Erste sechsstellige Geldstrafe nach DSGVO verhängt
Nach einem Bericht der Zeitung El Publico hat die portugiesische Aufsichtsbehörde gegen ein Krankenhaus in Lissabon ein Ordnungsgeld in Höhe von 400.000 EUR verhängt. Das Krankenhaus habe ohne entsprechende Rechtsgrundlage Einsicht in medizinische Daten von Patienten gewährt.
Noch im Mai hatte die nationale Aufsichtsbehörde zur Einführung der DSGVO deutlich gemacht, dass die Regeln nun gelten. Die CNPD zeigte zwar Verständnis, dass ihre Hauptaufgabe in der Übergangsphase darin bestehe, das Bewusstsein zu stärken und die Einhaltung der RGPD zu fördern. Gleichzeitig stellte die Behörde aber auch bereits in einer Pressmitteilung klar, dass das Sanktionssystem der RGPD nun direkt anwendbar sei.
Die CNPD werde ihre Aufgabe, die Rechte, Freiheiten und Garantien der Bürger zu verteidigen, weiterhin mit der Verpflichtung und der Kraft ausüben und dabei stets die Notwendigkeit berücksichtigen, die verschiedenen Grundrechte miteinander in Einklang zu bringen. Nun hat die Behörde offenbar Anlass gehabt, dem Krankenhauszentrum von Barreiro Montijo eine Geldstrafe in Höhe von 400.000 Euro wegen „zwei Verstößen“ gegen die Datenschutzgrundverordnung aufzuerlegen.
Die Strafe setzt sich zusammen aus Geldbußen für zwei Verstöße. Die Behörde ahndete einmal als Vergehen, dass das Krankenhaus den „wahllosen Zugriff auf eine Reihe von Patientendaten durch Fachleute erlaubte, die nur in bestimmten Fällen darauf hätten zugreifen dürfen“. Das Krankenhaus habe auch keine Maßnahmen ergriffen, um diesen illegalen Zugriff zu verhindern, weswegen hierfür ein Ordnungsgeld von 300.000 EUR angemessen sei.
Einen weiteren Verstoß sah die Aufsichtsbehörde darin, dass das Krankenhaus als verarbeitende Stelle nicht in der Lage war, „die Vertraulichkeit, Integrität, Verfügbarkeit und dauerhafte Widerstandsfähigkeit von Behandlungssystemen und -dienstleistungen sicherzustellen“, was zu einer Geldstrafe von 100.000 Euro führte. Hier handelt es sich also offenbar um eine Strafe für unzureichende TOMs.
Die Prüfung der Aufsichtsbehörde hatte ergeben, dass in dem Datenverarbeitungssystem des Krankenhauses Barreiro Montijo „985 aktive Benutzer mit der Funktionsgruppe „Arzt“ verknüpft sind, obwohl der Belegschaftsplan 2018 nur „296 Ärzte im Dienst“ ausweist.
Der Vorfall zeigt, dass man auch bei der Vergabe von Log-Ins größte Sorgfalt walten lassen muss und Bequemlichkeit, Vergesslichkeit und Gefälligkeiten schnell zu einem ruinösen Ordnungsgeld führen können. Admins müssen auf Aktualität der Liste und auf ausreichende technische und organisatorische Maßnahmen nach dem Stand der Technik achten, um einen hinreichenden Datenschutz zu gewährleisten.
