Zurück zur Übersicht
30.08.2022

Mangelhafte TOM im Gesundheitswesen

Bußgeld wegen mangelhafter TOM im Gesundheitswesen

Bei der Verarbeitung von Gesundheitsdaten von Patientinnen und Patienten müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um diese Daten angemessen zu schützen. Bei einer unzureichenden Umsetzung von TOM drohen empfindliche Bußgelder.

Die Hamburger Datenschutzbehörde hat ein Bußgeldverfahren gegen ein in Hamburg ansässiges Unternehmen durchgeführt, welches im Gesundheitswesen tätig ist. Das Unternehmen hatte es zum einen unterlassen, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um beim Versand von Arztbriefen (Transferdokument für die Kommunikation zwischen behandelnden Ärztinnen und Ärzten) durch Beschäftigte des Unternehmens ein dem Risiko angemessenes Schutzniveau zu gewährleisten. In der Folge wurden mehrfach Arztbriefe an eine Person versandt, die zwar einem Heilberuf nachging, aber nicht die weiterbehandelnde Ärztin dieser Patientinnen und Patienten war. Die Arztbriefe waren vielmehr für eine gleichnamige Allgemeinärztin bestimmt. Erschwerend kam hinzu, dass das Unternehmen in der Vergangenheit von der unberechtigten Empfängerin mehrfach auf den Fehlversand hingewiesen wurde. Das Unternehmen hatte die Adressatin nach deren Hinweisen mit einem Sperrvermerk in dem verwendeten Datenverarbeitungssystem versehen. Es hatte es dabei aber unterlassen, durch organisatorische und technische Maßnahmen sicherzustellen, dass der Sperrvermerk auch bei Software-Updates übernommen wird. So wurde nach einem Update der Sperrvermerk nicht übernommen und die Empfängerin bekam erneut Arztbriefe über Personen, die nicht ihre Patientinnen und Patienten waren. Der Fehlversand beruhte somit auf dem fehlenden Sperrvermerk und einer nicht mit der notwendigen Sorgfalt durchgeführten Auswahl der Adressatin durch die Beschäftigten des Unternehmens. Dies stellt einen Verstoß gegen die Pflicht des Art. 32 Abs. 1 DSGVO dar.

Auch wenn die fehlerhaft adressierte Empfängerin selbst Berufsgeheimnisträgerin war und das Risiko einer schädigenden Verwendung der übermittelten Daten deswegen als eher gering einzustufen ist, ist das Risiko für die Rechte und Freiheiten bestimmter natürlicher Personen bei der Verarbeitung personenbezogener Daten in Arztbriefen derart erheblich, dass die Daten wirksam geschützt werden müssen. Es stellt ein zu erwartendes menschliches Fehlverhalten dar, dass Beschäftigte im hektischen Alltag bei der Auswahl von Adressaten für Arztbriefe nicht in jedem Fall die notwendige Sorgfalt walten lassen. Deswegen sind auch geeignete technische Schutzmaßnahmen wie die Einrichtung eines Sperrvermerks zu treffen und eine Übernahme dieser technischen Schutzmaßnahmen bei Aktualisierungen von Datenverarbeitungsanlagen sicherzustellen. Zum anderen hatte das Unternehmen es an einem Standort für einen Zeitraum von über einem Jahr unterlassen, durch die Implementierung und Verwendung einer Protokollierungsfunktion für lesende Zugriffe auf Daten von Patientinnen und Patienten im genutzten Informationssystem eine angemessene Sicherheit der Verarbeitung von Daten der Patientinnen und Patienten zu gewährleisten und hier insbesondere die Vertraulichkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und nachzuweisen. In der Folge war es nicht möglich nachzuvollziehen, welche Beschäftigten lesend auf Daten von Patientinnen und Patienten zugegriffen haben.

Zum Schutz vor einer unbefugten oder unrechtmäßigen Verarbeitung bedarf es bei sensiblen Daten wie Gesundheitsdaten neben Vorkehrungen wie Zugangsbeschränkungen und Datenverschlüsselung auch geeigneter Maßnahmen mittels derer nachträglich überprüft und festgestellt werden kann, ob und wann personenbezogene Daten verarbeitet wurden. Eine Protokollierung von lesenden Zugriffen ist insbesondere erforderlich, um die in Art. 32 Abs. 1 lit. b) DSGVO genannte Integrität der im Informationssystem gespeicherten Daten zu gewährleisten. Die Gewährleistung der Vorgaben des Art. 32 DSGVO hat der Verantwortliche bei Bedarf gem. Art. 24 Abs. 1 DSGVO nachzuweisen. Ein Nachweis durch das Unternehmen darüber, durch wen zu welchem Zeitpunkt auf bestimmte Daten von Patientinnen und Patienten zugegriffen wurde, war nicht möglich, obwohl in einem Fall konkrete Hinweise auf einen unberechtigten, lesenden Zugriff vorlagen. Das Unternehmen verstieß somit gegen 32 Abs. 1 DSGVO. Der HmbBfDI hat wegen dieser Verstöße ein Bußgeld im niedrigen sechsstelligen Bereich verhängt. Bei der Zumessung des Bußgelds wurde mildernd berücksichtigt, dass es sich um einen Erstverstoß des Unternehmens handelte und eine umfangreiche Zusammenarbeit mit der Aufsichtsbehörde stattgefunden hat, um den Verstößen abzuhelfen. Schärfend wurde der Umstand berücksichtigt, dass es sich bei den verarbeiteten Daten um Gesundheitsdaten handelte. Es wurden somit besondere Arten personenbezogener Daten verarbeitet, die ihrem Wesen nach sensibel sind und nach den Vorschriften der DSGVO einem besonderen Schutz unterliegen.

Das Unternehmen hat die Geldbuße akzeptiert und auf einen Einspruch verzichtet.

Quelle: HmbBfDI

Lesen Sie hier weitere Blogartikel zum Thema Sicherheit bei der Datenverarbeitung.

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks