Die Veröffentlichung personenbezogener Daten ohne Zustimmung der betroffenen Personen ist ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) und kann zu empfindlichen Bußgeldern führen. Eine Gesundheitsbehörde in Süditalien hat nun auf kostspielige Weise lernen müssen, dass das manuelle Schwärzen von personenbezogenen Daten mittels Filzstift keine wirksame Methode zur Anonymisierung darstellt.
Im Feedbackbereich der Webseite der Gesundheitsbehörde wurden über Jahre hinweg Informationen über den Gesundheitszustand von Betroffenen veröffentlicht, die sich aus Dankesschreiben, Briefen und E-Mails an die Gesundheitsbehörde ergaben. Um die personenbezogenen Daten und Gesundheitsdaten der Betroffenen zu schützen, wurden diese vor der Veröffentlichung mit einem Filzstift geschwärzt.
Trotz dieses Vorgehens waren allerdings viele Informationen weiterhin erkennbar. Ein Hinweis auf diese Veröffentlichungen führte dazu, dass die italienische Datenschutzbehörde die Gesundheitsbehörde ins Visier nahm und ein Bußgeld in Höhe von 50.000 Euro verhängte.
Die Behörde legte außerdem fest, dass das manuelle Schwärzen von Daten mit einem Marker oder Filzstift kein geeignetes Verfahren zur Anonymisierung personenbezogener Daten darstellt. Dies gelte auch dann, wenn es wirksam durchgeführt werde und keine Informationen mehr erkennbar seien. Es gibt andere Verfahren zur Anonymisierung von Daten, die von Experten empfohlen werden und die rechtlichen Anforderungen der DSGVO erfüllen.
Diese Entscheidung verdeutlicht, dass die Anonymisierung von personenbezogenen Daten immer noch ein Dauerbrenner im Datenschutzrecht ist. Gerade die kleinen Dinge werden im Alltag oftmals vernachlässigt oder nicht ernst genug genommen. Es ist aber wichtig, dass Unternehmen und Behörden sich an die Datenschutzbestimmungen halten, um Bußgelder und Reputationsschäden zu vermeiden und das Recht auf informationelle Selbstbestimmung der Betroffenen zu gewährleisten.
Sanktionsadressat
Azienda sanitaria locale di Bari
Bußgeld
50.000 Euro
Verletzte Rechtsnorm
Art. 5 Abs. 1 lit a, c, f DSGVO
Art. 9 DSGVO
Art. 25 Abs. 1, 2 DSGVO
Art. 2 lit. f codice della privacy
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Italien – Garante per la protezione dei dati personali
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870171
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen