Die europäische Datenschutz-Grundverordnung (DSGVO) erlebt zurzeit ihren zweiten Frühling – im wahrsten Sinne des Wortes: Im vergangenen Mai, am 25.05.2018, ist sie in Kraft getreten. Schon damals haben wir Sie hier im Relias-Blog darüber informiert, was sich für Pflegeheime und Pflegedienste ändert – und was gleich bleibt.

Einige Dinge waren damals auch in Expertenkreisen noch unklar. Das vergangene Jahr hat hier neue Erkenntnisse gebracht, oder zumindest einen gewissen Konsens unter Fachleuten. Außerdem, wie wir im alten Blogbeitrag schon vermuteten, hat die DSGVO in der Zwischenzeit auch die Gerichte beschäftigt, die allein durch ihre Entscheidungen schon mehr Klarheit in der Auslegung der DSGVO geschaffen haben.

Wie sieht es in Ihrer Einrichtung aus? Haben Sie die Einführung der DSGVO zum Anlass genommen, Ihre Strukturen und Prozesse im Bereich Datenschutz neu unter die Lupe zu nehmen?

Im folgenden Beitrag werden wir einige Fragen beantworten, die nach einem Jahr DSGVO immer noch häufig gestellt werden.

Bußgelder: auch im Gesundheitswesen

Diese Befürchtung hat wohl jeden schon einmal umgetrieben, der sich mit der DSGVO befasst hat: Könnte auch meiner Einrichtung eines der berüchtigten hohen Bußgelder aufgebrummt werden – von immerhin bis zu 20 Millionen Euro oder 4% des Jahresumsatzes?

Nach einem Jahr zeigt sich: Ja, Bußgelder wurden auch im Gesundheitswesen verhängt – nicht in Millionen-, aber doch in schmerzhafter Höhe. Insgesamt beträgt die Gesamthöhe der DSGVO-Bußgelder, die in den vergangenen 12 Monaten in allen Branchen und allen EU-Ländern verhängt wurden, knapp 56 Millionen Euro, davon 483.500 EUR in Deutschland.

Die Mehrheit – zwei Drittel – aller Fälle von DSGVO-Verstößen wurden aufgrund von Anzeigen von Einzelpersonen bekannt. An zweiter Stelle stehen Meldungen, die von Verantwortlichen in Unternehmen und Organisationen entsprechend ihrer gesetzlichen Verpflichtung an die Aufsichtsbehörden gemacht wurden, wenn ein Datenleck bekannt wurde.

Die Seite EnforcementTracker, auf der Berichte über DSGVO-Zwischenfälle gesammelt werden, berichtet einen Zwischenfall im Jahr 2019 in Baden-Württemberg: Hier wurden Gesundheitsdaten versehentlich im Netz veröffentlicht. Fällig wurde dafür ein Bußgeld von 80.000 EUR. Welche Organisation betroffen war, darüber schweigen die Behörden.

Falsche KIS-Profile kosteten 400.000 EUR

Ein Blick über die Landesgrenzen: Noch wesentlich höher fiel das Bußgeld für ein Krankenhaus in Portugal aus, in dem falsche oder veraltete Nutzerprofile den unerlaubten Zugriff auf Patientendaten ermöglichten. Das Krankenhausinformationssystem (KIS) verfügte über 985 ärztliche Nutzerprofile, während das Krankenhaus tatsächlich nur 296 Ärzte beschäftigte. Hierfür wurde ein hohes Bußgeld von 400.000 EUR fällig.

Billiger hingegen kam ein Krankenhaus auf Zypern weg: Hier wurden 5.000 EUR fällig, weil der zuständige Mitarbeiter der Aufforderung eines Patienten nicht nachkam, ihm eine Kopie seiner Patientenakte auszuhändigen.

Fehlermöglichkeiten im Alltag

Ein konkreter Fall, bei denen eine Pflegeeinrichtung mit einem Bußgeld nach DSGVO belegt wurde, ist nicht bekannt. Aber die deutschen Behörden sind sparsam mit Informationen zu Datenschutz-Zwischenfällen – gewissermaßen selbst "daten-sparsam". So ist bei mehreren Verstößen nicht bekannt, in welcher Branche sie stattgefunden haben. In Hamburg wurde beispielsweise ein Unternehmen mit einem Bußgeld von 20.000 EUR belegt, weil es eine Datenschutzverletzung zu spät an die Behörden und die Betroffenen gemeldet hat.

