Schweden: Bußgeld für Offenlegung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten ist immer ein heikles Thema. Diese und andere sensiblen Daten genießen nach der DSGVO einen besonders hohen Schutz. Vor allem in Zeiten der Corona-Pandemie haben Fragen rund um Gesundheitsdaten und ihre Verarbeitung Hochkonjunktur. Dabei kann man aber so einiges falsch machen, wie ein aktuelles Beispiel aus Schweden aufzeigt. Wir haben uns einmal angeschaut, wie es nicht sein sollte.

Daten ungeschützt im Internet

Im Jahr 2019 hatten schwedische Medien berichtet, dass aufgezeichnete Telefongespräche des schwedischen medizinischen Beratungsdienstes „1177 Vårdguiden“ ohne Passwortschutz oder andere Sicherheitsmaßnahmen auf einem Webserver verfügbar gewesen waren. Die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten, kurz IMY), leitete zunächst eine Untersuchung gegen eine der an dem Dienst beteiligten Organisationen ein. In der Folge wurde die Untersuchung auf insgesamt sechs Organisationen ausgeweitet: drei Unternehmen und drei Regionen in Schweden. Das IMY hat seine Untersuchung nun abgeschlossen.

Dass personenbezogen Daten ungeschützt im Internet zu finden sind, kommt leider nicht selten vor. In regelmäßigen Abständen geistern Berichte über Datenschutzvorfälle und Datenpannen durch die Presse. Unabhängig davon, ob es sich dabei um einen Angriff von außen handelt, wie beispielsweise der Angriff der Hafnium-Gruppe vor nicht allzu langer Zeit, oder ob die Pannen aus bloßer Fahrlässigkeit geschehen, die Folgen können für den Verantwortlichen gravierend sein. Neben hohen Bußgeldern, welche gemäß Art. 83 Abs. 5 DSGVO bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes betragen können, kommen natürlich auch Schadensersatzzahlungen an die betroffenen Personen gemäß Art. 82 DSGVO in Betracht.

Beratung online oder per Telefon

1177 Vårdguiden ist ein medizinischer Dienst, der von allen 21 Regionen in Schweden angeboten wird und von diesen auch betrieben wird. Es handelt sich um einen Dienst, der Informationen über Gesundheit und medizinische Versorgung sammelt. Der Dienst ist sowohl online als auch per Telefon verfügbar. Jede Region führt ihre eigene medizinische Beratungstätigkeit entweder selbst oder durch Subunternehmer durch, aber alle Regionen sind Teil eines nationalen Netzwerks.

Einer der öffentlich-rechtlichen Betreiber, die Medhelp AB, hatte ein thailändisches Unternehmen, die Medicall Co Ltd, mit der Bearbeitung von Anrufen an „1177“ beauftragt, die nachts und an Wochenenden eingingen. Medhelp und Medicall hatten einen Vertrag mit einem Technologieunternehmen namens Voice Integrate Nordic AB für die Telefonzentrale und die Aufzeichnung von Telefongesprächen geschlossen. Die Aufzeichnungen der Telefongespräche, die an das Unternehmen in Thailand weitergeleitet wurden, waren im Internet auf einem von Voice Integrate geführten Server verfügbar.

Keine ausreichenden TOM und falsche Konfiguration

Die Ermittlungen des IMY haben ergeben, dass eine sogenannte Network-Attached-Storage-Einheit falsch konfiguriert worden und dadurch öffentlich im Internet zugänglich war. Zudem nutzte die Einheit keine verschlüsselte Kommunikation. Folglich wurde eine große Menge an Gesprächen ohne Passwortschutz oder andere Sicherheitsvorkehrungen unbewusst offengelegt. Das Einzige, was nötig war, um mit den Anrufen Zugriff auf die Dateien zu erhalten, war die Kenntnis der IP-Adresse der Speichereinheit.

Die Medhelp AB ist als medizinischer Leistungserbringer der Verantwortliche gemäß Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten. In dieser Eigenschaft sind sie also auch dafür verantwortlich, geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten und um personenbezogene Daten – in diesem Fall Sprachaufzeichnungen – zu schützen, so dass Unbefugte keinen Zugang zu ihnen erhalten. Dies ist besonders problematisch, wenn es sich wie hier mit Gesundheitsdaten um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO handelt. Daher gelten hinsichtlich der Geeignetheit der TOM besonders hohe Anforderungen.

