewesen, obwohl dort nur ca. 300 Ärzte tätig sind. Dies sei nach Aussagen des Krankenhausbetreibers auf die Erstellung von temporären Profilen zurückzuführen. Darüber hinaus und schwerwiegender war der Umstand, dass nicht nur Ärzte Zugriff auf die Patientendaten innehatten, sondern dass es für den Zugriff ausgereicht hatte, sich mit dem Profil „Techniker“ im System anzumelden. Dadurch soll es für eine Vielzahl nichtmedizinischen Personals möglich gewesen sein, auf die geschützten Daten der Patienten zuzugreifen.
DSGVO und Geldbuße
Die DSGVO regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Sie gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union. Bis dahin müssen Firmen und Behörden sicherstellen, dass sie persönliche Daten den Regeln entsprechend behandeln.
Datenschutzverstöße können nach der DSGVO mit einer Geldbuße von bis zu EUR 20 Millionen oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher der Beträge höher ist. Als Anknüpfungspunkt kommen verschiedene datenschutzrechtliche Pflichten in Betracht. Im Fall des Hospital do Barreiro ist es möglich, dass dieses gegen die Pflicht auf Datenminimierung verstoßen hat. Jeder Zugriff auf personenbezogene Daten muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mitarbeitern dürfen Daten nur auf sogenannter „need-to-know″ Basis zugänglich machen. Patientendaten dürfen regelmäßig nur für die behandelnden Ärzte und im notwendigen Umfang für das sonstige, involvierte medizinische Personal zugänglich sein.
Praxis
DSGVO ist somit längst kein theoretisches Risiko mehr. Die Verhängung der Geldbuße durch Portugals Datenschützer zeigt, dass Unternehmen und Behörden deren Regelungen ernst nehmen müssen. Um Geldbußen zu vermeiden, müssen Unternehmen die Grundsätze der Datenverarbeitung nach der DSGVO einhalten und insbesondere ein ausreichendes Sicherheitskonzept vorweisen.
Insbesondere GmbH-Fremdgeschäftsführer sollten sich bewusst machen, dass sie persönlich mit eigenem Vermögen ihrer GmbH nach § 43 GmbHG schadenersatzpflichtig sein können, wenn sie ein ausreichendes Sicherungskonzept vernachlässigen und gegen die GmbH aus diesem Grund eine Geldbuße festgesetzt wird. Eine entsprechende Haftung trifft den AG-Vorstand aus § 93 AktG sowie u.U. den Aufsichtsrat aus § 116 AktG.
Christoph Schmitz-Schunken
Rechtsanwalt
Steuerberater
Fachanwalt für Steuerrecht
Mitglied im Vorstand der Rechtsanwaltskammer Köln
