Donnerstag, 25. Oktober 2018

5 Monate EU-DSGVO - Datenschutz-Behörde verhängt erstes hohes Bußgeld

Vor 5 Monaten hat die EU-Datenschutzgrundverordnung (EU-DSGVO) das bisherige Bundesdatenschutzgesetz (BDSG) ersetzt. Besondere Aufmerksamkeit bei den Geschäftsführern europäischer Unternehmen erlangte das neue Gesetz durch drastische Bußgeld-Androhungen mit bis zu 20 Mio. EUR bzw. 4% des weltweiten Konzernumsatzes.


Unsere Datenschutz-Beratungsgespräche zeigen: Mittlerweile hat sich die Aufregung um die EU-DSGVO etwas gelegt. Und mancher Geschäftsführer wiegt sich schon wieder in Sicherheit, weil bisher wenig von tatsächlich auferlegten hohen Strafen berichtet wurde. Doch pünktlich zum 5-Monatigen Jubiläum berichtet die Presse nun von einer ersten richtig hohen Bußgeldforderung.


EU-DSGVO_Datenschutz-Behörde_verhaengt_hohes_Bußgeld
EU-DSGVO - Datenschutz-Behörde verhängt 400.000 EUR Bußgeld



400.000 EUR Bußgeld für Krankenhaus in Portugal


Die Nachrichtenseite Heise berichtete vorgestern unter Berufung auf die portugiesische Zeitung Público , dass die zuständige Datenschutz-Aufsichtsbehörde CNPD die erste empfindlich hohe Geldstrafe wegen eines Verstoßes gegen die EU-DSGVO verhängt hat.

Ein Krankenhaus in Portugal soll ein Bußgeld in Höhe von 400.000 EUR zahlen, nachdem es gegen die Datenschutz-Anorderungen der Zugriffskontrolle verstoßen hat.

Wozu brauchen 300 Ärzte 900 Profile mit Vollzugriff


Anscheinend war das Berechtigungskonzept des Krankenhauses nicht dazu geeignet, dss sogenannte "Need-to-know-Prinzip" pflichtgemäß einzuhalten. Durch die Ermöglichung der Einrichtung von zusätzlichen Arzt-Profilen wurde so IT-Technikern "bewußt" der Einblick in Patientenakten mit Gesundheitsdaten  gewährt. Normalerweise dürften diese Daten aber ausschließlich den behandelnden Ärzten zugänglich gemacht werden.

Die Rede ist von etwa 900 angelegten Arztprofilen in einem Krankenhaus, in dem aktuell nur etwa 300 Ärzte arbeiten - nach Adam Riese also 600 zusätzliche Profile mit unbeschränkten Zugriffsrechten.

Das Krankenhaus hat mittlerweile Berufung gegen das Bußgeld eingereicht. Es handle sich lediglich um temporär eingerichtete Profile, die aufgrund eines Dienstleistungsvertrages eingerichtet wurden. Wir beobachten den Fall und melden weitere Erkenntnisse.

Inwiefern hat dieses Bußgeld aus Portugal Bedeutung für deutsche Unternehmen?


Anders als das frühere BDSG gilt die EU-DSGVO für alle europäischen Unternehmen bis auf die länderspezifische Ausgestaltung der Öffnungklauseln gleich. Das neue Datenschutzgesetz verlangt von den zuständigen Aufsichtsbehörden, dass "abschreckende" Bußgelder verhängt werden, wenn sich die Verantwortlichen nicht an die neuen Datenschutz-Vorschriften halten.

In unserer täglichen Datenschutz-Beratungspraxis bei mittelständischen bis großen deutschen Unternehmen stellen wir viele Schwachstellen in Bezug auf Datenschutz & Informationssicherheit fest. Gerade durchdachte schriftlich ausgearbeitete Berechtigungskonzepte sind hier oft Mangelware. Auch Vergabe und Entzug von Berechtigungen sind nur in den seltensten Fällen ordnungsgemäß geregelt.

Wenn unser Datenschutz-Team die aktuelle Berechtigungsstruktur in Unternehmen ausliest, stellen wir nich selten fest, dass z.B. Azubis sich im Laufe Ihrer Ausbildung über verschiedene Abteilungen im Unternehmen alle möglichen Zugriffsrechte bis hin zu Personal und Geschäftsführung gesammelt haben. Grund hierfür ist häufig eine eher spontane Berechtigungsvergabe auf Zuruf und die simple Begrenzung auf "Plus". Auf eine  Überprüfung der Erforderlichkeit der aktuellen Berechtigungen und ggf. eine Anpassung wird nicht selten verzichtet.

Auch in deutschen Unternehmen haben also schnell Unberechtigte Zugriff zu besonders schützenswerten Personaldaten. Und den Verantwortlichen ist diese Situation bewußt oder zumindest egal.

Warten Sie also nicht, bis die zuständige Datenschutzbehörde Ihr Unternehmen ins Visier nimmt und dann entscheidet, welche Bußgeldhöhe sie als abschreckend genug einstuft, um Ihres und andere mittelständische Unternehmen dazu zu bringen, die Berechtigungskonzepte zu er- oder überarbeiten.
Wir unterstützen Sie gerne dabei!


Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.