Datenschutzverstöße sind keine Kavaliersdelikte

29.01.2020



Ein allzu sorgloser Umgang mit personenbezogenen Daten kann zu empfindlichen Geldbußen führen.

In der Bonner Lokalpresse war am 19.01.2020 zu lesen, dass Patientenunterlagen eines dort ansässigen, niedergelassenen Arztes wiederholt in einer frei zugänglichen Papiermülltonne entsorgt worden sein sollen. Dies als wahr unterstellend – die Ermittlungen laufen noch –, dürfte es sich um einen eklatanten Verstoß nicht nur gegen datenschutz-, sondern auch gegen berufs- und strafrechtliche Bestimmungen handeln.

Der möglichen berufs- und strafrechtlichen Folgen für den niedergelassenen Arzt ungeachtet, möchten wir – nachdem zu möglichen „Höchststrafen“ schon viel geschrieben und „Panik“ verbreitet worden ist – diesen Fall zum Anlass nehmen, um auf das „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ vom 14.10.2019 (nachfolgend: Bußgeldzumessungskonzept) hinweisen, das eine realistische Einschätzung möglicher Geldbußen zulässt. In diesem Bußgeldzumessungskonzept werden fünf Schritte dargestellt, in denen die Datenschutzaufsichtsbehörden die Bußgeldzumessung im Fall eines Datenschutzverstoßes durch ein Unternehmen durchführen werden.

Diese fünf Schritte zur Zumessung eines Bußgeldes sehen zunächst (1.) eine Zuordnung des Unternehmens in eine Größenklasse, (2.) die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse, (3.) die Ermittlung des wirtschaftlichen Grundwertes und (4.) die Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor vor. Das auf diese Weise zugemessene Bußgeld kann dann (5.) aufgrund täterbezogener und sonstiger Umstände angepasst werden. Leitende Erwägung ist ausweislich des Bußgeldzumessungskonzeptes, dort Seite 2, sub Ziff. II.:

„Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder sind der Auffassung, dass in einem modernen Unternehmenssanktionsrecht mit erheblichen maximalen Bußgeldbeträgen […], der Umsatz eines Unternehmens eine geeignete, sachgerechte und faire Anknüpfung zur Sicherung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt.“

Das Konzept können Sie hier von der Seite des Bundesbeauftragen für den Datenschutz und die Informationsfreiheit herunterladen.


Auf den Bonner Beispielfall angewandt könnte sich ein Bußgeld in Höhe von mindestens 11.664,00 EUR ergeben. Dieser fiktiven Zumessung liegt die Annahme zugrunde, dass es sich (1.) um einen Kleinstbetrieb der Größenklasse A., mit (2.) einem Jahresumsatz bis 700.000,00 EUR der Untergruppe I, handelt. Der (3.) wirtschaftliche Grundwert liegt, ausgehend von einem mittleren Jahresumsatz von 350.000,00 EUR, bei 972,00 EUR. Wegen der Schwere des Verstoßes gegen materielles Datenschutzrecht ist der Grundwert (4.) mindestens mit dem Faktor 12 zu multiplizieren. Täterbezogene oder sonstige Umstände, die eine Verringerung oder Erhöhung des Bußgeldes rechtfertigen könnten, sind nicht ersichtlich.

Überträgt man die wirtschaftlichen Eckdaten eines mittleren Krankenhauses auf diesen Sachverhalt, kann ein Bußgeld leicht einen Mindestbetrag von 8.333.328,00 EUR übersteigen. Dieser fiktiven Zumessung liegt eine Einstufung des Krankenhauses in die Größenklasse/Untergruppe D.IV mit einem mittleren Jahresumsatz von 250.000.000,00 EUR und einem wirtschaftlichen Grundwert von 694.444,00 EUR zugrunde.

Freilich ist nicht jeder Verstoß gegen datenschützende Regelungen als sehr schwer mit der Folge zu werten, dass der wirtschaftliche Grundwert stets mit dem Faktor 12 oder höher multipliziert werden müsste. Im klinischen Alltag sind Verletzungen von datenschützenden Regelungen an verschiedenen Stellen und von verschiedenen Intensitäten denkbar. So mag es sein, dass ein nicht limitierter Kreis von Mitarbeitern Zugriff auf EDV-Daten der Patienten hat, die an deren Behandlung nicht beteiligt sind; eine immer noch mittelschwere Verletzung datenschützender Normen, die bei einer Multiplikation „nur“ mit einem Faktor 4 bis 8 immer noch ein Bußgeld zwischen 2.777.776 bis 5.555.552,00 EUR rechtfertigen mag.

