Ein Datenschutz-Bußgeld für eine Arztpraxis kann nach Art. 83 DSGVO bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes betragen; in der Praxis werden für kleinere Praxen Bußgelder von 1.000 bis 50.000 Euro verhängt.
Die Datenschutzbehörden haben in Deutschland seit 2018 mehrere Arztpraxen mit Bußgeldern zwischen 5.000 und 300.000 Euro belegt. Häufigste Verstöße: fehlende Datenschutzerklärung, offene Patientenkommunikation per unverschlüsselter E-Mail und fehlendes Verarbeitungsverzeichnis.
Hintergrund
Arztpraxen verarbeiten besonders schützenswerte Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Damit gelten erhöhte Sorgfaltspflichten: technisch-organisatorische Maßnahmen (TOM), Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen und ein Verzeichnis der Verarbeitungstätigkeiten sind verpflichtend.
Typische Verstöße mit Bußgeldfolge: unverschlüsselte Patientendaten auf Mobilgeräten, fehlende Auftragsverarbeitungsverträge mit IT-Dienstleistern, Versand von Befunden per Fax an falsche Empfänger. Hinzu kommen Meldepflichten gegenüber der zuständigen Landesdatenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne (Art. 33 DSGVO).
Zusätzlich zu Bußgeldern können Schadensersatzansprüche betroffener Patienten entstehen. Eine Cyber- oder Datenschutzversicherung übernimmt Rechtskosten, Benachrichtigungskosten und eventuelle Schadensersatzzahlungen.
Ärzteversichert bietet spezialisierte Cyber- und Datenschutzversicherungen für Arztpraxen, die auch die Bußgeldabwehr und PR-Krisenkosten umfassen können.
Wann gilt das nicht?
Bußgelder entfallen oder werden erheblich reduziert, wenn der Arzt nachweist, dass er alle zumutbaren Schutzmaßnahmen getroffen hat und den Verstoß unverzüglich gemeldet hat. Vollständige Datenschutz-Compliance ist der wirksamste Schutz.
Quellen
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →