400.000 Euro Bußgeld gegen Krankenhaus wegen Datenschutzverstoß

400.000 Euro Bußgeld gegen Krankenhaus wegen Datenschutzverstoß

400.000 Euro Bußgeld gegen Krankenhaus wegen Datenschutzverstoß

Bußgeld DSGVO, EU-Datenschutzgrundverordnung, Arzt, Ärzte, Krankenhaus, Gesundheitswesen, IT-Sicherheit, technisch-organisatorischen Maßnahmen, IT-Sicherheit, Zugriffsberechnung, Berechtigungskonzept, Rechtsanwalt David Seiler, Cottbus, Berlin, Leipzig, Dresden, Lausitz, Brandenburg

400.000 Euro Bußgeld nach DSGVO gegen Krankenhaus wegen Datenschutzverstoß

Das erste mir bekannt gewordene erhebliche Bußgeld nach der EU-Datenschutzgrundverordnung (DSGVO) wurde in Portugal gegen ein Krankenhaus verhängt, das erhebliche Defizite in der Steuerung der Zugriffsberechtigungen aufwies. Wie die Datenschutzaufsichtsbehörde in Portugal CNPD am Montag 22.10.18 bekannt gegeben hat, soll das Krankenhaus Barreiro Montijo insgesamt eine Geldbuße in Höhe von 400.000 Euro bezahlen. Neben einem anderen Datenschutzverstoß, der mit einem Bußgeld in Höhe von 100.000 Euro geahndet wird, wurde der überwiegende Teil des Bußgeldes nach DSGVO deshalb festgesetzt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

So soll es z.B. möglich gewesen sein, mit einem Profil „Techniker“, welches sich wohl recht leicht anlegen lies, Zugriff auf Patientendaten zu erhalten, die nur Ärzten hätten zugänglich sein dürfen. Dies sei bei einem Test der Aufsichtsbehörde im Juli (also schon einige Zeit nach Wirksamwerden der DSGVO am 25.05.2018) vor Ort im Krankenhaus aufgefallen. Mit dem Profil habe man unbegrenzten Zugriff auf alle Daten gehabt. – Bei einem Admin-Account, wenn es das gewesen sein sollte – wundert mich das auch nicht. Was hingegen sehr auffällig ist, ist dass es insgesamt 985 Benutzer mit dem Profil „Arzt“ gegeben haben soll, obwohl nur 296 Ärzte an dem Krankenhaus tätig waren.

Bußgeld nach DSGVO und technisch / organisatorischen Datenschutzmaßnahmen

Personenbezogen Daten dürfen nur verarbeitet werden – und schon die Möglichkeit des Zugriffs (Bereitstellen) auf die Daten stellt eine Datenverarbeitung nach der Definition der DSGVO dar, Art. 4 Nr. 2 DSGVO – wenn es dafür eine Rechtsgrundlage gibt, Art. 6 Abs. 1 DSGVO. Bei Patientendaten handelt es sich um Gesundheitsdaten, Art. 4 Nr. 15 DSGVO, die in Deutschland zusätzlich zum Datenschutzrecht, Art. 9 DSGVO, auch durch den im November 2017 geänderten § 203 StGB (Berufsgeheimnis, Arztgeheimnis, § 9 MBOÄ) geschützt sind.

Ergänzend gilt in Deutschland § 22 BDSG, der spezifische Schutzmaßnahmen bei der Verarbeitung von sensiblen Daten vorsieht. Hierzu gehört nach § 22 Abs. 2 Nr. 5 BDSG auch die „Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern“. Dies lässt sich vereinfacht durch das Need-to-Know-Prinzip ausdrücken. Personen, die keinen Zugang zu den Daten haben müssen, um ihrer Arbeit nachzukommen, dürfen auch keinen Zugang zu den Daten haben. Dies sicherzustellen ist Aufgabe eines Berechtigungskonzeptes. Ein Berechtigungskonzept kann wiederum Teil der nach Art. 32 DSGVO zu dokumentierenden technischen und organisatorischen Datenschutzmaßnahmen sein. Art. 32 Abs. 1b) DSGVO sieht u.a. die Gewährleistung der Vertraulichkeit des Zugangs zu personenbezogenen Daten vor. Die „unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise (der) unbefugten Zugang zu personenbezogenen Daten“ ist nach Art. 32 Abs. 2 DSGVO ein mit entsprechenden Maßnahmen zu adressierendes Risiko für die zu schützenden Daten bzw. die betroffenen Personen. Die Sicherheit der Daten vor unbefugter Verarbeitung ist einer der Datenschutzgrundsätze in Art. 5 Abs. 1f DSGVO, für die nach Art. 5 Abs. 2 DSGVO im vorliegenden Fall der Krankenhausbetreiber verantwortlich ist.

