Hohes Bußgeld wegen unzureichender Datensicherheit

Die portugiesische Datenschutz-Aufsichtsbehörde CNPD hat ein Bußgeld in der Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Nach einem kürzlich veröffentlichten Artikel der IAPP erfolgte die Strafe wegen der Verletzung von Grundsätzen der Verarbeitung von personenbezogenen Daten und unzureichender Datensicherheitsmaßnahmen.

Verstöße gegen die DSGVO

In der Begründung für die Verhängung des Bußgelds wurden drei Verstöße gegen die DSGVO genannt:

  • Verstoß gegen den Grundsatz der Datenminimierung (Art 5 DSGVO (1) c)
  • Verletzung des Grundsatzes der Integrität und Vertraulichkeit
    (Art 5 DSGVO (1) f)
  • Fehlende bzw unzureichende Maßnahmen zur Sicherheit der Verarbeitung (Art 32 DSGVO (1) b)

In Hinblick auf die Planung und Umsetzung eigener datenschutzkonformer Prozesse sowie technischer und organisatorischer Maßnahmen zur Datensicherheit sind vor allem die von der Aufsichtsbehörde bei der Bemessung der Bußgeldhöhe aufgedeckten Mängel interessant.

Fehlende Dokumentation von Benutzerprofilen

Die Aufsichtsbehörde stellte fest, dass wegen fehlender Dokumentation der Aufgaben und Zugriffsrechten einzelner Benutzer nicht nachvollziehbar war, in wie weit bestehende Zugangsrechte für einzelne Benutzer auch berechtigt bzw erforderlich waren.

So hatten 9 Techniker einen uneingeschränkten Zugang zu den für Medizinern vorbehaltenen Informationen im Krankenhaussystem. Zudem bestand für alle Mediziner, unabhängig von ihrer Fachrichtung, zu jeder Zeit ein Zugang zu allen Patienteninformationen im gesamten Krankenhaus.

Mängel bei der Benutzerverwaltung

Die Aufsichtsbehörde stellte zudem fest, dass insbes in Hinblick auf die Erstellung und Löschung von Benutzern gravierende Mängel bei der Benutzerverwaltung bestanden.

Im System gab es 985 Benutzer mit dem Profil „Doktor“. Im Krankenhaus selbst waren aber nur 296 Doktoren beschäftigt. Insgesamt gab es nur 18 inaktive Benutzerkonten, von denen das letzte im November 2018 deaktiviert worden war.

Faktoren bei der Bußgeld-Festlegung

Bei der Strafbemessung zog die Aufsichtsbehörde nach Art 83 (2) DSGVO insbes Art, Schwere und Dauer des Verstoßes sowie die Art, den Umfangs oder ds Zweck der betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen in Betracht.

Eine Rolle bei der Bußgeldbemessung spielte selbstverständlich auch, dass es sich bei den verarbeiteten Daten um Gesundheitsdaten handelte, welche zur besonderen Kategorie von personenbezogenen Daten zählen.

Als Gründe für eine Bußgeldminderung sah die Aufsichtsbehörde ua die bei den Ermittlungen gezeigte Kooperationsbereitschaft und bisherige Unbescholtenheit des Verantwortlichen sowie dessen Maßnahmen zur Eindämmung von Schäden bei betroffenen Personen an.

Empfehlungen

In Hinblick auf die Planung und Entwicklung eines eigenen rechtskonformen Datenschutz Management Systems sind nachfolgende Maßnahmen empfehlenswert:

  • Prüfung und Dokumentation bestehender Zugangs- und Zugriffsrechte hinsichtlich ihrer Erforderlichkeit zur Erfüllung von Benutzeraufgaben;
  • Regelungen zur Erstellung und Löschen von Benutzerprofilen, insbes im Zusammenhang mit der Beendigung von Beschäftigungsverhältnissen;
  • Regelmäßige Kontrolle bestehender Benutzerprofile in Hinblick auf Rechte und Aktualität;
  • Festlegung von Verantwortlichkeiten für die Kooperation mit der Aufsichtsbehörde;