Alle Fachbeiträge
 

COMMERCIAL DSGVO-Verstoß: Erste empfindliche Geldbuße gegen Krankenhaus in Portugal

Krankenhausbetrieb und Datenschutz

Portugals Datenschutzbehörde verhängt die erste empfindliche Geldbuße wegen Verletzung von Patientendaten; persönliche Haftung von Geschäftsführern, Vorständen und Aufsichtsräten denkbar.

400.000,- € Geldbuße  muss das Hospital do Barreiro im Süden von Lissabon nach Meinung der portugiesischen Datenschutzbehörde Comissão Nacional de Protecção de Dados (CNPD) wegen Verletzung von Patientendaten zahlen. Damit hat die erste europäische Datenschutzbehörde auf der Grundlage der  EU-DSGVO  von ihren weitreichenden Möglichkeiten Gebrauch gemacht und eine nicht unerhebliche Geldbuße gegen das Krankenhaus verhängt.

Unzureichend gesicherter Zugriff auf Patientendaten

Die IT- Zugangsberechtigungen  des Hospital do Barreiro waren wohl nicht ausreichend scharf abgegrenzt und überwacht. So sollen in dem Krankenhaus ca. 985 aktive Benutzer mit dem Profil „Arzt″ registriert gewesen, obwohl dort nur ca. 300 Ärzte tätig sind. Dies sei nach Aussagen des Krankenhausbetreibers auf die Erstellung von temporären Profilen zurückzuführen. Darüber hinaus und schwerwiegender war der Umstand, dass nicht nur Ärzte Zugriff auf die Patientendaten innehatten, sondern dass es für den Zugriff ausgereicht hatte, sich mit dem Profil „Techniker“ im System anzumelden. Dadurch soll es für eine Vielzahl nichtmedizinischen Personals möglich gewesen sein, auf die geschützten Daten der Patienten zuzugreifen.

DSGVO und Geldbuße

Die DSGVO regelt die Verarbeitung  personenbezogener Daten  durch private Unternehmen und öffentliche Stellen. Sie soll sicherstellen, dass personenbezogene Daten innerhalb der Europäischen Union geschützt sind, gleichzeitig aber den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten. Sie gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union. Bis dahin müssen Firmen und Behörden sicherstellen, dass sie persönliche Daten den Regeln entsprechend behandeln.

Datenschutzverstöße  können nach der DSGVO mit einer Geldbuße von bis zu EUR 20 Millionen oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher der Beträge höher ist. Als Anknüpfungspunkt kommen verschiedene datenschutzrechtliche Pflichten in Betracht. Im Fall des Hospital do Barreiro ist es möglich, dass dieses gegen die Pflicht auf  Datenminimierung  verstoßen hat. Jeder Zugriff auf personenbezogene Daten muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mitarbeitern dürfen Daten nur auf sogenannter „need-to-know″ Basis zugänglich machen. Patientendaten dürfen regelmäßig nur für die behandelnden Ärzte und im notwendigen Umfang für das sonstige, involvierte medizinische Personal zugänglich sein.

Praxis

DSGVO ist somit längst kein theoretisches Risiko mehr. Die Verhängung der Geldbuße durch Portugals Datenschützer zeigt, dass Unternehmen und Behörden deren Regelungen ernst nehmen müssen. Um Geldbußen zu vermeiden, müssen Unternehmen die Grundsätze der  Datenverarbeitung nach der DSGVO  einhalten und insbesondere ein ausreichendes  Sicherheitskonzept  vorweisen.

Insbesondere GmbH-Fremdgeschäftsführer sollten sich bewusst machen, dass sie persönlich mit eigenem Vermögen ihrer GmbH nach § 43 GmbHG schadenersatzpflichtig sein können, wenn sie ein ausreichendes Sicherungskonzept vernachlässigen und gegen die GmbH aus diesem Grund eine Geldbuße festgesetzt wird. Eine entsprechende Haftung trifft den AG-Vorstand aus § 93 AktG sowie u.U. den Aufsichtsrat aus § 116 AktG.

Beitrag veröffentlicht am
14. November 2018

Christoph Schmitz-Schunken
CTC LEGAL
Rechtsanwalt, Steuerberater, zertifizierter Berater in Steuerstrafrecht (DAA)
Alle Beiträge von Christoph Schmitz-Schunken

Stichworte in diesem Beitrag

Diesen Beitrag teilen

Ähnliche Artikel

Corporate
09.10.2025

Haftung eines abberufenen Geschäftsführers wegen sittenwidriger Schädigung durch ein Schneeballsystem: Was mittelständische Unternehmen wissen müssen

Der Begriff „Schneeballsystem“ ist in der Wirtschaft vielen ein Begriff, doch häufig wird unterschätzt, welche zivilrechtlichen Haftungsrisiken damit für die Geschäftsleitung – und deren Erben – verbunden sein können. Die aktuelle Rechtsprechung des Bundesgerichtshofs (BGH), festgehalten im aktuellen Urteil vom 08.07.2025 (Az.: II ZR 165/23), lässt keinen Zweifel: Wer als Geschäftsführer (auch ehemaliger) vorsätzlich ein solches System betreibt oder zulässt, läuft Gefahr, persönlich und mit seinem Nachlass für die Schäden der Anleger einzustehen.

Beitrag lesen
Tax
09.10.2025

Influencer und Steuern – Was Unternehmen und Content Creator jetzt wissen müssen

In den vergangenen Jahren hat sich aus kreativer Freizeitgestaltung auf Social-Media-Plattformen ein ernstzunehmendes und vielfach lukratives Geschäftsmodell entwickelt: Das Influencer- oder Content-Creator-Tum. Was nach unkompliziertem Marketing und Entertainment aussieht, bringt – ähnlich wie klassische gewerbliche Tätigkeiten – eine Vielzahl steuerlicher Pflichten mit sich. Für Influencer, die als Einzelunternehmer tätig sind, ebenso wie für Unternehmen, die mit ihnen kooperieren, kommt es spätestens bei Kooperationen, Produktplatzierungen oder auszuzahlenden Honoraren auf steuerliche Transparenz an.

Beitrag lesen
Corporate
09.10.2025

Miteigentum an einer Ferienimmobilie: Wie wird es auch rechtlich sorglos?

Damit eine derartige Investition und Nutzung insgesamt für Sie sorglos sein kann, muss dies auch für die rechtliche Ausgestaltung gelten. Dafür müssen Sie in dem gesamten Zeitraum von Investitionsbeginn über die gemeinsame Nutzungszeit bis zum Ausstieg oder die Beendigung der Gesellschaft eine Sie schützende rechtliche Position haben. Und dies muss für jeden dieser Zeitpunkte (Beginn-Nutzungsdauer-Ende) gelten.

Beitrag lesen
Alle Fachbeiträge anzeigen

Einwilligung in das Setzen von Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte zur Ermittlung Ihrer Interessen

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Statistik-Cookies dienen dem Website-Betreiber zu verstehen, wie Nutzer mit der Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Google Analytics 4

Wir verwenden zur Analyse des Nutzerverhaltens und zur Reichweitenmessung unserer Website den Webanalysedienst Google Analytics 4, bereitgestellt durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Dabei kann der Dienst Cookies auf Ihrem Endgerät speichern, darunter z. B. das Cookie „_ga“. Im Rahmen der Nutzung werden u. a. folgende Daten erhoben und verarbeitet: aufgerufene Seiten, technische Informationen zu Ihrem Browser und Endgerät, Ihr ungefähre Standort (basierend auf IP), die Verweildauer sowie Interaktionen mit der Website (z. B. Klicks, Scrollverhalten). Google Analytics 4 verwendet standardmäßig eine IP-Anonymisierung, wodurch Ihre IP-Adresse nur gekürzt gespeichert wird. Die Speicherdauer beträgt für das Cookie „_ga“ standardmäßig 2 Jahre, für das Cookie „ga<container-id>“ ebenfalls 2 Jahre, sofern Sie Ihre Einwilligung nicht vorher widerrufen. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, sofern Sie diese über unseren Cookie-Hinweis erteilt haben. Es kann nicht ausgeschlossen werden, dass Daten in die USA übermittelt werden. Für den Datentransfer beruft sich Google auf die EU-Standardvertragsklauseln. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

Externe Dienste

Wir bieten zudem externe Dienste auf unserer Website an. Dabei werden Inhalte von Videoplattformen, Social-Media-Plattformen oder anderen externen Diensten zunächst standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner einzelnen manuellen Zustimmung mehr.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum