Patientendaten nicht geschützt: Krankenhaus erhält Bußgeldbescheid über 400.000€

Wie heise online heute berichtet, soll das Krankenhaus Barreiro Montijo 400.000 Euro bezahlen. Der Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten. Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt.

Es handelt sich um das erste Bußgeld, das nach der neuen europäischen Datenschutzverordnung DS-GVO verhängt wurde. Offenbar wurde IT-Technikern unbeschränkter Zugriff auf Patientendaten eingeräumt und das dazu angelegte Benutzerprofil zu vielen Benutzern zur Verfügung gestellt.

Dabei gilt das Prinzip der Datenminimierung (Artikel 5 Abs. 1 lit c) DS-GVO), wonach die Verarbeitung auf das für den jeweiligen Zweck notwendige Maß zu beschränken ist.
Wenn also externe Dienstleister (zeitlich) unbeschränkten (Voll-) Zugriff erhalten, kann zumindest ein Verstoß gegen diesen Grundsatz angenommen werden und die Aufsichtsbehörde darf nach Artikel 83 Abs. 1 DS-GVO eine wirksame, verhältnismäßige und abschreckende Geldbuße verhängen

Auch in unserer Praxis werden z.B. für die Verarbeitung von Labordaten oder den Support für die Praxisverwaltungssoftware externe Dienstleister eingesetzt (vgl. Datenschutzerklärung: Abschnitt Weitergabe von Daten).

Wir stellen sicher, dass der Zugriff auf unser Praxisverwaltungssystem ausschließlich im Beisein von uns und nur zur Behebung von technischen Problemen erfolgt. Alle Mitarbeiter haben eine Vertraulichkeitsverpflichtung unterschrieben und an einer Schulung zur DS-GVO teilgenommen. Wir wiederholen diese Schulung mindestens jährlich.

Über unsere Verträge zur Auftragsverarbeitung haben wir weitgehende Rechte zur Kontrolle. Jeder mögliche Verstoß auf Seiten des Dienstleisters wird gravierende Konsequenzen bis hin zur Verhängung eines angemessenen und hohen Bußgeldes durch den Hamburger Datenschutzbeauftragten nach sich ziehen.

Mehr Informationen zu diesem Thema finden Sie auf unserer Seite Dialog.