DSGVO-Busse für deutsches Spital

DSGVO-Busse: deutsches Spital wird für Patientenverwechslung sanktioniert


Ihre Kontakte

Die Datenschutzbehörde von Rheinland-Pfalz auferlegte einem Krankenhaus kürzlich eine DSGVO-Busse in der Höhe von 105’000 EUR. Grund dafür war eine Verwechslung eines Patienten, die als mehrfachen Verstoss gegen die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) beurteilt wurde. Die aktuelle Entscheidung bestätigt einmal mehr, dass die Aufsichtsbehörden ein besonderes Augenmerk auf die Verarbeitung von Gesundheitsdaten und anderer besonders schützenswerter Daten richten. Zudem veranschaulicht der Fall, dass zur Vermeidung von (meldepflichtigen) Datenpannen nicht nur Massnahmen zum Schutz vor Hacker-Angriffen, sondern auch zur Verhinderung von menschlichem Versagen bei Routine-Aktivitäten geboten sind.

DSGVO-Busse in der Höhe von 105’000 EUR aufgrund Patientenverwechslung

Wie aus Medienberichten vom Dezember 2019 hervorgeht, registrierten die deutschen Datenschutz-Behörden seit der Anwendung der DSGVO im Mai 2018 mindestens rund 850 Datenpannen, die auf Fehlversendungen von Patientenunterlagen zurückzuführen sind. Bei vielen Datenschutzbehörden stellten solche Fehlversendungen den grössten Anteil der gemeldeten Datenpannen im Gesundheitswesen dar. Mehrere Behörden hätten denn auch entsprechende Verfahren eröffnet.

Während andere Verfahren noch hängig sind, verhängte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) am 3. Dezember 2019 ein Bussgeld in der Höhe von 105’000 EUR gegen ein Krankenhaus. Gemäss der kurzen Pressemitteilung beruht die Geldbusse auf mehreren Verstössen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese habe eine falsche Rechnungsstellung zur Folge gehabt und strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement offenbart.

Mit der Sanktion will der Landesbeauftragte auch ein Signal setzen, dass die Datenschutzaufsichtsbehörden beim Umgang mit Daten im Gesundheitswesen «besondere Wachsamkeit» an den Tag legen. In einer Stellungnahme zu den Medienberichten ergänzte er ferner:

«Auch wenn einzelne Vorkommnisse aufgrund menschlichen Versagens leider nie völlig ausgeschlossen werden können, so müssen doch die an der Behandlung beteiligten Einrichtungen alle Anstrengungen unternehmen, um die Patientendaten effektiv zu schützen. Fehlt es hier an der notwendigen Sorgfalt und Aufmerksamkeit, werde ich angemessene Maßnahmen ergreifen und auch vor der Verhängung von Bußgeldern nicht zurückschrecken.«

Einordnung des Falls und Anmerkungen

Das aktuelle Verfahren ist nicht das erste, das mit einem Bussgeld gegen ein Spital endete. So wurde bereits im vergangenen Jahr, in der wohl europaweit ersten substanziellen Geldstrafe wegen eines DSGVO-Verstosses, ein portugiesisches Krankenhaus aufgrund eines unzureichenden Umgangs mit Patientendaten gebüsst (vgl. den Bericht auf heise.de). Dass bereits sehr früh Spitäler in den Fokus der Datenschutzbehörden gerieten, ist wenig überraschend. Die von den Spitälern verarbeiteten Patientendaten sind regelmässig Gesundheitsdaten im Sinne der DSGVO und gelten insofern als besondere Kategorien von personenbezogenen Daten. Für diese werden erhöhte Anforderungen an die Rechtmässig der Verarbeitung gestellt und sie dürfen in vielen Fällen nur mit ausdrücklicher Einwilligung der Patienten verarbeitet werden.

Dass bei der Zustellung von Rechnungen an die falsche Person eine Einwilligung der betroffenen Person oder eine andere Rechtsgrundlage fehlt, versteht sich von selbst. Im Unterschied zu anderen Sachverhalten spielen die hohen Anforderung an die Gültigkeit der Einwilligungen von Patienten (vgl. z.B. MLL-News vom 31.5.2019) hier somit keine Rolle. Insofern liegt beim Fehlversand der Rechnungen zweifelsohne eine Weitergabe von personenbezogenen Daten vor, die sich nicht auf einen Erlaubnistatbestand abstützen lässt. Einer der im aktuellen Fall relevanten (mehrfachen) DSGVO-Verstösse dürfte somit den Grundsatz der Rechtmässigkeit der Datenverarbeitung betreffen. Da gemäss der Pressemitteilung eine Verwechslung des Patienten bei der Aufnahme erfolgte, könnte auch die Missachtung des Grundsatzes der Richtigkeit der verarbeiteten Daten beanstandet worden sein. Der Umstand, dass eine solche Verwechslung nicht verhindert oder erkannt wurde, wird ferner auch auf das Fehlen von «geeigneten technischen und organisatorischen Massnahmen» zum Schutz vor unrechtmässigen Verarbeitungen zurückgeführt werden können.

Im Zusammenhang mit solchen «Datenpannen» ist ferner stets auch die Pflicht zur Meldung von Datenschutzverletzungen zu beachten (vgl. dazu auch MLL-News vom 2.12.2017). Denn eine solche Pflicht kann nicht nur bei unbefugtem «Zugang» zu Daten (z.B. durch einen Hacker) bestehen (vgl. dazu MLL-News vom 10.8.2019), sondern auch bei einer unbefugten «Offenlegung» oder Weitergabe. Dies gilt auch unabhängig davon, ob es sich um vermeintlich banale Nachlässigkeiten oder menschliches Versagen in Form von Tippfehlern oder falsche Kuvertierung handelt. Insofern veranschaulicht der vorliegende Fall auch, dass zur Vermeidung von (meldepflichtigen) Datenpannen und Verstössen gegen die Datensicherheit nicht nur Massnahmen zum Schutz vor Hacker-Angriffen, sondern auch zur Verhinderung von menschlichem Versagen bei Routine-Aktivitäten geboten sind.

Diese Schlussfolgerungen sind auch für Schweizer Spitäler relevant. Denn auch sie haben die Vorschriften der DSGVO zu beachten, wenn sie ihre Dienstleistungen auch an Personen in der EU bzw. im EWR anbieten. Wie weit der räumliche Anwendungsbereich der DSGVO ist, bekräftigen auch die aktuellen Leitlinien der EU-Datenschützer (EDSA) zu diesem Thema (vgl. MLL-News vom 10.12.2018). Daraus geht insbesondere hervor, dass für die Unterstellung unter die DSGVO irrelevant ist, ob die Behandlung des Patienten letztlich in der Schweiz stattfindet. Entscheidend ist nur, ob die Dienstleistungen (auch) an Personen angeboten werden, die sich im Zeitpunkt der Angebotsausrichtung in der EU bzw. im EWR befanden.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.