Bei der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von personenbezogenen Gesundheitsdaten muss von den Verantwortlichen besonders genau auf den richtigen Umgang geachtet werden. Ansonsten kann es schnell teuer werden.
Diese schmerzliche Erfahrung musste auch ein Unternehmen aus Hamburg machen, als es bei den technischen und organisatorischen Maßnahmen (kurz: TOM) nicht die nötige Gründlichkeit bewies.
Ausgangssituation war, dass Arztbriefe (Transferdokument für die Kommunikation zwischen behandelnden Ärzten) an eine falsche Praxis gesendet wurden. Die Briefe waren ursprünglich an eine andere, gleichnamige Praxis bestimmt.
Auf diesen Fehler wurde das Unternehmen in der Vergangenheit bereits mehrmals von der Patientin hingewiesen, sodass es zwar zu einem Sperrvermerk im Verzeichnis kam, jedoch dieser nicht über ein Softwareupdate hinaus übernommen wurde. Ausreichende Maßnahmen hatte das Unternehmen nicht getroffen, um so einem Fehler zu vermeiden. Dieser, durch einen nicht mit Sorgfalt ausgewählten EmpfängerEin Empfänger ist im datenschutzrechtlichen Kontext jede Person oder Organisation, die personen... verursachte Fehlversand, stellt laut der Hamburger Datenschutzbehörde einen Verstoß gegen die Pflicht des Art. 32 Abs. 1 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More dar.
Zwar übte auch die falsche Empfängerin einen Heilberuf aus und war somit Trägerin des Berufsgeheimnisses, jedoch hat gerade die VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von Gesundheitsdaten eine höhere Anforderung an das Datenschutzniveau, da diese zu der besonderen Kategorie personenbezogenen Daten nach Art. 9 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More gehören und somit besonders schützenswert sind.
So kann es im hektischen Alltag schnell passieren das menschliche Fehler unterlaufen, was es umso wichtiger macht, dass die entsprechenden Systeme zum Schutz der Daten vorhanden sind.
Im Falle des Hamburger Unternehmens war es ein Erstverstoß und das Unternehmen kooperierte bei der Aufarbeitung mit den Behörden, sodass es am Ende auf ein Bußgeld in Höhe von 105.000 € hinauslief. Das Unternehmen hat die Geldbuße akzeptiert und auf einen Einspruch verzichtet.
Der Bußgeldbescheid ist rechtskräftig.