Kran­ken­haus­be­trieb und Daten­schutz

Por­tu­gals Daten­schutz­be­hör­de ver­hängt die ers­te emp­find­li­che Geld­bu­ße wegen Ver­let­zung von Pati­en­ten­da­ten; per­sön­li­che Haf­tung von Geschäfts­füh­rern, Vor­stän­den und Auf­sichts­rä­ten denk­bar.

400.000,- € Geld­bu­ße muss das Hos­pi­tal do Bar­rei­ro im Süden von Lis­sa­bon nach Mei­nung der por­tu­gie­si­schen Daten­schutz­be­hör­de Comis­são Nacio­nal de Pro­tec­ção de Dados (CNPD) wegen Ver­let­zung von Pati­en­ten­da­ten zah­len. Damit hat die ers­te euro­päi­sche Daten­schutz­be­hör­de auf der Grund­la­ge der EU-DSGVO von ihren weit­rei­chen­den Mög­lich­kei­ten Gebrauch gemacht und eine nicht uner­heb­li­che Geld­bu­ße gegen das Kran­ken­haus ver­hängt.

Unzu­rei­chend gesi­cher­ter Zugriff auf Pati­en­ten­da­ten

Die IT-Zugangs­be­rech­ti­gun­gen des Hos­pi­tal do Bar­rei­ro waren wohl nicht aus­rei­chend scharf abge­grenzt und über­wacht. So sol­len in dem Kran­ken­haus ca. 985 akti­ve Benut­zer mit dem Pro­fil „Arzt″ regis­triert gewe­sen, obwohl dort nur ca. 300 Ärz­te tätig sind. Dies sei nach Aus­sa­gen des Kran­ken­haus­be­trei­bers auf die Erstel­lung von tem­po­rä­ren Pro­fi­len zurück­zu­füh­ren. Dar­über hin­aus und schwer­wie­gen­der war der Umstand, dass nicht nur Ärz­te Zugriff auf die Pati­en­ten­da­ten inne­hat­ten, son­dern dass es für den Zugriff aus­ge­reicht hat­te, sich mit dem Pro­fil „Tech­ni­ker“ im Sys­tem anzu­mel­den. Dadurch soll es für eine Viel­zahl nicht­me­di­zi­ni­schen Per­so­nals mög­lich gewe­sen sein, auf die geschütz­ten Daten der Pati­en­ten zuzu­grei­fen.

DSGVO und Geld­bu­ße

Die DSGVO regelt die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch pri­va­te Unter­neh­men und öffent­li­che Stel­len. Sie soll sicher­stel­len, dass per­so­nen­be­zo­ge­ne Daten inner­halb der Euro­päi­schen Uni­on geschützt sind, gleich­zei­tig aber den frei­en Daten­ver­kehr inner­halb des Euro­päi­schen Bin­nen­mark­tes gewähr­leis­ten. Sie gilt ab dem 25. Mai 2018 in allen Mit­glieds­staa­ten der Euro­päi­schen Uni­on. Bis dahin müs­sen Fir­men und Behör­den sicher­stel­len, dass sie per­sön­li­che Daten den Regeln ent­spre­chend behan­deln.

Daten­schutz­ver­stö­ße kön­nen nach der DSGVO mit einer Geld­bu­ße von bis zu EUR 20 Mil­lio­nen oder von bis zu 4 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes geahn­det wer­den, je nach­dem, wel­cher der Beträ­ge höher ist. Als Anknüp­fungs­punkt kom­men ver­schie­de­ne daten­schutz­recht­li­che Pflich­ten in Betracht. Im Fall des Hos­pi­tal do Bar­rei­ro ist es mög­lich, dass die­ses gegen die Pflicht auf Daten­mi­ni­mie­rung ver­sto­ßen hat. Jeder Zugriff auf per­so­nen­be­zo­ge­ne Daten muss auf das für die Zwe­cke der Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein. Mit­ar­bei­tern dür­fen Daten nur auf soge­nann­ter „need-to-know″ Basis zugäng­lich machen. Pati­en­ten­da­ten dür­fen regel­mä­ßig nur für die behan­deln­den Ärz­te und im not­wen­di­gen Umfang für das sons­ti­ge, invol­vier­te medi­zi­ni­sche Per­so­nal zugäng­lich sein.

Pra­xis

DSGVO ist somit längst kein theo­re­ti­sches Risi­ko mehr. Die Ver­hän­gung der Geld­bu­ße durch Por­tu­gals Daten­schüt­zer zeigt, dass Unter­neh­men und Behör­den deren Rege­lun­gen ernst neh­men müs­sen. Um Geld­bu­ßen zu ver­mei­den, müs­sen Unter­neh­men die Grund­sät­ze der Daten­ver­ar­bei­tung nach der DSGVO ein­hal­ten und ins­be­son­de­re ein aus­rei­chen­des Sicher­heits­kon­zept vor­wei­sen.

Ins­be­son­de­re GmbH-Fremd­ge­schäfts­füh­rer soll­ten sich bewusst machen, dass sie per­sön­lich mit eige­nem Ver­mö­gen ihrer GmbH nach § 43 GmbHG scha­den­er­satz­pflich­tig sein kön­nen, wenn sie ein aus­rei­chen­des Siche­rungs­kon­zept ver­nach­läs­si­gen und gegen die GmbH aus die­sem Grund eine Geld­bu­ße fest­ge­setzt wird. Eine ent­spre­chen­de Haf­tung trifft den AG-Vor­stand aus § 93 AktG sowie u.U. den Auf­sichts­rat aus § 116 AktG.

 

Chris­toph Schmitz-Schun­ken
Rechts­an­walt
Steu­er­be­ra­ter
Fach­an­walt für Steu­er­recht
Mit­glied im Vor­stand der Rechts­an­walts­kam­mer Köln

News­let­ter-Anmel­dung

Ja, ich habe die Daten­schutz­er­klä­rung zur Kennt­nis genom­men und bin mit Absen­den des Kon­takt­for­mu­la­res mit der elek­tro­ni­schen Ver­ar­bei­tung und Spei­che­rung mei­ner Daten ein­ver­stan­den. Mei­ne Daten wer­den dabei nur streng zweck­ge­bun­den zur Bear­bei­tung und Beant­wor­tung mei­ner Anfra­ge benutzt.

Über den Autor

  • Christoph Schmitz-Schunken

    Chris­toph Schmitz-Schun­ken ist zuge­las­se­ner Rechts­an­walt seit 2005, Steu­er­be­ra­ter, Fach­an­walt für Han­dels- und Gesell­schafts­recht, Fach­an­walt für Steu­er­recht, zert. Bera­ter Steu­er­straf­recht (DAA) und Mit­glied im Vor­stand der Rechts­an­walts­kam­mer Köln. Zum Anwalts­pro­fil