Sechsstelliges Bußgeld
Uniklinik wird für Datenpanne bestraft
Der rheinland-pfälzische Landesdatenschutzbeauftragte statuiert ein Exempel: Die Uniklinik Mainz muss ein sechsstelliges Bußgeld für Verstöße gegen die Datenschutzgrundverordnung zahlen.
Veröffentlicht: | aktualisiert:Mainz. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Professor Dieter Kugelmann, hat gegen die Mainzer Universitätsklinik eine Geldbuße in Höhe von 105 000 Euro verhängt.
Die bestandskräftige Geldbuße beruht laut LfDI auf mehreren Verstößen gegen die im Mai vergangenen Jahres in Kraft getretene europäische Datenschutz-Grundverordnung (DSGVO) im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.
Diese habe eine falsche Rechnungsstellung zur Folge gehabt und „strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement“ offenbart, heißt es.
Verstöße einzeln bewertet
Wie das Büro des rheinland-pfälzischen LfDI auf Nachfrage der „Ärzte Zeitung“ erläuterte, habe die zuständige Fachabteilung das Bußgeld unter individueller Bewertung dreier Verstöße festgesetzt. Damit scheint die Uniklinik glimpflich davongekommen zu sein.
Denn laut DSGVO drohen Unternehmen bei gravierenden Datenschutzverstößen Strafen bis zu vier Prozent ihres Jahresumsatzes – die Uniklinik Mainz weist laut Jahresbericht für 2018 rund 480 Millionen Euro Umsatz aus dem Krankenhausbetrieb aus.
Wie Kugelmann mitteilt, begrüße er die unterdessen belastbar vorgetragenen Bemühungen der Uniklinik, sich um Fortentwicklungen und Verbesserungen des Datenschutzmanagements zu kümmern.
Kugelmann: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird.“
Bußgeld soll Signalwirkung haben
„Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen“, so der Landesdatenschutzbeauftragte weiter.
Die Deutsche Krankenhausgesellschaft (DKG) ist sich der Herausforderung ihrer Mitglieder im DSGVO-Kontext bewusst, wie sie auf Nachfrage der „Ärzte Zeitung“ hervorhebt: „Der Schutz der Patientendaten ist für die Krankenhäuser extrem wichtig.
Gleichzeitig gilt es festzustellen, dass die Vorgaben hoch komplex sind und die DSGVO und die sonst notwendigen Maßnahmen zur Datensicherheit von den Kliniken große Anstrengung verlangen. Dabei sind Fehler niemals gänzlich auszuschließen.“
Die DKG verweist zugleich auf ihren vom Bundesamt für Sicherheit in der Informationstechnik zertifizierten branchenspezifischen Sicherheitsstandard (B3S).