computerwoche.de

Web

200.000 Dollar Strafe für laxen Datenschutz

22.06.2005

MÜNCHEN (COMPUTERWOCHE) - Erstmals sieht sich in den Vereinigten Staaten ein Unternehmen mit einer Strafzahlungsaufforderung konfrontiert, weil es mit den Online-Daten von Kunden unverantwortlich umgegangen ist und diese nicht vor dem Zugriff Dritter geschützt hat.

Das California Department of Managed Health Care (DMHC), eine Konsumerrechtsorganisation, die Bürger bei der Verfolgung ihrer Rechte in Gesundheitsfragen unterstützt, hat die Kaiser Foundation Health Plan zur Zahlung von 200.000 Dollar aufgefordert. Grundlage für solch ein Rechtsverfahren ist der Health Insurance Potability and Accountability Act (HIPAA) sowie kalifornisches Recht. Danach kann mit einer Strafe belegt werden, wer die Vertraulichkeit von medizinischen Informationen Dritter verletzt, ohne vorher die Einwilligung von Betroffenen eingeholt zu haben. Das DMHC fungiert in den USA quasi als nationale Wachhund-Organisation in Gesundheitsfragen.

Kaiser hat nun bis zum 25. Juni 2005 Zeit, Informationen beizubringen, die ihre Verfehlung in einem anderen Licht zeigt, um so der Strafzahlung zu entgehen. Das Unternehmen hat sich während der Untersuchungen von DMHC aber kooperativ gezeigt.

DMHC wirft Kaiser Foundation Health Plan vor, es habe durch sein IT-Personal ein Web-Portal entwickeln lassen. Diese Site enthielt vertrauliche Daten von Patienten wie beispielsweise Name, Adresse, Telefonnummer und Laborergebnisse. Dieses Portal war als Test-Site geplant, konnte aber seit 1999 von der Öffentlichkeit eingesehen werden. Da Kaiser von den Betroffenen vorher nicht die Genehmigung zur Veröffentlichung von Daten eingeholt hatte, lag ein Verstoß gegen kalifornisches Recht vor.

DMHC argumentierte, Kaiser hätte die Daten bis Januar 2005 auf seiner Web-Site veröffentlicht. Erst nachdem Bürgerrechtsorganisationen hellhörig geworden seien, habe Kaiser reagiert und die Web-Site geschlossen.

Kaiser habe durch sein Verhalten nicht nur Datenschutzrecht gebrochen. Vielmehr habe die Gesundheitsorganisation sich auch nicht bemüht, etwas gegen die Veröffentlichung vertraulicher Daten zu unternehmen, monierte Cindy Ehnes, die Direktorin von DMHC. (jm)