10 teure Datenschutzverstöße im Gesundheitswesen und wie man sie vermeidet

Dieser Beitrag zeigt 10 typische und oft teure Datenschutzverstöße im Gesundheitswesen auf, basierend auf tatsächlich verhängten Bußgeldern gegen Arztpraxen, Apotheken und andere Unternehmen im Gesundheitssektor. Zu jedem Punkt erhalten Sie praktische Rechtstipps, wie Sie Ihr Unternehmen sicher durch die Anforderungen der DSGVO navigieren.

1. Zugriff auf Daten durch unberechtigte Mitarbeiter

Beschäftigte eines Krankenhauses riefen aus Neugier wiederholt die Krankenakte einer Kollegin auf, die sich in dem Krankenhaus gerade in stationärer Behandlung befand - ohne an deren Behandlung beteiligt zu sein. Quelle: Brandenburgische Landesbeauftragte für den Datenschutz

Rechtstipp:

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit schützen. Hierzu zählen z.B. Zugangskontrollen, Benutzer- und Zugriffskontrollen. 

Implementieren Sie ein Berechtigungskonzept und sensibilisieren Sie Ihre Mitarbeitenden jährlich im Datenschutz und der Informationssicherheit. Eine Schulung zum Datenschutz sollte selbstverständlicher Teil des Onboardings neuer Mitarbeitender sein.

2. Reaktion auf negative Bewertung in Online-Portal mit Preisgabe von Gesundheitsdaten

Die Bayerische Datenschutzbehörde verhängte eine vierstellige Geldbuße gegen einen Arzt, nachdem dieser auf eine kritische Bewertung in einem für jedermann einsehbaren Online-Portal mit einem Gegenkommentar reagiert hatte, in dem er Gesundheitsdaten des Patienten preisgab. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Rechtstipp:

Gesundheitsdaten gehören zu den besondern Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung ist untersagt - soweit nicht eine der eng umrissenen Ausnahmen des Art. 9 Abs. 2 DSGVO greift, z.B. für die Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin oder der Behandlung im Gesundheitsbereich.

Die ärztliche Schweigepflicht ist in § 9 Abs. 1 MBO-Ä und den entsprechenden Berufsordnungen der Landesärztekammern geregelt. Sie soll das besondere Vertrauensverhältnis schützen, damit sich Patient:innen mit ihren Anliegen uneingeschränkt ihrem Arzt oder ihrer Ärztin anvertrauen können. Verstöße gegen die Schweigepflicht sanktioniert § 203 des Strafgesetzbuches.

3. Fehlgeleitete Patientendaten: Falschversand von Arztbriefen

Ein Hamburger Gesundheitsunternehmen erhielt ein sechsstelliges Bußgeld u.a. wegen mehrfachem Falschversand von Arztbriefen. Zum anderen hatte das Unternehmen es versäumt, Zugriffe auf Patientendaten zu protokollieren. In der Folge war es nicht möglich nachzuvollziehen, welche Beschäftigten lesend auf Daten von Patientinnen und Patienten zugegriffen haben. Quelle: Tätigkeitsbericht 2021 des HmbBfDI

Rechtstipp:

Das Unternehmen hatte keine angemessenen technischen und organisatorischen Maßnahmen (TOM) implementiert, um beim Versand von Arztbriefen durch seine Beschäftigten ein dem Risiko entsprechendes Schutzniveau sicherzustellen.

Bei sensiblen Daten wie Gesundheitsdaten sind neben Zugangsbeschränkungen und Datenverschlüsselung auch Maßnahmen erforderlich, die eine nachträgliche Überprüfung ermöglichen. Diese sollen dokumentieren, ob, wann und durch wen personenbezogene Daten verarbeitet wurden, um unbefugte oder unrechtmäßige Verarbeitung zu verhindern.

4. Keine Einwilligung zum Versand an externe Abrechnungsstelle

Die Landesbeauftragte für Datenschutz der Stadt Bremen verhängte ein Bußgeld gegen einen Arzt, der ohne Einwilligung Patientendaten an eine externe Abrechnungsstelle übermittelte. Quelle: Datenschutzarchiv

Rechtstipp: 

Überprüfen Sie Verträge und Formulare dahingehend, ob Einwilligungen der Betroffenen einzuholen sind. Solange die Datenverarbeitung ausschließlich im Rahmen des Behandlungsvertrages erfolgt, ist die Verarbeitung personenbezogener Gesundheitsdaten gemäß Art. 9 Abs. 2 lit h), Art. 6 Abs. 1 b) DSGVO erlaubt. Es bedarf dann bedarf keiner Einwilligung durch Ihre Patient:Innen.

