In einer noch nicht rechtskräftigen Entscsheidung hat das ULD Bußgelder gegen eine GmbH (30.000 €) und einen eingetragenen Verein (/70.000 €) verhängt.Hintergrund hierfür war, dass sensiblen Angaben von
Patientinnen und Patienten im Internet technisch ungeschützt abgerufen
werden konnten. Die Dokumente waren in einem für interne Zwecke
genutzten System abgelegt, das über das Internet betrieben wurde. Unklar war, wie lange dies schon der Fall war, hierzu das ULD: Das ULD ist „auf ein unübersichtliches Konstrukt aus verschiedenen
Partnern gestoßen, die an der Entwicklung und dem Betrieb des Dienstes
beteiligt waren. Wer in dem Zusammenspiel dieser Stellen welche
Aufgaben, Pflichten und Befugnisse hatte, war nicht geregelt. Mangels
Dokumentation konnten wesentliche Schritte der Administration des
Dienstes nicht mehr nachvollzogen werden. So konnten die Organisationen
nicht aufklären, ob für die Dokumentenablage in dem Dienst, der seit dem
Jahr 2002 betrieben wurde, jemals ein wirksamer Zugriffsschutz bestanden
hat.“
Wie der Leiter des ULD Thilo Weichert, in seiner Pressemitteilung mitteilte: „Die Veröffentlichung der
psychiatrischen Unterlagen stellten eine massive Verletzung der
Vertraulichkeit dar, die die behandelten Personen berechtigterweise von
den Hilfsorganisationen erwarten. Wir mussten mit Erschrecken
feststellen, dass die verantwortlichen Stellen in der ganzen über ein
Jahr dauernden Auseinandersetzung sich nicht über die Bedeutung des
Unterlassens der nötigen technisch-organisatorischen Sicherungen und der
Kontrolle im Rahmen der Auftragsdatenverarbeitung einsichtig zeigten.
Zwar wurde umgehend das konkrete Datenleck geschlossen, doch bis heute
wurde kein Konzept für ein valides Datenschutzmanagement vorgelegt.“
