In Sachen Datenschutz gab es nun einen der ersten „Schüsse“ durch eine Aufsichtsbehörde und sogleich einen „Treffer“.

In Portugal ist die erste Geldbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) verhängt worden. Wie die portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) vor kurzem bekannt gab, muss das Krankenhaus Barreiro Montijo eine Geldbuße von 400.000 Euro für Datenschutzverstöße zahlen. Im Wesentlichen wird das Krankenhaus dafür bestraft, dass zu viele Personen Zugriff auf Patientendaten hatten. Gegen die Entscheidung der Behörde wird das Krankenhaus nun jedoch gerichtlich vorgehen.

Das Krankenhaus Barreiro Montijo hatte über sein System mindestens neun Personen, die keine medizinischen Fachkräfte sind, Zugang zu den klinischen Daten der Patienten gewährt. Darüber hinaus stellte die CNPD fest, dass 985 Benutzer mit einer Zugangsrolle für Ärzte registriert waren, während im Krankenhaus nur 296 Ärzte tätig waren. Zudem wurden die Patientendaten im Krankenhaus Barreiro Montijo nicht ordnungsgemäß von den Archivdaten eines anderen Krankenhauses getrennt und die jeweiligen Mechanismen für die Zugriffsauthentifizierung waren vollkommen unzureichend.

Das Bußgeld wurde nach einer Inspektion der Aufsichtsbehörde im Krankenhaus verhängt, nachdem diese von der Ärztekammer auf die Missstände aufmerksam gemacht worden war. Die CNPS vertrat hierbei die Auffassung, dass die Grundsätze der Integrität und Vertraulichkeit, der Datenminimierung betreffend die Beschränkung des Zugangs zu klinischen Daten der Patienten und die Unfähigkeit des für die Verarbeitung Verantwortlichen, die Vertraulichkeit und Integrität der Daten im System (Datensicherheit) zu gewährleisten, verletzt wurden. Die ersten beiden Verstöße wurden mit jeweils 150.000 Euro geahndet, während der Dritte zu einer Erhöhung um 100.000 Euro führte.

Im Weiteren ist nun die etwaige Entscheidung des zuständigen Gerichts in dieser Sache abzuwarten.