Bestimmte Datenverarbeitungsvorgänge - wie die Einbeziehung einer privaten Verrechnungsstelle, Akteneinsicht durch den Nachfolger nach einer Praxisveräußerung oder Terminvereinbarungen und Mitteilungen per App - sind durch Einwilligungserklärungen der Patient:innen zu legitimieren. Als Praxisinhaber:in müssen Sie die ordnungsgemäße Einholung dieser Einwilligungen nachweisen können (z.B. schriftlich oder per Check-Box in einem Online Formular).

5. Videoüberwachung von Mitarbeitenden und Patient:innen

Die Berliner Datenschutzbeauftragte verhängte ein Bußgeld gegen ein Unternehmen der Gesundheitsbranche in Höhe von 37.500 EUR, u.a. wegen Videoüberwachung der Mitarbeitenden und Patient:innen. Quelle: DSGVO Portal

Rechtstipp:

Planen Sie, in Ihrem Unternehmen im Gesundheitswesen Videoüberwachung einzusetzen, so ist vorher zwingend eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Diese dient dazu, mögliche Risiken für Rechte und Freiheiten der betroffenen Personen zu identifizieren und entsprechende Schutzmaßnahmen zu ergreifen. Wenn aus der DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren. Die Ergebnisse der DSFA sind schriftlich festzuhalten.

Die betroffenen Personen müssen klar und eindeutig über die Videoüberwachung informiert werden über den Zweck und Umfang der Verarbeitung, die Rechtsgrundlage, die Dauer der Speicherung, die Person des Verantwortlichen, die Empfänger der Daten und ihre Betroffenenrechte.

Der Verantwortliche muss klare und eindeutige Zwecke für die Videoüberwachung definieren, z.B. die Sicherheit von Patient:innen und Beschäftigten, Prävention von Straftaten oder den Schutz von Eigentum und Vermögenswerten. Die Zwecke der Videoüberwachung müssen in einem angemessenen Verhältnis zu der Erfassung der Daten stehen. Es dürfen nur die Daten verarbeitet werden, die für die Erreichung der vorher festgelegten Zwecke erforderlich sind.

6. Verletzung der Informationspflicht

Die finnische Datenschutzbehörde verhängte ein Bußgeld in Höhe von EUR 5.000 gegen eine Klinik, weil diese ihre Informationspflicht verletzt hatte. Die Klinik hatte ihre Patient:innen nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt. Quelle: edpb

Rechtstipp: 

Patient:innen müssen präzise, transparent und leicht verständlich über die Datenverarbeitung in Ihrer Praxis und Ihre Betroffenenrechte informiert werden (Art. 12–14 DSGVO). Sie können Ihre Datenschutzerklärung beispielsweise gut sichtbar in der Arztpraxis aushängen und auf der Praxis-Webseite veröffentlichen.

7. Unsachgemäße Entsorgung von Patientenunterlagen

Eine Arztpraxis in Hessen wurde mit einem Bußgeld in Höhe von EUR 3.600 belegt für die Entsorgung von teilweise nur unzureichend geschredderten Patientenakten in einem öffentlich zugänglichen Müllcontainer. Quelle: Hessischer Beauftragter für Datenschutz und Informationssicherheit

Rechtstipp: 

Alle in der Arztpraxis oder im Krankenhaus anfallenden Daten müssen sicher vernichtet werden. Gesundheitsdaten von Patienten sind gemäß den Empfehlungen der Ärztekammern der höchsten Schutzklasse 3 entsprechend den Sicherheitsstufen 4 bis 7 der DIN-Norm 66399 zuzuordnen.

8. Kein Datenschutzbeauftragter oder Interessenkonflikt des Datenschutzbeauftragten

Die Berliner Datenschutzbeauftragte verhängte ein Bußgeld in Höhe von 37.500 gegen ein Unternehmen der Gesundheitsbranche wegen Interessenkonflikten des Datenschutzbeauftragten und Videoüberwachung von Mitarbeitenden und Patient:innen. Quelle: DSGVO Portal

Rechtstipp:

Prüfen Sie zunächst, ob Sie zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet sind. Das ist der Fall, wenn

• in der Regel mindestens 20 Personen (ohne den Praxisinhaber) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
• wenn eine Datenschutz-Folgenabschätzung notwendig ist oder
• wenn die Kerntätigkeit des Praxisinhabers in der umfangreichen ­Verarbeitung von Gesundheitsdaten besteht. Hier hilft Erwägungsgrund 91 zur DSGVO weiter: Die Verarbeitung personenbezogener Daten soll danach nicht als umfangreich gelten, wenn die Verarbeitung durch einen einzelnen Arzt erfolgt. Aus diesem Grund rate ich MVZ und Berufsausübungsgemeinschaften ab 2 Berufsträgern, einen internen oder externen Datenschutzbeauftragten zu bestellen.

