Aktuelles

09.05.2023

In einem offenen Brief (abrufbar hier) vom 22.03.2023 fordern Experten aus Forschung, Wissenschaft und der Tech-Branche der ganzen Welt eine mindestens 6-monatige Entwicklungspause von Künstlicher Intelligenz (KI), die leistungsfähiger ist als „GPT-4“. Ist dies nicht zeitnah realisierbar, so schlagen die Verfasser vor, dass die Regierungen eingreifen und ein Moratorium verhängen.

Die Forderung begründen die Verfasser damit, dass ihrer Meinung nach „KI-Systeme mit einer dem Menschen ebenbürtigen Intelligenz tiefgreifende Risiken für die Gesellschaft und die Menschheit darstellen.“
Der Vorstandsvorsitzende des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD), Thomas Spaeing, unterstützt zu 100% die Ansicht der Verfasser, dass zur Zeit weder die notwendige Planung noch das nötige (Risiko-)Management stattfinden, welche aktuell in Bezug auf KI-Entwicklung nötig wären. Er verweist ausdrücklich auf den im offenen Brief angeführten Umstand, dass es mittlerweile Niemandem mehr möglich sei, die immer mächtiger werdenden künstlichen Intelligenzen zu verstehen und zuverlässig zu kontrollieren bzw. zu prüfen.

Gefordert wird allerdings keine generelle Abkehr von der KI-Entwicklung, sondern eine Trainings-Pause, die genutzt wird, um bspw. Sicherheitsprotokolle zu entwickeln, die wiederum von unabhängigen, fairen Experten kontrolliert werden können. Werden diese Protokolle eingehalten, so soll dies die zweifelsfreie Sicherheit eines Systems bekräftigen und unberechenbare Black-Box-Modelle verhindern.
In dieser Pause sollen KI-Entwickler und Regierungen gemeinsam u.a. auch klären wie mit Schäden, die eine KI verursacht, künftig umgegangen werden soll.

Zu den Unterzeichnern des offenen Briefes gehören u.a. Apple-Mitgründer Steve Wozniak, Tech-Milliardär Elon Musk und Pioniere der KI-Entwicklung wie Stuart Russel. Bereits 30.000 Unterschriften wurden gesammelt, verifiziert wurden davon aktuell schon 27.565 (Stand Dienstag, 09.05.2023, 12:00 Uhr).

Am 20.03.2022 fand eine Änderung des § 28b IfSG statt. Die nun alte Fassung wurde stark eingekürzt. So wurde § 28b Abs. 3 IfSG beispielsweise komplett gestrichen. Aus diesem ging die Pflicht für alle Arbeitgeber sowie Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen hervor, dass die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 Absatz 2 Satz 1 (Zutritt nur mit bestimmtem „G-Status“) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren sind. Dies bedeutet folglich, dass seit dem 20.03.2022 die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer nicht mehr aufgrund des § 28b IfSG erhoben und gespeichert werden darf. Eine Rechtsgrundlage für diese Verarbeitung personenbezogenen Daten besteht aus datenschutzrechtlicher Sicht daher nicht mehr.

Nun hat sich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in der Pressemeldung vom 19.04.2022 zu diesem Thema geäußert und Unternehmen dazu aufgefordert zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Wenn diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen seien, müssen die Daten dringend gelöscht werden. Sie kündigte zudem an: „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“

Zwar hat sich bisher erst die LfD Niedersachsen hierzu geäußert. Es ist jedoch nicht unwahrscheinlich, dass in naher Zukunft auch weitere Aufsichtsbehörden diesbezüglich aktiv werden. Es empfiehlt sich daher, zu prüfen, ob in Ihrem Unternehmen noch personenbezogene Daten, die aufgrund der alten Version des IfSG erhoben hoben wurden (z.B. 3G-Kontrolle zur Zutrittskontrolle zum Arbeitsplatz), gespeichert sind. Sofern dies der Fall ist und der Zweck der Verarbeitung aufgrund der Änderung des IfSG nun entfallen ist, raten wir dazu, diese Daten unverzüglich zu löschen.

