Unerlaubte Abfragen von Gesundheitsdaten, Behörden-Verstöße und Lücken bei der IT-Sicherheit – die Datenschützer haben 2023 viel zu tun gehabt. Die Landeshauptstadt Potsdam kommt dabei nicht gut weg.
Die Datenschützer des Landes Brandenburg haben die Landeshauptstadt Potsdam 2023 in zwei Fällen wegen fehlerhaften Umgangs mit Gesundheitsdaten und wegen Versäumnissen bei der IT-Sicherheit verwarnt. Das geht aus dem am Montag in Potsdam veröffentlichen Datenschutzbericht hervor. Zudem wurden wegen anderer Datenschutz-Verstöße in zehn Fällen Bußgelder von zusammen 13 900 Euro in Brandenburg verhängt – darunter 10 000 Euro gegen ein Lebensmittelgeschäft und einzelne Bußgelder etwa gegen Klinik-Mitarbeiter.
Datenschützer rügen Versäumnisse Potsdams bei IT-Sicherheit
Die Datenschützer kritisierten, die Stadt Potsdam habe auch bei einem zweiten Angriff auf die IT-Infrastruktur im Dezember 2022 keine vollständige Dokumentation der Sicherheitsmaßnahmen mit Blick auf personenbezogene Daten vorlegen können. Mängel nach einer Cyberattacke drei Jahre zuvor seien auch 2023 noch nicht beseitigt gewesen. Gesetzlich erforderliche Unterlagen habe die Stadt bislang nicht vorgelegt. «An den andauernden Versäumnissen gibt es nichts zu beschönigen: Die IT-Sicherheitsvorfälle in der Potsdamer Stadtverwaltung verdeutlichen, wie dringend sie ein systematisches IT-Sicherheitsmanagement benötigt», so die Datenschutzbehörde.
Vorwurf der diskriminierenden Verarbeitung von Gesundheitsdaten
Versäumnisse werfen die Datenschützer der Stadt Potsdam auch bei Anträgen auf Parkerleichterung von Menschen mit Schwerbehinderung vor. Hier seien widerrechtlich Gesundheitsdaten abgefragt worden, um die Fahrtauglichkeit noch einmal zu überprüfen. Dieser Fall sei besonders bedrückend und schockierend, sagte die Landesdatenschutzbeauftragte Dagmar Hartge. Dass jemand einen Schwerbehindertenausweis besitze, sei kein Grund, seine Fahreignung und eine mögliche Verkehrsgefährdung noch einmal zu überprüfen, hieß es. Das Verhalten der Stadt sei rechtswidrig gewesen. Ähnlich sei die Stadt, die eine Verwarnung erhielt, beim Führerschein-Tausch verfahren bei Menschen mit Schwerbehinderung.
Datenschutz-Verstoß: Krankheitstage im Pausenraum einsehbar
Vorgegangen ist die Datenschutzbehörde außerdem gegen ein Lebensmittelgeschäft, weil dessen Geschäftsführer im Pausenraum eine Tabelle mit den Krankheitstagen der namentlich genannten rund 40 Beschäftigten aufgehängt hatte. «Es handelt sich um einen besonders gravierenden Datenschutzverstoß», sagte Hartge. Die Offenlegung der Gesundheitsdaten sollte, so der Geschäftsführer, vor dem Hintergrund der schlechten wirtschaftlichen Lage des Unternehmens verdeutlichen, dass ein hoher Krankenstand dem Unternehmen schade. Dies sei nicht erlaubt und verstoße gegen das Datenschutzrecht.
Unerlaubte Datenabfragen in Krankenhäusern
Im vergangenen Jahr habe die Behörde auffällig viele Meldungen über unerlaubte Datenabfragen in Krankenhäusern erhalten. In zwei Fällen sei ein Bußgeld gegen Beschäftigte verhängt worden, die sich aus reiner Neugier und ohne dienstlichen Grund für den Krankheitsverlauf ihrer Kolleginnen interessierten. Durch die Zugriffe seien besonders geschützte Gesundheitsdaten der betroffenen Mitarbeiterinnen offenbart worden wie Arztbriefe, Laborergebnisse und Berichte über Behandlungen oder Operationen. Die Bußgelder gegen Klinik-Mitarbeiter lägen im Bereich zwischen 200 bis 300 Euro, so Hartge.
dpa