Hohe Bußgelder im Gesundheitswesen bei mangelhaftem Datenschutz

Gesundheitswesen

Bei der Verarbeitung von personenbezogenen Gesundheitsdaten muss von den Verantwortlichen besonders genau auf den richtigen Umgang geachtet werden. Ansonsten kann es schnell teuer werden.

Diese schmerzliche Erfahrung musste auch ein Unternehmen aus Hamburg machen, als es bei den technischen und organisatorischen Maßnahmen (kurz: TOM) nicht die nötige Gründlichkeit bewies.

Ausgangssituation war, dass Arztbriefe (Transferdokument für die Kommunikation zwischen behandelnden Ärzten) an eine falsche Praxis gesendet wurden. Die Briefe waren ursprünglich an eine andere, gleichnamige Praxis bestimmt.

Auf diesen Fehler wurde das Unternehmen in der Vergangenheit bereits mehrmals von der Patientin hingewiesen, sodass es zwar zu einem Sperrvermerk im Verzeichnis kam, jedoch dieser nicht über ein Softwareupdate hinaus übernommen wurde. Ausreichende Maßnahmen hatte das Unternehmen nicht getroffen, um so einem Fehler zu vermeiden. Dieser, durch einen nicht mit Sorgfalt ausgewählten Empfänger verursachte Fehlversand, stellt laut der Hamburger Datenschutzbehörde einen Verstoß gegen die Pflicht des Art. 32 Abs. 1 DSGVO dar.

Zwar übte auch die falsche Empfängerin einen Heilberuf aus und war somit Trägerin des Berufsgeheimnisses, jedoch hat gerade die Verarbeitung von Gesundheitsdaten eine höhere Anforderung an das Datenschutzniveau, da diese zu der besonderen Kategorie personenbezogenen Daten nach Art. 9 DSGVO gehören und somit besonders schützenswert sind.

So kann es im hektischen Alltag schnell passieren das menschliche Fehler unterlaufen, was es umso wichtiger macht, dass die entsprechenden Systeme zum Schutz der Daten vorhanden sind.

Im Falle des Hamburger Unternehmens war es ein Erstverstoß und das Unternehmen kooperierte bei der Aufarbeitung mit den Behörden, sodass es am Ende auf ein Bußgeld in Höhe von 105.000 € hinauslief. Das Unternehmen hat die Geldbuße akzeptiert und auf einen Einspruch verzichtet.

Der Bußgeldbescheid ist rechtskräftig.

Fehlenden Einwilligung bei Analyse von Nutzerverhalten – 900.000 Euro Bußgeld für Unternehmen
Scheitert das E-Rezept am Datenschutz ?