Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist gegen einen Zahnarzt vorgegangen, der Patientenakten frei zugänglich in einem Kellergang eines Wohn- und Geschäftshauses gelagert hatte. Die Behörde wurde tätig, nachdem der Zahnarzt auch nach Aufforderung der Polizei nicht handelte.
Patientenakten unzureichend geschützt
Die Akten mit sensiblen Daten waren in unverschlossenen Metallschränken gelagert, die frei zugänglich waren. Aus einer Pressemitteilung des BayLDA geht hervor, dass die Behörde die lokale Polizei bat, für Abhilfe zu sorgen, nachdem es über den Vorfall informiert wurde. Nach einem erneuten Hinweis, dass der Zahnarzt der polizeilichen Aufforderung nicht nachgekommen war, führte die Behörde eine unangekündigte Vor-Ort-Kontrolle durch, nach der der Zahnarzt der behördlichen Anordnung nachkam.
Mit der neuen Datenschutz-Grundverordnung werden die Behörden verstärkt dazu angehalten, stärker auf die Sanktion mittels Bußgeld zurückzugreifen. Nach dem Willen des Gesetzgebers können die Behörden dies nicht nur tun, sondern sollen es auch künftig. Die Obergrenze für Bußgelder wurde angehoben. In einem so gelagerten Fall kann das Bußgeld nun bis zu 10 Mio. EUR betragen. Die neue Rechtslage haben wir bereits in einem anderen Beitrag skizziert.
Kommentar: Entwicklungen erkennen
Das Vorgehen der Bayerischen Datenaufsicht zeigt zum einen, dass nicht nur automatisiert verarbeitete Dateien (also IT-technisch verarbeitete Daten) im Fokus der Behörden stehen, sondern auch systematisch geordnete „Offline“-Datensammlungen wie z.B. Aktensysteme. Andererseits zeigt sich mit dem recht hohen Aufwand durch eine unangekündigte Kontrolle, dass die Aufsichtsbehörden ihre Kapazitäten auf- und ausbauen. Im Zuge der Datenschutzgrundverordnung haben bereits alle deutschen Datenschutz-Aufsichtsbehörden einen beträchtlichen Ausbau der Mitarbeiterkapazitäten beantragt, der in Zukunft vermehrt Kontrollen ermöglichen wird.
Abschließend möchte ich den hier beschriebenen Fall dahingehend bewerten, dass ich ein Vorgehen gegen den allzu leichtsinnigen Umgang mit Kunden-/Patienten-/Mandanten-Daten im Umfeld der Berufsgeheimnisträger wie Ärzte, Rechtsanwälte oder Steuerberater ausdrücklich begrüße. Aus unserer Erfahrung können wir sagen, dass eine ausreichende Sensibilisierung dieser Berufsgruppen für das Thema Datenschutz nur schleppend vorankommt. [tm]