Erst kürzlich hat das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein seinen Tätigkeitsbericht für 2020 vorgelegt. Darin beschäftigt sich Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, neben dem Schwerpunk „Corona-Pandemie“ mit zahlreichen praxisrelevanten Themen von der Prüfung einer Gesundheitseinrichtung bis hin zu datenschutzrechtlichen Anforderungen an Online-Terminvereinbarungen.
Prüfung einer Gesundheitseinrichtung – mit gravierenden Mängeln
Das ULD bekam im Rahmen der Datenschutzprüfung eines Klinikums Kenntnis von gravierenden datenschutzrechtlichen Mängeln in Hinblick auf die Umsetzung der technisch-organisatorischen Maßnahmen (Art. 32 DSGVO). Die Prüfung erstreckte sich stichprobenartig u.a. auf die folgende Bereiche:
- Organisationsstrukturen, Zuständigkeiten und Verantwortlichkeiten des Klinikums
- Funktion des Datenschutz-Management-Systems (DSMS)
- Einhaltung von anerkannten und empfohlenen Standards zum Schutz der Patientendaten
- Sicherheit der IT-Systeme
- Datensicherung und -löschung
- Dokumentation und Nachweise zur Einhaltung der Datenschutzvorschriften
Der Prüfbericht identifizierte folgende Mängel (exemplarisch):
- DSMS ist nicht ausreichend integriert; Pflichten werden nicht überwacht/befolgt
- zu weitreichende Zugriffsrechte auf Patientendaten; unkontrollierter Zugriff auf gesamten Datenbestand, fehlende Protokollierung und Nachvollziehbarkeit (keine Berechtigungskonzepte)
- Archivräume nicht ordnungsgemäß geführt
- Dienstleister konnten teils uneingeschränkt auf Patientendaten zugreifen, Verträge zur Auftragsverarbeitung für zahlreiche Dienstleister – trotz Pflicht – nicht vorhanden.
- Einsatz veralteter Betriebssysteme – Stand der Technik blieb unbeachtet (Art. 32 DSGVO)
- keine Datenschutz-Folgenabschätzung (DSFA) für entsprechend risikoreiche Verarbeitungen (Art. 35 DSGVO) durchgeführt
Da derartige Mängel – gerade im sensiblen Gesundheitsbereich – gravierende Folgen für Betroffene nach sich ziehen können, ist es erstaunlich, dass das ULD hier offensichtlich keine bußgeldrechtlichen Sanktionen vorgesehen hat. Es setzt stattdessen wohl ausschließlich auf „Aufklärung“ (siehe S. 51 ff. des ULD-Tätigkeitsberichts).