Nach Einführung der DSGVO: Portugiesischem Krankenhaus droht Strafe von 400.000 Euro

Posted on 26. Oktober 2018

Lesezeit 2 minuten|Posted on 26. Oktober 2018

Vor dem Inkrafttreten der europäischen Datenschutzgrundverordnung DSGVO im MAI 2018 war das Internet in Aufruhr: Was bedeutet die DSGVO für mein Impressum? Werden Abmahnanwälte selbst den kleinesten Fehler auf meiner Seite ausfindig machen und mich verklagen? Welche Daten darf ich von meinen Kunden überhaupt noch sammeln?

Viele begegneten dem Gesetz mit Unverständnis, weil die Konsequenzen die Falschen trafen: Ursprünglich war die DSGVO dazu gedacht, die Datensammelwut großer Internetkonzerne wie Google und Facebook einzuschränken. Das neue Gesetz betrifft aber alle: nicht nur die Großkonzerne, sondern eben auch Selbständige und kleine Betriebe.

Die Verordnung ging zudem weit über das Thema Datenschutz im Internet hinaus. Seit Mai muss auch der unternehmensinterne Umgang mit Daten geregelt und die Daten entsprechend gesichert werden. Aber wie genau? Die DSGVO lässt bisweilen einen weiten Interpretationsraum zu. Die Unsicherheit war umso größer, als es mit dem neuen Gesetz noch keine Präzedenzfälle gab. Vieles war möglich: ein unproblematischer Übergang oder eine Abmahnwelle.

Die Einführung der DSGVO im Mai 2018 – viel Lärm um nichts?

Nach dem Inkrafttreten der DSGVO geschah dann erstmal – nichts. Das Thema geriet nach und nach in Vergessenheit. Viele Unternehmen hatten ihr Impressum bereits zuvor aktualisiert, andere zogen nun verspätet nach. Die befürchtete Abmahnwelle jedoch blieb aus – bis jetzt.

Das erste gravierende DSGVO-Urteil droht

Einem portugiesischen Krankenhaus – die DSGVO gilt EU-weit – droht nun eine empfindliche Strafe [http://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-strafe-krankenhaus-in-portugal-muss-400-000-euro-zahlen-15852321.html?GEPC=s13]. IT-Leute hatten hier unzulässigerweise Einsicht in Patientendaten. Zudem waren ungefähr dreimal so viele Personen im System als Ärzte registriert als tatsächlich Ärzte im Krankenhaus arbeiteten. Somit konnten um die 600 Personen geheime Patientendaten unzulässigerweise einsehen. Ankläger ist die örtliche Datenschutzbehörde CNPD. Das Krankenhaus bestreitet die Vorwürfe und will dagegen vorgehen. Ihm droht eine Strafzahlung in Höhe von 400.000 Euro.

Das bedeutet der Fall Portugal für Ihr Unternehmen

Das wäre der erste Fall, in dem aufgrund der DSGVO eine empfindliche Strafe zu zahlen wäre. Daran werden zwei Entwicklungen deutlich:

  1. Nach dem Inkrafttreten der DSGVO hielten die Datenschutzbehörden eine Weile die Füße still, um Unternehmen genügend Zeit zu geben, die neuen Richtlinien zu implementieren.
  2. Diese Schonfrist scheint nach fünf Monaten nun vorüber zu sein. Inwieweit der geschilderte Fall ein Einzelfall bleiben oder vielmehr der Auftakt für weitläufige Ermittlungen sein wird, wird sich in den nächsten Monaten zeigen. Klar ist aber: Die DSGVO ist durchaus ernst zu nehmen. Unternehmen, die sich noch nicht auf die neuen Richtlinien eingestellt haben, sollten hier schleunigst nachziehen.