Aufgrund einer Veröffentlichung von sensiblen Gesundheitsdaten verhängte die schwedische Aufsichtsbehörde „Datainspektionen“ eine DSGVO-Strafe in der Höhe von 11.000,- € gegen die Gesundheitsbehörde „Health & Medical Care“.
Strafe wegen Offenlegung von Gesundheitsdaten
Die Daten wurden im Internet veröffentlicht und somit über die Website Unbefugten zugänglich gemacht. Bei der betroffenen Person handelte es sich um einen Patienten, der in eine forensisch-psychiatrische Klinik eingewiesen wurden. Offengelegt wurden Identifikationsinformationen, wie unter anderem die persönliche Identifikationsnummer, Kontaktdaten, Informationen zum forensisch-psychiatrischen Gesundheitszustand sowie zu einer Urinprobe des Betroffenen!
Für die Veröffentlichung dieser besonders schutzbedürftigen Gesundheitsdaten gab es weder eine Rechtsgrundlage noch einen anderen Grund, menschliches Versagen führte zu der unbeabsichtigten Offenlegung.
Die Datenschutzbehörde kam zu dem Schluss, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) getroffen hatte, die eine versehentliche Veröffentlichung verhindert hätten. Zudem wurden Anweisungen bezüglich einer rechtmäßigen Vorgehensweise beim Veröffentlichen auf der Website nur mündlich, jedoch nicht schriftlich erteilt.
Die verantwortliche Gesundheitsbehörde wurde angewiesen, schriftliche Konzepte zur Veröffentlichung auf der Website zu erstellen und sicherzustellen, dass Informationen künftig nur unter Einhaltung dieser Maßnahmen veröffentlicht werden. Zudem wurde sie zur Begleichung einer Geldstrafe von 120.000 Schwedischen Kronen – umgerechnet 11.000,- € verurteilt.
Unsere Praxistipps
- Überprüfen Sie Ihre TOMs regelmäßig sehr genau, denn sie sind das Grundgerüst Ihrer datenschutzkonformen Arbeit: Ist diese nicht datenschutzkonform, droht auch eine persönliche Haftung für die Geschäftsführung! Ersellen Sie Leitfäden und Konzepte und fassen Sie diese schriftlich für Ihre Mitarbeitenden zusammen.
- Schulen Sie Ihre Mitarbeitenden regelmäßig, denn eines darf nicht vergessen werden: Ein Unternehmen ist nur so datenschutzsicher, wie jeder einzelne Mitarbeitende. Und jede einzelne Führungskraft.
- Kontaktieren Sie und bei weiteren Frage.