(UK) Bußgeld in Höhe von 320.000 € aufgrund "Papier"-Datenschutzpanne
Thomas Reisinger | 30.December 2019Artikelinhalt
Achtung an alle die noch Ordnerweise Daten in Papierform aufbewahren. Haben Sie von diesen Daten Backups? Wie schützen Sie diese Unterlagen vor Umwelteinflüssen? Auch hier greift die DSGVO und somit wird der Verlust von schriftlichen Aufzeichnungen zu einem Data Breach. Diese Erfahrung musste vor Kurzem ein Pharmaunternehmen in Großbritannien machen gegen welches ein Bußgeld in Höhe von 320.000€ verhängt wurde - Der Grund, ein Wasserschaden.
Die DSGVO verpflichtet Unternehmen nicht nur dazu personenbezogene Daten möglichst sparsam zu verarbeiten oder diese nach einer festgelegten Frist zu löschen, sondern auch dazu, diese vor Verlust zu schützen. Gehen Daten (unplanmäßig) verloren, so stellt dies einen Data Breach dar. Dies gilt gleichermaßen für Daten, welche digital gehalten werden, als auch für solche, welche in analoger Form - wie etwa in einem Aktenarchiv - existieren.
Weil das britische Pharmaunternehmen Doorstep Dispensaree personenbezogene Daten in Form von schriftlichen Dokumenten nicht in versiegelten Containern gelagert hat und diese durch den Eintritt von Wasser beschädigt wurden, hat die britische Aufsichtsbehörde (ICO) ein Bußgeld in Höhe von EUR 320.000 verhängt. Nach Ansicht des ICO hat das belangte Unternehmen aufgrund der gewählten Art der Lagerung gegen die Pflichten gem Art 24 bzw Art 32 DSGVO verstoßen, da keine ausreichenden Schutzmaßnahmen ergriffen wurden.
Aufgrund der unzureichenden Schutzmaßnahmen sowie aufgrund Mängeln der Datenschutzerklärung wurde nach Durchführung eines Ermittlungsverfahrens schließlich von der ICO ein Bußgeld in Höhe von EUR 320.000 (£275.000) verhängt. Erschwerend bei der Strafbemessung war nach Ansicht des ICO hierbei zu berücksichtigen, dass es sich in erster Linie um medizinische Daten handelte, welche unter Art 9 DSGVO fallen und daher besonders schutzwürdig sind.
Weiters ordnete die ICO ein umfassendes Paket an Umsetzungsmaßnahmen wie etwa Schulungen von Mitarbeitern, Erstellung von Richtlinien, das Etablieren eines Datenschutzmanagementsystems, etc... an, welche binnen drei Monaten umzusetzen sind.
Links zum Artikel
Pressemitteilung ICO (englisch)
Entscheidung des ICO (englisch)
Bericht telegraph (englisch)
