FD Frank Dieffenbach Beratung im Gesundheitswesen

blogteaser image
  • Gerichtsurteile und Strafen

Aktuelle Gerichtsurteile

- Frank Dieffenbach

Im Dezember 2024 wurde ein belgisches Krankenhaus zur Zahlung von 200.000 € verurteilt, weil es zum zweiten Mal im Jahr 2021 Opfer eines Hackerangriffs geworden war nachdem bereits 2019 ein Angriff auf das Haus erfolgreich war.

Im zweiten Fall gelang es dem Eindringling über den Microsoft Exchange Server in das Netzwerk einzudringen, die Antivirenlösung zu deaktivieren, BitLocker auf den Servern des Hauses zu aktivieren und den Zugriff durch die Anwender zu blockieren. Darüber hinaus hat er 5 GByte an Daten abgezogen. Über die Dauer des Angriffs hatte das Haus keine Datenverbindung nach außen unter seiner Kontrolle und es musste der Krankenhaus-Notfallplan aktiviert werden.

Bei der Bewertung des Vorfalls kam die Kammer zum Ergebnis, dass das Haus grob fahrlässig gehandelt habe, da es aus dem ersten Angriff nicht konsequent genug notwendige Abhilfemaßnahmen umgesetzt habe.

Folgende Verstösse wurden festgestellt:

– Artikel 35.3 DSGVO:

Das Fehlen eines Privacy Impact Assessments (PIA) beraubte das Krankenhaus der Möglichkeit, seine IT-Systeme besser zu kartografieren und so Überlegungen über geeignete Maßnahmen zur Bewältigung von Risiken, insbesondere von Datenverletzungen, anzustellen.

– Art. 32 DSGVO:

Unzureichende geeignete technische und organisatorische Maßnahmen erhöhen das Risiko von Datenverletzungen und verringern die Fähigkeit des für die Verarbeitung Verantwortlichen, diese zu dokumentieren, wodurch der Schutz personenbezogener Daten vor unbefugtem Zugriff gefährdet wird.

– Artikel 5.1.f) DSGVO:

Unzureichende Sicherheitsmaßnahmen untergraben den Grundsatz der Integrität und Vertraulichkeit, indem sie die Daten anfällig für unbefugten Zugriff, Änderungen und Offenlegung machen. Dies untergräbt direkt die Anwendung von Artikel 5.1.f) DSGVO, dessen Ziel es ist, sicherzustellen, dass personenbezogene Daten sicher verarbeitet werden.

– Artikel 24 DSGVO:

Unzureichende Sicherheitsmaßnahmen, einschließlich einer fehlenden regelmäßigen Aktualisierung, spiegeln ein Versagen des für die Verarbeitung Verantwortlichen bei der Erfüllung der Verpflichtungen aus Artikel 24 DSGVO wider, der die Implementierung und kontinuierliche Aktualisierung geeigneter Maßnahmen verlangt, um die Einhaltung der DSGVO zu gewährleisten und nachzuweisen.

HOLEN SIE SICH DIE TIPPS VOM EXPERTEN UND UND BLEIBEN SIE IMMER AUF DEM NEUSTEN STAND!