Archive
Entscheidungen und Auslegungen des Gesetzes seit dem Start der DSGVO im Mai 2018
Sehr prominente Fälle waren ein erfolgreicher Hackerangriff auf eine Chat-Plattform (20.000 € Bußgeld für 330.000 gehackte Passwörter von Nutzern) und ein Bußgeld gegen Google (50 Mio.€ für eine Missachtung der Pflicht die Nutzer transparent über die Datennutzung zu informieren und fehlende Einwilligungen für Datennutzung für Werbezwecke). Spannend zu erfahren ist, was für Fälle es sonst gab, insbesondere bei kleineren Unternehmen und im Gesundheitswesen. Insgesamt haben sich die Aufsichtsbehörden im Jahr 2018 mit Bußgeldern sehr zurückgehalten.
Nachfolgend erste Trends:
nsgesamt wurde in 41 Fällen ein Bußgeld verhängt, davon die meisten in NRW. Auch wenn nur die hohen Bußgelder veröffentlicht wurden, kann aus den Fallzahlen geschlossen werden, dass die meisten Bußgelder eher im Bereich zwischen 100,-€ und 1.000,-€ liegen dürften.
Bei Vorfällen mit Gesundheitsdaten liegen die Bußgelder vermutlich tendenziell etwas höher als bei anderen Unternehmen, weil besonders sensible Daten betroffen sind. Diese Daten sind lt. Aufsichtsbehörden schon „ihrem Wesen nach risikoträchtig“ und fast immer führen Datenschutzpannen zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Größe der Zahnarztpraxis oder des Dentallabors dürfte bei der Bemessung der Bußgelder ebenfalls eine wichtige Rolle spielen.
Die meisten Bußgeldverfahren werden durch Beschwerden von Betroffenen ausgelöst, wobei sich die Anzahl der Beschwerden durch Betroffene bei Aufsichtsbehörden im letzten Jahr verdreifacht hat. Die Anzahl der Bußgeldverfahren steigt seit Anfang des Jahres 2019 an. Bei kleinen Unternehmen wie Dentallaboren sind die Aufsichtsbehörden eher im Beratungsmodus und nicht in Sanktionsmodus. Voraussetzung ist, dass nachgewiesen werden kann, dass das Thema Datenschutz ernst genommen wird und Aktivitäten ergriffen wurden.
Beispiele, in denen ein Bußgeld verhängt wurde:
- Kunden konnten beim Onlinebanking die Konten Dritter einsehen.
- Die Kopie eines Schwerbehindertenausweises wurde in einer Klinik versehentlich einem falschen Patienten ausgehändigt.
- Bei einem Hackerangriff wurden Kundendaten in einem Onlineportal unbefugt kopiert.
- Unzulässige Werbemails
- Offene E-Mail-Verteiler
- Dashcam-Nutzung
- Patientendaten sind auf Speichermedien in „fremde Hände“ gelangt.
- Zu intensive Videoüberwachung in sensiblen Kunden- oder Mitarbeiterbereichen.
Welche Datenschutz-Vorfälle kamen im Gesundheitsbereich häufig vor?
Nachfolgend für Sie eine Liste mit Datenschutzvorfällen, die besonders häufig im Gesundheitswesen vorkamen. Anhand dieser Liste können Sie für Ihr Labor prüfen, ob Sie hinreichend gut aufgestellt sind:
- Phishing-Mails, Trojaner, Infizierung mit Schadsoftware, z. B. durch Klick auf Mail-Anhänge von nicht bekannten und nicht hinreichend geprüften Dateianhängen.
- Unterlagen oder Datenträger mit Patientendaten kommen abhanden, z. B. bei Botenvorgängen oder Verlust und Diebstahl von Laptops, Tablet oder Handys mit Patientendaten (z. B. Nutzung privat und geschäftliche).
- Die Zugriffsrechte für Mitarbeiter auf Dateien waren zu hoch, weil es auf dem Server oder PC keine ausreichende Rechtevergabe für Zugriffe gab (z. B. Zugriff auf Personalakten wurde nicht gesperrt für alle Nutzer) oder nicht abgeschlossene Schränke mit sensiblen Unterlagen.
- Unvorsichtiger Umgang mit Sozialen Medien, z. B. Veröffentlichung eines Patientenfotos bei Facebook oder zu „unbefangene“ Beteiligung an Facebook-Gruppen.
- Falsche Entsorgung von Papierakten: Der Fund von Akten/Papier mit Gesundheitsdaten wird oft gemeldet, auch Zufallsfunde in der blauen Tonne im Innenhof.
- Fehlerhafte Übermittlung per Post, Fax und E-Mail (Achtung, kommt sehr häufig vor!), weil die Adressaten nicht ausreichend geprüft wurden (falsch eingetütet, Name verwechselt, falsche Fax-Nummer aus Speicher, Zahlendreher, falsche automatische Vervollständigung der E-Mail-Adresse).
- Die unzureichend gesicherte Archivierung von Patienten- oder Personalunterlagen zu Hause sowie zu „lasche“ Organisation des Home-Office.
- Einbruch in Laborräume und Diebstahl von Rechnern, Tablets, Laptops oder Datenträgern.
Trouble-Shooting – Was erwarten die Aufsichtsbehörden, wenn etwas passiert ist?
Eine Verletzung des Schutzes personenbezogener Daten ist unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde über ein Online-Formular zu melden. Bei allen Datenschutzvorfällen gilt, dass nach dem Vorfall Maßnahmen ergriffen werden müssen, um zu verhindern, dass der gleiche Fehler noch einmal passiert. Diese Maßnahmen sollten dokumentiert werden. Es ist auch für kleinere Unternehmen wie Dentallabore sinnvoll und notwendig kurze Aktenvermerke über Datenschutzvorfälle und anschließende Kontrollmaßnahmen zu schreiben, insbesondere auch dann, wenn keine Meldung an vorgenommen wurde.
Diplom-Betriebswirt (FH) Hans-Gerd Hebinck
Kontaktdaten
Hans-Gerd Hebinck
Unternehmensberater
Diplom-Betriebswirt (FH)
Datenschutzbeauftragter (IHK)
Zertifizierter ZRM®-Trainer (ISMZ Zürich)
Metzer Weg 13 • 59494 Soest
Tel.: 0172 2745444 • Fax: 03212 1106197
info@hebinck-unternehmensberater.de
www.hebinck-unternehmensberater.de
Quelle: DENTAGEN INFO 2019/01