Ohne weiteren Compliancefragen nachzugehen und nur mit Blick auf mögliche Bußgelder lohnt es sich, das Datenschutzmanagement im Krankenhaus auf seine Funktionalität und Operabilität zu überprüfen. Die ENDERA-Datenschutzexperten können Ihnen nach einem Quick-Check einen Überblick über den Status quo geben und Ihr Haus, falls erforderlich, bei der Optimierung des Datenschutzmanagements unterstützen.

 

Weitere Informationen dazu sowie Kontaktmöglichkeiten finden Sie hier.

 

Ihr Ansprechpartner

Heiner Fey
Zert. Datenschutzbeauftragter
Tel.: 02241 . 127 397 24
Fax: 02241 . 127 397 99
E-Mail: h.fey@endera-gruppe.de


NEWS

Hier finden Sie einen Überblick aktueller Mitteilungen.


„Datenschutz“ als neues Leistungsmodul der ENDERA Klinik-Partnerschaft

Pressemitteilung

mehr erfahren

Datenschutzverstöße sind keine Kavaliersdelikte

Ein allzu sorgloser Umgang mit personenbezogenen Daten kann zu empfindlichen Geldbußen führen.

 

mehr erfahren

Frohe Weihnachten

Ein Weihnachtsgruß an alle Kunden, Geschäftspartner und Freunde

mehr erfahren

Erfolgreich in die Gewinnzone - Wie eine MVZ-Sanierung gelingen kann

Die Mehrzahl der Krankenhaus-MVZs sind wirtschaftlich defizitär und belasten spürbar sowohl die Bilanzen als auch die Liquidität des...

mehr erfahren

Der virtuelle Klinikverbund - ENDERA Klinik-Partnerschaft als Lösungsansatz und Zukunftskonzept

Dies ist der Titel eines Fachbeitrags der ENDERA Klinik-Partnerschaft im kürzlich erschienenen Sammelband des Springer Verlags „Consulting im...

mehr erfahren

Mangel an Fachpersonal im Krankenhaus – warum nicht einfach teilen?

Die Idee des „Experten-Sharings“ und wie es helfen kann.

Eine einfache und nachhaltige Lösung hierfür liefert die KREX GmbH mit ihrem Konzept des...

mehr erfahren

Die Qualität des Rechnungswesens – ein Risiko für Managemententscheidungen?

Die ENDERA-GRUPPE bietet ihren Kunden vielfältige Unterstützungsangebote, um die Qualität des Rechnungswesens zu sichern. Von der punktuellen oder...

mehr erfahren

„Personalmanagement“ als neues KREX-Modul

Personal ist der größte Kostenblock im Krankenhaus und gleichzeitig ein komplexer Bereich mit vielfältigen Herausforderungen.

mehr erfahren

„Strategisches Sparring“ als neues KREX-Modul

Geschäftsführer/innen von Krankenhäusern, die keiner größeren Klinikkette oder keinem Verbund angehören mangelt es häufig an Austauschpartnern für...

mehr erfahren

Neues Mitglied in der KREX-Klinikpartnerschaft: Sophienklinik Hannover

Wir freuen uns sehr die Sophienklinik Hannover GmbH als neue Partnerklinik bei KREX begrüßen zu dürfen. Die KREX-Klinikpartnerschaft zähl nunmehr fünf...

mehr erfahren

Information für die KREX-Mitgliedshäuser: Neue Zusatzentgelte im G-DRG-System für erhöhten Pflegeaufwand bei pflegebedürftigen Patienten

Die Pflegebedürftigkeit konnte erstmalig im Datenjahr 2016 für die verschiedenen Pflegestufen (§§ 14, 15 SGB XI) kodiert werden.

mehr erfahren

KREX Klinikpartnerschaft wächst weiter: Orthopädische Universitätsklinik Friedrichsheim

Wir freuen uns sehr die Orthopädische Universitätsklinik Friedrichsheim gGmbH als Partnerklinik bei KREX begrüßen zu dürfen.

mehr erfahren

Neue Partnerklinik bei KREX: Kreiskrankenhaus Saarburg

Wir begrüßen ganz herzlich das Kreiskrankenhaus St. Franziskus Saarburg als neues Mitglied.

mehr erfahren

Praxisbeispiel aus unserer Partnerklinik: Investitionsfinanzierung

Das Rheumazentrum Mittelhessen GmbH & Co. KG (RZMH) ist eine inhabergeführte Privatklinik und vereint …

mehr erfahren

Verhandlungsposition stärken

Egal ob Fusion oder Privatisierung: Dank der wirtschaftlichen Verbesserung stehen unserem Krankenhaus jetzt mehr Optionen offen.

mehr erfahren