Suche
Contact
26.10.2018 | KPMG Law Insights

DSGVO Bußgeld verhängt

DSGVO: Portugiesische Aufsichtsbehörde verhängt Bußgeld in Höhe von 400.000 EUR gegen Krankenhaus

Die portugiesische Datenschutzaufsichtsbehörde hat gegen ein Krankenhaus ein Bußgeld in Höhe von 400.000 EUR verhängt. Es handelt sich dabei – jedenfalls soweit bekannt – um das europaweit erste Bußgeld in signifikanter Höhe nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018.

Hintergrund

Die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) hat bekanntgegeben, dass ein Großteil des Bußgeldes darauf beruht, dass in dem betroffenen Krankenhaus zu viele Personen Zugriff auf Patientendaten hatten. So sei bei Daten, die eigentlich nur für Ärzte einsehbar sein sollten, auch für Techniker der Zugriff möglich gewesen. Darüber hinaus waren im System nahezu 1.000 Nutzer als „Arzt“ registriert, obwohl das Krankenaus eigentlich nur knapp 300 Ärzte beschäftigt habe.

Rechtliche Einordnung

Personenbezogene Daten müssen – und das eigentlich nicht erst seit Inkrafttreten der DSGVO – so geschützt werden, dass nur die Mitarbeiter Zugriff erhalten, die mit genau diesen Daten auch wirklich arbeiten müssen und somit den Zugriff benötigen. Dieser Grundsatz ist unter dem Stichwort „privacy by design“ (oder „Datenschutz durch Technikgestaltung“) nunmehr auch ausdrücklich im Gesetz verankert.

Dieser Grundsatz gilt in ganz besonderem Maße im Krankenhausbereich, da es sich hier um besonders sensible Daten handelt, die im Übrigen in Deutschland auch strafrechtlich geschützt sind. Ein Vorfall wie in Portugal könnte daher in Deutschland auch die Strafverfolgungsbehörden auf den Plan rufen.

 

Bewertung

Dem Vernehmen nach will das Krankenhaus gerichtlich gegen das Bußgeld vorgehen. Insoweit bleibt abzuwarten, ob die zuständigen Gerichte die rechtliche Würdigung der Datenschutzbehörde teilen und insbesondere die Höhe des Bußgeldes für angemessen erachten.

Grundsätzlich handelt es sich hier nach dem bekannten Sachverhalt um einen gravierenden Fall, der noch dazu besonders sensible Daten betrifft. Er zeigt allerdings auch, dass die Behörden bereit sind, nicht nur nach ganz offensichtlichen Verstößen zu suchen, sondern durchaus auch tiefer in die Systeme der Verantwortlichen einzutauchen.

Empfehlung

Die deutschen Datenschutzaufsichtsbehörden haben bereits vor Jahren Orientierungshilfen für den Einsatz von Krankenhausinformationssystemen herausgegeben. Ein Fokus dieser Orientierungshilfen liegt auf der Gestaltung von Zugriffsrechten. Es kann davon ausgegangen werden, dass die in den Orientierungshilfen enthaltenen Empfehlungen weit überwiegend auch nach Inkrafttreten der DSGVO gültig sind.

Verantwortliche – nicht nur aus dem Gesundheitsbereich – sind daher gut beraten, ihre Berechtigungskonzepte auf den Prüfstand zu stellen. Im Fall von behördlichen Kontrollen muss der Verantwortliche ein Berechtigungskonzept nachweisen, bei dem der Zugriff auf das tatsächlich Erforderliche beschränkt ist. Der Verantwortliche muss damit auch begründen können, warum eine Person Zugriff auf bestimmte Daten benötigt. Dabei kann schon der fehlende Nachweis (unter dem Stichwort „Rechenschaftspflicht“) ein Bußgeld auslösen.

 

Explore #more

23.02.2024 | KPMG Law Insights

EU-Batterieverordnung: Neue Pflichten für Hersteller und Industrie

Die neue Batterieverordnung der EU regelt den gesamten Lebenszyklus von Batterien. Sie gilt in ersten Teilen seit dem 18. Februar 2024. Hier die Eckpunkte der…

23.02.2024 | KPMG Law Insights

Wegfall der Hinzuverdienstgrenzen – Auswirkungen auf die bAV

Der Mangel an Arbeits- und Fachkräften ist allgegenwärtig und so relevant wie nie. Ältere Arbeitskräfte sind aufgrund ihrer langjährigen Berufserfahrung und ausgereiften fachlichen Expertise eine…

22.02.2024 | PR-Veröffentlichungen

Interview in der Immobilien Zeitung mit Rainer Algermissen zum Thema ESG-Daten

Beim Verkauf einer Immobilie werden im Rahmen der rechtlichen Due Diligence auch ESG Aspekte geprüft. Ein Problem sind dabei die Daten: Oft hat der Vermieter…

22.02.2024 | PR-Veröffentlichungen

Logistik Heute: Beitrag zum Lieferkettengesetz mit KPMG Law Statement

Ein gutes Jahr nach Einführung des deutschen Lieferkettengesetzes ist es Zeit für eine erste Bilanz. Während sich weitere Regulierungen am Horizont abzeichnen, birgt das Thema…

21.02.2024 | KPMG Law Insights

Der Digital Services Act – neue Regeln für Onlinedienste

Der Digital Service Act (DSA) gilt ab dem 17. Februar 2024 in Deutschland für sämtliche Anbieter von Vermittlungsdiensten und löst in weiten Teilen die E-Commerce-Richtlinie…

19.02.2024 | PR-Veröffentlichungen

Tagesspiegel Beitrag zur Entwaldungsverordnung mit KPMG Law Statement

Ab Ende dieses Jahres werden zahlreiche Branchen die Anti-Entwaldungs-Verordnung (EUDR) umsetzen müssen. Produzenten und Händler müssen dann nachweisen können, dass ihre Produkte nicht aus Entwaldungsgebieten…

19.02.2024 | PR-Veröffentlichungen

Gastbeitrag zum Thema „Klimaverträglich Bauen – mit einem Schattenpreis“

Städte können bei Ausschreibungen für Bauprojekte einen Schattenpreis für CO2-Emissionen und damit den Klimaschutz berücksichtigen. Wie dies im Detail ausschauen kann, diskutieren Moritz Püstow und…

15.02.2024 | KPMG Law Insights

Data Compliance Management: So gelingt die praktische Umsetzung

Teil 3 der Beitragsserie „Profitipps zum Data Compliance Management“   Im dritten Teil der Beitragsserie geht es um das Daten-Compliance-Management. Wenn ein Unternehmen eine solide…

14.02.2024 | PR-Veröffentlichungen

Gastbeitrag in der ZURe: Die Kontrolle der Umsetzung des LkSG

In der aktuellen Ausgabe der ZURe (S.20 ff.) findet sich ein Gastbeitrag von KPMG Law Partner Thomas Uhlig (Leiter Allgemeines Wirtschafts- und Handelsrecht),  Thomas Lohwasser

14.02.2024 | KPMG Law Insights

Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen

Künstliche Intelligenz (KI) ist für viele Menschen der große Hoffnungsträger für die Wirtschaft, das Gesundheitswesen und die Wissenschaft. Doch es gibt auch eine ganze Menge…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll