Gesundheitsdaten und Datenschutz zusammen sind oft ein heikles Thema. Nicht erst in den Zeiten der Pandemie stellt sich der angemessene Schutz von Gesundheitsdaten als schweißtreibend dar. Wie sich an folgendem Beispiel zeigt, kann so einiges schiefgehen und es gibt einige Knackpunkte, die beachtet werden sollten.
Der Inhalt im Überblick
Der Schutz von Gesundheitsdaten
Dass man den Schutz von Gesundheitsdaten nicht auf die leichte Schulter nehmen sollte, hat sich bereits in naher Vergangenheit gezeigt. So wurde von der schwedischen Aufsichtsbehörde ein Bußgeld in Millionenhöhe gegen den Dienstleister Medhelp verhängt, nachdem Gesundheitsdaten ungeschützt im Internet landeten. Dass Fehler passieren und personenbezogene Daten gegen den Willen der Betroffenen weitergegeben werden, ist nicht unüblich. Dennoch ist es besonders ärgerlich, wenn es sich dabei um Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt. So auch im vorliegenden Bescheid der italienischen Aufsichtsbehörde vom 27 Mai 2021 (auf italienisch abrufbar), in dem die italienische Behörde ein Bußgeld in Höhe von 120.000 EUR verhängte.
Was also ist passiert?
Ein italienisches Gesundheitsunternehmen meldete entsprechend des Art. 33 DSGVO eine Datenpanne bei der italienischen Datenschutzbehörde. In dem gemeldeten Sachverhalt wurden versehentlich in 48 Fällen Gesundheitsdaten entgegen des ausdrücklichen Willens der Patienten an deren Hausärzte übermittelt. Im Rahmen des Behandlungsprozesses gaben die Beschäftigten des Unternehmens innerhalb der verwendeten Software an, dass eine Weiterleitung der verarbeiteten Daten nicht stattfinden soll. Aufgrund eines Softwaredefekts wurde diese Eingabe jedoch nicht im System gespeichert, sodass es entgegen der Patientenangaben zu Weiterleitungen an die jeweiligen Hausärzte kam.
Besonders pikant daran ist, dass teilweise Minderjährige und mehrere Frauen, die einen Schwangerschaftsabbruch haben durchführen lassen, unter den Betroffenen waren. Die italienische Behörde bemängelte, dass aufgrund des Softwaredefekts die Prinzipien der Rechtmäßigkeit, Transparenz sowie Integrität und Vertraulichkeit verletzt wurden.
Vieles richtig gemacht und trotzdem ein hohes Bußgeld?
Empfindliche Strafen drohen insbesondere da, wo es für die Betroffenen unangenehm werden kann. Vor allem bei Gesundheitsdaten ist das schnell der Fall. Auch wenn die Verarbeitung von Gesundheitsdaten im Krankenhaus und anderen Gesundheitseinrichtungen zum Alltag gehören, handelt es sich dabei um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, welche besonders schutzbedürftig sind. Weil diese Daten teilweise von existentieller Bedeutung für die Betroffenen sind dürfen diese Daten nur unter den besonders strengen Voraussetzungen des Art. 9 DSGVO verarbeitet werden.
Wird gegen diese Schutzvorschriften vorsätzlich oder fahrlässig verstoßen, wird es oft unangenehm für die Betroffenen. Es liegt auf der Hand, dass nicht jeder ungewollt seine Behandlungs- oder Krankheitsdaten mit Dritten teilt. Teilweise gehen mit einer entsprechenden rechtswidrigen Veröffentlichung oder Weitergabe der Daten ganz erhebliche Imageverluste einher. Nimmt man als Gegenbeispiel den Bereich des Finanzwesens: Hier können betrügerisch abgeführte Gelbeträge wieder von den Kreditinstituten an den Kunden rückerstattet werden. Bei Gesundheitsdaten ist dies nicht mehr möglich. Ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich öffentlich gemacht werden, verletzt, so sind diese Daten für immer verloren.
Ein kleiner Softwarefehler…
… aber schwerwiegende Folgen für die Betroffenen.
Das Unternehmen hat mit der Behörde kooperiert und so schnell wie möglich die ungewollte Weiterleitung von Gesundheitsinformationen verhindert. Außerdem handelte es sich „lediglich“ um einen Softwarefehler. Die Mitarbeiter des Unternehmens haben prinzipiell nichts falsch gemacht. Wie also kam es zu dem Bußgeld in Höhe von 120.000 EUR?
Diesbezüglich muss an einer anderen Stelle angesetzt werden. Der Fehler liegt nicht erst in der Weitergabe an sich, sondern bereits in der fehlerfreien Nutzung der Software. Insbesondere, wenn Gesundheitsdaten im Spiel sind, ist besondere Vorsicht geboten. Entsprechend muss eine Software vorab auf Herz und Nieren geprüft werden. In einem Testlauf der Software hätte erkannt werden können, dass ein Softwarefehler vorliegt, der zu der rechtswidrigen Weiterleitung von Gesundheitsdaten führt.
Gerade im Gesundheitsbereich gilt es hier besonders die drei wesentlichen Schutzziele der IT-Sicherheit nicht aus den Augen zu lassen: Vertraulichkeit, Integrität und Verfügbarkeit. Welche Punkte aus datenschutzrechtlicher Sicht außerdem bei der Einführung oder Entwicklung von Software zu berücksichtigen sind, erklären wir in einem weiteren Beitrag.
Bußgelder – und sonst?
Gerade bei der Verarbeitung von Gesundheitsdaten bestehen noch andere Gefahren. Im Gesundheitsbereich spielt auch immer die Verschwiegenheitspflicht eine Rolle. Darunter versteht man die rechtliche Verpflichtung bestimmter Berufsgruppen, die ihnen anvertraute Geheimnisse nicht unbefugt an Dritte weiterzugeben. Ein Verstoß gegen diese Pflicht kann in Einzelfällen sogar zu einer Strafbarkeit nach § 203 StGB führen. Daher empfiehlt es sich besonders im Gesundheitsbereich besondere Vorsicht walten zu lassen und entsprechende Vorkehrungen zu treffen.
Gesundheitsdaten gilt es zu schützen!
Der Fall zeigt, wie wichtig es ist, insbesondere bei Gesundheitsdaten einmal mehr genau hinzuschauen. Der Teufel steckt wie so oft im Detail. Hier wurde vieles richtig gemacht und trotzdem konnte ein Bußgeld nicht vermieden werden. In dem vorliegenden Fall hätte ein Rechtsverstoß nur verhindert werden können, wenn die eingesetzte Software vorab im Rahmen von Testläufen überprüft worden wäre. Testläufe und intensive Prüfungen empfehlen sich vor allem dann, wenn es sich wie vorliegend um besonders empfindliche Daten handelt.
Eine Risikoanalyse empfiehlt sich regelmäßig bei Verarbeitungstätigkeiten im Gesundheitsbereich. Bei besonders sensiblen Daten oder großen Datenmengen in diesem Bereich ist es oftmals auch notwendig eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen.
Hallo Dr. Datenschutz!
Ich verfolge gerne eure Beiträge und warte schon länger gespannt auf einen Artikel oder Podcast zum Thema europäischer Gesundheitsdatenraum. Vielleicht gibt mein Kommentar einen Anstoß dazu. ;)
Vielen Dank für den Hinweis und den thematischen Impuls! „Gesundheitsdatenschutz“ hat es bisher noch nicht in Podcast geschafft, aber wir nehmen das gern mit auf und verfolgen die aktuellen Entwicklungen.