Die nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat im Januar 2025 eine Untersuchung beim Betreiber Medstar SRL abgeschlossen und einen Verstoß gegen die Bestimmungen von Art. 37 DSGVO festgestellt. 32, 33 und 34 der Verordnung (EU) 2016/679 (DSGVO).

Aus diesem Grund wurde der Betreiber mit folgenden Strafen belegt:

• Geldstrafe in Höhe von 9.946,2 Lei (entspricht 2.000 Euro) für den Verstoß gegen die Bestimmungen des Art. 32 der Verordnung (EU) 2016/679.
• Abmahnung wegen Verstoßes gegen die Bestimmungen des Art. 33 und Art. 34 der Verordnung (EU) 2016/679.

Die Untersuchung wurde aufgrund einer Beschwerde einer betroffenen Person eingeleitet, die behauptete, dass der Betreiber, bei dem er seine medizinischen Tests durchführen ließ, die Medstar-Klinik, seine persönlichen Daten und die einer anderen betroffenen Person weitergegeben habe.  

Im Zuge der Ermittlungen wurde festgestellt, dass der Betreiber die Gesundheitsdaten des Antragstellers irrtümlicherweise und auf unsicherem Wege per E-Mail an eine andere Person (einen Patienten) weitergab bzw. die Gesundheitsdaten eines anderen Patienten an den Antragsteller übermittelte.

Diese Situation führte somit zur unbefugten Offenlegung personenbezogener und besonderer Daten mehrerer betroffener Personen, wie etwa: Name, Nachname, persönliche Identifikationsnummer, Alter, Geschlecht, Wohnort, Mobiltelefonnummer, E-Mail-Adressen, medizinische Daten aus der Krankengeschichte des Patienten, Art der durchgeführten Tests, Name des empfehlenden Arztes und seines Fachgebiets, Name des durchführenden Arztes und seines Fachgebiets, Testergebnisse, medizinische Empfehlung, Name des Kostenträgers, verordnete Behandlung.

Zudem wurde festgestellt, dass der Betreiber keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen im Sinne des Art. 38 DSGVO getroffen hat. 32 der DSGVO, angepasst an die Art der verarbeiteten personenbezogenen Daten, was zur unbefugten Offenlegung der personenbezogenen Daten einiger betroffener Personen führte.

Daher wurde der Betreiber Medstar SRL wegen Verstoßes gegen die Bestimmungen des Art. mit einer Geldstrafe belegt. 32 der Verordnung (EU) 2016/679.

Da der Betreiber gleichzeitig die Datenschutzverletzung weder der nationalen Aufsichtsbehörde für die Verarbeitung personenbezogener Daten gemeldet noch die betroffenen Personen über die unbefugte Weitergabe ihrer personenbezogenen Daten informiert hatte, erhielt er zwei Verwarnungen wegen Verstoßes gegen die Bestimmungen von Art. 33 und Art. 34 der Verordnung (EU) 2016/679.

Gleichzeitig wurde der Betreiber dazu verpflichtet, folgende  Abhilfemaßnahmen zu ergreifen :

• Gewährleistung der Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten durch die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen, die den Besonderheiten der Verarbeitung und den identifizierten Risiken während des gesamten Datenverarbeitungszyklus angemessen sind, insbesondere im Hinblick auf die Überprüfung der Richtigkeit der verarbeiteten personenbezogenen Daten, die Festlegung geeigneter Regeln im Zusammenhang mit der Verwaltung von Dateien, die mit elektronischen Kommunikationsmitteln (fern) übermittelt werden können, die Schulung von Personen, die Daten unter der Aufsicht des Betreibers verarbeiten, die regelmäßige Überprüfung der Einhaltung der ihnen übermittelten Anweisungen und die Automatisierung bestimmter Prozesse, um die Risiken einer illegalen oder unbefugten Verarbeitung personenbezogener Daten zu verringern;
• Gewährleistung der Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten durch die Ergreifung der erforderlichen internen Maßnahmen zur raschen Erkennung, Bewältigung und Meldung von Verletzungen der Sicherheit personenbezogener Daten, unabhängig davon, ob eine Meldung an die Aufsichtsbehörde und/oder die betroffenen Personen erforderlich ist oder nicht, sowie durch angemessene und regelmäßige Schulungen der Personen, die im Auftrag des Verantwortlichen Daten verarbeiten;
• die Personen, denen personenbezogene Daten offengelegt wurden, über die Datenschutzverletzung zu informieren, indem ihnen die in Art. 3 vorgesehenen Informationen zur Kenntnis gebracht werden. 34 der DSGVO;
• Sicherstellung der Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten, indem wir die Personen, denen die Daten offengelegt wurden (betroffene Personen), auffordern, die ihnen unbefugt offengelegten personenbezogenen Daten Dritter nicht zu verwenden und zu löschen.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_20_02_2025&lang=ro