Die schwedische Aufsichtsbehörde (Datainspektionen) verhängte eine Geldstrafe im Gegenwert von EUR 11.000,-- gegen eine Gesundheitsbehörde wegen der (irrtümlichen) Veröffentlichung von Gesundheitsdaten auf einer Website.

Eine Gesundheitsbehörde (Health & Medical Center) in der Region Örebro County veröffentlichte im Zeitraum von September 2019 bis Jänner 2020 auf der Website sensible personenbezogene Daten über einen Patienten, der in eine forensische psychiatrische Klinik eingewiesen wurde.

Die Daten umfassten die Identitätsinformationen (einschließlich persönliche Identifikationsnummer), Kontaktdaten, Informationen zur forensische psychiatrische Klinik und Informationen, zu einer Urinprobeabnahme bei der betroffenen Person.

Die schwedische Datenschutzbehörde erhielt zu diesem Sachverhalt eine Beschwerde.

Die Aufsichtsbehörde kam zum Schluss, dass diese Veröffentlichung zu Unrecht erfolgte und hat am 11.05.2020 (DI 2020-1539) eine Entscheidung gefällt.

Die Prüfung der schwedischen Datenschutzbehörde zeigte, dass es keine schriftlichen Anweisungen bezüglich der Veröffentlichung von Dokumenten und persönlichen Daten auf der Website gab; Anweisungen zur Veröffentlichung von Informationen werden stattdessen mündlich mitgeteilt.

Durch menschliches Versagen kam es dazu, dass die gesundheitsbezogenen Daten der betroffenen Person im Internet veröffentlicht und für die Öffentlichkeit zugänglich waren.

Im konkreten wurden die (mündlich erteilten) Anweisungen nicht befolgt, was zu einer versehentlichen Veröffentlichung des Dokuments führte, was darauf hindeutet, dass der Verantwortliche keine ausreichenden organisatorischen Maßnahmen ergriffen hat, um sicherzustellen, dass persönliche Daten vor einer unrechtmäßigen Veröffentlichung auf der Website der Region geschützt werden.

Die Aufsichtsbehörde hat den Verantwortlichen angewiesen, schriftliche Anweisungen zu Veröffentlichungen auf Websiten zu erstellen und Maßnahmen einzuführen, die sicherstellen, dass diejenigen Personen, die persönliche Daten auf der Website der Region veröffentlichen, dies in Übereinstimmung mit den festgelegten Anweisungen tun.

Die Veröffentlichung beruhte weder auf einem legitimen Zweck noch auf einer rechtlichen Grundlage.

Die Aufsichtsbehörde hat entschieden, dass die Verarbeitung in Einklang mit den Vorschriften der DSGVO zu bringen ist, und hat überdies eine Geldstrafe von 120 000 schwedischen Kronen (ca. 11 000 Euro) verhängt.

24.05.2020, Autor:

Michael Schweiger, zert. DSBA