Die irische Datenschutzbehörde (AEPD) hat eine Rekordstrafe von 91 Millionen Euro gegen Meta Platforms Ireland Ltd. verhängt. Grund dafür waren unzureichende Sicherheitsmaßnahmen und eine verspätete Meldung einer schwerwiegenden Datenpanne. Dieser Fall verdeutlicht eindrucksvoll, welche Konsequenzen mangelnde technisch- und organisatorische Maßnahmen (TOM´s) im Bereich Datenschutz haben kann und warum Kliniken, Krankenhäuser und Gesundheitseinrichtungen die DSGVO-Compliance ernst nehmen sollten.
Was war passiert?
Im Januar 2019 stellte Meta fest, dass in internen Datenbanken die Passwörter von rund 36 Millionen Facebook- und Instagram-Nutzer:innen im Klartext gespeichert waren. Trotz der Schwere dieses Sicherheitsverstoßes informierte Meta die Behörde erst im März 2019 – weit außerhalb der vorgeschriebenen Meldefrist von 72 Stunden gemäß DSGVO.
Die Untersuchung der AEPD deckte gravierende Mängel auf:
Unzureichende Sicherheitsmaßnahmen (TOM´s): Passwörter wurden nicht verschlüsselt gespeichert, was einen klaren Verstoß gegen Art. 32 Abs. 1 DSGVO darstellt.
Verspätete Meldung der Datenpanne: Die Behörde wurde erst zwei Monate nach der Entdeckung informiert, statt innerhalb der vorgeschriebenen 72 Stunden.
Fehlende Dokumentation (TOM´s): Meta hatte den Sicherheitsvorfall nicht ausreichend dokumentiert.
Warum ist das relevant für Kliniken und Krankenhäuser?
Gesundheitseinrichtungen verarbeiten hochsensible personenbezogene Daten, wie Patientenakten und medizinische Berichte. Ein Datenleck in diesem Bereich hätte nicht nur finanzielle, sondern auch massive Reputationsschäden zur Folge. Der Fall Meta zeigt, wie wichtig es ist, den Datenschutz als kontinuierlichen Prozess zu verstehen.
Was können Einrichtungen tun, um Datenpannen zu vermeiden?
- Starke Sicherheitsmaßnahmen umsetzen:
- Verschlüsseln Sie alle sensiblen Daten, insbesondere Passwörter und medizinische Informationen.
- Führen Sie regelmäßige Penetrationstests durch, um Schwachstellen zu identifizieren.
- Klare Prozesse für Datenpannen etablieren:
- Schulen Sie Ihre Mitarbeitenden im Umgang mit Datenschutzvorfällen.
- Implementieren Sie ein Frühwarnsystem, um Datenpannen schnell zu erkennen.
- Meldungen fristgerecht durchführen:
- Entwickeln Sie einen Notfallplan, der die Meldung von Datenschutzvorfällen innerhalb der 72-Stunden-Frist sicherstellt.
- Dokumentation nicht vergessen:
- Halten Sie alle Maßnahmen, Entscheidungen und Ereignisse lückenlos fest, um Nachweispflichten zu erfüllen.
Fazit
Das Bußgeld gegen Meta zeigt, dass Datenschutzverstöße nicht nur Großkonzerne betreffen. Auch Kliniken und Gesundheitseinrichtungen müssen sicherstellen, dass sensible Daten jederzeit geschützt sind und dass klare Prozesse für den Umgang mit Datenpannen vorhanden sind. Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine Frage des Vertrauens Ihrer Patient:innen.
Eine gute Datenschutzstrategie ist daher keine Option, sondern eine Notwendigkeit. Setzen Sie heute den Grundstein für morgen – zum Schutz Ihrer Patientendaten und Ihres guten Rufs.