- Garante verhängt eine Busse von EUR 50’000 gegen ein Krankenhaus wegen Datenschutzverletzungen bei Gesundheitsdaten.
- Krankenschwester informierte fälschlicherweise den Ehemann der Patientin über ihren Gesundheitszustand, trotz klarer Anweisung zur Vertraulichkeit.
- Zusätzliche Sanktion umfasst die Veröffentlichung der Entscheidung auf der Website des Garante als Teil der Compliance-Massnahmen.
In Italien hat der Garante, die italienische Aufsichtsbehörde. mit Entscheid von 27. Januar 2021 eine Busse von EUR 50’000 gegen ein Krankenhaus verhängt, dem ein Verstoss gegen die datenschutzrechtlichen Vorgaben bei Gesundheitsdaten zur Last gelegt wurde (Entscheid auf italienisch).
Es ging um Daten einer Patientin, die eigens in einem besonderen Formular angeordnet hatte, Dritte nicht über ihren geplanten Schwangerschaftsabbruch zu informieren und für eine Kontaktaufnahme eine separate Telefonnummer zu verwenden. Dieses Formular wurde nicht ins Patientendossier aufgenommen. Eine Krankenschwester rief die Patientin in der Folge auf die im Patientendossier hinterlegte Festnetznummer an. Dem Ehemann, der den Anruf entgegennahm, nannte sie die Art der Station, auf der die Patientin aufgenommen wurde, aber keine weiteren Angaben über den Gesundheitszustand der Patientin. Diese Angabe wertete der Garante dennoch als Gesundheitsdatum i.S.v. Art. 4 Nr. 15 DSGVO.
Die Busse wurde u.a. nach folgenden Kriterien bestimmt:
- Negative Auswirkungen auf das Privatleben der Patientin
- Offenlegung von Gesundheitsdaten
- besondere Schutzwürdigkeit von Angaben über Schwangerschaftsabbrüche
- fehlende technische und organisatorische Sicherheitsmassnahmen
- offenbar vorbildliche Kooperation des Krankenhauses bei der Untersuchung.
Als “ergänzende Sanktion” wurde die Veröffentlichung der Entscheidung auf der Website des Garante angeordnet (“la sanzione accessoria della pubblicazione sul sito del Garante”).
Naming and shaming ist eine bewusste Nebensanktion des italienischen Datenschutzrechts. Art. 166 Abs. 7 des Codice della privacy sieht dies vor:
7. Nell’adozione dei provvedimenti sanzionatori nei casi di cui al comma 4 si osservano, in quanto applicabili, gli articoli da […]; nei medesimi casi può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante.
Beim Erlass Von Sanktionsmaßnahmen in den in Absatz 4 genannten Fällen sind Artikel […] zu beachten, soweit sie anwendbar sind; in den gleichen Fällen kann als akzessorische Verwaltungssanktion die Veröffentlichung der Unterlassungsanordnung ganz oder auszugsweise auf der Website der Garante erfolgen.]
Dieselbe Bestimmung sieht übrigens vor, dass 50% des Bussenerlöses dem Fonds zugeführt werden, der die Tätigkeit des Garante finanziert (Art. 156 des Codice).