Aktuelles

Erschienen am 22. September 2020

Die Reihe der Datenskandale in der Gesundheitswirtschaft reißt nicht ab: Immer wieder werden in den Kellern oder auf den Dachböden stillgelegter Krankenhäuser oder Arztpraxen alte Patientenakten entdeckt. Die Gesetze sind eindeutig, die Verfahren zum Umgang mit alten Akten noch nicht.

Thomas Spaeing, Datenschutzpionier und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V., fordert mehr Fokus auf die Archive von Kliniken: „Bevor Fremde prüfen, ob alle alten Akten sicher geborgen wurden, sollte man den Rat von erfahrenen Datenschützern einholen, wie damit umzugehen ist.“

Die Aufbewahrungsfristen für Patientenakten sind lang: 10 Jahre im Minimum, 30 Jahre im Maximum. Solange können Patienten Ansprüche bei Behandlungsfehlern gegen die behandelnden Ärzte geltend machen. Um dieses Recht zu schützen und Patientenakten dauerhaft sicher zu verwahren, empfehlen wir vor einer Klinikschließung die Patientenakten auszulagern. Die Akten könnten beispielsweise in die Obhut der Nachbarklinik oder in eine andere Klinik eines Verbunds übergeben werden. Notfalls können auch die Gesundheitsämter bei den Kreisen eine Verwahrung anordnen.

Da wir mit unserem ds²-Team unter anderem auch große Krankenhauskonzerne betreuen, hoffen wir, dass es bald gelingt, das Bewusstsein hinsichtlich des Datenschutzes zu erhöhen, sodass Datenschutzverletzungen aufgrund nicht gesicherter Patientenakten in Klinik-Ruinen und verlassenen Arztpraxen zur Vergangenheit gehören. Denn unter den entstandenen Imageschäden in dieser Branche haben auch jene in der Gesundheitswirtschaft zu leiden, die achtsam und rechtskonform mit den Daten ihrer Patienten umgehen.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

Die DSGVO setzt voraus, dass personenbezogene Daten mittels sicherer und damit geeigneter Verfahren, wie z.B. die Post oder Ende-zu-Ende verschlüsselter E-Mails, versandt werden. Aber wie sieht es mit der Sicherheit von Faxgeräten aus?

Die Übertragung erfolgt mittlerweile zum größten Teil über internetbasierte Datenverbindungen. Die Anbieter von Faxgeräten unterliegen dem Telekommunikationsgesetz und daher der Registrierung bei der Bundesnetzagentur und deren Aufsicht und Sicherheitsanforderungen.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit sieht Faxversand als unsicheres Kommunikationsmittel

Die hessische Aufsichtsbehörde hat in einer Handreichung gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Dies entspricht ebenfalls der Meinung der Aufsichtsbehörde in Bremen. Aufgrund der Digitalisierung der Faxübertragung und der Endgeräte könne nicht gewährleistet sein, dass die Daten nicht von Unbefugten abgefangen werden. Es ist denkbar, dass die beteiligten Zwischenpunkte die zur Datenübertragung angesteuert werden weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Die Übertragung sei hinsichtlich der Sicherheit gleichzustellen wie eine unverschlüsselte E-Mail. Daher sei sie „mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet“.

Es wird seitens der Aufsichtsbehörde daher empfohlen, Faxgeräte zur Übermittlung von personenbezogenen Daten nur in Ausnahmefällen (und auch dann nur unter Einsatz zusätzlicher Schutzmaßnahmen sowohl beim Versender als auch Empfänger) zu nutzen. Besonders sensible Daten sollten gar nicht per Fax übermittelt werden.

Die Stellungnahme der hessischen Aufsichtsbehörde mit alternativen Vorschlägen zur Übermittlung personenbezogener Daten finden Sie hier.

Welche Sicherheitsanforderungen sind gefordert?

Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Sicherheitskatalog veröffentlicht. In Anlage 1 des Sicherheitskatalogs werden die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur thematisiert. Mehr Informationen und entsprechende Erklärungen zu den Sicherheitsanforderungen finden Sie hier.

Darüber hinaus hat das Bundesamt für Sicherheit und Informationstechnik einen Baustein herausgegeben, der den Schutz der Informationen, Faxgeräte und Faxserver sicherstellen soll. Diesen finden Sie hier.

Sollen personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden (beispielsweise aufgrund des Einsatzes von Auftragsverarbeitern oder Unterauftragsverarbeitern), sind bekanntlich strengere Datenschutzregelungen zu beachten. Durch den Brexit galt Großbritannien kurzfristig als unsicheres Drittland. Im Juni 2021 wurde dann jedoch der Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich verkündet. Das bedeutet, Großbritannien gilt (zumindest zunächst für die nächsten vier Jahre) als sicheres Drittland. Über den Angemessenheitsbeschluss berichteten wir in unserem Blogbeitrag „Angemessenheitsbeschluss Großbritannien“.

Das wiederum könnte sich nun wieder ändern. Denn Großbritannien plant ein eigenständiges Datenschutzrecht. Und dieses entspricht in einigen der bisher bekannten Teilen nicht den Anforderungen der DSGVO. Ein Sprecher der EU-Kommission deutete bereits an, dass der erteilte Angemessenheitsbeschluss theoretisch auch jeder Zeit wieder zurückgezogen werden könne. Er betonte zudem, dass die Kommission bei einer Dringlichkeit hiervor nicht zurückschrecken werde. Diese Dringlichkeit könnte in diesem konkreten Fall eintreten.

Für europäische Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, würde der Entzug des Angemessenheitsbeschlusses bedeuten, dass das Land wieder als unsicheres Drittland einzustufen wäre. Die Situation wäre die gleiche, wie die kurz nach dem Brexit. Es würden die gleichen Hürden auferlegt werden wie beispielsweise bei einem Datentransfer in die USA. Es empfiehlt sich daher, die Entwicklungen in Großbritannien weiter zu beobachten.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

Die Irische Aufsichtsbehörde (Data Protection Commission (DPC)) erinnert in einer Orientierungshilfe („General Portable StorageDevice Recommendations“) daran, dass der Datenschutz bei portablen Speichermedien, wie z.B. USB-Stick, Laptop, Smartphone u.ä. nicht endet. Vielmehr müssen die Daten auf diesen Geräten sicher verwahrt und vor Missbrauch geschützt werden. Die irische Aufsichtsbehörde listet zusammengefasst folgende Hinweise auf:

Keine Nutzung privater Speichermedien am Arbeitsplatz und umgekehrt keine Verwendung dienstlicher Speichermedien in privaten Geräten.
Nutzung verschlüsselter Speichermedien (z.B. Passwort) und Ausgabe der Geräte durch eine zentrale Stelle im Unternehmen.
Die Unternehmen sollten eine Bestandsliste der Speichermedien führen und vermerken an welche Person das Medium ausgegeben worden ist. Es sollte eine Rückgabe der tragbaren Speichermedien beim Ausscheiden des Mitarbeiters aus dem Unternehmen erfolgen.
Um Datenschutzverletzungen vorzugreifen, sollten die Berechtigungen derart vergeben werden, dass Mitarbeiter selbständig keine Daten auf portable Speichermedien ziehen können. Dies sollte autorisierten Personen vorbehalten sein.
Die tragbaren Speichermedien sollten passwortgeschützt sein. Ein Passwort sollte dabei aus mindestens zwölf Zeichen bestehen. Dabei sind Groß- und Kleinschreibung, Sonderzeichen, Zahlen und Satzzeichen zu nutzen.
Bei Nutzung eines USB-Sticks sollte sichergestellt sein, dass jeder USB-Stick vor der Nutzung durch einen Automatismus überprüft wird, so dass keine Malware auf den Rechner kommt.
Es sollte für alle Daten, die auf einem tragbaren Speichermedium abgelegt werden, ein Backup geben.
Die Daten sollten keinen langen Zeitraum gespeichert werden. Nach Zweckerfüllung sollten die Daten umgehend gelöscht werden. Nach Möglichkeit sollten die Daten mit einem „Ablaufdatum“ versehen werden, so dass sie nach einer gewissen Zeit nicht mehr genutzt werden können.
Die Speichermedien sollten über ein Fernverwaltungsprogramm eine Ferndeaktivierungs- oder Fernlöschfunktion unterstützen.
Bei Verlust eines tragbaren Speichermediums sollte es möglich sein, nachzuvollziehen, welche Daten sich auf dem Speichermedium befanden und es sollte überprüft werden können, ob Daten verschwunden sind.
Nicht eingesetzte tragbare Speichermedien sollten nicht unbeaufsichtigt gelassen, sondern verschlossen aufbewahrt werden. Auch während der Nutzung gilt, diese sollten nicht unbeaufsichtigt sein und immer unter Kontrolle der autorisierten Person sein.
Die USB-Speichermedien sollten regemäßig auf ihre Inhalte geprüft werden. Es dürfen nur die vereinbarten Daten gespeichert werden.
Es sollten nur Geräte von seriösen und anerkannten Herstellern und Wiederverkäufern verwendet werden.

Die Nutzer der tragbaren Speichermedien sollten entsprechend sensibilisiert werden.

Das Thema „Impfen“ hat durch den Pandemieverlauf eine ganz neue Popularität und Stellenwert erlangt. Die gesamte Welt impft gegen eine Krankheit und das im identischen Zeitraum. Hierzulande spielt bei den Maßnahmen rund um Corona auch der Datenschutz eine gewisse Rolle. Unter anderem stellt sich die Frage, darf der Arbeitgeber den Impfstatus seiner Mitarbeiter abfragen? Darf dieser dokumentiert werden?

Bei der Beantwortung dieser Fragen muss berücksichtigt werden, dass der Impfstatus ein sog. Gesundheitsdatum darstellt. Dieses darf nur verarbeitet werden, wenn eine Rechtsgrundlage aus dem Art. 9 Abs. 2 DSGVO greift. Ferner sind die Besonderheiten im Beschäftigtenkontext zu berücksichtigen. Daher lässt sich vorliegend die Verarbeitung des Impfstatus nicht ohne Weiteres auf die Einwilligung stützen. Die Freiwilligkeit ist aufgrund des Über-/Unterordnungsverhältnisses im Arbeitsverhältnis nicht gegeben. Sollte in den Landesverordnungen zum Schutz vor Corona keine Regelungen getroffen worden sein, darf der Arbeitgeber den Impfstatus nicht abfragen. In den Verordnungen von Nordrhein-Westfalen und Sachsen werden die Arbeitnehmer verpflichtet bei einer mindestens fünftägigen Abwesenheit einen negativen Corona Nachweis vorzulegen, den Impfstatus bekannt zu geben oder vor Ort einen Test unter Beobachtung durchzuführen. Die Arbeitgeber dürfen die personenbezogenen Daten nicht dokumentieren. Sie müssen nachhalten, dass es einen Kontrollprozess gibt und diesen darlegen können. Auch die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO greifen nicht.

Erlaubt ist eine Abfrage des Impfstatus nur für einige wenige Arbeitgeber gem. § 23 a Infektionsschutzgesetz. Diese sind abschließend in § 23 Abs. 3 Infektionsschutzgesetz aufgeführt. Es handelt sich u.a. um Krankenhäuser und Arztpraxen.

Ein aktuelles Thema, bei dem es sich sicherlich lohnt, die weitere Entwicklung abzuwarten. Wir halten Sie diesbezüglich auf dem Laufenden.

Verantwortliche (z.B. Unternehmen) im Sinne der Datenschutzgrundverordnung (DSGVO) sind verpflichtet betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten (z.B. bei dem Besuch einer Webseite) zu informieren.

Viele Unternehmen lassen sich die Kenntnisnahme der Datenschutzhinweise aktiv bestätigen. Diese Vorgehensweise ist nicht erforderlich. Vielmehr handelt es sich um eine Bringschuld seitens des Verantwortlichen. Es muss der betroffenen Person ermöglicht werden, Kenntnis über die Verarbeitung ihrer Daten zu erlangen, z.B. sollten die Datenschutzhinweise eines Webseitenbetreibers als solche deutlich gekennzeichnet sein und von jeder Unterseite leicht auffindbar und zugänglich sein. Für die Transparenz der Hinweise ist es wichtig, dass diese bereits eine eindeutige Bezeichnung erhalten, z.B. „Datenschutzinformation“ oder „Datenschutzhinweise“. Keine treffende Bezeichnung stellt z.B. die Begrifflichkeit „Datenschutzrichtlinie“ dar. Ein Verweis in die allgemeinen Geschäftsbedingungen (AGB) ist nicht ausreichend. Die AGB ersetzen keine Datenschutzinformationen. Auch sollten die Datenschutzinformationen nicht mit den AGB und/oder Nutzungsbedingungen gemischt werden. Es handelt sich um unterschiedliche Rechtsgebiete. So unterliegen die AGB möglicherweise einer sog. AGB-Kontrolle.

Benötigen Sie Unterstützung beim Thema Datenschutzhinweise richtig zu erteilen? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

Links