Datenschutz-Bußgeld für die Stadt Oslo

Datum: 18.12.2019

Verantwortliche Stelle: Stadt Oslo

Art des Verstoßes: Stadt Oslo erhält Bußgeld wegen falscher Verarbeitung von Patientendaten

Die norwegische Datenschutzbehörde hat der Stadt Oslo ein Datenschutz Bußgeld von 49.300 Euro erlassen, weil diese von 2007 bis 2018 Patientendaten außerhalb des elektronischen Gesundheitsakten-Systems in den Pflegeheimen / Gesundheitszentren der Stadt gespeichert hat.

„Dies ist angesichts der langen Frist und des beträchtlichen Umfangs der Verarbeitung ein schwerer Verstoß“, betonte Bjørn Erik Thon, Generaldirektor der norwegischen Datenschutzbehörde.

Der Fall begann, als die Stadt Oslo im November 2018 eine Meldung über Datenschutzverletzungen an die Datenschutzbehörde sendete. In dieser Meldung wurde berichtete, dass die ca. 30 Pflegeeinrichtungen der Stadt die Verwendung von sogenannten Arbeitsblättern praktiziert hätten. Diese Arbeitsblätter würden Informationen über die Bewohner enthalten, die deren täglichen Bedarf und ihre Pflegeroutinen beschreiben. Es wurde weiterhin außerdem personenbezogene Daten der Bewohner, wie der vollständige Namen und die nationalen Identitätsnummern, Initialen oder Zimmernummern aufgeführt.

Die Arbeitspapiere wurden elektronisch im internen Bereich des einzelnen Pflegeheims bzw. Gesundheitszentrums gespeichert, auf den alle Mitarbeiter der Einheit sowie einige Mitarbeiter des Sozialträgers Zugriff hatten. Etwa 90 Prozent der Mitarbeiter in diesen Pflegeheimen / Gesundheitszentren sind medizinisches Personal, aber die restlichen 10 Prozent – wie z.B. Mitglieder des Reinigungsdienstes oder Hausmeister – könnten sich theoretisch auch anmelden und Zugang zu diesen Informationen erhalten.

Nach Aussagen der Pflegeheimen / Gesundheitszentren wurden die Arbeitsblätter wurden angeblich kontinuierlich überschrieben, so dass diese Zeitpunkt nur Informationen über aktuelle Bewohner und keine ehemaligen Bewohner enthielten. Mitarbeiter, die über einen längeren Zeitraum in einem einzelnen Pflegeheim / Gesundheitszentrum arbeiten, hätten jedoch Zugang zu Informationen über eine große Anzahl von Bewohnern gehabt.

Bei der Berechnung der Höhe der Geldbuße betonte die Datenschutzbehörde, dass die Stadt den Verstoß von sich aus an die Datenschutzbehörde gemeldet habe und ergriff umgehend Maßnahmen zur Löschung der Daten. Darüber hinaus wurde berücksichtigt, dass die Verletzung in erster Linie vor dem Inkrafttreten der DSGVO stattfand. Nach dem alten Gesetz über personenbezogene Daten waren die Bußgelder auf ca. 100.000 Euro begrenzt. Eine Bußgeld von 49.300 Euro wurde daher in diesem speziellen Fall als angemessen erachtet.
Die Behörde kam zu dem Schluss, dass die Praxis der Speicherung identifizierbarer Patientendaten außerhalb des elektronischen Gesundheitsakten-Systems eindeutig gegen die Anforderungen an die Sicherheit und die interne Kontrolle gemäß Art. 32 der DSGVO  und den §§ 22 und 23 des Gesundheitsaktengesetzes verstößt.

Datenkategorien: Name, Vorname, Gesundheitsdaten, Ausweisnummern

Land: Norwegen, Oslo

Quelle: European Data Protection Board

Zurück zur Übersicht der Datenpannen