Datatilsynet verhängt 49.813 Euro Bußgeld gegen Gemeinde Oslo

Norwegen: Die Gemeinde Oslo betreibt 19 Pflege- und Gesundheitsheime und unterhält ferner Verträge zu neun weiteren, privaten Einrichtungen. Die norwegische Datenschutzbehörde verhängte das Bußgeld aufgrund der in diesen Pflegeeinrichtungen gängigen Praxis, sogenannte Arbeitslisten mit Patientendaten zu führen. In den Arbeitslisten wurden Informationen über die Bewohner der Pflegeeinrichtungen niedergeschrieben, die benötigt wurden, um sie im Alltag adäquat betreuen und pflegen zu können. Daneben enthielten die Listen die Namen, Initialen, Zimmernummern sowie die Sozialversicherungsnummern der Betroffenen. Die physischen Listen wurden in einem internen Bereich der Einrichtungen gelagert, zu der alle Mitarbeiter Zugang hatten. Geschätzte 10% der Personengruppe, die auf die Listen zugreifen konnte, waren dabei kein medizinisches Personal, sondern anderweitige Mitarbeiter wie Hausmeister oder Reinigungskräfte. 
Zwar wurden die Listen laufend aktualisiert und enthielten somit nur Informationen zu aktuellen Patienten. Aufgrund des pauschalen Zugangs zum Lager hatten jedoch Mitarbeiter, die bereits seit längerem in der entsprechenden Einrichtung beschäftigt waren, im Laufe der Zeit Zugriff zu den Daten vieler Bewohner gehabt. Hierin sah die Behörde die Pflicht des Bußgeldempfängers verletzt, mittels adäquater technischer und organisatorischer Maßnahmen die Sicherheit der Verarbeitung der Patientendaten zu gewährleisten. Insgesamt wurden die Listen in einem Zeitraum von elf Jahren (2007 bis 2018) unterhalten.
Bei der Festsetzung der Höhe des Bußgelds berücksichtigte die Datenschutzbehörde den Umstand mildernd, dass der Beklagte den Vorfall selbst gemeldet und schnell entsprechende Anpassungen vorgenommen hatte. .

Veröffentlicht am: 20-01-2021

Quelle von dsgvo-portal.de