Die Pressemitteilung vom 19.04.2022 sowie ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht vom 13.04.2022 finden Sie hier:

Erschienen am 22. September 2020

Die Reihe der Datenskandale in der Gesundheitswirtschaft reißt nicht ab: Immer wieder werden in den Kellern oder auf den Dachböden stillgelegter Krankenhäuser oder Arztpraxen alte Patientenakten entdeckt. Die Gesetze sind eindeutig, die Verfahren zum Umgang mit alten Akten noch nicht.

Thomas Spaeing, Datenschutzpionier und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V., fordert mehr Fokus auf die Archive von Kliniken: „Bevor Fremde prüfen, ob alle alten Akten sicher geborgen wurden, sollte man den Rat von erfahrenen Datenschützern einholen, wie damit umzugehen ist.“

Die Aufbewahrungsfristen für Patientenakten sind lang: 10 Jahre im Minimum, 30 Jahre im Maximum. Solange können Patienten Ansprüche bei Behandlungsfehlern gegen die behandelnden Ärzte geltend machen. Um dieses Recht zu schützen und Patientenakten dauerhaft sicher zu verwahren, empfehlen wir vor einer Klinikschließung die Patientenakten auszulagern. Die Akten könnten beispielsweise in die Obhut der Nachbarklinik oder in eine andere Klinik eines Verbunds übergeben werden. Notfalls können auch die Gesundheitsämter bei den Kreisen eine Verwahrung anordnen.

Da wir mit unserem ds²-Team unter anderem auch große Krankenhauskonzerne betreuen, hoffen wir, dass es bald gelingt, das Bewusstsein hinsichtlich des Datenschutzes zu erhöhen, sodass Datenschutzverletzungen aufgrund nicht gesicherter Patientenakten in Klinik-Ruinen und verlassenen Arztpraxen zur Vergangenheit gehören. Denn unter den entstandenen Imageschäden in dieser Branche haben auch jene in der Gesundheitswirtschaft zu leiden, die achtsam und rechtskonform mit den Daten ihrer Patienten umgehen.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

Die DSGVO setzt voraus, dass personenbezogene Daten mittels sicherer und damit geeigneter Verfahren, wie z.B. die Post oder Ende-zu-Ende verschlüsselter E-Mails, versandt werden. Aber wie sieht es mit der Sicherheit von Faxgeräten aus?

Die Übertragung erfolgt mittlerweile zum größten Teil über internetbasierte Datenverbindungen. Die Anbieter von Faxgeräten unterliegen dem Telekommunikationsgesetz und daher der Registrierung bei der Bundesnetzagentur und deren Aufsicht und Sicherheitsanforderungen.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit sieht Faxversand als unsicheres Kommunikationsmittel

Kürzlich hat sich die hessische Aufsichtsbehörde in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit Alexander Roßnagel der Meinung der Aufsichtsbehörde in Bremen an. Aufgrund der Digitalisierung der Faxübertragung und der Endgeräte könne nicht gewährleistet sein, dass die Daten nicht von Unbefugten abgefangen werden. Die Übertragung sei hinsichtlich der Sicherheit gleichzustellen wie eine unverschlüsselte E-Mail. Daher sei sie „mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet“.

Es wird seitens der Aufsichtsbehörde daher empfohlen, Faxgeräte zur Übermittlung von personenbezogenen Daten nur in Ausnahmefällen (und auch dann nur unter Einsatz zusätzlicher Schutzmaßnahmen sowohl beim Versender als auch Empfänger) zu nutzen. Besonders sensible Daten sollten gar nicht per Fax übermittelt werden.

Die Stellungnahme der hessischen Aufsichtsbehörde mit alternativen Vorschlägen zur Übermittlung personenbezogener Daten finden Sie hier.

Welche Sicherheitsanforderungen sind gefordert?

Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Sicherheitskatalog veröffentlicht. In Anlage 1 des Sicherheitskatalogs werden die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur thematisiert. Mehr Informationen und entsprechende Erklärungen zu den Sicherheitsanforderungen finden Sie hier.

Sollen personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden (beispielsweise aufgrund des Einsatzes von Auftragsverarbeitern oder Unterauftragsverarbeitern), sind bekanntlich strengere Datenschutzregelungen zu beachten. Durch den Brexit galt Großbritannien kurzfristig als unsicheres Drittland. Im Juni 2021 wurde dann jedoch der Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich verkündet. Das bedeutet, Großbritannien gilt (zumindest zunächst für die nächsten vier Jahre) als sicheres Drittland. Über den Angemessenheitsbeschluss berichteten wir in unserem Blogbeitrag „Angemessenheitsbeschluss Großbritannien“.

