Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone.
Was war passiert?
Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine ungewollte Zweitbestimmung als Konfetti zuteilwurden.
Der Vorfall blieb vielen im Gedächtnis und hält sich weiterhin als beliebtes Beispiel für Datenschutzverletzungen in entsprechenden Schulungen.
Aber wie in der Mode – man denke an die Schlaghosen und Schlapphüte aus den 90ern–, erleben scheinbar auch absurde Datenpannen ein Revival.
Die Patientenakte als Snack-Tüte
Das DSGVO-Portal berichtet von einem gegen ein privates Krankenhaus in Thailand verhängtes Bußgeld:
Dort wurden über 1.000 Patientenakten nach ihrer Entsorgung unsachgemäß weiterverwendet – nicht als Konfetti, aber als Snack-Tüten für knusprige Crepes („khanom Tokyo“). Das Krankenhaus hatte die Entsorgung der Patientenakten an ein kleines externes Unternehmen ausgelagert, ohne dass dieses jedoch ausreichend überprüft wurde. Die Nachverfolgung der beauftragten Datenentsorgung sei vernachlässigt worden. Die zuständige Datenschutzbehörde PDPC (Personal Data Protection Commission) belegte das Krankenhaus mit einer Geldstrafe von 1,21 Millionen Baht (umgerechnet ca. 32.000 Euro).
Was kann man aus diesen Fällen mitnehmen?
Dem verantwortlichen Auftraggeber obliegt neben der anfänglichen Überprüfung des Auftragsverarbeiters und den von diesem getroffenen technischen und organisatorischen Maßnahmen auch eine fortlaufende Kontrollpflicht. So beschreibt es die DSGVO im Erwägungsgrund 81:
„Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen. […]“ (Hervorhebungen durch die Autorin)
Die Beurteilung, ob die gebotenen Garantien den Anforderungen der DSGVO genügen, bedarf also regelmäßiger Überprüfungen, insbesondere wenn einzelne Maßnahmen geändert werden.
Darüber hinaus entschied der EuGH in seinem Urteil vom 05.12.2023 (C-683/21) u. a., dass
Geldbußen gegen den Verantwortlichen für Verarbeitungsvorgänge des Auftragsverarbeiters verhängt werden können, es sei denn, dass in diesem Rahmen auch Verarbeitungen für eigene Zwecke durchgeführt wurden oder die personenbezogenen Daten in unvereinbarer Weise mit den Festlegungen des Verantwortlichen oder entgegen einer vernünftigerweise anzunehmenden Zustimmung verarbeitet wurden (wir berichteten).
Die Entscheidung verdeutlicht neben der Erforderlichkeit klarer Weisungen auch die Wichtigkeit der notwendigen Sorgfalt bei der Wahl von Auftragsverarbeitern. Gerade die anlassbezogene und/oder regelmäßige Überprüfung (Auditierung) durch den Verantwortlichen ist ein essenzieller Bestandteil der Auftragsverarbeitung und gilt auch entlang der „Verarbeitungskette“ (wir berichteten). Die Ergebnisse einer solchen Prüfung sollten intern dokumentiert und bei Anzeichen mangelhafter technischer und organisatorischer Maßnahmen sollte ein Wechsel zu einem anderen Auftragsverarbeiter in Erwägung gezogen werden.
Bei der Prüfung des eingesetzten Dienstleisters müsste gelten: Je sensibler die betreffenden personenbezogenen Daten und je kritischer deren Verarbeitung, desto höhere Anforderungen werden an die Überprüfung der Sorgfalt und Zuverlässigkeit des Auftragsverarbeiters gestellt. Verantwortliche sollten daher auch mit Blick auf das Haftungsrisiko entsprechende Auditkonzepte erarbeiten und implementieren. Hierbei können wir Sie gern unterstützen.