Benötigen Sie einen Datenschutzbeauftragten? Haben Sie auch tatsächlich einen ernannt? In diesem Beitrag lesen Sie über eine Strafe, die wegen Nicht-Ernennung eines solchen sowie aufgrund weiterer DSGVO-Verstöße verhängt wurde. Außerdem: Wieso wurde diese Strafe anschließend vom BVwG halbiert?
Ambulanz bekommt DSGVO-Strafe
Bereits Ende 2019 wurde von der Österreichischen Datenschutzbehörde eine Strafe über 50.000 Euro gegen eine Allergie-Ambulanz verhängt. Die Gründe dafür waren, zum einen, dass trotz 17 beschäftigter Ärzte kein Datenschutzbeauftragter ernannt worden war. Weiters wurde von den Patienten eine unwiderrufliche Zustimmung aufgrund unklarer Informationen sowie für ein niedriges Datenschutzniveau verlangt. Beispielsweise wurden medizinische Daten durch unverschlüsselte Emails übermittelt.
Bei der Angabe der Rechtsgrundlage für die Datenverarbeitungen wurde zudem die Tatsache ignoriert, dass es sich bei den Gesundheitsdaten um sensible Daten handelte. Diesen kommt gemäß DSGVO ein besonderer Schutz zu. Eine Datenschutz-Folgenabschätzung für unterschiedliche Verarbeitungen wurde auch nicht vorschriftsgemäß durchgeführt.
Anfechtung der DSGVO-Strafe
Die verantwortliche Allergie-Klinik erhob anschließend Beschwerde gegen die Entscheidung der Datenschutzbehörde.
Diese wurde folgendermaßen begründet:
- Die fehlerhaften Informationen und Einwilligungserklärungen seien nur eine kurze Zeit online gewesen und nur von einer geringen Zahl von betroffenen Personen gesehen worden.
- Es habe zwar keine Datenschutzfolgenabschätzungen gegeben, wohl aber Leitlinien für die Organisation und Technik.
- Die Klinik habe sich in Bezug auf die Nichtbestellung eines Datenschutzbeauftragten bei der Ärztekammer als Standesvertretung erkundigt.
Das Bundesverwaltungsgericht (BVwG) erkennt die Tatsache an, dass der Verantwortliche die Verstöße beseitigt hat, und verweist auf dessen bisherige Unbescholtenheit. Auf diese Aspekte wurde besonders Bedacht genommen. Weiters kommt hinzu, dass von keiner Gefahr der Tatwiederholung ausgegangen wird.
Als Folge dessen wurde die von der Datenschutzbehörde verhängte Strafe von 50.000 Euro vom BVwG auf 25.000 Euro herabgesetzt.
Unsere Praxistipps
- Achten Sie darauf, dass es in Ihrem Unternehmen eine Person gibt, die für den Datenschutz zuständig ist. Die nötige Weiterbildung und Auffrischung finden Sie in unserer Akademie.
- Für weitere Informationen und Hilfestellungen kontaktieren Sie uns jederzeit.