Datenschutzverstoß: Hohes Bußgeld wegen unzureichender TOM bei Gesundheitsdaten
Wegen unzureichender technischer und organisatorischer Maßnahmen (TOM, Art. 32 DSGVO) und einem dadurch möglichen unberechtigten Zugriff und mangelnder Zugriffsteuerung sowie fehlender Kontrolle wurde in Holland ein Krankenhaus (HAGA-Krankenhaus) mit einer Geldbuße von 460.000 Euro belegt, wie die Holländische Datenschutzaufsicht (Pressemeldung kann z.B. mit deepl übersetzt werden) am 16.07.2019 meldete (Kurzmeldung in Englisch). Sollten die Zugriffsrechte und die IT-Sicherheit nicht bis zum 02.10.2019 datenschutzkonform gestaltet werden, droht ein weiteres Bußgeld von 100.000 Euro pro 14 Tage Verzögerung, maximal weitere 300.000 Euro.
Damit liegt der Fall ähnlich wie der eines Krankenhauses in Portugal, welches ein Bußgeld von 400.000 Euro erhalten hat.
TOMs und Need to Know Prinzip auch innerhalb der verantwortlichen Stelle
Hintergrund war, dass innerhalb eines Krankenhauses mehrere unberechtigte Person die elektronische Patientenakte eines Prominenten eingesehen hatten. Auch innerhalb eines Krankenhauses dürfen nur die Personen auf die Krankendaten Zugriff haben, die diese Daten zur Diagnose, Therapie und Pflege des Patienten benötigen – need to know-Prinzip, Art. 5 Abs. 1 DSGVO. Die „Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle“ ist im neuen Bundesdatenschutzgesetz in § 22 Abs. 2 Nr. 5 BDSG ausdrücklich als eine „spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person“ vorgesehen.
Berechtigungskonzept als Teil der technischen und organisatorischen Maßnahmen
In einem Berechtigungskonzept wird festgelegt, wer warum mit welchen Rechten auf welche Daten zugreifen darf. Dies ist dann technisch umzusetzen. Die Holländische Aufsicht fordert durch eine Zweifaktorenauthentifizierung den Zugang zu den Patientenakten abzusichern (z.B. Passwort und Chipkarte = Wissen und Besitz). Dieser Zugang soll personenbezogenen sei, damit das Krankenhaus auch regelmäßig überprüfen kann, wer welche Dateien einsieht (zumindest Stichprobenkontrolle) und ob ein Datenschutzverstoß vorliegt. Die personenbezogene Protokollierung ist eine weitere Maßnahmen, die in § 22 Abs. 2 Nr. 2 BDSG ausdrücklich im deutschen Datenschutzrecht geregelt ist: „Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind„. Um die Vertraulichkeit sicherzustellen, muss zudem auch die Einsicht in einen Datensatz protokolliert werden.
Informationspflichten gegenüber Betroffenen – gilt auch für Mitarbeiter
Über diese Protokollierung sind die Beschäftigten nach Art. 13 DSGVO zu informieren. Dies hat dann hoffentlich auch den Effekt, dass unberechtigte Personen auch innerhalb eines Krankenhauses davon abgehalten werden, sich Zugriff auf Gesundheit zu verschaffen (Promis, Verwandte, Bekannte etc.) und diese dann im schlimmsten Fall an die Presse weiterzugeben oder zu Erpressungsversuche zu missbrauchen. Und genau diesen Schutz bezweckt das Datenschutzrecht. Sofern ein Betriebsrat oder Personalrat besteht, sind zusätzlich Mitbestimmungsrechte zu beachten.
Meldepflicht bei Datenschutzverstoß
Wenn das Krankenhaus feststellt, dass unberechtigte Personen auf Gesundheitsdaten zugegriffen haben, zeigt das nicht nur ein Problem im Bereich der technischen und organisatorischen Maßnahmen, sondern diese Verletzung der Vertraulichkeit stellt zugleich eine Datenschutzverletzung – auch Datenpanne genannt – dar, die zu einer Pflicht führt, diesen Datenschutzverstoß der Datenschutzaufsicht binnen 72 Stunden mitzuteilen, Art. 33 DSGVO, und bei entsprechend hohem Risiko für die Betroffenen (Patienten) müssen zusätzlich die Betroffenen unverzüglich unterrichtet werden, Art. 34 DSGVO (LDA Hamburg zu Meldepflicht bei Data Breach).
David Seiler, Rechtsanwalt, 19.07.2019