BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Europatag 2020 - Videoreihe zum Datenschutz

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum – 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses – 70-jährigen – Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

  • Integrität
  • Vertraulichkeit
  • Zweckbindung
  • Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Informationssicherheit und Datenschutz -Pannen 2019 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Hacking und Datenpannen 2019 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate. 

2019-04 – 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern 

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um 

  • das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte 
  • die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte. 

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne. 

2019-05 – Hacking und Datenpannen im Arztbereich 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar. 

2019-08 – Hacking – Daten von 106 Millionen Bankkunden der Capital One erbeutet 

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und -anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.  

2019-08 – Datenpanne im Hause Twitter 

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen. 

2019-09 – Hacking nicht notwendig – Fahrlässigkeit bei Millionen von Patientendaten 

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen „verheerenden ersten Eindruck“ von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt. 

Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken.