80.000 Euro Geldbuße wegen Veröffentlichung von Gesundheitsdaten
Besonders auffällig sind Fälle aus Baden-Württemberg. Die dortige zuständige Aufsichtsbehörde ist für beide in Deutschland verhängten Bußgelder verantwortlich. Während im ersten Fall „nur“ ein Bußgeld von 20.000 Euro gegen die Social-Media-Plattform „knuddels.de“ verhängt wurde, beträgt das in dem nun bekannt gewordenen Fall festgesetzte Bußgeld 80.000 Euro. Viel ist über den Fall leider nicht bekannt. Dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) erklärte lediglich, dass in dem nun sanktionierten Fall Gesundheitsdaten versehentlich im Internet abrufbar waren.
Datenschutzverstoß kann teuer werden
Dass ein Datenschutzverstoß auch richtig teuer werden kann, zeigt ein Fall aus Portugal. Die portugiesischen Behörden verhängten ein Bußgeld nach der DSGVO von fast einer halben Million Euro. Der sanktionierte Datenschutzverstoß betraf eine Klinik in Lissabon. Bemängelt wurde, dass zu viele Personen Zugriff auf Patienten- und Gesundheitsdaten gehabt hätten. Die Klinik kündigte an, gegen das Bußgeld gerichtlich vorgehen zu wollen. Insofern erwartet uns in den nächsten Monaten möglicherweise eine erste gerichtliche Entscheidung zur Höhe von DSGVO-Bußgeldern.
Unternehmen aus dem Gesundheitsbereich besonders betroffen
Es ist kein Zufall, dass die nun bekannt gewordenen Fälle Unternehmen aus dem Gesundheitsbereich treffen. Hier legen die Datenschutzbehörden ein besonderes Augenmerk auf die Einhaltung der datenschutzrechtlichen Vorschriften, da Ärzte, Kliniken und Gesundheitsunternehmen ständig mit besonders sensiblen Daten umgehen. Die Datenschutzgrundverordnung schützt Gesundheitsdaten deshalb auch besonders, indem diese als „besondere Kategorien personenbezogener Daten“ eingestuft werden (Art. 9 Abs. 1 DSGVO). Dies führt dazu, dass diese Daten nur im Ausnahmefall und mit ausdrücklicher Einwilligung des Betroffenen verarbeitet werden dürfen. Zu den nach Art. 9 Abs. 1 DSGVO besonders geschützten Daten gehören neben den Gesundheitsdaten außerdem
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten
- Daten zum Sexualleben oder der sexuellen Orientierung
Unternehmen müssen mit verstärkten Kontrollen und Sanktionen rechnen
Viele Experten und Anwälte befürchteten im Laufe des Jahres 2018 eine vermehrte Anzahl von wettbewerbsrechtlichen Abmahnungen wegen Datenschutzverstößen. Dies hat sich bislang nicht bewahrheitet. Wir gehen aber davon aus, dass Abmahnungen von Konkurrenten sowie Gerichtsverfahren zukünftig vermehrt ausgesprochen und im Fokus der Öffentlichkeit stehen werden.
Auch wenn Behörden auch in Zukunft wohl nicht alle Datenschutzverstöße mit Bußgeldern ahnden werden, sollten vor allem Unternehmen, die mit besonders sensiblen Daten umgehen, mit stärkeren Kontrollen und der strengeren Sanktionierung von Verstößen rechnen. Dies ist auch nachvollziehbar, da vor allem Unternehmen mit sehr vielen Datenverarbeitungen und Unternehmen, die mit sensiblen Daten arbeiten, im besonderen Fokus des europäischen Gesetzgebers bei der Einführung der Datenschutzgrundverordnung standen.
Prüfung der DSGVO unvermeidlich
In jedem Fall wird die Kontrolldichte durch die Datenschützer steigen. Den „Kopf in den Sand“ zu stecken ist daher keine gute Alternative. Gerade Unternehmen im Gesundheitsbereich und Unternehmen mit einer Vielzahl von Datenverarbeitungen sollten nicht abwarten, sondern initiativ den Datenschutz im Unternehmen prüfen und bislang vielleicht versäumte Umsetzungsmaßnahmen zeitnah mit professioneller rechtlicher Beratung angehen. So kann eine Haftung wegen Datenschutzverstößen, die auch Geschäftsführer und Vorstände treffen kann, möglicherweise noch abgewendet werden.