In Portugal droht einem Krankenhaus das erste beträchtliche Bußgeld in Höhe von EUR 400.000,– wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO). Wie die portugiesische Zeitung Público berichtet, hat die örtliche Datenschutzbehörde CNPD die erste europaweit substanzielle Geldstrafe wegen eines Verstoßes gegen die DSGVO verhängt. Demnach soll das Krankenhaus Barreiro Montijo in Barreiro bei Lissabon diese Geldstrafe zahlen, unter anderem weil zu viele Personen Zugriff auf Patientendaten gehabt hätten. Laut dem Zeitungsbericht hat der Krankenhausbetreiber Untersuchungen der Datenschützer zufolge „bewusst“ IT-Technikern Zugang zu Daten verschafft, die eigentlich nur von Ärzten hätten eingesehen werden dürfen. Durch einen Test sei festgestellt worden, dass solch ein Profil mit unbegrenztem Zugang problemlos erstellt werden konnte. Und nicht nur das: Obwohl 2018 nur 296 Ärzte in dem Krankenhaus arbeiten, waren in dem System insgesamt 985 aktive Benutzer als „Arzt“ registriert. Die Begründung des Krankenhauses: Aufgrund eines Dienstleistungsvertrages seien temporäre Profile erstellt worden, die die Diskrepanz erklären würden. Das Krankenhaus weise die Vorwürfe zurück und wolle gerichtlich gegen das Bußgeld vorgehen.
Die EU-Datenschutzgrundverordnung (DSGVO) beginnt allmählich zu greifen. Dies gilt auch für Deutschland. So könnte es Facebook in Deutschland als nächsten treffen.
Dies gibt Anlass, die Grundlagen der DSGVO kurz darzustellen:
Ziele der DSGVO:
Die EU-DSGVO will einen besseren Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten sowie der freie Verkehr personenbezogener Daten erreichen (Art. 1 DSGVO).
Wichtige Grundsätze der Verarbeitung personenbezogener Daten sollen eingehalten werden, wie etwa die Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht (Art. 5 DSGVO).
Anwendungsbereich:
Die DSGVO gilt sowohl für automatisierte wie auch für die manuelle Verarbeitung von personenbezogenen Daten und umfasst damit einen sehr weiten Anwendungsbereich (Art. 2 und 3 DSGVO).
Als personenbezogen gelten solche Daten, die eine natürliche Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann (Art. 4 DSGVO).
Hierunter fallen folglich nicht Informationen über juristische Personen, wie beispielsweise deren Name, Rechtsform oder Kontaktdaten der juristischen Person.
Neu ist, dass die DSGVO auch für Datenverarbeitungen von Unternehmern gilt, die in einem Drittstaat – und eben nicht in der EU – ansässig sind, wenn ihre Datenverarbeitung dazu dient, in der EU ansässigen Personen Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten und auszuwerten. Für ausländische Datenverarbeitungen, die in die EU hineinreichen, gelten nun somit höhere Anforderungen als bisher.
Rechte der betroffenen Verbraucher
Diese sind in Kapitel 3, Art. 12-13 DSGVO geregelt:
- Recht auf Auskunft zu personenbezogenen Daten
- Recht auf Berichtigung und Löschung
- Widerspruchsrecht
Damit bietet die DSGVO einem Betroffenen einen deutlich stärkeren Schutz als die geltenden Regelungen des Bundesdatenschutzgesetzes.
Maßnahmen der Aufsichtsbehörde
Bei verstoß gegen die DSGVO können die Aufsichtsbehörden gem. Art. 83 Abs. 2 DSGVO Abhilfe verlangen und zusätzlich Bußgelder in beträchtlicher Höhe verhängen (Art. 58 DSGVO).
Allerdings müssen die Bußgelder verhältnismäßig sein, dürfen aber auch abschreckend wirken. Somit kommt der Aufsichtsbehörde ein Ermessensspielraum zu, der durch einen Kriterienkatalog konkretisiert wird (Art. 83 DSGVO). Es kommt dabei nicht auf die Umstände des Einzelfalls an. Vorsätzlicher Verstoß? Hat das Unternehmen es versäumt, Maßnahmen zur Minderung des entstandenen Schadens zu ergreifen? Fehlt es an einer Zusammenarbeit mit der Aufsichtsbehörde?
Für besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist (Art. 83 Abs. 5 DSGVO).
Weniger gewichtige Verstöße führen zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 4 DSGVO). Im Falle eines Konzerns bemisst sich die Strafe am Umsatz des gesamten Konzerns (vgl. Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sowie ständigen Rechtsprechung des EuGH)
Empfehlungen für Unternehmen
- Die beste Abwehr von Strafmaßnahmen der Aufsichtsbehörde sind vorbeugende Maßnahmen im Unternehmen. Eine wichtige Rolle kommt hierbei den IT-Dienstleistern zu, die die rechtlichen Vorgaben umsetzen.
- Beabsichtigt die Aufsichtsbehörde tätig zu werden, so ist dem Unternehmen zu empfehlen, bereits zu diesem Zeitpunkt Rechtsrat einzuholen, da das Verhalten des Unternehmens gegenüber der Aufsichtsbehörde auf die Höhe von Strafen erhebliche Auswirkungen haben kann.
