Neue Verordnung: Firmen, die den Datenschutz missachten, müssen jetzt zahlen

Öffentlich geführte Unternehmen wie Kliniken oder Stadtwerke müssen in absehbarer Zeit mit teils hohen Bußgeldern rechnen, wenn sie sich nicht ernsthaft bemühen, die neue Datenschutzgrundverordnung (DSGVO) umzusetzen. Fast ein Jahr nach der Einführung warnt der Datenschutzbeauftragte der Staatsregierung Thomas Petri: "Nehmt die neuen Regeln ernst, wir machen auch ernst."

Als oberster Hüter über den Datenschutz in Bayern kann Petri seit der Einführung der DSGVO Bußgelder verhängen. Als Ordnungsbehörde ist er sogar dazu verpflichtet, wenn öffentliche Wettbewerbsunternehmen wie Kliniken dagegen verstoßen. Der Bußgeldrahmen geht bis zu 20 Millionen Euro. Allerdings nur, wenn es sich um einen organisatorischen Verstoß handelt. Also dann, wenn Fehler immer wieder passieren müssen, weil sie im System angelegt sind. Noch billigt Petri Kliniken oder Stadtwerken eine Schonfrist zu und verwarnt nur. "Wer seine Hausaufgaben nach einem Warnschuss vor den Bug aber immer noch nicht macht, für den kann es teuer werden", sagt Petri.

Drei Fälle hatte er bis jetzt, bei denen ein Bußgeld in Frage gekommen wäre. Alle drei betreffen Kliniken. Eine von ihnen wurde in großen Teilen lahmgelegt, weil sich eine Schadsoftware in das Computersystem eingeschlichen hatte. Aus Sicherheitsgründen musste der ganze Betrieb für kurze Zeit eingestellt werden. Dass sich mal ein Virus einschleicht, das könne schon passieren, sagt Petri. Dass er sich aber in alle Bereiche ausbreitet und damit eine ganze Klinik zum Stillstand bringt, sei ein Organisationsverschulden: "Wenn das noch mal passiert bei dem Klinikum, lange ich zu." Neben seiner noch geltenden Schonfrist schützte das Klinikum noch etwas anderes. Es hatte Petri den Vorfall als Datenpanne gemeldet - mit einem alten Faxgerät, weil sonst nichts mehr funktionierte. Dazu ist es nach DSGVO verpflichtet. Melden Unternehmen ihre Fehler aber selbst, können Bußgelder nicht oder nur eingeschränkt verhängt werden.

Von der zweiten Klinikdatenpanne erfuhr Petri über die Beschwerde eines Patienten. Der wollte nicht, dass die Klinik seinen Befund an einen bestimmten Arzt weitergibt. Offenbar war er mit diesem nicht mehr zufrieden. Zweimal teilte er das der Krankenhausverwaltung mit. Zweimal schickte sie den Befund wieder an den falschen Arzt. "Der Mann war stinksauer", sagt Petri. Auch hier handelte es sich wohl um einen "systemischen Fehler" und nicht um einen unglücklichen Einzelfall. Hätte er eine ausgiebige Strukturuntersuchung veranlasst, wäre wohl "ein hohes Bußgeld rausgekommen", sagt Petri.

Er nennt zwei Gründe, warum er sich dagegen entschied. Zum einen wurden seine Leute zu dem Zeitpunkt so mit Anfragen zur DSGVO überhäuft, dass sie gar nicht die Ressourcen dazu hatten. Zum anderen kursierten damals bei Unternehmen viele falsche Schauermärchen über mögliche Bußgelder, dass Petri die Unruhe nicht noch verstärken wollte. Für die Zukunft aber gelte auch hier: "Hinlangen."

Nicht ganz so gravierend ist der dritte Fall. Ein Patient wollte von der sogenannten Auskunftspflicht Gebrauch machen. Er forderte von einer Klinik an, ihm aufzuzeigen, welche Daten sie über ihn hat. Eigentlich müsste die Klinik einem solchen Gesuch nach einem Monat nachkommen, in besonders komplizierten Fällen nach drei Monaten. Zwar handelte es sich um einen komplexen Fall, weil mehrere Abteilungen betroffen waren, die Klinik aber brauchte: sechs Monate. Petri entschied sich gegen ein Bußgeld, weil ihm sehr plausibel dargelegt wurde, dass die Klinik ihr Datensystem gerade an die DSGVO anpasste und es deshalb leider diesmal noch länger dauerte. Das Bußgeld hätte sich in einem Bagatellbereich zwischen 200 oder 2000 Euro bewegt - bei einem Einzelfall. Anders sieht es aus, wenn er feststellt: "Hoppla, die machen das dauernd so." Dann könnte das Bußgeld auf einen fünf- oder sechsstelligen Betrag anwachsen.

Eines ist Petri zum Schluss noch wichtig: Er will keine Panik verbreiten. Hat er den Eindruck, dass ernsthaft an der Umsetzung des neuen Datenschutzes gearbeitet wird, ist er geneigt, von einem Bußgeld abzusehen. Meistens würden Missstände nach einem Hinweis von ihm bereinigt. Nur: "Stellen, die das Datenschutzrecht schlichtweg ignorieren, müssen jetzt mit Bußgeldern rechnen."