Seit einem Jahr findet die Datenschutzgrundverordnung unmittelbar Anwendung. Sie hat viele verunsichert. Alles nur Panikmache? Abschreckung? Was hat sich seit dem 25.05.2018 wirklich getan?
Neues zum Datenschutz
Datenschutz ist kein Novum. Die Anforderungen an den Datenschutz haben sich – jedenfalls in Deutschland – nur geringfügig geändert. Zahlreiche Regelungen fanden sich bereits in der alten Fassung des Bundesdatenschutzgesetzes (BDSG) und der EU-Datenschutzrichtlinie (95/46/EG). Unternehmen hätten diese Vorgaben bereits beachten müssen, haben dies aber nicht mit der erforderlichen Sorgfalt getan. Die Europäische Datenschutzgrundverordnung (DSGVO) hat viele der bereits bekannten Vorgaben konkretisiert und ergänzt. Sie dienen dem Schutz der Grundrechte und Grundfreiheiten jeder natürlichen Person. Verschärft haben sich vor allem die Anforderungen an die Einwilligung und deren Widerruflichkeit. Erweitert haben sich auch die Hinweispflichten und Rechte der Betroffenen. Der Zeitraum zur Meldung von Datenpannen hat sich stark reduziert. Die Wirksamkeit der Bußgelder hat sich erhöht.
Datenschutz und Bußgelder
Bei Datenschutzverstößen konnten die Behörden bereits nach früherem Recht Bußgelder verhängen. Sie haben das auch getan. Der Bußgeldrahmen war jedoch ehemals auf 300.000 Euro gedeckelt. Jetzt sollen sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein und können Höhen von mehreren Millionen Euro erreichen, Art. 84 Abs. 1 Satz 2 DSGVO. Die nationalen Aufsichtsbehörden müssen nach der DSGVO Bußgelder für Datenschutzverstöße verhängen. Sie haben dabei bestimmte gesetzliche Kriterien zu beachten, Art. 83 DSGVO. Dies sind zum einen Art, Schwere und Dauer des Verstoßes. Auswirkungen auf die Bemessung haben aber beispielsweise auch vorsätzliche Verstöße oder Versäumnisse bei der Minderung des entstandenen Schadens. Wer die Zusammenarbeit mit der Aufsichtsbehörde verweigert, erschwert seine Situation ebenfalls.
Die Anzahl der im vergangenen Jahr verhängten Bußgelder ist überschaubar, aber signifikant steigend. Ein Enforcement-Tracker gibt Aufschluss über verhängte Bußgelder in Europa. Ein Bericht des Handelsblatts vom 18.01.2019 (ref) weist weitere Verhaltensweisen auf, die bereits Anlass für Beanstandungen gaben. Diese betrafen mitunter
- Unzureichende technische und organisatorische Maßnahmen eines Hotels
- Veröffentlichung von Gesundheitsdaten im Internet
- Offenlegung von Gesundheitsdaten an einen anderen Patienten
- Aufzeichnung sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr
- Unzulässige E-Mails, Dashcams und Videoüberwachung von Kunden und Arbeitnehmern
Datenschutz im Krankenhaus
Soweit Bußgeldbescheide an Verarbeiter aus dem Gesundheitswesen adressiert waren, traf es vor allem Krankenhäuser.
Der Landesdatenschutzbeauftragte von Baden-Württemberg verhängte mit 80.000 Euro die bislang höchste Einzelstrafe in Deutschland; sie betraf ein Krankenhaus. Aufgrund unzureichender interner Kontrollmechanismen gelangten Gesundheitsdaten eines Krankenhauses im Internet (ref). Fehlerhafte Zugangsberechtigungen in einem Krankenhaus sollen die portugiesische Aufsichtsbehörde dagegen veranlasst haben, 400.000 Euro als Bußgeld zu verhängen (ref). In Zypern kam ein Krankenhaus den Auskunftspflichten nicht nach: 5.000 Euro (ref). Die österreichische Datenschutzbehörde ahndete den unverschlüsselten Versand von Patientendaten – trotz Einwilligung der Betroffenen (ref 1, 2). Siehe weiter auch: Staufer, Datenschutz: Ein Jahr DSGVO, Deutsches Ärzteblatt 2019, 116, 21 (PDF).
Ob Patientendaten bei den Leistungserbringern überhaupt gut aufgehoben sind? Sie kümmern sich eher um das Wohlergehen ihrer Patienten, oder wollen das jedenfalls, wenn nicht der Datenschutz wäre. Eine Lösung könnte die Verlagerung in ein Rechenzentrum sein. Aber das ist ein eigenes Thema. Kleinen Unternehmen im Gesundheitswesen – allen voran den niedergelassenen Ärzten und Zahnärzten – kann ich nur empfehlen: Wissen selbständig aneigenen oder einen Berater hinzuziehen. Versäumnisse aus den vergangenen Jahren angehen. Checklisten zum Datenschutz für Ärzte können bei der Umsetzung helfen.