Aufgrund einer Veröffentlichung von sensiblen Gesundheitsdaten verhängte die schwedische Aufsichtsbehörde „Datainspektionen“ eine DSGVO-Strafe in der Höhe von 11.000,- € gegen die Gesundheitsbehörde „Health & Medical Care“.

Strafe wegen Offenlegung von Gesundheitsdaten

Die Daten wurden im Internet veröffentlicht und somit über die Website Unbefugten zugänglich gemacht. Bei der betroffenen Person handelte es sich um einen Patienten, der in eine forensisch-psychiatrische Klinik eingewiesen wurden. Offengelegt wurden Identifikationsinformationen, wie unter anderem die persönliche Identifikationsnummer, Kontaktdaten, Informationen zum forensisch-psychiatrischen Gesundheitszustand sowie zu einer Urinprobe des Betroffenen!

Für die Veröffentlichung dieser besonders schutzbedürftigen Gesundheitsdaten gab es weder eine Rechtsgrundlage noch einen anderen Grund, menschliches Versagen führte zu der unbeabsichtigten Offenlegung.

Die Datenschutzbehörde kam zu dem Schluss, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) getroffen hatte, die eine versehentliche Veröffentlichung verhindert hätten. Zudem wurden Anweisungen bezüglich einer rechtmäßigen Vorgehensweise beim Veröffentlichen auf der Website nur mündlich, jedoch nicht schriftlich erteilt.

Die verantwortliche Gesundheitsbehörde wurde angewiesen, schriftliche Konzepte zur Veröffentlichung auf der Website zu erstellen und sicherzustellen, dass Informationen künftig nur unter Einhaltung dieser Maßnahmen veröffentlicht werden. Zudem wurde sie zur Begleichung einer Geldstrafe von 120.000 Schwedischen Kronen – umgerechnet 11.000,- € verurteilt.

Unsere Praxistipps

• Überprüfen Sie Ihre TOMs  regelmäßig sehr genau, denn sie sind das Grundgerüst Ihrer datenschutzkonformen Arbeit: Ist diese nicht datenschutzkonform, droht auch eine persönliche Haftung für die Geschäftsführung! Ersellen Sie Leitfäden und Konzepte und fassen Sie diese schriftlich für Ihre Mitarbeitenden zusammen.
• Schulen Sie Ihre Mitarbeitenden regelmäßig, denn eines darf nicht vergessen werden: Ein Unternehmen ist nur so datenschutzsicher, wie jeder einzelne Mitarbeitende. Und jede einzelne Führungskraft.
  
• Kontaktieren Sie und bei weiteren Frage.

Im Zuge einer arbeitsmedizinischen Untersuchung, die im Auftrag eines österreichischen Unternehmens durchgeführt wurde, kam es zu einer extrem unangenehmen Datenpanne: Der Patientenbogen eines Mitarbeitenden inklusive Angaben zum Gesundheitszustand/Medikation wurde auf dem Schreibtisch des verantwortlichen Mitarbeitenden offengelegt.

Offengelegte Unterlagen

Ein Mitarbeitender des beauftragenden Unternehmens, der an einem der folgenden Tage im selben Institut eine Untersuchung hatte, konnte so Einsicht in die Daten des Kollegen nehmen. Der betroffene Mitarbeitende wurde vom Kollegen darauf aufmerksam gemacht. Dieser hatte den Patientenbogen auf dem Schreibtisch des dafür zuständigen Mitarbeitenden gesehen und konnte sowohl die Medikamente als auch die Wohnanschrift nennen. Im Beschwerdeverfahren konnte nicht mehr festgestellt werden, ob es sich dabei um ein bewusstes oder unbewusstes Vorgehen handelte. 

Fakt ist: Der Mitarbeitende wäre dafür verantwortlich gewesen, die vertrauliche Akte vor der Einsicht unbefugter Dritter zu schützen. Die Person (und damit das Unternehmen!) hat somit das Recht auf Geheimhaltung verletzt.

Unsere Praxistipps

• Clear Desk – Clear Screen! Achten Sie stets darauf, dass keine vertraulichen Daten auf Arbeitsplätzen, die noch dazu in offen zugänglichen Bereichen stehen, frei zugänglich sind. Sollte eine unberechtigte Person einen Blick darauf erhaschen, könnte das gravierende Folgen haben: Eine meldepflichtige Datenpanne, Verständigung der Betroffenen und im schlimmsten Fall eventuell sogar eine Strafe für das Unternehmen. Das Ziel ist, auf keinen Fall in so eine Situation zu kommen – sensibilisieren Sie daher sich selbst und Ihre Kollegen.
• Wenn Sie Fragen oder Unterstützung benötigen, kontaktieren Sie uns.