Ihre Kontakte
Die Datenschutzbehörde von Rheinland-Pfalz auferlegte einem Krankenhaus kürzlich eine DSGVO-Busse in der Höhe von 105’000 EUR. Grund dafür war eine Verwechslung eines Patienten, die als mehrfachen Verstoss gegen die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) beurteilt wurde. Die aktuelle Entscheidung bestätigt einmal mehr, dass die Aufsichtsbehörden ein besonderes Augenmerk auf die Verarbeitung von Gesundheitsdaten und anderer besonders schützenswerter Daten richten. Zudem veranschaulicht der Fall, dass zur Vermeidung von (meldepflichtigen) Datenpannen nicht nur Massnahmen zum Schutz vor Hacker-Angriffen, sondern auch zur Verhinderung von menschlichem Versagen bei Routine-Aktivitäten geboten sind.
DSGVO-Busse in der Höhe von 105’000 EUR aufgrund Patientenverwechslung
Wie aus Medienberichten vom Dezember 2019 hervorgeht, registrierten die deutschen Datenschutz-Behörden seit der Anwendung der DSGVO im Mai 2018 mindestens rund 850 Datenpannen, die auf Fehlversendungen von Patientenunterlagen zurückzuführen sind. Bei vielen Datenschutzbehörden stellten solche Fehlversendungen den grössten Anteil der gemeldeten Datenpannen im Gesundheitswesen dar. Mehrere Behörden hätten denn auch entsprechende Verfahren eröffnet.
Während andere Verfahren noch hängig sind, verhängte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) am 3. Dezember 2019 ein Bussgeld in der Höhe von 105’000 EUR gegen ein Krankenhaus. Gemäss der kurzen Pressemitteilung beruht die Geldbusse auf mehreren Verstössen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese habe eine falsche Rechnungsstellung zur Folge gehabt und strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement offenbart.
Mit der Sanktion will der Landesbeauftragte auch ein Signal setzen, dass die Datenschutzaufsichtsbehörden beim Umgang mit Daten im Gesundheitswesen «besondere Wachsamkeit» an den Tag legen. In einer Stellungnahme zu den Medienberichten ergänzte er ferner:
«Auch wenn einzelne Vorkommnisse aufgrund menschlichen Versagens leider nie völlig ausgeschlossen werden können, so müssen doch die an der Behandlung beteiligten Einrichtungen alle Anstrengungen unternehmen, um die Patientendaten effektiv zu schützen. Fehlt es hier an der notwendigen Sorgfalt und Aufmerksamkeit, werde ich angemessene Maßnahmen ergreifen und auch vor der Verhängung von Bußgeldern nicht zurückschrecken.«
Einordnung des Falls und Anmerkungen
Das aktuelle Verfahren ist nicht das erste, das mit einem Bussgeld gegen ein Spital endete. So wurde bereits im vergangenen Jahr, in der wohl europaweit ersten substanziellen Geldstrafe wegen eines DSGVO-Verstosses, ein portugiesisches Krankenhaus aufgrund eines unzureichenden Umgangs mit Patientendaten gebüsst (vgl. den Bericht auf heise.de). Dass bereits sehr früh Spitäler in den Fokus der Datenschutzbehörden gerieten, ist wenig überraschend. Die von den Spitälern verarbeiteten Patientendaten sind regelmässig Gesundheitsdaten im Sinne der DSGVO und gelten insofern als besondere Kategorien von personenbezogenen Daten. Für diese werden erhöhte Anforderungen an die Rechtmässig der Verarbeitung gestellt und sie dürfen in vielen Fällen nur mit ausdrücklicher Einwilligung der Patienten verarbeitet werden.
Dass bei der Zustellung von Rechnungen an die falsche Person eine Einwilligung der betroffenen Person oder eine andere Rechtsgrundlage fehlt, versteht sich von selbst. Im Unterschied zu anderen Sachverhalten spielen die hohen Anforderung an die Gültigkeit der Einwilligungen von Patienten (vgl. z.B. MLL-News vom 31.5.2019) hier somit keine Rolle. Insofern liegt beim Fehlversand der Rechnungen zweifelsohne eine Weitergabe von personenbezogenen Daten vor, die sich nicht auf einen Erlaubnistatbestand abstützen lässt. Einer der im aktuellen Fall relevanten (mehrfachen) DSGVO-Verstösse dürfte somit den Grundsatz der Rechtmässigkeit der Datenverarbeitung betreffen. Da gemäss der Pressemitteilung eine Verwechslung des Patienten bei der Aufnahme erfolgte, könnte auch die Missachtung des Grundsatzes der Richtigkeit der verarbeiteten Daten beanstandet worden sein. Der Umstand, dass eine solche Verwechslung nicht verhindert oder erkannt wurde, wird ferner auch auf das Fehlen von «geeigneten technischen und organisatorischen Massnahmen» zum Schutz vor unrechtmässigen Verarbeitungen zurückgeführt werden können.
Im Zusammenhang mit solchen «Datenpannen» ist ferner stets auch die Pflicht zur Meldung von Datenschutzverletzungen zu beachten (vgl. dazu auch MLL-News vom 2.12.2017). Denn eine solche Pflicht kann nicht nur bei unbefugtem «Zugang» zu Daten (z.B. durch einen Hacker) bestehen (vgl. dazu MLL-News vom 10.8.2019), sondern auch bei einer unbefugten «Offenlegung» oder Weitergabe. Dies gilt auch unabhängig davon, ob es sich um vermeintlich banale Nachlässigkeiten oder menschliches Versagen in Form von Tippfehlern oder falsche Kuvertierung handelt. Insofern veranschaulicht der vorliegende Fall auch, dass zur Vermeidung von (meldepflichtigen) Datenpannen und Verstössen gegen die Datensicherheit nicht nur Massnahmen zum Schutz vor Hacker-Angriffen, sondern auch zur Verhinderung von menschlichem Versagen bei Routine-Aktivitäten geboten sind.
Diese Schlussfolgerungen sind auch für Schweizer Spitäler relevant. Denn auch sie haben die Vorschriften der DSGVO zu beachten, wenn sie ihre Dienstleistungen auch an Personen in der EU bzw. im EWR anbieten. Wie weit der räumliche Anwendungsbereich der DSGVO ist, bekräftigen auch die aktuellen Leitlinien der EU-Datenschützer (EDSA) zu diesem Thema (vgl. MLL-News vom 10.12.2018). Daraus geht insbesondere hervor, dass für die Unterstellung unter die DSGVO irrelevant ist, ob die Behandlung des Patienten letztlich in der Schweiz stattfindet. Entscheidend ist nur, ob die Dienstleistungen (auch) an Personen angeboten werden, die sich im Zeitpunkt der Angebotsausrichtung in der EU bzw. im EWR befanden.
Weitere Informationen:
- Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
- MLL-News vom 31.5.2019: «Datenschutzbehörde Österreich: Einwilligung in den unverschlüsselten Versand von Patientendaten ist unwirksam»
- MLL-News vom 24.3.2019: «EDSA-Leitlinien zum Verhältnis zwischen der DSGVO und den Vorschriften für klinische Prüfungen mit Humanarzneimitteln»