CVS, die größte Apothekenkette der USA, ist im Umgang mit sensiblen Patientendaten offenbar recht sorglos: Das Unternehmen, das landesweit mehr als 6300 Filialen betreibt, muss eine Geldstrafe von mehr als 2 Millionen US-Dollar wegen des Verstoßes gegen Datenschutzauflagen an das US-Gesundheitsministerium zahlen. Das Ministerium und die US-Handelsaufsicht FTC hatten 2006 die Ermittlungen gemeinsam eröffnet, nachdem US-Medien über die „unsauberen“ Entsorgungspraktiken von Patientendaten berichtet hatten.

Den Angaben zufolge hatten Mitarbeiter in einigen Filialen sensible Kundendaten einfach im Hausmüll entsorgt; darunter Rezeptdaten und Pillendosen mit Namen und Adressen der Patienten sowie des behandelnden Arztes. Desweiteren fanden sich vertrauliche Informationen wie Sozialversicherungs- oder Führerscheinnummern und auch Kreditkartendaten sowie Informationen zum Krankenversicherungsstatus einiger Kunden in den öffentlich zugänglichen Mülltonnen wieder.

Neben der Geldstrafe hat die Apothekenkette weitreichende Auflagen von den Behörden zur Verbesserung des Datenschutzes bekommen: CVS hat sich dabei verpflichtet, ein Compliance-Programm aufzusetzen, dass unter anderem alle Mitarbeiter im Umgang mit vertraulichen Patientendaten schult. Zusätzlich muss das Unternehmen in regelmäßigen Abständen durch unabhängige Datenschützer kontrollieren lassen, ob die neu eingeführten Bestimmungen tatsächlich eingehalten werden.