Strafe wegen DSGVO-Verstoß ausgesprochen.
400000 € Strafe für ein Krankenhaus in Portugal
So steht es heute in verschiedenen Presseverteilern und auf Nachrichtenseiten. Die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat gestern bekanntgegeben, dass ein Krankenhaus eine Strafe von 400000 € Strafe zahlen soll für Verstöße gegen die DSGVO.
Was ist geschehen?
Bei einer Untersuchung wurde laut der Tageszeitung Pûblico festgestellt, dass in dem Krankenhaus ein deutlich zu großer Personenkreis Zugriff auf die Daten von Patienten hatte. Eine Zusammenfassung ist auch in diesem Heise Artikel zu finden.
In dem Krankenhaus seien im Jahr 2018 lediglich 296 Ärzte eingeteilt gewesen, allerdings waren in den Systemen wohl insgesamt 985 aktive Benutzer vorhanden, die mit einem Arztprofil Zugriff auf die Patientendaten hatten.
Eine versuchte Rechtfertigung
Aus dem Artikel von Heise:
„Das Krankenhaus habe die Diskrepanz mit temporären Profilen im Rahmen eines Dienstleistungsvertrags zu erklären versucht.“
Diese Aussage hat der Aufsichtsbehörde nicht gereicht. Zusammen mit der Möglichkeit des einfachen anlegen von Technikerprofilen, sowie dem Umgang mit den Arztprofilen, hat sich die Aufsichtsbehörde entschlossen die Strafe von 400000 € auszusprechen. Das Krankenhaus will diesbezüglich vor Gericht ziehen.
Was für Auswirkungen hat diese Strafe?
In der DSGVO ist es vorgesehen, dass die Aufsichtsbehörden mittels eines Kohärenzverfahren agieren. Hieraus kann man ableiten, dass sich Aufsichtsbehörden bei gleichen Sachverhalten gleich verhalten sollen. Demnach ist es auch für deutsche Unternehmen sehr relevant, wie Strafen in anderen europäischen Ländern ausgelegt werden. Bisher sind hier durch die Aufsichtsbehörden keine Messlatten gelegt worden. Mit Aussprache dieser Strafe hat sich dies nun geändert.
Was ist zu tun?
Vermutlich ist die Grundlage des Problems ein fehlender Prozess für das kontrollierte Offboarding von Personen, sowie eine nicht optimale IT-Security Richtlinie. Beides hätte vermutlich geholfen der Strafe entgegenzuwirken, zumindest wenn beides korrekt umgesetzt ist.
Da hier nun ein Referenzfall geschaffen wurde ist es sinnvoll, seine eigenen Prozesse zu überprüfen und zu schauen, ob ein ähnlicher Fall im eigenen Unternehmen passieren kann.
Falls sie noch keine IT-Sicherheitsrichtlinie in ihrem Unternehmen eingeführt haben, oder anderweitig Hilfe bei der Umsetzung der Anforderungen der DSGVO benötigen unterstützt sie die MAMEDO IT-Consulting GmbH bei der Umsetzung und liefert die notwendigen Komponenten aus einer Hand. Egal ob es um das Thema Datenschutz, IT-Security oder Digitalisierung geht, bei uns sind sie richtig.
