Nur wenige Einrichtungen verarbeiten so viele und vor allem schützenswerte personenbezogene Daten wie Krankenhäuser. Dabei ist es grundsätzlich notwendig auf geregelte Abläufe zurückgreifen zu können um hierdurch sicherzustellen, dass nur die richtigen und auch notwendigen Daten verarbeitet werden.
In Folge einer Patientenverwechslung und einer nachfolgenden falschen Rechnungsstellung, hat sich die zuständige Aufsichtsbehörde für Datenschutz und die Informationsfreiheit Rheinland-Pfalz das Datenschutzmanagement eines Krankenhauses näher angesehen. Im Ergebnis wurde aufgrund von vorgefundenen strukturell technischen und organisatorischen Defiziten im Patientenmanagement eine Geldbuße in Höhe von 105.000,- Euro verhängt.
Nähere Angaben zu der Größe des Krankenhauses oder die aufgefundenen Defizite wurden durch die Aufsichtsbehörde nicht gemacht. Somit lässt sich die Höhe des Bußgeldes nicht in Relationen setzen. Ebenso wenig lassen sich Rückschlüsse auf das Prüfvorgehen der Aufsichtsbehörde ziehen.
In bisher bekannten Fällen führte beispielsweise ein fehlendes Berechtigungskonzept in den Niederlanden immerhin zu einer Strafzahlung von 460.000,- Euro . In Portugal wurden dagegen 400.000,- Euro als Strafe verhängt, da hier eine Vielzahl von Zugriffsberechtigungen auf die Patientendaten an Personen vergeben wurden, die über die tatsächlichen Notwendigkeiten hinausgingen.
Grundsätzlich sind die Anforderungen an ein Krankenhaus in der Umsetzung der Anforderungen aus der DSGVO sehr umfangreich und erfordern nicht selten personelle und finanzielle Aufmerksamkeit um technische und organisatorische Defizite zu erkennen und zu beheben. Neben der organisierten Dokumentation der Verfahren und Prozesse zur Datenverarbeitung, gilt es die Sicherheit und Verfügbarkeit der Daten zu gewährleisten.
So ist die Dokumentation eines Rollen- und Berechtigungskonzepts, dass bei einer aufsichtsbehördlichen Kontrolle zur Verfügung steht, zeit- und personalaufwendig. Jedoch können hierdurch hohe Bußgelder wie in Portugal und den Niederlanden vermieden werden, wenn vergleichbare Defizite rechtzeitig erkannt und behoben werden.
Dahingegen erfordern technische und sicherheitsrelevante Anpassungen im Bereich der IT zusätzlich nicht unerhebliche finanzielle Mittel. Veraltete Strukturen in der Informationssicherheit bergen dabei nicht unerhebliche Risiken für die Patientendaten. Die Erfassung der aktuellen TOM (Technischen und Organisatorische Maßnahmen) ist daher ebenso relevant, wie die Dokumentation der Datenverarbeitungsverfahren.
Eine aufsichtsbehördliche Kontrolle kann somit beispielsweise ihren Schwerpunkt in der Überprüfung des Krankenhausinformationssystems haben, da hier sowohl die organisatorischen als auch technischen Gegebenheiten im Zusammenspiel überprüft werden können. Welche Anforderungen an ein KIS gestellt werden, kann beispielsweise folgenden Orientierungshilfen entnommen werden.
Es bleibt somit abzuwarten, ob noch weitere Informationen veröffentlicht werden, die Rückschlüsse auf die vorhandenen Defizite und das Prüfvorgehen der Aufsichtsbehörden zulassen.
Anonymous
9. Dezember 2019 @ 12:48
Der Datenschutzbeauftragte in RLP verzichtet selbst darauf, die Namen zu nennen;
anders als andere Datenschutzbeauftragte!
Schlamperei mit Patientendaten Geldbuße gegen Mainzer Uniklinik verhängt
Wegen schlampigen Umgangs mit Patientendaten hat der Landesdatenschutz-Beauftragte eine Geldbuße von 105.000 Euro gegen die Mainzer Uniklinik verhängt. Die Klinik betont nun, dass niemand zu Schaden gekommen sei.
…
https://www.swr.de/swraktuell/rheinland-pfalz/Datenschutzbeauftragter-verhaengt-Strafe-Hohe-Geldbusse-wegen-Schlamperei-mit-Patientendaten,geldbusse-fuer-klinik-100.html