Bußgeld aus Hamburg – Unzulässige Offenlegung von Gesundheitsdaten 

Hamburg – Ein in Hamburg ansässiges Unternehmen wurde wegen schwerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) mit einem Bußgeld von 75.000 Euro belegt. Dies gab der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in seinem aktuellen Tätigkeitsbericht bekannt.

Der Fall wurde durch eine Beschwerde eines Mitarbeiters ausgelöst. Der Mitarbeiter bemängelte, dass er seine krankheitsbedingten Abwesenheiten per E-Mail einem großen Kreis von Kolleg:innen und Vorgesetzten mitteilen musste, obwohl dies für die Arbeitsorganisation nicht erforderlich war. Besonders kritisch: Sein Vorgesetzter nutzte den E-Mail-Verteiler, um die gesamten krankheitsbedingten Abwesenheitstage des Mitarbeiters an alle Empfänger der Liste weiterzugeben.

Laut den Feststellungen des HmbBfDI verstieß das Unternehmen gegen Art. 32 und Art. 9 DSGVO. 

Verstoß gegen Art. 32 DSGVO: Sicherheit der Verarbeitung

Art. 32 DSGVO fordert, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst unter anderem:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  • Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Das Unternehmen verstieß gegen diese Anforderungen, indem es krankheitsbedingte Abwesenheiten über einen großen E-Mail-Verteiler bekannt machte, der 25 Personen umfasste, einschließlich solcher, die nicht direkt mit den betreffenden Beschäftigten zusammenarbeiteten. Diese Maßnahme gefährdete die Vertraulichkeit der Gesundheitsdaten und zeigte, dass angemessene organisatorische Maßnahmen zur Sicherstellung der Datensicherheit fehlten.

Verstoß gegen Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 9 DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen auch Gesundheitsdaten gehören. Ausnahmen sind nur unter bestimmten Bedingungen zulässig, etwa wenn:

  • Die betroffene Person ausdrücklich eingewilligt hat,
  • Die Verarbeitung für die Erfüllung von Pflichten und Ausübung von Rechten aus dem Arbeitsrecht erforderlich ist,
  • Die Verarbeitung notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen,
  • Die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin oder aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist.

Im vorliegenden Fall war die Weitergabe der Gesundheitsdaten an eine große Gruppe von Kolleg:innen weder notwendig noch durch eine der Ausnahmen gerechtfertigt. Die Offenlegung erfolgte in einem Umfang, der nicht durch die Erfordernisse der Aufgabenplanung und -umverteilung gedeckt war. Dies verletzte den Grundsatz der Zweckbindung und der Datenminimierung, da mehr Personen als notwendig Zugang zu den sensiblen Daten erhielten.

Besonders gravierend war die Handlung des Abteilungsleiters, der die Fehlzeiten des Beschwerdeführers öffentlich machte. Diese Offenlegung diente offenbar dazu, den betroffenen Mitarbeiter vor seinen Kolleg:innen zu maßregeln und bloßzustellen, was klar außerhalb des Rechts- und Pflichtenkreises eines Arbeitgebers liegt.

Das Unternehmen hat das Bußgeld von 75.000 Euro akzeptiert und auf einen Einspruch verzichtet. Bei der Bemessung des Bußgelds wurde mildernd berücksichtigt, dass das Unternehmen umfassend mit der Aufsichtsbehörde zusammengearbeitet und dem betroffenen Mitarbeiter Schmerzensgeld gezahlt hat. Verschärfend wirkte jedoch der Umstand, dass Gesundheitsdaten, die besonderen Schutzanforderungen unterliegen, betroffen waren.

Fazit

Dieser Fall unterstreicht die Notwendigkeit für Unternehmen, die Datenschutzvorschriften strikt einzuhalten und sicherzustellen, dass besonders sensible Daten wie Gesundheitsinformationen stets angemessen geschützt werden. Datenschutz im Gesundheitswesen ist unverzichtbar, um die Privatsphäre und Sicherheit der Patienten zu gewährleisten. Verstöße können schwerwiegende Konsequenzen haben, einschließlich Diskriminierung, Stigmatisierung und Identitätsdiebstahl, sowie das Vertrauen der Öffentlichkeit in das Gesundheitswesen erheblich beeinträchtigen.

Im Gesundheitswesen werden viele sensible Daten gesammelt und verarbeitet, darunter Name, Adresse, Krankengeschichte und Diagnosen. Datenschutzverletzungen, wie Cyberangriffe auf Krankenhäuser, können schwerwiegende finanzielle Verluste verursachen und das Leben von Patienten gefährden, wenn wichtige Informationen verloren gehen oder missbraucht werden. Daher sind strenge Datenschutzmaßnahmen unerlässlich, um solche Risiken zu minimieren.

Um solche Datenschutzverstöße zu vermeiden, können wir als externe Berater Unternehmen unterstützen. Wir bieten neben der Beratung auch Schulungen und Workshops an, um die Einhaltung der DSGVO und den Schutz sensibler Daten sicherzustellen.

Share