Bei der Bestellung einer/-s internen Datenschutzbeauftragten muss sichergestellt werden, dass keine Interessenkonflikte bestehen. Der Datenschutzbeauftragte darf grundsätzlich nicht der Geschäftsführer, Vorstand, Marketing- oder Vertriebsleiter, Leiter der IT-Abteilung oder der Personalverwaltung sein. 

Die Bestellung des Datenschutzbeauftragten ist der zuständigen Aufsichtsbehörde zu melden, in der Regel kann dies mit einem Online-Formular erledigt werden. Die Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten (nicht zwingend des Namens) sollte sodann in der Datenschutzerklärung und dem Impressum auf der Webseite erfolgen.

9. Verletzung des Auskunftsrechts

Ein Bremer Arzt verweigerte einem Patienten die Auskunft über seine personenbezogenen Daten. Die relevanten Informationen wurden erst nach Einschreiten der Behörde an die betroffene Person übermittelt. Die Höhe des Bußgeldes ist nicht veröffentlicht. Quelle: Datenschutzarchiv

Rechtstipp:

Der betroffenen Person steht ein Auskunftsrecht nach Art. 15 DSGVO zu, das unverzüglich, spätestens jedoch innerhalb eines Monats zu erfüllen ist. In komplexen Fällen kann die Frist um zwei Monate verlängert werden - hierüber ist die betroffene Person innerhalb der ersten Monatsfrist zu informieren.

Vor der Auskunftserteilung ist die Identität der Auskunft ersuchenden Person festzustellen. 

Werden keine personenbezogenen Daten verarbeitet, ist die betroffene Person hierüber zu informieren. Werden personenbezogene Daten verarbeitet, sind die in Art 15 Abs. 1 DSGVO geforderten Informationen bereitzustellen. Der Verantwortliche stellt eine kostenlose Kopie der personenbezogenen Daten zur Verfügung, dies kann auf Wunsch des Betroffenen z.B. auf elektronischem oder schriftlichem Wege erfolgen. Stellt die Person den Antrag auf Auskunftserteilung elektronisch, sind die zur Verfügung zu stellenden Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

10. Versäumte Meldepflicht nach einer Datenpanne

Eine ehemalige Mitarbeiterin eines Klinikums in Sachsen-Anhalt griff unbefugt auf personenbezogene Adress- und Meldedaten zu und gab diese an Dritte weiter. Obwohl die Klinikleitung bereits im Mai 2021 von den Ermittlungen hierzu Kenntnis hatte, erfolgte die Meldung an den Datenschutzbeauftragten erst im Oktober. Die Aufsichtsbehörde verhängte für die verspätete Meldung ein Bußgeld in Höhe von EUR 9.000. Quelle: Mitteldeutsche Zeitung

Rechtstipp:

Im Bereich des Gesundheitswesens können Datenschutzvorfälle gravierende Auswirkungen haben – sowohl für die Betroffenen als auch für Verantwortliche. Neben dem Risiko eines Bußgeldes und möglichen Schadensersatzforderungen droht durch mediale Berichterstattung auch ein erheblicher Imageschaden.

Nach einer Datenpanne müssen sofort technisch-organisatorische Maßnahmen zur Beseitigung des Vorfalls und zum Schutz der Betroffenen ergriffen werden. Der Vorfall ist zu dokumentieren. Anschließend ist zu prüfen, ob eine Meldung an die Aufsichtsbehörde erforderlich ist. Dies ist besonders dann der Fall, wenn eine Verletzung der Rechte und Freiheiten natürlicher Personen zu befürchten ist. Die Meldung muss unverzüglich – möglichst binnen 72 Stunden – erfolgen und kann schrittweise ergänzt werden, falls noch nicht alle Informationen vorliegen.

Besteht voraussichtlich ein hohes Risiko für die Betroffenen, müssen zusätzlich auch diese unverzüglich benachrichtigt werden. Die Benachrichtigung kann jedoch entfallen, wenn die personenbezogenen Daten durch Sicherheitsvorkehrungen wie Verschlüsselung unzugänglich gemacht werden.

Sprechen Sie mich zum Datenschutz in Ihrer Praxis gern an. 

Ich unterstütze Sie lösungsorientiert zu allen Facetten des Datenschutzes im Gesundheitswesen. Z.B. helfe ich Ihnen mit der Erstellung einer Datenschutzerklärung, einer Datenschutz-Folgenabschätzung oder der Schulung Ihrer Mitarbeitenden im Datenschutz unter Berücksichtigung der Besonderheiten in einer (Zahn-)Arztpraxis, psychologischen Praxis, im MVZ, Krankenhaus, in der Apotheke oder im Pflegeheim.

Ich freue mich über Ihre Anfrage.