DSGVO-Bußgelder im Sektor Life Sciences und Gesundheitswesen
Wertvolle Erkenntnisse aus relevanten Fällen zur Durchsetzung des Datenschutzes und Erkenntnisse für den Sektor Life Sciences und Gesundheitswesen
Bislang haben Datenschutzbehörden aus 27 verschiedenen Ländern 237 Bußgelder (+35 im Vergleich zum ETR 2024) in Höhe von insgesamt ca. EUR 22,8 Millionen (+EUR 6,3 Millionen im Vergleich zum ETR 2024) wegen Datenschutzverletzungen durch Krankenhäuser, Apotheken, Ärzte und Arzneimittellieferanten verhängt. Die Zahl der im Jahr 2024 neu hinzugekommenen Bußgelder im Gesundheitswesen ist um 17% niedriger als im vorherigen Berichtszeitraum. Das bedeutet, dass sich der starke zahlen- und betragsmäßige Zuwachs der Bußgelder deutlich abschwächt, wie es sich bereits in den letzten beiden Jahren abzeichnete.
Der häufigste Grund für Bußgelder war das Fehlen ausreichender technischer und organisatorischer Maßnahmen (TOMs) (insgesamt 83 Bußgelder (+12 im Vergleich zum ETR 2024) mit einem Gesamtvolumen von EUR 16,3 Millionen). Mit durchschnittlich EUR 203.423 pro Bußgeld sind die auf TOMs gestützten Bußgelder im Jahr 2024 exorbitant höher als im Vorjahr (EUR 17.500). Im Gegensatz zum Vorjahr, in dem keine außergewöhnlich hohen Bußgelder verhängt wurden und das höchste Bußgeld EUR 81.000 betrug, wurde 2024 ein siebenstelliges Bußgeld in Höhe von EUR 3,2 Millionen verhängt.
Was die Länder betrifft, aus denen die Bußgelder stammen, liegt Italien mit 87 im Jahr 2024 erneut an der Spitze. Die nächstplatzierten Länder sind Deutschland mit 25 und Spanien mit 23 Bußgeldern.
Schauen wir uns das genauer an
- Der größte Fall im Gesundheitswesen im Jahr 2024 stammt aus Schweden mit einem Bußgeld von EUR 3,2 Millionen (ETid-2449). Der Verantwortliche, eine Apotheke, hatte auf der Website sogenannte Meta-Pixel verwendet, die aufgrund falscher Einstellungen dazu führten, dass personenbezogene Kundendaten an Meta übermittelt wurden. Der Verantwortliche hatte das Tool genutzt, um sein Marketing auf Facebook und Instagram zu verbessern, jedoch nicht beabsichtigt, die Daten zu übermitteln. Bei ihrer Untersuchung stellte die schwedische Datenschutzbehörde fest, dass der Verantwortliche es versäumt hatte, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen, um einen solchen Vorfall zu verhindern. In einem ähnlichen Fall verhängte sie gegen einen anderen Verantwortlichen wegen des gleichen Verstoßes ein Bußgeld in Höhe von EUR 698.000 (ETid-2450).
- Die französische Datenschutzbehörde (CNIL) hat gegen ein Unternehmen, das eine Verwaltungssoftware für Allgemeinmediziner in Praxen und Gesundheitszentren veröffentlicht und verkauft, ein Bußgeld in Höhe von EUR 800.000 verhängt (ETid-2542). Das Unternehmen hatte Gesundheitsdaten ohne Genehmigung und ohne ordnungsgemäße Anonymisierung zu Forschungszwecken an seine Kunden übermittelt. Die Daten wurden für die Durchführung von Studien und die Erstellung von Statistiken im Gesundheitssektor verwendet. Die Daten enthielten keine Namen oder unmittelbar identifizierende Informationen. Die Behörde stellte jedoch fest, dass die Daten nicht anonymisiert, sondern lediglich pseudonymisiert waren, da es technisch möglich war, die betroffenen Personen zu re-identifizieren.
- Cybersicherheit spielte auch 2024 weiterhin eine bedeutende Rolle. Die folgenden Fälle aus Belgien, Polen und Kroatien zeigen, wie wichtig ausreichende technische und organisatorische Maßnahmen sind.
Im ersten Fall verhängte die belgische Datenschutzbehörde (APD) ein Bußgeld in Höhe von EUR 200.000 gegen ein Krankenhaus, das durch eine Server-Schwachstelle einen Ransomware-Angriff erlitten hatte (ETid-2521). Dadurch wurden Teile seines Computersystems lahmgelegt, wovon etwa 300.000 Personen betroffen waren. Bei ihrer Untersuchung stellte die Datenschutzbehörde fest, dass das Krankenhaus es versäumt hatte, eine Datenschutz-Folgenabschätzung durchzuführen, und dass es über keine angemessene Informationssicherheitspolitik verfügte. Es hatte es auch versäumt, geeignete technische und organisatorische Maßnahmen umzusetzen, wie z. B. die Schulung der Mitarbeitenden und ein Verfahren zur Aktualisierung ihrer IT-Anlagen.
Im zweiten Fall verhängte die polnische Datenschutzbehörde (UODO) ein Bußgeld in Höhe von EUR 336.000 gegen ein Unternehmen (ETid-2428). Dieses Unternehmen wurde ebenfalls Opfer eines Ransomware-Angriffs, der zum Verlust personenbezogener Daten führte, weil es keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte und dadurch einen solchen Angriff ermöglichte.
Im dritten Fall verhängte die kroatische Datenschutzbehörde (azop) ein Bußgeld in Höhe von EUR 190.000 gegen ein Krankenhaus wegen des unwiderruflichen Verlusts von radiologischen Bilddateien (ETid-2494). Das betreffende Krankenhaus hatte es versäumt, geeignete technische Maßnahmen zur Sicherung personenbezogener Daten zu ergreifen, da keine Sicherungskopien der betroffenen Daten erstellt wurden.
- Die italienische Datenschutzbehörde (Garante) hat mehrere Bußgelder wegen Datenschutzverstößen im Zusammenhang mit der E-Mail-Kommunikation verhängt. In einem Fall verhängte die Garante ein Bußgeld in Höhe von EUR 300.000 gegen ein Unternehmen im Bereich Medizintechnik, das medizinische Geräte zur Überwachung, Vorbeugung und Behandlung verschiedener Krankheiten herstellt (ETid-2245). Der Verantwortliche hatte E-Mails an Hunderte von Personen verschickt, die seine App zur Messung des Blutzuckerspiegels nutzen. Dadurch wurden die E-Mail-Adressen für Empfänger sichtbar, was einigen Rückschlüsse auf Diabetes ermöglichte. Der Verantwortliche hat es außerdem versäumt, betroffene Personen angemessen über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
In einem anderen Fall aus Italien verhängte die Garante ein Bußgeld in Höhe von EUR 8.400 gegen ein Unternehmen, das eine E-Mail mit Informationen über medizinische Behandlungspläne an mehrere Patienten in einem offenen Verteiler verschickt hatte, so dass alle 44 Empfänger die E-Mail-Adressen der anderen sehen konnten (ETid-2408).
Wegen der versehentlichen Übermittlung von Gesundheitsdaten an den falschen Empfänger verhängte die Garante ein Bußgeld in Höhe von EUR 18.000 gegen eine Gesundheitseinrichtung (ETid-2268).
