Die 5 grössten Datenschutz-Fehltritte
Pfusch mit Patientendaten, Passwörtern und Verträgen
3. Sensible Patientendaten in den Händen falscher Ärzte
Die portugiesische Datenschutzbehörde CNPD verhängt im Oktober 2018 die erste erhebliche Geldstrafe in Europa wegen eines Verstosses gegen die DSGVO. Das Krankenhaus Barreiro Montijo bei Lissabon musste demnach insgesamt 400.000 Euro zahlen.
Als Grund nannten die Datenschützer unter anderem, dass zu viele Menschen unberechtigten Zugang zu vertraulichen Patientendaten hatten. Der Krankenhausbetreiber habe dabei internen IT-Technikern "bewusst" und in voller Absicht Zugang zu Daten gewährt, die ausschliesslich Ärzten zugänglich sein sollten. Darüber hinaus wurden insgesamt 985 aktive Nutzer als "Ärzte" im System registriert, obwohl 2018 nur 296 Ärzte im Krankenhaus arbeiteten. Dies begründete das Krankenhaus damit, dass im Rahmen eines Dienstleistungsvertrages temporäre Profile erstellt wurden, die die abweichenden Zahlen erklären würden.
4. Nicht zum Kuscheln aufgelegt – Deutschlands erste DSGVO-Sanktion
Deutschland verhängte seine erste Geldbusse wegen Verletzung der DSGVO im November 2018. Die Social- und Dating-Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern.
Die Datenschutzbehörde von Baden-Württemberg stellte fest, dass die Webseite die Passwörter im Klartext gespeichert hatte, was gegen die Richtlinie der DSGVO zur "Pseudonymisierung und Verschlüsselung personenbezogener Daten" verstosse.
Aufgrund der Schnelligkeit bei der Meldung der Verletzung wies die Behörde jedoch gegenüber Knuddels eine deutliche Nachsicht auf. Darüber hinaus reagierte die Website prompt und informierte die betroffenen Nutzer postwendend. Die Geldbusse von 20.000 Euro fiel daher vergleichsweise gering aus.
5. Fragen kostet nichts? Das gilt nicht bei der DSGVO
Im Mai 2018 bat das kleine Versandunternehmen Kolibri Image den Beauftragten für Datenschutz des deutschen Bundeslandes Hessen um Rat. Das Unternehmen hatte einen seiner Dienstleister mehrmals um einen Vertrag zur Auftragsabwicklung gebeten, diesen aber nicht erhalten.
Kolibri Image wollte sich bei der hessischen Datenschutzbehörde informieren, wie es weitergehen solle. Diese antwortete, dass beide Seiten verpflichtet seien, einen solchen Vertrag abzuschliessen. Nicht nur der Dienstleister, sondern auch der Auftraggeber sei hier aus datenschutzrechtlichen Gründen in der Verantwortung.Das Unternehmen sei dabei verpflichtet, selbst eine entsprechende Vereinbarung zu verfassen und an den Dienstleister zur Unterschrift zu schicken. Entsprechende Vorlagen sind auf der Seite der Verwaltung zu finden.
Am 17. Dezember 2018 verhängte der Staatskommissar eine Geldbusse von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete die Entscheidung gegenüber Kolibri Image mit einem Verstoss gegen Art. 83 (4) DSGVO. Der Grundsatz "Fragen stellen kostet nichts" galt hier nicht.