DSGVO-Verstoß: 400.000 € Bußgeld für KMU Unternehmen
24.10.2018
Lange Zeit war es nach anfänglich großer Sorge der KMU-Unternehmen dann doch sehr ruhig geworden um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Kürzlich dann erhitzte ein Gerichtsurteil aus Österreich die Gemüter. Darin ging es um Mieter-Klingelschilder, die aufgrund des Datenschutzes entfernt werden müssten. Zunächst gab es konkrete Handlungsempfehlungen einer größeren Grundbesitzervereinigung, dann das Dementi der obersten Datenschützerin in Deutschland. Andere Datenschutz-Landesvorsteher blieben der Meinung treu, dass namentliche Klingelschilder der Vergangenheit angehören.
Auch Praxen setzten die neuen DSGVO-Richtlinien nur halbherzig um. Noch immer sind Patientenakten bei der Anmeldung teilweise einsehbar. Nur in wenigen Fällen wird auf das namentliche Aufrufen von Patienten verzichtet.
Hohes Bußgeld für portugiesisches Krankenhaus
Nun ist vom EU-Nachbarland Portugal zu hören, dass ein 400.000 € Bußgeld gegen ein KMU-Unternehmen verhängt worden sei, das knapp 300 Ärzte beschäftige. Laut Público habe die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) dieses Bußgeld gegen das Krankenhaus Barreiro Montijo sowie weitere 100.000€ für andere Vorkommnisse verhängt.
Der Vorwurf: Man habe es mit den Benutzerberechtigungen nicht genau genug genommen. Es seien dreimal mehr Zugänge für Patientendaten eingerichtet gewesen als Ärzte angestellt waren. Eine „kleine Schlamperei“, wie sie in vielen Unternehmen vorkommt, die keine klaren und kontrollierten Prozesses zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern etabliert haben. Zudem hätten Techniker-Zugänge bestanden, die unnötiger Weise ebenfalls auf Patientendaten Zugriff gehabt hätten. Auch dies ist ein typischer Fehler: Administratoren mehr Zugänge zu geben als notwendig oder eben die Techniker einfach machen zu lassen, weil man möchte, dass die IT einfach nur läuft.
Allgemeine praktische Probleme
Zwar kann ein hochrangiger Admin sich selbst auf fast alle Daten Zugang gewähren, doch diese Berechtigungsänderungen werden in der Regel protokolliert. Datenzugriffe für IT Admins sind überdies oft notwendig, denn wie sonst soll dieser beispielsweise eine beschädigte Datei reparieren. Doch dürfen solche Zugänge nicht ohne Konzept und Kontrolle vergeben werden; Wildwuchs ist unbedingt zu vermeiden. Überhöhte Berechtigungen schleichen sich ein, weil und insofern alle Anwender inkl. der Admins häufig genervt davon sind, zahlreiche verschiedene Passwörter nutzen oder mühsam Berechtigungsfreigaben einholen zu müssen, kostet dies schließlich wertvolle Arbeitszeit – so die Empfindung.
Vielen Unternehmensverantwortlichen ist noch nicht bewusst, dass im Industrie 4.0 Zeitalter zwar vieles schneller geht und schnelllebiger geworden ist, doch eben auch größere Risiken bestehen als im Papierzeitalter: Früher war es gar nicht so leicht, einen Aktenordner mitgehen zu lassen, denn das große schwere Ding musste am Pförtner vorbei, Kollegen konnten einen beim Transport auf dem Flur beobachten usw. Die Daten aller Patienten zu entwenden, war so fast unmöglich. Einen USB-Stick in der Manteltasche dahingegen sieht niemand, findet kaum ein Metalldetektor – und dieser winzige Stick kann alle Patientendaten enthalten.
Gestiegene Risiken des Datenmissbrauchs
Die Risiken für Datenmissbrauch sind ergo immens gestiegen. Nicht nur die Arbeit ist im Zeichen der Digitalisierung einfacher geworden, auch illegitime Machenschaften sind es. Daher sollte jedem Unternehmen bewusst werden, dass u.a. Berechtigungskonzepte und Kontrollen unumgänglich sind – und zwar unabhängig von aller Kritik an der DSGVO.
Selbstverständlich entstehen für Konzepte und Kontrollen Kosten. Diese sind jedoch weit geringer als die durch modernes Arbeiten im Sinne der Industrie 4.0 erzielten Einsparungen und Effizienzsteigerungen. Günstiger als 400.000€ Bußgelder ist die Etablierung geeigneter Maßnahmen zumindest für den Mittelstandsunternehmer allemal.
Empfohlene Maßnahmen
Die Erstellung eines simplen Berechtigungskonzepts kann mittels einer Excel-Tabelle erfolgen, die sämtliche Zugänge für die verschiedenen Datenlaufwerke und Anwendungen auflistet. In einem weiteren Tabellenblatt werden die Benutzergruppen, deren Berechtigungsstufe dem jeweiligen Zugang zugeordnet. Das dritte Tabellenblatt führt dann alle Benutzer auf, die den jeweiligen Gruppen zugeordnet sind.
Dieses beispielsweise von der Personalabteilung gepflegte Berechtigungskonzept kann sodann der internen oder externen IT-Abteilung zur Umsetzung oder regelmäßigen Kontrolle übergeben werden. Weiterhin eignen sich Stichproben, ob und welche Benutzerzugänge für ausgeschiedene Zugungsberechtigte ggf. noch bestehen.
Das Mahr EDV Systemhaus hilft gerne bei der Umsetzung von Berechtigungskonzepten und der Implementierung von Kontrollsystemen. Weiterhin steht die Mahr EDV Checkliste zur DSGVO einschließlich zahlreicher Vorlagen zum kostenfreien Abruf bereit.
Die Mahr EDV Checkliste zur DSGVO stellt zwar keine Rechtsberatung dar und erhebt auch keinen Anspruch auf Vollständigkeit, ist aber eine ziemlich umfangreiche Unterstützung für viele Unternehmen. Das Barreiro Montijo Krankenhaus könnte dieser Checkliste beispielsweise entnehmen, dass für deren Webseite eine Verschlüsselung (https) eine sinnvolle Maßnahme ist, die diese noch nicht umgesetzt haben (www.chbm.min-saude.pt). Die https-Verschlüsselung ist in Hinblick auf die EU-DSGVO zumindest dann zwingend erforderlich, wenn durch Kontaktformulare Daten der Nutzer übertragen werden.