Norwegische Datenschutzbehörde verhängt Busse gegen Krankenhaus wegen Aufbewahrung von Patientenakten ausserhalb der Sicherheitszone


Ihre Kontakte

Die norwegische Datenschutzbehörde hat in einem kürzlich ergangenen Entscheid festgehalten, dass das Østfold HF Krankenhaus von 2013 bis 2019 über ein ungenügendes System zur Aufbewahrung von Patientenakten verfügte. Namentlich war für mehrere Listen mit Gesundheitsdaten keine angemessene Zugangskontrolle eingerichtet und Zugriffe darauf wurden nicht protokolliert. Die Datenschutzbehörde spricht dafür eine Busse von 750’000 NOK (ca. 80’000 CHF) aus und verlangt vom Østfold HF Krankenhaus, die Systeme entsprechend nachzubessern. Der Bussgeldentscheid zeigt einmal mehr, dass bei Gesundheitsdaten ein verstärktes Augenmerk auf die Einhaltung der datenschutzrechtlichen Vorgaben gelegt werden muss.

Meldung durch das Krankenhaus als Ausgangspunkt der Untersuchung

Die Inspektion des Østfold HF Krankenhauses (Krankenhaus) durch die norwegische Datenschutzbehörde wurde durch eine Selbstanzeige des Krankenhauses im Januar 2019 ausgelöst. Im Vordergrund stand dabei, dass im Zeitraum zwischen 2013 und 2019 verschiedene Daten nicht mit einem angemessenen System für Zugangskontrollen versehen waren und ausserhalb der Sicherheitszone («outside the safe zone») gespeichert wurden. Ausserdem wurden Zugriffe auf die Daten nicht aufgezeichnet. Es zeigte sich, dass potentiell 118 Mitarbeitende des Krankenhauses Zugriff auf die Daten hatten, wobei die meisten Mitarbeiter weder einen offiziellen noch einen berechtigten Grund für einen entsprechenden Zugriff hatten. Mit anderen Worten hätten diese Mitarbeiter eigentlich keine Zugriffsberechtigung haben dürfen, weil ein solcher für die Erledigung ihrer Aufgaben nicht notwendig gewesen wäre.

Bei den betroffenen Daten handelte es sich gemäss der Pressemitteilung mitunter um Auszüge aus Patientenakten und damit Gesundheitsdaten, welche als besondere Kategorien von personenbezogenen Daten und damit als besonders schützenswert eingestuft werden. Konkret waren folgende Daten betroffen:

  • Eine stets aktuell gehaltene RfD- («Ready for Discharge»; Patientenaustritte) Liste mit ungefähr 25-30 Patienten. Die Liste wurde alle 15 Minuten aktualisiert.
  • Eine historische RfD-Liste von 2013 bis 2019, mit 13’800 Patienten.
  • Zwei Listen mit nationalen Identifikationsnummern und Eintrittsgründen von ungefähr 30 Patientinnen und Patienten.

Die Listen enthielten jeweils demographische Informationen wie Name, Geburtsdatum, Wohnort, sowie weitere Informationen zu Verlegungen der Patienten. Die beiden letztgenannten Listen beinhalteten wie dargelegt die nationalen Identifikationsnummern und Eintrittsgründe der Patientinnen und Patienten.

Beurteilung der Datenschutzbehörde

In ihrem Entscheid vom 22. Oktober 2020 hat die norwegische Datenschutzbehörde die nachfolgenden Verstösse festgestellt. Neben Verletzungen der Europäische Datenschutz-Grundverordnung (DSGVO) hat die norwegische Datenschutzbehörde auch Verletzungen des norwegischen Gesetzes über Patientenakten aufgedeckt.

  • Mangelnde Zugangskontrolle:
    Die bereits erwähnte fehlende Zugangskontrolle beim Zugriff auf die Patientenakten beurteilt die Datenschutzbehörde als ungenügende technische und organisatorische Massnahme zum Schutz von personenbezogenen Daten im Sinne der DSGVO (Art. 32 DSGVO). Dabei war es für die Datenschutzbehörde insbesondere entscheidend, dass 118 Mitarbeitende des Krankenhauses ohne offiziellen und berechtigten Grund die Möglichkeit gehabt hätten, auf die Daten zuzugreifen. Nicht von Bedeutung sei die vom Krankenhaus angebrachte Tatsache, dass die entsprechenden Mitarbeitenden eine Vertraulichkeitserklärung unterzeichnet hätten. Die Datenschutzbehörde führt diesbezüglich an, dass die Mitarbeitenden keinen Zugriff auf Daten haben dürfen, welche sie nicht zwingend benötigen (sog. need-to-know-Prinzip) und zwar unabhängig davon, ob eine Vertraulichkeitserklärung unterschrieben wurde oder nicht.
  • Fehlende Protokollierung:
    Ebenfalls als ungenügende technische und organisatorische Massnahme und damit als Verstoss gegen die Datensicherheit (Art. 32 DSGVO) wertete die Datenschutzbehörde, dass das Krankenhaus die Zugriffe auf die Daten nicht protokollierte. Dadurch sei das Krankenhaus nicht in der Lage gewesen, potentiell unbefugte Zugriffe auf die Daten aufzudecken und ggf. notwendige Massnahmen einzuleiten.
  • Mangelndes internes Kontrollsystem (IKS):
    Die Datenschutzbehörde bemängelt ferner, dass das Krankenhaus die Zugänge zu den entsprechenden Daten im besagten Zeitraum nicht regelmässig überprüft habe. Die Verantwortlichen sollten gemäss der Datenschutzbehörde jederzeit einen Überblick über die Zugangskontrollen haben. Gewertet hat die Datenschutzbehörde dies als Verstoss gegen die Sicherheit einer Verarbeitungstätigkeit (Art. 32 und Art. 5 (1) (f) und (2) DSGVO).
  • Fehlende Datenlöschung:
    Ferner hat das Krankenhaus gemäss der Datenschutzbehörde zu viele Daten gespeichert. So seien während dem angegebenen Zeitraum zwischen 2013 und 2019 Daten gespeichert worden, welche nicht mehr notwendig waren. Damit habe das Krankenhaus gegen das Prinzip der Speicherbegrenzung verstossen (vgl. Art. 32, Art. 24 und 5 Abs. 1 lit. e DSGVO).
  • Mangelhafte Integrierung von datenschutzfreundlichen Voreinstellungen:
    Die Datenschutzbehörde bemängelt ferner, dass das Krankenhaus den Schwerpunkt zu wenig auf die Integrierung von datenschutzfreundlichen Voreinstellungen gelegt habe (sog. Privacy by Default/Privacy by Design). Namentlich wird eine mangelhafte Implementation bei der Extraktion gewisser Berichte aus den Patientenakten genannt. Die Datenschutzbehörde kommt damit zum Schluss, dass das Krankenhaus den Anforderungen an den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nicht genügt habe (vgl. Art. 25 DSVGO, Art. 32 und Art. 24 DSVGO).
  • Mangelhaftes Verzeichnis der Verarbeitungstätigkeiten:
    Schliesslich führt die Datenschutzbehörde aus, dass das Krankenhaus beim Erstellen der oben genannten Berichte die Anforderungen der DSGVO bezüglich des Verzeichnisses von Verarbeitungstätigkeiten nicht erfüllt habe (vgl. Art. 30 DSVGO). Inwiefern das Verzeichnis aber mangelhaft war, ist nicht gänzlich klar. Es muss davon ausgegangen werden, dass insbesondere Pflichtinformationen gefehlt haben.

Zusätzlich geht die Datenschutzbehörde auf die Massnahmen ein, welche das Krankenhaus als Sofortmassnahmen selbstständig eingeführt hatte. Dabei führt die Datenschutzbehörde allerdings lediglich aus, dass sie der Ansicht sei, dass das Krankenhaus trotz getroffener Massnahmen noch immer keine genügenden Zugangskontrollen und Speicherroutinen implementiert habe. So sei das aktuelle System des Krankenhauses weiterhin nicht dazu geeignet, ähnliche Vorfälle in der Zukunft zu verhindern.

Datenschutzbehörde spricht Busse aus und auferlegt Massnahmen

Vor dem Hintergrund der obigen Verletzungen der Datenschutzbestimmungen, insbesondere der Bestimmungen zur Datensicherheit, auferlegte die Datenschutzbehörde dem Krankenhaus eine Busse in der Höhe 750’000 NOK (ca. 80’000 CHF).

Ausserdem muss das Krankenhaus ein System einrichten, welches geeignet ist die Anforderungen der Datenschutz-Grundverordnung vollständig zu erfüllen. Die Datenschutzbehörde weist in diesem Zusammenhang darauf hin, dass genügende Zugangskontrollen für besondere Kategorien von personenbezogenen Daten eingerichtet werden müssen und dass Zugriffe auf diese Daten protokolliert werden müssen. Diese Massnahmen müssen nicht nur zum Schutz der personenbezogenen Daten geeignet sein, sondern auch dem aktuellen Stand der Technik entsprechen und periodisch überprüft werden.

Fazit und Bedeutung für die Schweiz

Die DSGVO ist in sehr vielen Konstellationen auch im Schweizer Gesundheitswesen relevant. Darüber hinaus gelten die hier betroffenen Anforderungen zu einem wesentlichen Teil bereits heute im Schweizer bzw. kantonalen Recht. So sind auch in der Schweiz erhöhte gesetzliche Anforderungen bei der Bearbeitung von Gesundheitsdaten zu beachten, gelten diese doch auch hierzulande als besonders schützenswerte Daten. Die höheren Anforderungen betreffen nicht zuletzt auch die die Datensicherheit. Der Entscheid ruft nicht nur die elementaren Vorgaben wie z.B. die Errichtung von Zugangskontrollen oder der Protokollierung von Zugriffen in Erinnerung, sondern unterstreicht auch, dass eine regelmässige periodische Überprüfung der implementierten technischen und organisatorischen Massnahmen unabdingbar ist. Dies ist gerade auch deshalb von grosser praktischer Bedeutung, weil künftig auch das revidierte Schweizer Datenschutzgesetz die Verletzung der Mindestanforderungen an die Datensicherheit, welche durch den Bundesrat definiert werden, mit Sanktion belegt (Art. 61 lit. b revDSG; MLL-News vom 19.10.2020).

Weitere Informationen:


Artikel teilen




Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.