Das wiederum könnte sich nun wieder ändern. Denn Großbritannien plant ein eigenständiges Datenschutzrecht. Und dieses entspricht in einigen der bisher bekannten Teilen nicht den Anforderungen der DSGVO. Ein Sprecher der EU-Kommission deutete bereits an, dass der erteilte Angemessenheitsbeschluss theoretisch auch jeder Zeit wieder zurückgezogen werden könne. Er betonte zudem, dass die Kommission bei einer Dringlichkeit hiervor nicht zurückschrecken werde. Diese Dringlichkeit könnte in diesem konkreten Fall eintreten.

Für europäische Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, würde der Entzug des Angemessenheitsbeschlusses bedeuten, dass das Land wieder als unsicheres Drittland einzustufen wäre. Die Situation wäre die gleiche, wie die kurz nach dem Brexit. Es würden die gleichen Hürden auferlegt werden wie beispielsweise bei einem Datentransfer in die USA. Es empfiehlt sich daher, die Entwicklungen in Großbritannien weiter zu beobachten.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

Die Irische Aufsichtsbehörde (Data Protection Commission (DPC)) erinnert in einer Orientierungshilfe („General Portable StorageDevice Recommendations“) daran, dass der Datenschutz bei portablen Speichermedien, wie z.B. USB-Stick, Laptop, Smartphone u.ä. nicht endet. Vielmehr müssen die Daten auf diesen Geräten sicher verwahrt und vor Missbrauch geschützt werden. Die irische Aufsichtsbehörde listet zusammengefasst folgende Hinweise auf:

Keine Nutzung privater Speichermedien am Arbeitsplatz und umgekehrt keine Verwendung dienstlicher Speichermedien in privaten Geräten.
Nutzung verschlüsselter Speichermedien (z.B. Passwort) und Ausgabe der Geräte durch eine zentrale Stelle im Unternehmen.
Die Unternehmen sollten eine Bestandsliste der Speichermedien führen und vermerken an welche Person das Medium ausgegeben worden ist. Es sollte eine Rückgabe der tragbaren Speichermedien beim Ausscheiden des Mitarbeiters aus dem Unternehmen erfolgen.
Um Datenschutzverletzungen vorzugreifen, sollten die Berechtigungen derart vergeben werden, dass Mitarbeiter selbständig keine Daten auf portable Speichermedien ziehen können. Dies sollte autorisierten Personen vorbehalten sein.
Die tragbaren Speichermedien sollten passwortgeschützt sein. Ein Passwort sollte dabei aus mindestens zwölf Zeichen bestehen. Dabei sind Groß- und Kleinschreibung, Sonderzeichen, Zahlen und Satzzeichen zu nutzen.
Bei Nutzung eines USB-Sticks sollte sichergestellt sein, dass jeder USB-Stick vor der Nutzung durch einen Automatismus überprüft wird, so dass keine Malware auf den Rechner kommt.
Es sollte für alle Daten, die auf einem tragbaren Speichermedium abgelegt werden, ein Backup geben.
Die Daten sollten keinen langen Zeitraum gespeichert werden. Nach Zweckerfüllung sollten die Daten umgehend gelöscht werden. Nach Möglichkeit sollten die Daten mit einem „Ablaufdatum“ versehen werden, so dass sie nach einer gewissen Zeit nicht mehr genutzt werden können.
Die Speichermedien sollten über ein Fernverwaltungsprogramm eine Ferndeaktivierungs- oder Fernlöschfunktion unterstützen.
Bei Verlust eines tragbaren Speichermediums sollte es möglich sein, nachzuvollziehen, welche Daten sich auf dem Speichermedium befanden und es sollte überprüft werden können, ob Daten verschwunden sind.
Nicht eingesetzte tragbare Speichermedien sollten nicht unbeaufsichtigt gelassen, sondern verschlossen aufbewahrt werden. Auch während der Nutzung gilt, diese sollten nicht unbeaufsichtigt sein und immer unter Kontrolle der autorisierten Person sein.
Die USB-Speichermedien sollten regemäßig auf ihre Inhalte geprüft werden. Es dürfen nur die vereinbarten Daten gespeichert werden.
Es sollten nur Geräte von seriösen und anerkannten Herstellern und Wiederverkäufern verwendet werden.

Die Nutzer der tragbaren Speichermedien sollten entsprechend sensibilisiert werden.

Das Thema „Impfen“ hat durch den Pandemieverlauf eine ganz neue Popularität und Stellenwert erlangt. Die gesamte Welt impft gegen eine Krankheit und das im identischen Zeitraum. Hierzulande spielt bei den Maßnahmen rund um Corona auch der Datenschutz eine gewisse Rolle. Unter anderem stellt sich die Frage, darf der Arbeitgeber den Impfstatus seiner Mitarbeiter abfragen? Darf dieser dokumentiert werden?

Bei der Beantwortung dieser Fragen muss berücksichtigt werden, dass der Impfstatus ein sog. Gesundheitsdatum darstellt. Dieses darf nur verarbeitet werden, wenn eine Rechtsgrundlage aus dem Art. 9 Abs. 2 DSGVO greift. Ferner sind die Besonderheiten im Beschäftigtenkontext zu berücksichtigen. Daher lässt sich vorliegend die Verarbeitung des Impfstatus nicht ohne Weiteres auf die Einwilligung stützen. Die Freiwilligkeit ist aufgrund des Über-/Unterordnungsverhältnisses im Arbeitsverhältnis nicht gegeben. Sollte in den Landesverordnungen zum Schutz vor Corona keine Regelungen getroffen worden sein, darf der Arbeitgeber den Impfstatus nicht abfragen. In den Verordnungen von Nordrhein-Westfalen und Sachsen werden die Arbeitnehmer verpflichtet bei einer mindestens fünftägigen Abwesenheit einen negativen Corona Nachweis vorzulegen, den Impfstatus bekannt zu geben oder vor Ort einen Test unter Beobachtung durchzuführen. Die Arbeitgeber dürfen die personenbezogenen Daten nicht dokumentieren. Sie müssen nachhalten, dass es einen Kontrollprozess gibt und diesen darlegen können. Auch die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO greifen nicht.

Erlaubt ist eine Abfrage des Impfstatus nur für einige wenige Arbeitgeber gem. § 23 a Infektionsschutzgesetz. Diese sind abschließend in § 23 Abs. 3 Infektionsschutzgesetz aufgeführt. Es handelt sich u.a. um Krankenhäuser und Arztpraxen.

Ein aktuelles Thema, bei dem es sich sicherlich lohnt, die weitere Entwicklung abzuwarten. Wir halten Sie diesbezüglich auf dem Laufenden.

Verantwortliche (z.B. Unternehmen) im Sinne der Datenschutzgrundverordnung (DSGVO) sind verpflichtet betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten (z.B. bei dem Besuch einer Webseite) zu informieren.

Viele Unternehmen lassen sich die Kenntnisnahme der Datenschutzhinweise aktiv bestätigen. Diese Vorgehensweise ist nicht erforderlich. Vielmehr handelt es sich um eine Bringschuld seitens des Verantwortlichen. Es muss der betroffenen Person ermöglicht werden, Kenntnis über die Verarbeitung ihrer Daten zu erlangen, z.B. sollten die Datenschutzhinweise eines Webseitenbetreibers als solche deutlich gekennzeichnet sein und von jeder Unterseite leicht auffindbar und zugänglich sein. Für die Transparenz der Hinweise ist es wichtig, dass diese bereits eine eindeutige Bezeichnung erhalten, z.B. „Datenschutzinformation“ oder „Datenschutzhinweise“. Keine treffende Bezeichnung stellt z.B. die Begrifflichkeit „Datenschutzrichtlinie“ dar. Ein Verweis in die allgemeinen Geschäftsbedingungen (AGB) ist nicht ausreichend. Die AGB ersetzen keine Datenschutzinformationen. Auch sollten die Datenschutzinformationen nicht mit den AGB und/oder Nutzungsbedingungen gemischt werden. Es handelt sich um unterschiedliche Rechtsgebiete. So unterliegen die AGB möglicherweise einer sog. AGB-Kontrolle.

Benötigen Sie Unterstützung beim Thema Datenschutzhinweise richtig zu erteilen? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

Links