ULD Bußgelder wegen Datenschutzverstößen gegen Unternehmen und Verein

02.05.2013. 20:35

In einer noch nicht rechtskräftigen Entscsheidung hat das ULD Bußgelder gegen eine GmbH (30.000 €) und einen eingetragenen Verein (/70.000 €) verhängt.Hintergrund hierfür war, dass sensiblen Angaben von
Patientinnen und Patienten im Internet technisch ungeschützt abgerufen
werden konnten. Die Dokumente waren in einem für interne Zwecke
genutzten System abgelegt, das über das Internet betrieben wurde. Unklar war, wie lange dies schon der Fall war, hierzu das ULD: Das ULD ist „auf ein unübersichtliches Konstrukt aus verschiedenen
Partnern gestoßen, die an der Entwicklung und dem Betrieb des Dienstes
beteiligt waren. Wer in dem Zusammenspiel dieser Stellen welche
Aufgaben, Pflichten und Befugnisse hatte, war nicht geregelt. Mangels
Dokumentation konnten wesentliche Schritte der Administration des
Dienstes nicht mehr nachvollzogen werden. So konnten die Organisationen
nicht aufklären, ob für die Dokumentenablage in dem Dienst, der seit dem
Jahr 2002 betrieben wurde, jemals ein wirksamer Zugriffsschutz bestanden
hat.“

Wie der Leiter des ULD Thilo Weichert, in seiner Pressemitteilung mitteilte: „Die Veröffentlichung der
psychiatrischen Unterlagen stellten eine massive Verletzung der
Vertraulichkeit dar, die die behandelten Personen berechtigterweise von
den Hilfsorganisationen erwarten. Wir mussten mit Erschrecken
feststellen, dass die verantwortlichen Stellen in der ganzen über ein
Jahr dauernden Auseinandersetzung sich nicht über die Bedeutung des
Unterlassens der nötigen technisch-organisatorischen Sicherungen und der
Kontrolle im Rahmen der Auftragsdatenverarbeitung einsichtig zeigten.
Zwar wurde umgehend das konkrete Datenleck geschlossen, doch bis heute
wurde kein Konzept für ein valides Datenschutzmanagement vorgelegt.“

Das könnte Sie auch interessieren

04 November 2022

Neues Whitepaper zur…

Die TÜV Rheinland Akademie GmbH hat ein kostenfreies Whitepaper zur Kompetenz von Auditoren vorgestellt

Mehr Erfahren
10 Juni 2020

Jetzt ist wieder Cookie-Zeit

Ab und zu im Leben eines Verantwortlichen sollte / muss man sich mit dem Thema Internetrecht und im speziellen…

Mehr Erfahren
04 Juni 2020

Besucherlisten nach der…

Das ist wieder so eine Sache. Wir alle wissen im Grunde, dass etwas getan werden muss, fragen uns aber,…

Mehr Erfahren
26 Februar 2020

Datenschutzmanagement

Eine zentrale Anforderung der DS-GVO ist die Einführung eines unternehmensinternen Datenschutzmanagementsystems…

Mehr Erfahren
26 Februar 2020

Datenschutzdokumentation

Die DSGVO verlangt hinsichtlich der durch den Verantwortlichen einzuhaltenden technische und organisatorischen…

Mehr Erfahren
04 Dezember 2019

Änderung der Personen-Bestellgrenze…

Die Grenze, ab wieviel Personen ein DSB zu benennen ist, wurde von 10 auch 20 angehoben. Mit dem zweiten…

Mehr Erfahren