DSGVO-Bußgeld: Klinik soll 400.000 Euro zahlen
A&W RedaktionDie neuen EU-Datenschutzregeln sorgen bei Ärzten und Krankenhäusern immer noch für Unsicherheit. Zu Recht. Die jüngsten Entwicklungen zeigen: Verstöße können ruinöse Folgen haben.
War früher wirklich alles besser? Viele Ärzte werden diese Frage derzeit wohl mit einem klaren Ja beantworten – zumindest, was das Thema Datenschutz anbelangt.
Es ist noch gar nicht so lange her, da genügte es, die ärztliche Schweigepflicht zu wahren, um zu verhindern, dass vertrauliche Patienteninformationen in falsche Hände gelangten. Doch diese Zeiten sind vorbei.
Seit 25. Mai ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Zusammen mit dem ebenfalls überarbeiteten Bundesdatenschutzgesetz (BDSG) stellt sie Praxisinhaber und Klinikbetreiber vor große Herausforderungen. Sie müssen dank der neuen Vorgaben aus Brüssel nicht nur ein umfassendes Datenschutzmanagementsystem vorweisen. Neben vielen anderen Pflichten haben sie auch noch die Aufgabe, zu dokumentieren, wer, wann welche Patientendaten erfasst und verarbeitet hat. Und weil in Krankenhäusern und Kliniken meist besonders viele und sensible Daten anfallen, sind die Anforderungen hier sehr hoch.
Eine neue Zeitrechnung
Verstöße gegen die neuen Regeln können horrende Bußgelder nach sich ziehen. Was geschehen muss, damit die Behörden die Höchstsumme von 20 Millionen Euro aufrufen, ist unter Experten zwar noch umstritten. Eines aber ist inzwischen klar: Die Aufsicht ist nicht zimperlich, wenn es darum geht, Fehler beim Datenschutz zu ahnden. Schon das bislang erste nach DSGVO verhängte Bußgeld – es traf die portugiesische Klinik Centro Hospitalar Barreiro Montijo – beträgt stattliche 400.000 Euro.
Was war passiert? Das Krankenhaus hatte mit Zustimmung der Klinikleitung insgesamt 985 Nutzern der IT-Systeme im Krankenhaus den Status „Arzt“ eingeräumt, obwohl dort nur 296 Ärzte beschäftigt sind. Entsprechend hatten also auch nichtärztliche Mitarbeiter Zugriff auf Patientenakten und andere sensible Daten – und das obwohl die Datenschutzerklärung auf der Webseite der Klinik verlauten lässt. „Auf Informationen zu Ihrem Gesundheitszustand in unserer Datenbank haben nur Fachleute Zugang.“
Aufgeflogen ist der Fehler, nachdem Datenschützer eine Warnung der örtlichen Ärztekammer erhalten hatten.
Die Klinikleitung hatte zwar versucht, sich damit zu rechtfertigen, dass die Arztprofile nur zeitweise erstellt worden seien. Damit allerdings ließ sich die Datenschutzverletzung nicht aus der Welt schaffen. Denn nach Art. 9 Abs. 3 DSGVO darf im Gesundheitsbereich stets nur dasjenige Fachpersonal mit solchen Daten arbeiten, das tatsächlich dem Berufsgeheimnis unterliegt.
Blaupause für andere Fälle?
Ob es bei dem hohen Bußgeld bleibt, ist derzeit allerdings noch offen. Die Klinik hat angekündigt, vor Gericht ziehen zu wollen. Es lohnt sich aber in jedem Fall, die Entwicklungen und das Verfahren in Portugal weiter zu verfolgen. Die Entscheidung des Gerichts könnte wichtige noch offene Fragen zum verantwortungsvollen Umgang mit Patientengeheimnissen beantworten und damit die dringend benötigte Rechtssicherheit schaffen, die in Zeiten der DSGVO bislang noch fehlt.