Unrechtmäßiger Zugriff auf Gesundheitsdaten

Die belgische Datenschutzbehörde (APD) hat in ihrer Entscheidung 64/2025 einen klaren Verstoß gegen die DSGVO festgestellt. Eine Vorgesetzte hatte eigenmächtig auf die Gesundheitsakte einer Mitarbeiterin zugegriffen – ohne Rechtsgrundlage und ohne Wissen der Personalabteilung.

Fokus: Datenschutz bei Gesundheitsdaten

Die Entscheidung zeigt: Auch wenn eine einzelne Person eigenmächtig handelt, bleibt das Unternehmen verantwortlich. Es hätte den Vorfall melden und technische sowie organisatorische Schutzmaßnahmen nachbessern müssen.

Wichtige Punkte aus der Entscheidung

• Die Vorgesetzte handelte ohne rechtliche Grundlage.

• Sie wurde von der Aufsichtsbehörde als eigenständig Verantwortliche eingestuft.

• Das Krankenhaus hatte keine ausreichenden technischen Zugriffsbeschränkungen.

• Die Behörde sprach eine Verwarnung aus und forderte konkrete Nachbesserungen.

• Der Vorfall hätte der Datenschutzbehörde gemeldet werden müssen – was unterblieb.

Rechtslage: Artikel 33 und 9 DSGVO

• Gesundheitsdaten unterliegen einem erhöhten Schutz (Art. 9 DSGVO).

• Bei einem unbefugten Zugriff besteht in der Regel ein Risiko für die Rechte der betroffenen Person.

• Die Meldung an die Aufsichtsbehörde ist innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO).

Was Unternehmen jetzt umsetzen sollten

1. Zugriffsrechte technisch beschränken

   • Nur autorisierte Personen erhalten Zugriff.

   • Protokollieren Sie jeden Zugriff automatisch.

2. Verantwortlichkeiten klar definieren

   • Wer darf was sehen – und auf welcher rechtlichen Grundlage?

   • Vorgesetzte dürfen nicht eigenmächtig Einsicht nehmen.

3. Mitarbeitende und Führungskräfte schulen

   • Klare Regeln für den Umgang mit Gesundheitsdaten.

   • Schulungspflicht auch für leitende Angestellte.

4. Datenschutzverletzungen ernst nehmen

   • Verstöße sind zu dokumentieren und – wenn meldepflichtig – der Aufsichtsbehörde zu melden.

   • Auch bei „internem Fehlverhalten“ ist eine Meldung nötig, wenn ein Risiko für die betroffene Person besteht.

5. DSFA bei regelmäßiger Verarbeitung durchführen

   • Wer systematisch Gesundheitsdaten verarbeitet, braucht eine Datenschutz-Folgenabschätzung.

Das Urteil macht deutlich: Verantwortung endet nicht beim internen Fehlverhalten. Wer Gesundheitsdaten verarbeitet, muss sicherstellen, dass unbefugte Zugriffe nicht möglich sind. Und: Wird ein Vorfall bekannt, ist eine Bewertung und gegebenenfalls eine Meldung zwingend.

Sind Sie sicher, dass Ihr Unternehmen oder Gesundheitseinrichtung im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks