Stra­fe wegen DSGVO-Ver­stoß ausgesprochen.

400000 € Stra­fe für ein Kran­ken­haus in Portugal 

So steht es heu­te in ver­schie­de­nen Pres­se­ver­tei­lern und auf Nach­rich­ten­sei­ten. Die por­tu­gie­si­sche Daten­schutz­be­hör­de CNPD (Comis­são Nacio­nal de Pro­tec­ção de Dados) hat ges­tern bekannt­ge­ge­ben, dass ein Kran­ken­haus eine Stra­fe von 400000 € Stra­fe zah­len soll für Ver­stö­ße gegen die DSGVO.

Was ist geschehen?

Bei einer Unter­su­chung wur­de laut der Tages­zei­tung Pûb­li­co fest­ge­stellt, dass in dem Kran­ken­haus ein deut­lich zu gro­ßer Per­so­nen­kreis Zugriff auf die Daten von Pati­en­ten hat­te. Eine Zusam­men­fas­sung ist auch in die­sem Hei­se Arti­kel zu finden.

In dem Kran­ken­haus sei­en im Jahr 2018 ledig­lich 296 Ärz­te ein­ge­teilt gewe­sen, aller­dings waren in den Sys­te­men wohl ins­ge­samt 985 akti­ve Benut­zer vor­han­den, die mit einem Arzt­pro­fil Zugriff auf die Pati­en­ten­da­ten hatten.

Eine ver­such­te Rechtfertigung

Aus dem Arti­kel von Heise:

„Das Kran­ken­haus habe die Dis­kre­panz mit tem­po­rä­ren Pro­fi­len im Rah­men eines Dienst­leis­tungs­ver­trags zu erklä­ren versucht.“

Die­se Aus­sa­ge hat der Auf­sichts­be­hör­de nicht gereicht. Zusam­men mit der Mög­lich­keit des ein­fa­chen anle­gen von Tech­ni­ker­pro­fi­len, sowie dem Umgang mit den Arzt­pro­fi­len, hat sich die Auf­sichts­be­hör­de ent­schlos­sen die Stra­fe von 400000 € aus­zu­spre­chen. Das Kran­ken­haus will dies­be­züg­lich vor Gericht ziehen.

Was für Aus­wir­kun­gen hat die­se Strafe?

In der DSGVO ist es vor­ge­se­hen, dass die Auf­sichts­be­hör­den mit­tels eines Kohä­renz­ver­fah­ren agie­ren. Hier­aus kann man ablei­ten, dass sich Auf­sichts­be­hör­den bei glei­chen Sach­ver­hal­ten gleich ver­hal­ten sol­len. Dem­nach ist es auch für deut­sche Unter­neh­men sehr rele­vant, wie Stra­fen in ande­ren euro­päi­schen Län­dern aus­ge­legt wer­den. Bis­her sind hier durch die Auf­sichts­be­hör­den kei­ne Mess­lat­ten gelegt wor­den. Mit Aus­spra­che die­ser Stra­fe hat sich dies nun geändert.

Was ist zu tun?

Ver­mut­lich ist die Grund­la­ge des Pro­blems ein feh­len­der Pro­zess für das kon­trol­lier­te Off­boar­ding von Per­so­nen, sowie eine nicht opti­ma­le IT-Secu­ri­ty Richt­li­nie. Bei­des hät­te ver­mut­lich gehol­fen der Stra­fe ent­ge­gen­zu­wir­ken, zumin­dest wenn bei­des kor­rekt umge­setzt ist.

Da hier nun ein Refe­renz­fall geschaf­fen wur­de ist es sinn­voll, sei­ne eige­nen Pro­zes­se zu über­prü­fen und zu schau­en, ob ein ähn­li­cher Fall im eige­nen Unter­neh­men pas­sie­ren kann.

Falls sie noch kei­ne IT-Sicher­heits­richt­li­nie in ihrem Unter­neh­men ein­ge­führt haben, oder ander­wei­tig Hil­fe bei der Umset­zung der Anfor­de­run­gen der DSGVO benö­ti­gen unter­stützt sie die MAMEDO IT-Con­sul­ting GmbH bei der Umset­zung und lie­fert die not­wen­di­gen Kom­po­nen­ten aus einer Hand. Egal ob es um das The­ma Daten­schutz, IT-Secu­ri­ty oder Digi­ta­li­sie­rung geht, bei uns sind sie richtig.

Die­sen Bei­trag teilen