Ein weiteres Beispiel, das ohne weiteres aus einem kleinen Unternehmen stammen könnte (in diesem Fall war es jedoch eine Privatperson): Jemand aus Sachsen-Anhalt, der wiederholt E-Mails an über 100 Empfänger geschickt hatte, in denen alle Empfänger-Adressen im Header der E-Mail sichtbar waren (d.h. im Feld „Empfänger“ oder „CC“), musste dafür 2.000 EUR zahlen.

Datenschutzbeauftragte und Datenschutz-Folgenabschätzung

Was müssen Pflegeheime und Pflegedienste also beachten, um sich DSGVO-konform zu verhalten?

Einrichtungen, in denen „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“, müssen einen Datenschutzbeauftragten benennen. Im Klartext sind das Einrichtungen mit mindestens 10 Mitarbeitern, die am Computer mit Patienten- oder Bewohnerdaten arbeiten.

Ein Datenschutzbeauftragter (DSB) kann ein fest angestellter Mitarbeiter oder ein externer Vertragspartner sein. Wenn Sie einen internen DSB bestellen, wählen Sie diesen sorgfältig aus: Aktuellen internen Datenschutzbeauftragten kann nämlich nicht gekündigt werden, außer aus schwerwiegenden Gründen, die eine fristlose Kündigung rechtfertigen. Und auch nach Ende der Bestellung als DSB besteht noch für ein Jahr Kündigungsschutz.

Der DSB ist auch für die Durchführung der Datenschutz-Folgenabschätzung zuständig – hierzu lesen Sie mehr in unserem vorherigen Blogbeitrag zur DSGVO für Pflegeheime und Pflegedienste.

Voraussetzungen eines internen DSB

Vorteile der Bestellung von internen DSB sind, dass diese sich im Unternehmen auskennen und das Vertrauen von Kollegen und Kunden haben. Zudem können Sie bei langjährigen Mitarbeitern gut beurteilen, ob diese die vom Gesetz geforderte „persönliche Zuverlässigkeit“ besitzen.

Sie müssen allerdings darauf achten, dass die neue Tätigkeit als DSB nicht in Konflikt mit anderen Tätigkeiten des Mitarbeitenden steht, er oder sie sich also selbst kontrollieren müsste. Notfalls muss er / sie von bisherigen Tätigkeiten freigestellt werden und ein neues Aufgabengebiet zugewiesen bekommen.

Zweite Voraussetzung für die Bestellung zum DSB, neben der persönlichen Zuverlässigkeit, ist die Fachkunde. Diese gilt zum Beispiel als gegeben, wenn der DSB lange berufliche Erfahrung im Datenschutz hat, was aber bei Mitarbeitenden im Gesundheitswesen wohl eher selten der Fall ist. In der Regel sollten zukünftige interne DSB daher durch eine Fortbildung auf ihre Tätigkeit vorbereitet werden.

Was gilt für Einrichtungen mit weniger als 10 Mitarbeitern?

Wenn Ihr Pflegeheim oder ambulanter Pflegedienst nicht dazu verpflichtet ist, einen DSB zu bestellen, sind Sie dann in Sachen DSGVO aus dem Schneider?

Leider nein. Im Gegenteil: Als Inhaber*in oder Geschäftsführer*in sind Sie in diesem Fall letztendlich für den gesamten Umgang mit personenbezogenen Daten in der Organisation verantwortlich. Sie müssen sicherstellen, dass ein Verfahrensverzeichnis geführt wird und dass auf Anfragen von Betroffenen – etwa zur Auskunft, Löschung oder Berichtigung von Daten – zeitnah reagiert wird, und Sie müssen bei einer Datenpanne beurteilen, ob die Meldung an die Aufsichtsbehörden notwendig ist, und diese – wenn ja – innerhalb von 72 Stunden abgeben.

Auch in kleinen Organisationen sollten Sie oder ein Mitarbeiter Ihres Vertrauens sich in Sachen Datenschutz weiterbilden , um nicht das Risiko eines signifikanten Bußgeldes einzugehen – und natürlich, um das Vertrauen von Patienten, Bewohnern, Kunden und Angehörigen in Ihre Organisation weiterhin zu erhalten.


Relias Learning bietet Datenschutz-Kurse im Rahmen der Pflichtfortbildungen an. Diese sind speziell auf Angehörige unterschiedlicher Gesundheitsberufe zugeschnitten sind und berücksichtigen auch die abweichenden Regelungen in evangelischen und katholischen Einrichtungen.


Bildnachweis: Jan Engel - stock.adobe.com