Krankenhaus in Portugal soll wegen DSGVO-Verstoß 400.000€ Strafe zahlen

Seit die DSGVO Ende Mai 2018 in Kraft getreten ist, sind viele Unternehmen hinsichtlich des richtigen Umgang mit Kundendaten unsicher. Bisher hat sich noch nicht klar abgezeichnet, ob und wie Verstöße gegen die Verordnung überhaupt geahndet werden. Eine potentiell Richtungsweisende Behördenentscheidung ist nun in Portugal ergangen:
Erstmals soll ein Unternehmen tief in die Tasche greifen und 400.000 € Strafe zahlen. Dabei handelt es sich ausgerechnet um ein Krankenhaus.

Techniker konnten auf Patientendaten zugreifen
Wie in vielen Krankenhäusern, gab es auch in diesem verschiedene Zugangsprofile. Unterschieden werden sollte eigentlich zwischen verschiedenen Zugriffsbereichen etwa für Techniker, Pflegepersonal oder Ärzte.
Auf die eigentliche Krankenakte des Patienten sollen dabei eigentlich nur Letztere und Psychologen Zugriff haben. Laut Ermittlungsbericht der zuständigen Portugiesischen Behörden habe aber der Krankenhausbetreiber bewusst dafür gesorgt, dass diese Daten auch von Unbefugten eingesehen werden konnten. So konnte man sich in einem Test bereits mit dem Benutzerprofil eines Technikers Zugang zu geschützten Patientendaten verschaffen. Zudem seien bei gerade einmal knapp 300 angestellten Ärzten fast 1000 Benutzerprofile mit der ärztlichen Zugangsstufe angelegt gewesen.

Laut dem Krankenhausbetreiber seien viele dieser Profile aufgrund von Dienstverträgen zeitlich begrenzt angelegt gewesen. Er will sich gegen die Strafzahlung gerichtlich verteidigen. Eine rechtskräftige Entscheidung in dieser Sache könnte erstmals ein wenig Klarheit darüber schaffen, welche Maßnahmen einer Behörde bei einem DSGVO-Verstoß zur Verfügung stehen – wenn das portugiesische Gericht den (auch für deutsche Gerichte richtungsweisenden) EuGH bei der Auslegung der DSGVO um Hilfe bittet. Eventuell wird der Fall aber auch auf lokaler Ebene entschieden – damit wäre dann für deutsche Unternehmen keine Rechtssicherheit geschaffen.

Schon jetzt scheint allerdings wahrscheinlich, dass erste Geld- Strafe DSGVO -Verstößen auch in Deutschland verhängt werden.