DSGVO-Compliance-Programm für eine Krankenhausgruppe: von der Untersuchung zur vollständigen Compliance

Die Herausforderung

Eine private Krankenhausgruppe mit zwölf Zentren in drei spanischen Regionen und mehr als dreitausend Mitarbeitern erlitt eine Datenpanne, die die Gesundheitsdaten von rund viertausend Patienten betraf. Die Panne, verursacht durch einen Ransomware-Angriff, wurde der AEPD innerhalb der gesetzlichen Frist gemeldet, aber die Behörde leitete eine Untersuchung ein, um zu beurteilen, ob die vorherigen Sicherheitsmaßnahmen angemessen gewesen waren und ob die Reaktion auf die Panne ordnungsgemäß durchgeführt worden war.

Die potenzielle Sanktion war erheblich: Die DSGVO erlaubt bei schwerwiegenden Verstößen mit besonderen Datenkategorien wie Gesundheitsdaten Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes. Über das finanzielle Risiko hinaus war das Unternehmen einem erheblichen Reputationsrisiko ausgesetzt in einem Sektor, in dem das Vertrauen der Patienten grundlegend ist.

Die Erstbewertung offenbarte, dass die Gruppe kein strukturiertes DSGVO-Compliance-Programm hatte: Kein Datenschutzbeauftragter war formell bestellt, mehrere Hochrisikoverarbeitungskategorien hatten keine dokumentierten Datenschutz-Folgenabschätzungen (DSFA), und die Protokolle zum Umgang mit Datenpannen waren unzureichend.

Unser Ansatz

Wir aktivierten sofort ein multidisziplinäres Team, das Datenschutzanwälte, Cybersicherheits-Technologieberater und einen Gesundheitsregulierungsspezialisten kombinierte. Innerhalb der ersten zweiundsiebzig Stunden bereiteten wir die erste Antwort an die AEPD vor: einen detaillierten Bericht der vor der Panne implementierten Sicherheitsmaßnahmen, einen chronologischen Bericht über Erkennung und Eindämmung des Vorfalls sowie die bereits ergriffenen Korrekturmaßnahmen.

Die Strategie vor der AEPD basierte auf drei Argumenten: Die Benachrichtigung war zeitnah und vollständig erfolgt; die Sicherheitsmaßnahmen waren für eine Einrichtung dieses Typs angemessen, wenn auch verbesserungswürdig; und die Gruppe hatte nach der Panne proaktiv zusätzliche Maßnahmen ergriffen, die echtes Engagement für den Datenschutz demonstrierten. Wir belegten jedes Argument mit dokumentarischen Beweisen.

Gleichzeitig konzipierten und implementierten wir das umfassende Compliance-Programm: Bestellung und Schulung des Datenschutzbeauftragten, Verzeichnisse von Verarbeitungstätigkeiten für alle zwölf Zentren, DSFAs für alle identifizierten Hochrisikoverarbeitungstätigkeiten (elektronische Gesundheitsakten, Telemedizin, Videoüberwachungssysteme), ein Protokoll zur Handhabung von Datenpannen und ein Schulungsprogramm für alle Mitarbeiter, angepasst an jede Berufsgruppe.

Ergebnisse

Die AEPD schloss die Untersuchung durch Archivierungsbeschluss ohne Verhängung einer Sanktion ab und anerkannte die aktive Kooperation der Gruppe und die ergriffenen Korrekturmaßnahmen. Dies war das optimale unter den gegebenen Ausgangsbedingungen erreichbare Ergebnis.

In den folgenden sechs Monaten erreichten alle zwölf Zentren der Gruppe die vollständige Einhaltung der DSGVO und der spanischen Gesundheitsdatenschutzvorschriften (Gesetz 41/2002 und anwendbare regionale Gesetzgebung). Dreitausend Mitarbeiter absolvierten das rollenspezifische Schulungsprogramm. Die Gruppe verfügt nun über eine robuste Compliance-Infrastruktur mit jährlichen Überprüfungen und geplanten Pannenbewältigungs-Übungen.

Der Datenschutzbeauftragte koordiniert heute regelmäßige interne Audits, um neue Verarbeitungstätigkeiten frühzeitig zu bewerten, bevor sie eingeführt werden — ein präventiver Ansatz, der die Reaktionszeit im Falle künftiger Vorfälle erheblich reduziert. Dieser Fall verdeutlicht eine wichtige Lektion für Gesundheitseinrichtungen: Eine Datenpanne ist nicht automatisch mit einer DSGVO-Sanktion gleichzusetzen. Entscheidend ist die Qualität der Reaktion — Transparenz gegenüber der Aufsichtsbehörde, Nachweis verhältnismäßiger vorheriger Maßnahmen und erkennbares Engagement für nachhaltige Verbesserung.