Bußgeld nach DSGVO

Nach Art. 83 Abs. 2 d) DSGVO sind die vom Verantwortlichen getroffenen technischen und organisatorischen Datenschutzmaßnahmen neben anderen Faktoren bei der Festsetzung der Bußgeldhöhe zu berücksichtigen.

Ein Verstoß gegen die Pflicht, angemessene, verhältnismäßige und geeignete Maßnahmen zur Datensicherheit nach Art. 32 DSGVO als Verantwortlicher festzusetzen und wirksam zu implementieren kann mit einem Bußgeld von 0 bis zu 10.000.000 Euro (10 Millionen) geahndet werden, oder, wenn das höher ist, mit einem Bußgeld in Höhe von 2% des weltweiten Jahresgesamtumsatzes, Art. 83 Abs. 4a DSGVO.

Werden Daten sogar ohne oder ohne ausreichende Rechtsgrundlage verarbeitet, so kann ein Bußgeld sogar von 0 bis zu 20.000.000 Euro (20 Millionen) oder 4% des weltweiten Jahresgesamtumsatzes verhängt werden, Art. 83 Abs. 5a DSGVO.

Es dürfte spannend sein zu sehen, auf welche der beiden Normen der DSGVO sich die Datenschutzaufsicht bei ihrem Bußgeld stützt.

Bitte diese Zahlen jedoch nicht im Sinne von Panikmache verstehen. Es ist ein maximaler Rahmen, der deshalb so weit ist, damit die Aufsichtsbehörden auch Unternehmen in der Größenordnung von Facebook und Google notfalls mit Bußgelder, die nicht mehr aus der Portokasse zu zahlen, sondern empfindlich sind, für Datenschutzverstöße sanktionieren können. Dabei sind aber die Kriterien für die Festsetzung der Bußgeldhöhe nach Art. 83 Abs. 2 DSGVO zu berücksichtigen. Ein ganz entscheidendes Kriterium ist dabei die Verhältnismäßigkeit, auch in Relation zur Unternehmensgröße und dem Umsatz. Ein weiteres bußgelderhöhendes Kriterium im vorliegenden Fall ist die Kategorie der betroffenen Daten: Gesundheits- bzw. Patientendaten, die nach Art. 9 DSGVO besonderen Schutz genießen und deren Verletzung besonders sensibel ist. Die Dauer und Schwere des Verstoßes sowie die Anzahl der betroffenen Personen dürften im Fall des Krankenhauses weitere bußgelderhöhende Faktoren sein.

Das Krankenhaus hat angekündigt, sich gerichtlich gegen das Bußgeld zu verteidigen. Man darf auf das Ergebnis gespannt sein.

Persönliche Bemerkung zu Bußgeld und DSGVO

Eine persönliche Bemerkung noch dazu: ich hoffe, dass die Datenschutzaufsicht in so einem Fall auch bedenkt, dass das Krankenhaus den Euro nur einmal ausgeben kann und das Geld dann in der Patientenversorgung fehlt. Vielleicht soll hier nur ein Exempel statuiert werden, um die Bedeutung des Datenschutzes gerade auch im Gesundheitswesen zu verdeutlichen. Mir erscheint da der Ansatz der deutschen Aufsichtsbehörden, primär zu beraten, ggf. mit entsprechendem Nachdruck, Sanktionen aber nur als letztes Mittel zu verhängen, insbesondere wenn jemand vorsätzlich handelt oder beratungsresistent ist, auf lange Sicht dem Datenschutz dienlicher.

Leider liegen aus zu wenige Informationen vor, um den Fall vollständig beurteilen zu können. Evtl. handelt es sich bei dem Techniker-Profil um eine  Admin-Account. Dass Admins auf Alles zugreifen können, wird sich wohl nur schwer verhindern lassen. Natürlich muss das auf einige wenige Personen beschränkt sein, die besonders zu Vertraulichkeit verpflichtet sind und deren Aktivitäten müssen protokolliert werden. Es ist auch klar, kommt in der Fallschilderung aber nicht zum Ausdruck, dass natürlich mehr als nur die 300 Ärzte Zugriff auf die Patientendaten im Krankenhaus benötigen: Pflegekräfte, Abrechnungsstellen etc. Natürlich darf nicht jeder auf Alles zugreifen; es müssen inhaltlichen (z.B. nach Stationen, die am Patienten arbeiten) und zeitliche Beschränkungen festgelegt werden.

David Seiler, 23.10.2018

David Seiler ist Rechtsanwalt, Datenschutzbeauftragter, Autor und Lehrbeauftragter für IT Security Law an der B-TU Cottbus.