UK: Datenschutzverletzung: £ 15.000 Strafe
Der Diebstahl eines Laptops führte zu einer hohen Strafe für „kleines“ Pflegeheim
Laptop bei Einbruch gestohlen
Laptops werden oft auch von Mitarbeitern zu Hause verwendet. Wie sind die personenbezogenen Daten vor dem Zugriff von unberechtigten Personen geschützt?
Wenn die personenbezogenen Daten ungeschützt sind, kann dies weitreichende Folgen haben
ICO in England ist dabei sehr streng
Ein englisches Pflegeheim hat im August 2016 eine Strafe wegen einer Datenschutzverletzung erhalten. Der tatsächliche Verlust der Daten war ein bedauerlicher „Zufall“. Eine Mitarbeiterin hatte einen Laptop mit nach Hause genommen, um auf diesem in Heimarbeit etwas zu erledigen, was sie öfter so getan hatte. Sie hatte den Laptop in der Tasche, und es wurde in das Privathaus eingebrochen und auch der Laptop gestohlen. Der Einbruch wurde angezeigt, aber der Laptop konnte nicht mehr sichergestellt werden.
Auf dem Laptop waren sensible Daten iSd Datenschutzgesetzes gespeichert, nämlich u.a. Daten wie Geburtsdatum aber auch Informationen über den Gesundheitszustand von 29 Bewohnern sowie Informationen, ob die Person wiederbelebt werden möchte oder nicht. Des weiteren waren Daten über 46 Mitarbeiter, deren Abwesenheiten wegen Krankheit, medizinische Unterlagen sowie auch Disziplinarangelegenheiten auf dem Laptop gespeichert.
Die Daten waren unverschlüsselt. Der Laptop wurde üblicherweise in einem unversperrten Büro aufbewahrt, damit er während der Arbeitszeit von den Mitarbeiterinnen ungehindert verwendet werden konnte.
Das Unternehmen hatte keinerlei Policy zur Verwendung von Verschlüsselungsmechanismen, Heimarbeit oder Aufbewahrung von mobilen Geräten und es gab keinerlei Schulung im Bereich Datenschutz für die Mitarbeiterinnen.
Der Information Commissoner hat festgehalten, dass das Pflegeheim keine ausreichenden technischen oder organisatorischen Maßnahmen gesetzt hatte, um den unauthorisierten Zugriff oder den Verlust von personenbezogenen Daten zu verhindern.
Der Information Commissioner hat auch „mildernde Umstände“ gefunden, nämlich:
Der Laptop war passwortgeschützt.
Die personenbezogenen Daten wurden nicht weitergegeben bzw. sind nicht "aufgetaucht".
Die Betroffenen wurden über den „Data Breach“ in Kenntnis gesetzt.
Die Datenschutzverletzung wurde der Behörde gemeldet.
Es wurden wesentliche Maßnahmen zum Datenschutz gesetzt.
Die Strafe von £ 15.000,-- wurden als angemessen angesehen.
Die Strafen in Österreich liegen derzeit weit unter diesem Betrag; es ist jedoch zu erwarten, dass mit 25.5.2016, dem Tag, an dem die Datenschutzgrundverordnung (DSGVO oder DSVO) in Geltung tritt, und mit der Strafrahmen in Österreich verachthundertfacht, dh sich auf EUR 20.000.000,-- oder 4 % des weltweiten Konzernumsatzes des Vorjahrs erhöht, ähnlich hohe Strafen verhängt werden.
Wir beraten Sie gerne im Bereich Datenschutzcompliance und Einhaltung der wesentlichen Reglungen sowie Analyse etwaiger Schwachstellen und Planung sowie Umsetzung von Datenschutzkonzepten.
Kommentar schreiben