27. August 2024 | DSGVO Strafen

Kleine Nachricht, große Datenschutzstrafe: Die teure Auswirkung einer einzigen Gruppen-Message

Manchmal kann eine scheinbar harmlose elektronische Nachricht eine teure Angelegenheit werden – so geschehen bei einer Fachärztin für Psychiatrie, die sich nach einer unbedachten Aktion vor der Datenschutzbehörde und anschließend dem Bundesverwaltungsgericht (BVwG) wiederfand. Eine kleine Erinnerung an ihre Patienten, den nächsten Termin nicht zu verpassen, führte in der Entscheidung BVwG W292 2282284-1 zu einem ernsten – und teuren – Datenschutzproblem.

Wenn eine Terminerinnerung zur Kostenfalle wird

Was war passiert? Die Ärztin hatte eine Gruppen-Nachricht („iMessage“) an 28 ihrer Patienten verschickt und dabei auch gleich deren Telefonnummern untereinander offengelegt. Damit wurden nicht nur private Kontaktdaten preisgegeben, sondern auch das Gesundheitsdatum, dass die Empfänger Patientinnen und Patienten dieser Praxis waren. „Gut gemeint, schlecht gemacht“ trifft hier den Nagel auf den Kopf 😅. Eine von dieser Nachricht betroffene Person zeigte die Ärztin bei der Datenschutzbehörde an. Die „Nachricht“ wurde von dieser dann als eindeutiger Verstoß gegen den Schutz der Privatsphäre gewertet. Zudem hatte die Ärztin es unterlassen, den Vorfall der Datenschutzbehörde zu melden und ein Verarbeitungsverzeichnis zu führen. Was als einfache Erinnerung gedacht war, entwickelte sich zur teuren Datenschutzangelegenheit!

Kein Pardon für Datenschutzsünden!

Die Datenschutzbehörde machte klar, dass die unbefugte Weitergabe von Gesundheitsinformationen einen gravierenden Datenschutzverstoß darstellt, der eine Geldstrafe rechtfertigt. Eine einfache Verwarnung kam nicht in Frage, da die Vergehen als zu schwerwiegend galten – immerhin war unter anderem auch eine sensible Information offengelegt worden. Hinzu kommt, dass die Ärztin nicht die notwendigen Vorkehrungen, sprich technische und organisatorische Maßnahmen, getroffen hatte, um solche Fehler zu vermeiden, und sich auch nicht ausreichend mit den Datenschutzbestimmungen auseinandergesetzt hatte.

Ein teures Lehrstück: 4.400 Euro für eine einzige iMessage

Die ursprünglich verhängte Strafe von 6.000 Euro wurde auf 4.000 Euro reduziert. Hinzu kamen noch Verfahrenskosten in Höhe von 400 Euro. Das macht in Summe ein teures Lehrgeld von insgesamt 4.400 Euro – für eine einzige Nachricht! Die Reduzierung der Strafe wurde aus zwei Gründen vorgenommen: Zum einen erkannte das Bundesverwaltungsgericht die wirtschaftlichen Verhältnisse der Ärztin an und sah die ursprüngliche Strafe der Behörde als zu hoch an. Zum anderen stellte das Gericht fest, dass die Verstöße nicht vorsätzlich, sondern aus Unkenntnis der rechtlichen Anforderungen begangen wurden. Den vollständigen Text des Urteils können Sie – bei Interesse – hier nachlesen.

MeineBerater-Tipp

Dieser Fall zeigt eindrucksvoll, dass selbst kleine Nachlässigkeiten im Datenschutz teuer werden können. Sorgen Sie dafür, dass personenbezogene und vor allem sensible Daten, wie in diesem Fall, nicht einfach offen gelegt werden. Führen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten und melden Sie Vorfälle rechtzeitig der Datenschutzbehörde. Wenn Sie sich unsicher sind, wie Sie solche Herausforderungen meistern können, stehen wir Ihnen mit unserer Expertise zur Seite. Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen DSGVO-konform wird und bleibt – bevor aus kleinen Fehlern große Rechnungen werden!

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.