Die DSGVO hat wohl ihren ersten großen Bußgeld-Fall

Odoo • A picture with a caption

Die portugiesische Datenschutzbehörde hat nach Presseberichten Bußgelder in Höhe von insgesamt 400.000 € gegen ein Krankenhaus verhängt.

300.000 € der Summe sollen verhängt worden sein, weil viel zu viele Menschen Zugriff auf die Patientendaten hatten. Demnach hätten Nutzer mit dem Profil „Techniker“ Zugriff auf sensible Patientendaten gehabt. Es sei zudem ganz einfach gewesen, ein solches Profil zu erstellen und diesem sogar unbegrenzten Datenzugriff zu erteilen.

Zudem habe es im System insgesamt 985 aktive Benutzer mit dem Profil „Arzt“ gegeben, obwohl lediglich 296 Ärzte in dem Krankenhaus arbeiten.

Der Bescheid ist noch nicht rechtskräftig, kann gleichwohl als ein nützlicher Beispielfall und ebenso nützliche Mahnung angesehen werden, ein Berechtigungskonzept nicht nur vorzuhalten, sondern dieses auch immer wieder daraufhin zu überprüfen, ob die berechtigten Personen tatsächlich Zugriff (auf alle diese Daten) haben müssen. Auch sind Zugriffsmöglichkeiten nicht mehr berechtigter Mitarbeiter unverzüglich zu beseitigen.