DSGVO-Verfahren gegen Gemeinschaftspraxis

Nach dem Datenschutzskandal bei einer Celler Gemeinschaftspraxis prüft die zuständige Landesbeauftragte für den Datenschutz nun die Einleitung eines Ordnungswidrig­keitenverfahrens.

In Pocket speichern vorlesen Druckansicht
DSGVO-Verfahren gegen Gemeinschaftspraxis
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Im Fall der Celler Gemeinschaftspraxis, deren Patientendaten ungeschützt über das Internet abrufbar waren, hat die zuständige Landesbeauftragte für den Datenschutz Niedersachsen (LfD) Barbara Thiel das Kontrollverfahren abgeschlossen. Das Datenleck machte Ende 2019 Schlagzeilen, nachdem c’t aufdeckte, dass die höchst privaten Daten zehntausender Patienten der Celler Orthopäden über einen ungesicherten Praxisserver für jedermann einsehbar waren. Die Datenschutzgrundverordnung (DSGVO) sieht für solche Fälle drakonische Geldbußen vor – und diese werden von den Behörden in letzter Zeit auch immer häufiger verhängt.

Das Kontrollverfahren im Celler Fall führt zunächst zu einer Verwarnung: „Der Verantwortliche wird aufgrund der Offenlegung von sensiblen Patientendaten und der Überschreitung der Meldefrist von 72 Stunden verwarnt (Art. 58 Abs. 2 lit. b DSGVO)“, erklärte ein Sprecher der LfD gegenüber c’t. Doch damit ist der Fall noch nicht erledigt, denn die niedersächsiche Datenschutzbeauftragte „prüft zudem die Einleitung eines Ordnungswidrigkeitenverfahrens“. Und ein solches kann wiederum zu einem Bußgeld führen. Problematisch ist nicht nur das Datenleck an sich, sondern insbesondere auch der Umstand, dass die Praxis die Meldefrist (72 Stunden) erheblich überschritten hat: Nachdem wir die Praxis über das Datenleck am 14. Oktober vergangenen Jahres informiert hatten, verging mehr als ein Monat, bis der Vorfall nach Art. 33 DSGVO an die LfD gemeldet wurde.

Der Daten-GAU trat nicht allein durch ein Versagen der Praxis auf, die den Dateiserver offenbar ohne Authentifizierung im Praxisnetz aufgestellt hatte. Erst eine Firmware-Lücke im Telekom-Router „Digitalisierungsbox Premium“ sorgte dafür, dass der schlecht geschützte Praxisserver auch über das Internet erreichbar war. Ob auch die Telekom zur Verantwortung gezogen werden kann, ist unklar. Das Unternehmen hat die Firmware-Lücke in den betroffenen Routern nach einer Kontaktaufnahme durch c’t geschlossen.


Dieser Artikel stammt aus c't 14/2020. (rei)