Schwedische Datenschutzbehörde ahndet Leak von sensiblen Daten mit Millionen-Bußgeld
Die schwedische Datenschutzbehörde hat gegen den medizinischen Beratungsdienst 1177 bzw. gegen dessen Betreiber Medhelp nach Abschluss der Untersuchungen ein erhebliches Bußgeld in Höhe von knapp 1,19 Mio. € verhängt. Demnach wurde dem Beratungsdienst vorgeworfen durch fehlerhafte Konfigurationen von technischen Sicherungsmaßnahmen Gesundheitsdaten auf einem Webserver öffentlich zugänglich gemacht zu haben. Hierfür war lediglich die IP-Adresse erforderlich, um Informationen über die Gesundheit und medizinische Versorgung einzelner Personen zu erhalten.
Die Untersuchung wurde sodann wegen der komplexen Fallgestaltung erschwert. So wird der Dienst in 21 Regionen (Landkreisen) in Schweden eingesetzt und durch die Medhelp betrieben. Zum Zeitpunkt des Vorfalls wurde jeder Anruf unter der Rufnummer 1177 zunächst an die Firma Inera geleitet, die die gemeinsamen Systeme verwaltet und entwickelt. Medhelp selbst hatte außerdem die thailändische Firma Medicall Co Ltd damit beauftragt an den Wochenenden und in den Nachtzeiten Anrufe unter 1177 zu bearbeiten. Zur Sicherung der Servicequalität hatten Medhelp und Medicall zusätzlich das Technologieunternehmen Voice Integrate Nordic AB für die Vermittlungsfunktionalität und die Aufzeichnung von Telefongesprächen beauftragt. Die entsprechenden Aufzeichnungen waren dann auf dem öffentlich zugänglichen Webserver verfügbar.
Nach Abschluss der Untersuchung und der Entwirrung der Umstände stellte die schwedische Aufsichtsbehörde fest, dass die Medhelp und die Voice Integrate Nordic AB die überwiegenden Verantwortlichen des Datenschutzverstoßes seien. Die Medhelp wurde demnach mit einem Bußgeld von 1.193.813 € bestraft während die Voice Integrate Nordic AB ein Bußgeld in Höhe von 64.655 € erhielt. Auch die Regionen (Landkreise) Stockholm, Sodermanland und Varmland, die die Dienstleistung von Medhelp in Anspruch genommen haben, wurden mit Bußgeldern von bis zu 50.000 € bestraft.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
