KMU Unternehmen muss 400.000€ Bußgeld durch DSGVO-Verstoß zahlen
Nach anfänglich großer Sorge der KMU-Unternehmen wurde es dann doch sehr ruhig um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Ein österreichisches Gerichtsurteil erhitze dann kürzlich doch die Gemüter.
Darin ging es um die Entfernung der Mieter-Klingelschilder aufgrund des Datenschutzes. Eine Deutsche Datenschützerin gab das Dementi zu der konkreten Handlungsempfehlung einer größeren Grundbesitzervereinigung. Namentliche Klingelschilder gehören der Vergangenheit an, so die Meinung anderer Datenschutz-Landesvorsteher.
Die DSGVO-Richtlinien werden auch von Praxen nur halbherzig umgesetzt. Noch immer sind bei der Anmeldung Patientenakten zum Teil einsehbar. Auf das namentliche Aufrufen wird nur in wenigen Fällen verzichtet.
Portugiesisches Krankenhaus muss hohes Bußgeld zahlen
Einem KMU-Unternehmen das knapp 300 Ärzte beschäftigt wurde ein Bußgeld in höhe von 400.000€ verhängt, so ist es vom EU-Nachbarland Portugal jetzt zu hören. Dieses und noch weitere 100.000€ Bußgeld wurden laut Publico dem Krankenhaus Barreiro Montijo von der Datenschutzbehörde CNPD (Comissao Nacional de Proteccao de Dados) für andere Vorkommnisse verhängt.
Mit den Benutzerberechtigungen habe man es nicht genau genug genommen, so der Vorwurf. Für Patientendateien waren dreimal mehr Zugänge angelegt als Ärzte angestellt waren. Fehlende Prozesse zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern, eine „kleine Schlamperei“, wie sie in vielen Unternehmen vorkommt. Zudem bestanden Techniker-Zugänge die ebenfalls Zugriff auf die Patientendaten hatten. Techniker einfach machen zu lassen oder Administratoren mehr Zugänge zu geben als nötig, weil man möchte, dass die IT einfach nur läuft ist auch ein typischer Fehler.
Allgemeine praktische Probleme
Ein hochrangiger Admin kann sich selbst auf fast alle Daten Zugänge gewähren jedoch werden Berechtigungsänderungen in der Regel protokolliert. Datenzugriffe für IT Admins sind überdies oft notwendig, denn wie soll beispielsweise eine beschädigte Datei sonst repariert werden. Doch Wildwuchs ist unbedingt zu vermeiden, solche Konzepte dürfen nicht ohne Kontrolle vergeben werden. Die Empfindung ist das alle Anwender inkl. Admins häufig davon genervt sind zahlreiche verschiedene Passwörter nutzten zu müssen und mühsam Berechtigungen einholen müssen, dies kostet schließlich Arbeitszeit, so schleichen sich die überhöhten Berechtigungen ein.
Früher war es fast unmöglich die Daten aller Patienten zu entwenden, es war gar nicht so leicht einen Aktenordner mitgehen zu lassen, denn das große schwere Ding musste an Kollegen und dem Pförtner vorbei, beim Transport konnte man beobachtet werden. Vielen Unternehmensverantwortlichen ist es noch nicht bewusst das im Industrie 4.0 Zeitalter zwar vieles schnelllebiger geworden ist und vieles auch schneller geht, doch eben auch größere Risiken bestehen. Dahingegen sieht niemand einen USB-Stick in einer Manteltasche und kaum ein Metalldetektor findet ihn – und doch können alle Patientendaten auf diesem winzigen Stick enthalten sein.
Risiken des Datenmissbrauchs sind gestiegen
Für Datenmissbrauch sind die Risiken ergo immens gestiegen. Auch illegitime Machenschaften sind im Zeichen der Digitalisierung einfacher geworden, nicht nur die Arbeit. Unabhängig von aller Kritik an der DSGVO sind Berechtigungskonzepte und Kontrollen unumgänglich geworden, dies sollten sich Unternehmen bewusst werden.
Für Konzepte und Kontrollen entstehen selbstverständlich Kosten. Diese sind jedoch weit geringer als die durch modernes Arbeiten erzielten Einsparungen und Effizienzsteigerungen im Sinne der Industrie 4.0. Die Etablierung geeigneter Maßnahmen ist für den Mittelstandsunternehmer allemal günstiger als 400.00€ Bußgelder.
Empfohlene Maßnahmen
Die verschiedenen Zugänge für die verschieden Laufwerke und Anwendungen können mithilfe einer simplen Excel Tabelle aufgelistet werden, so wird eine einfaches Berechtigungskonzept erstellt. Die Benutzergruppen, deren Berechtigungsstufen werden dem jeweiligen Zugang auf einem weiteren Tabellenblatt zugeordnet. Die Benutzer zu den Gruppen werden auf einem dritte Tabellenblatt aufgeführt.
Diese gepflegte Berechtigungskonzept kann dann der internen oder externen IT-Abteilung zur regelmäßigen Kontrolle übergeben werden. Ob Benutzerzugänge von ausgeschiedenen Zugangsberechtigten noch bestehen lässt sich auch über Stichproben kontrollieren.
Hinterlasse einen Kommentar