Informationspflichten nicht erfüllt

Dies waren aber nicht die einzigen festgestellten Verstöße. Die Medhelp AB war ihren Informationspflichten nach Art. 13 DSGVO nicht nachgekommen. Die Betroffenen waren nicht ausreichend informiert worden , wie ihre personenbezogenen Daten verarbeitet werden und wer der für die Datenverarbeitung Verantwortliche ist. Auch dies stellt einen elementaren Verstoß gegen datenschutzrechtliche Vorschriften dar, welcher ebenfalls mit dem „großen Bußgeld“ nach Art. 83 Abs. 5 DSGVO geahndet werden kann. Die DSGVO hat sich bekanntlich auf die Fahnen geschrieben, u. a. den Grundsatz der Transparenz mit Leben zu füllen. Ein Verstoß gegen Art. 13 DSGVO ist daher – aus datenschutzrechtlicher Sicht – alles andere als ein Kavaliersdelikt.

Auch war die Beauftragung des thailändischen (Sub-)Dienstleisters war im vorliegenden Fall problematisch. Die Medicall Co Ltd. fällt nicht unter die schwedische Gesetzgebung zur gesundheitlichen und medizinischen Versorgung und auch nicht unter die gesetzlich festgelegte Geheimhaltungspflicht in der gesundheitlichen und medizinischen Versorgung. Da die Datenübermittlung hier bereits aus diesem Grunde unrechtmäßig war, stellt dies natürlich auch einen Verstoß gegen das Gebot der Rechtmäßigkeit der Datenverarbeitung aus Art. 5 Abs. 1 lit. a DSGVO dar.

Auftragsverarbeitung im Fokus

Um das Ganze auf die Spitze zu treiben, lief auch beim Auftragsverarbeiter, der Voice Integrate Nordic AB, etwas schief. Auch der Auftragsverarbeiter muss nach Art. 28 DSGVO angemessene TOM bereitstellen, um ein nahtlos hohes Datenschutzniveau zu gewährleisten. Aus der Mitteilung des IMY geht zwar nicht hervor, welche konkreten Maßnahmen nicht ausreichend gewesen sind. Allerdings ist zu vermuten, dass wohl auch hier kein ausreichender technischer und bzw. organisatorischer Datenschutz gewährleistet war.

Eine weitere Pointe des Falls war, dass das IMY von mehreren der betroffenen Organisationen Meldungen über Datenschutzverletzungen erhalten hat, nachdem der Vorfall in den Medien bekannt geworden war. Offenbar waren nicht einmal die datenschutzrechtlichen Verantwortlichkeiten zwischen den Beteiligten abschließend geklärt. Magnus Bergström, IT-Sicherheitsspezialist beim IMY und Teil des Untersuchungsteams, erklärte dazu:

„Nur der für die Verarbeitung Verantwortliche, in diesem Fall Medhelp, muss eine Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde melden. Die Tatsache, dass wir mehrere Benachrichtigungen erhalten haben, deutet darauf hin, dass es Unklarheit über die Verantwortung zwischen den verschiedenen Parteien gegeben hat. Eine klare Verteilung der Verantwortung ist entscheidend, um ein hohes Maß an Sicherheit zu erreichen“.

Hohe Bußgelder gegen die Beteiligten verhängt

Aufgrund der zahlreichen festgestellten Verstöße hat die IMY ein Bußgeld in Höhe von 12 Millionen SEK (1.193.813 EUR) gegen Medhelp verhängt. Die Voice Integrate Nordic AB hat ein Bußgeld in Höhe von 650 000 SEK (64 665 EUR) zu zahlen. Damit kam sie vergleichsweise gut weg. Dies lässt sich sicherlich auch damit begründen, dass Voice Integrate „nur“ Auftragsverarbeiter und nicht Verantwortlicher war.

Insgesamt ist es zu begrüßen, dass die schwedische Aufsichtsbehörde hier konsequent durchgegriffen hat. Wie wichtig der Schutz von Gesundheitsdaten ist, zeigt die aktuelle Entwicklung z. B. bei der elektronischen Patientenakte. Da auch im Kampf gegen die Corona-Pandemie Gesundheitsdaten immer wieder in den Blickpunkt geraten, sei es zur Wiedereinführung von Grundrechten für Geimpfte oder für den digitalen Impfpass, ist es gut und richtig, dass Aufsichtsbehörden europaweit Verstöße gegen Art. 9 DSGVO sanktionieren. Die Zukunft wird zeigen, ob Vorfälle wie aktuell in Schweden wirklich nur Einzelfälle sind oder vielleicht eher die Spitze des Eisbergs bilden.