Takea­ways (AI):
  • Garan­te ver­hängt eine Bus­se von EUR 50’000 gegen ein Kran­ken­haus wegen Daten­schutz­ver­let­zun­gen bei Gesund­heits­da­ten.
  • Kran­ken­schwe­ster infor­mier­te fälsch­li­cher­wei­se den Ehe­mann der Pati­en­tin über ihren Gesund­heits­zu­stand, trotz kla­rer Anwei­sung zur Ver­trau­lich­keit.
  • Zusätz­li­che Sank­ti­on umfasst die Ver­öf­fent­li­chung der Ent­schei­dung auf der Web­site des Garan­te als Teil der Com­pli­ance-Mass­nah­men.

In Ita­li­en hat der Garan­te, die ita­lie­ni­sche Auf­sichts­be­hör­de. mit Ent­scheid von 27. Janu­ar 2021 eine Bus­se von EUR 50’000 gegen ein Kran­ken­haus ver­hängt, dem ein Ver­stoss gegen die daten­schutz­recht­li­chen Vor­ga­ben bei Gesund­heits­da­ten zur Last gelegt wur­de (Ent­scheid auf ita­lie­nisch).

Es ging um Daten einer Pati­en­tin, die eigens in einem beson­de­ren For­mu­lar ange­ord­net hat­te, Drit­te nicht über ihren geplan­ten Schwan­ger­schafts­ab­bruch zu infor­mie­ren und für eine Kon­takt­auf­nah­me eine sepa­ra­te Tele­fon­num­mer zu ver­wen­den. Die­ses For­mu­lar wur­de nicht ins Pati­en­ten­dos­sier auf­ge­nom­men. Eine Kran­ken­schwe­ster rief die Pati­en­tin in der Fol­ge auf die im Pati­en­ten­dos­sier hin­ter­leg­te Fest­netz­num­mer an. Dem Ehe­mann, der den Anruf ent­ge­gen­nahm, nann­te sie die Art der Sta­ti­on, auf der die Pati­en­tin auf­ge­nom­men wur­de, aber kei­ne wei­te­ren Anga­ben über den Gesund­heits­zu­stand der Pati­en­tin. Die­se Anga­be wer­te­te der Garan­te den­noch als Gesund­heits­da­tum i.S.v. Art. 4 Nr. 15 DSGVO.

Die Bus­se wur­de u.a. nach fol­gen­den Kri­te­ri­en bestimmt:

  • Nega­ti­ve Aus­wir­kun­gen auf das Pri­vat­le­ben der Patientin
  • Offen­le­gung von Gesundheitsdaten
  • beson­de­re Schutz­wür­dig­keit von Anga­ben über Schwangerschaftsabbrüche
  • feh­len­de tech­ni­sche und orga­ni­sa­to­ri­sche Sicherheitsmassnahmen
  • offen­bar vor­bild­li­che Koope­ra­ti­on des Kran­ken­hau­ses bei der Untersuchung.

Als “ergän­zen­de Sank­ti­on” wur­de die Ver­öf­fent­li­chung der Ent­schei­dung auf der Web­site des Garan­te ange­ord­net (“la san­zio­ne acces­so­ria del­la pubbli­ca­zio­ne sul sito del Garante”).

Naming and shaming ist eine bewuss­te Neben­sank­ti­on des ita­lie­ni­schen Daten­schutz­rechts. Art. 166 Abs. 7 des Codi­ce del­la pri­va­cy sieht dies vor:

7. Nel­l’a­do­zio­ne dei prov­ve­di­men­ti san­zio­na­to­ri nei casi di cui al com­ma 4 si osser­va­no, in quan­to appli­ca­bi­li, gli arti­co­li da […]; nei mede­si­mi casi può esse­re appli­ca­ta la san­zio­ne ammi­ni­stra­ti­va acces­so­ria del­la pubbli­ca­zio­ne del­l’or­di­nan­za-ingi­unzio­ne, per inte­ro o per estrat­to, sul sito inter­net del Garan­te.

Beim Erlass Von Sank­ti­ons­maß­nah­men in den in Absatz 4 genann­ten Fäl­len sind Arti­kel […] zu beach­ten, soweit sie anwend­bar sind; in den glei­chen Fäl­len kann als akzes­so­ri­sche Ver­wal­tungs­sank­ti­on die Ver­öf­fent­li­chung der Unter­las­sungs­an­ord­nung ganz oder aus­zugs­wei­se auf der Web­site der Garan­te erfol­gen.]

Die­sel­be Bestim­mung sieht übri­gens vor, dass 50% des Bus­sen­erlö­ses dem Fonds zuge­führt wer­den, der die Tätig­keit des Garan­te finan­ziert (Art. 156 des Codice).

AI-generierte Takeaways können falsch sein.