LfDI Rheinland-Pfalz verhängt Bußgeld über 105.000 Euro gegen Krankenhaus

​​​veröffentlicht am 30. Januar 2020

Quelle: Der Landesbeauftragte für den Datenschutz und die Informationssicherheit in Rheinland-Pfalz

„Strukturelle technische und organisatorische Defizite” im Datenschutz bei der Patientenaufnahme beanstandet – Nachträgliche Verbesserungsmaßnahmen konnten den Bußgeldbescheid nicht verhindern.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes Rheinland-Pfalz (LfDI) hat ein Bußgeld in Höhe von 105.000 Euro gegen ein Krankenhaus in Rheinland-Pfalz verhängt. Grund für das Bußgeld waren nach der Presseinformation der Datenschutzaufsicht mehrere Datenschutz-Verstöße im Zusammenhang mit einer Patientenverwechslung bei der Patientenaufnahme. Das Bußgeld wurde verhängt, obwohl der LfDI „die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben,” ausdrücklich begrüßt. Die Datenschutzaufsicht sah „strukturelle technische und organisatorische Defizite” im Datenschutzmanagement des Krankenhauses als ausschlaggebend für die Panne und damit als bußgeldwürdig an.

Die Nachricht zeigt: Nachdem sich die deutschen Datenschutzaufsichtsbehörden im Oktober 2019 auf ein Konzept zur Bußgeldzumessung verständigt hatten (wir berichteten), sind Bußgelder damit auch in der Aufsichtspraxis gegenüber Krankenhäusern angekommen. Eine allgemeine Rücksichtnahme, beispielsweise auf Grund öffentlich-rechtlicher Trägerschaft, kann nicht erwartet werden, ebenso wenig ein Abwenden des Bußgeldes allein dadurch, dass im Nachgang zu dem beanstandeten Sachverhalt Verbesserungen eingeleitet werden.

Der Vorgang zeigt auch, dass die technischen und organisatorischen Maßnahmen, die der Verantwortliche nach Art. 32 Abs. 1 ergreifen muss, nicht allein auf den Aspekt der Technik reduziert werden dürfen. Die Arbeitsschritte in der sensiblen Verarbeitungstätigkeit „Patientenaufnahme” sollten eindeutig geregelt sein. Das Vorhandensein einer verbindlichen Regelung dazu sollte der Verantwortliche ebenso belegen können wie die Tatsache, dass die Mitarbeiter regelmäßig zum Datenschutz geschult wurden. Denn erst unter diesen Voraussetzungen lässt sich im Falle eines dennoch auftretenden Verstoßes plausibilisieren, dass es sich um einen nicht zu vermeidenden Einzelfall handelt und gerade nicht um „strukturelle organisatorische Defizite”, die in diesem Beispiel ausschlaggebend für die Verhängung des Bußgelds waren.

Da bei großen Kliniken Präsenzschulungen aller Mitarbeiter praktisch nur schwer umzusetzen sind, bietet Rödl & Partner eine Onlineschulung zum Datenschutz mit persönlichem Teilnahmenachweis speziell für Krankenhäuser an. Näheres finden Sie hier.