Das Information Commissioners Office in London hat am 20.12.2019 noch eine DSGVO-Strafe verhängt. Ein Unternehmen, ein Service zur Zustellung von Medikamenten betreibt, erhielt eine Geldstrafe von umgerechnet ca. EUR 320.000
Patientendaten in unverschlossenen Behältern im Freigelände
Bei Dorstep Dispensenaree Ltd., ein Unternehmen, das Kunden und Pflegeheime mit Medikamenten versorgt, fand die Behörde rund 500.000 Dokumente in unverschlossenen Behältern im Hof des Firmengeländes in Edgware.
Die Dokumente enthielten Namen, Anschriften, Geburtsdaten, NHS-Nummern, medizinische Informationen und Rezepte einer unbekannten Anzahl von Personen.
Im Rahmen einer Untersuchung einer anderen Behörde wurde festgestellt, dass der Verantwortliche Dokumente mit Patientendaten nicht ordnungsgemäß verwahrt.
Die Unterlagen waren nicht sicher verwahrt und trugen auch keinen Aufdruck als „vertraulich“. Einige der Dokumente waren durchfeuchtet, sodass angeommen werden konnte, dass die Lagerung in dieser Art und Weise bereits längere Zeit erfolgte.
Der Verantwortliche wurde mit den Vorwürfen am 22. August 2018 konfrontiert und antwortete über den Rechtsvertreter, dass er keine Kenntnis von der Art und Weise dieser „Lagerung“ hätte.
Während des Verfahrens hat sich der Verantwortlicher trotz mehrmaliger Aufforderungen und einem „Zwischenverfahren“ nicht geäußert und erst am 1. März 2019 zu den geantwortet, jedoch keine inhaltlichen Angaben gemacht, da es durch diese zu einer Selbstbelastung gekommen wäre.
Es wurden jedoch unterschiedliche Unterlagen vorgelegt, die alle von 2015 datierten und anlässlich des Geltungsbeginnes der DSGVO nicht überarbeitet worden waren.
Der Verantwortliche argumentierte auch, dass eine Strafe nicht gegen den Verantwortlichen, sondern gegen Joogee Pharma Limited zu verhängen sei, da diese als lizensiertes Abfallwirtschaftsunternehmen für die Doorstep Dispensaree Ltd. tätig sei.
Die Aufsichtsbehörde jedoch war der Ansicht, dass Doorstep Dispensaree Ltd. als Verantwortlicher einzustufen sei, und Joogee als Auftragsverarbeiter, der nach den Weisungen des Verantwortlichen tätig sei, zu qualifizieren sei.
Die Aufsichtsbehörde kam zum Schluss, das es klar sei, dass die Daten nicht in angemessener Form verarbeitet worden seien; das Verschließen des Hofes sei nicht ausreichend, um den Zugang unberechtigter Personen zu verhindern. Es war auch möglich, dass Personen von den Wohnungen aus über die Feuerleiter in den Hof hätten gelangen können.
Art 5 Abs 1 lit f DSGVO verlangt nicht nur den Schutz vor unberechtigtem Zugriff, sondern auch Schutz vor zufälligem Verlust, Zerstörung oder Beschädigung sowie die Anwendung angemessener technischer oder organisatorischer Maßnahmen.
Die Tatsache, dass die Unterlagen mit Wasser in Kontakt kamen, zeigt, dass diese auch zufällig beschädigt und/oder zerstört hätten werden können. Die sorglose Art der Lagerung der Unterlagen schützt die Daten nicht vor zufälligem Verlust.
Die Unterlagen wurden auch – entgegen der gültigen „Data Handling Procedures“ – nicht geschreddert. Ein Vertrag mit dem Unternehmen, das der Verantwortlichen mit der Entsorgung beauftragt hatte, konnte nicht vorgelegt werden. Die Aufsichtsbehöde schloss aus der Tatsache, dass Unterlagen bis ins Jahr 2016 datierten, dass die Richtlinien zur Behandlung von Unterlagen vom Verantwortlichen nicht ausreichend implementiert wurden.
Das Alter der Daten veranlasste die Aufsichtsbehörde auch bezüglich des Löschkonzeptes beim Verantwortlichen nachzufragen, und der Verantwortliche gab bekannt, dass es dazu kein Konzept gäbe.
Hohes Risiko für die betroffenen Personen
Die Aufsichtsbehörde kam zum Schluss, dass aufgrund der Art der Daten bzw. deren Sensibilität und des Umfanges ein hohes Risiko für die betroffenen Personen gegeben war.
Es wäre leicht möglich gewesen angemessene technische und organisatorische Maßnahmen, wie zB schreddern und Aufbewarhung an einem sicheren Ort, zu setzen.
Keine Informationen für betroffene Personen
Anlässlich der Untersuchung stellte das ICO auch fest, dass der Verantwortliche die betroffenen Personen nicht nach Art 13 und Art 14 DSGVO informiert hatte.
Die DSGVO-Strafe und die Zumessungsgründe
Die Aufsichtsbehörde entschied, dass der Verstoß wiederholt und jedenfalls fahrlässig erfolgt sei. Als mildernd berücksichtigt hat das ICO, dass der Verantwortliche sich nun darum bemühte, die Vorgaben der DSGVO einzuhalten.
Die Aufsichtsbehörde entschied, dass das Verschulden im Bereich einer erhöhten Fahrlässigkeit liegt, da jeder Verantwortliche in einer vergleichbaren Branche sollte sich bewußt sein, dass die Daten besondere Aufmerksamkeit bedürfen.
Aufgrund der Tatsache, dass es sich um Art 9 Daten handelt, erschien es der Aufsichtsbehöde auch besonders wichtig, dass der Verantwortliche seinen Informationspflichten gem. Art 13 und Art 14 nachkommt.
Zur Schwere des Verstoßes hielt die Behörde fest, dass der Verantworltiche die Daten in unbekümmerter Weise unsicher verwahrt hatte.
Die große Anzahl der betroffenen Personen wurde ebenfalls ins Kalkül gezogen, da es sich um 47 Kisten, zwei Säcke und eine Schachtel mit Unterlagen gehandelt hat, wobei dies ungefähr 500.000 Dokumente waren, wobei dies ca. 78 Pflegeheime betraf.
In Bezug auf den Schaden stellte die Aufsichtsbehörde fest, dass die betroffenen Personen nicht in Kenntnis der Situation waren. Hätten die betroffenen Personen jedoch Kenntnis gehabt, dann hätte dies zu „distress“, aber wohl nicht zu finanziellen Schäden geführt.
In Bezug auf die Mitwirkung des Verantwortlichen führte die Behörde aus, dass diese als „schwach“ („poor“) anzusehen war.
Auf Basis der verfügbaren wirtschaftliche Informationen wurde eine DSGVO-Strafe von £ 275.000,-- (ca EUR 320.000) verhängt.
In der Entscheidung selbst sind keine Angaben zum Umsatz des Verantwortlichen zu finden. Es handelt sich um eine kleine Gesellschaft, die nach englischem Recht darauf optiert hat, die Gewinn- und Verlustrechnung nicht zu veröffentlichen.
Die veröffentlichte Bilanz des Jahres 2018 des Unternehmens weist ein Anlagevermögen von £ 430,662 und Umlaufvermögen von £ 1.703,231 aus.
30.12.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben