DSGVO-Bußgelder gegen Arztpraxen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen; die Verjährungsfrist für Datenschutzverstöße beträgt drei Jahre.

DSGVO-Bußgelder verjähren in 3 Jahren ab dem Ende des Jahres, in dem die Aufsichtsbehörde Kenntnis vom Verstoß erlangte. Vor Erlass eines Bußgeldbescheids muss die Datenschutzbehörde eine Anhörungsfrist von mindestens 4 Wochen gewähren. Einspruch gegen den Bescheid kann innerhalb von 2 Wochen eingelegt werden.

Hintergrund

Arztpraxen verarbeiten besonders sensible Gesundheitsdaten (Art. 9 DSGVO); Verstöße werden von den Datenschutzaufsichtsbehörden der Länder streng sanktioniert. Relevante Fristen:

  • Verjährung: 3 Jahre ab Kenntnis der Behörde vom Verstoß und dem Verantwortlichen (§ 41 BDSG i. V. m. § 31 OWiG).
  • Anhörungsfrist: Vor Verhängung eines Bußgelds muss die Praxis angehört werden; übliche Frist 4 bis 6 Wochen.
  • Einspruchsfrist: 2 Wochen nach Zustellung des Bußgeldbescheids (§ 67 OWiG); bei Versäumung Rechtskraft.
  • Zahlungsfrist: Nach Rechtskraft des Bescheids in der Regel 4 Wochen; bei Ratenzahlung nach Antrag.
  • Aufbewahrungspflicht Verarbeitungsverzeichnis: Das Verzeichnis nach Art. 30 DSGVO ist dauerhaft zu führen und bei Prüfung unverzüglich vorzulegen.

Wann gilt das nicht?

  • Kleinpraxen mit weniger als 20 Mitarbeitern, die nur gelegentlich Daten verarbeiten, sind nicht zwingend zur Führung eines Verzeichnisses verpflichtet; Arztpraxen mit Gesundheitsdaten fallen jedoch stets unter die Verarbeitungstätigkeit.
  • Datenschutzbehörden können statt Bußgeldern zunächst eine Verwarnung erteilen; bei sofortiger Behebung des Verstoßes wird häufig kein Bußgeld erlassen.
  • Ehrenamtliche oder sehr kleine Einrichtungen können von Behörden milder behandelt werden.

Ärzteversichert empfiehlt, einen Datenschutzbeauftragten zu bestellen und die DSGVO-Pflichten in der Praxis regelmäßig zu überprüfen, um Bußgeldrisiken zu minimieren.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →