Mausefalle

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von VirusTo­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

VirusTo­tal ist ein Ser­vice von Goog­le und unter https://​www​.virusto​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Webi­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet VirusTo­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet VirusTo­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Whistleblower-Richtlinie und bald das HinSchG

Seit Novem­ber 2019 steht die euro­päi­sche Hin­weis­ge­ber­schutz-Richt­li­nie im EU-Amts­blatt (Whist­leb­lower-Richt­li­nie). Ihre Vor­ga­ben sind nun in Kraft getre­ten und grei­fen seit dem 18.12.2021. Die Mit­glied­staa­ten hat­ten zuvor zwei Jah­re Zeit, das EU-Gesetz in natio­na­les Recht umzu­set­zen. Die Umset­zung im deut­schen Hin­weis­ge­ber­schutz­ge­setz wird für Quar­tal 1 2022 erwar­tet. Die Anfor­de­run­gen kön­nen jedoch bereits gegen Orga­ni­sa­tio­nen gel­tend gemacht werden.

Juris­ti­sche Per­so­nen wie Fir­men, Behör­den und ande­re Rechts­trä­ger (mit mehr als 50 Mit­ar­bei­tern) sowie alle Unter­neh­men aus dem Bereich der Finanz­dienst­leis­tun­gen müs­sen gemäß den Vor­ga­ben der Whist­leb­lower-Richt­li­nie prin­zi­pi­ell ein (inter­nes) Hin­weis­ge­ber­sys­tem bereit­stel­len und einen spe­zi­el­len Beauf­trag­ten als Ansprech­part­ner vor­se­hen. Gering­fü­gi­ge Aus­nah­men kön­nen ledig­lich für Gemein­den mit weni­ger als 10.000 Ein­woh­nern gemacht werden.

Anders als von der deut­schen Recht­spre­chung bis­lang vor­ge­ge­ben, muss nach der Whist­leb­lower-Richt­li­nie ein Hin­weis­ge­ber einen Miss­stand nicht mehr zunächst intern in der eige­nen Fir­ma oder Behör­de mel­den. Er kann sich auch unmit­tel­bar an über­ge­ord­ne­te Whist­leb­lower-Stel­len wen­den oder bei irrever­si­blen Schä­den, dro­hen­den kon­kre­ten Repres­sa­li­en und beim Aus­blei­ben einer zügi­gen Rück­mel­dung an die Medi­en. Damit ent­zieht sich eine sol­che Mel­dung der Kon­trol­le Ihrer Orga­ni­sa­ti­on und birgt ent­spre­chen­de Risi­ken (Image­scha­den, Buß­gel­der, Geld­stra­fen etc.)

Unser Part­ner Whist­le Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Fir­ma oder Kom­mu­ne die recht­li­chen Anfor­de­run­gen der Whist­leb­lower-Richt­li­nie mit­tels der gesetz­lich expli­zit vor­ge­se­he­nen exter­nen Unter­stüt­zung ele­gant und auch kos­ten­schlank lösen können.

Die Webi­na­re (ca. 30 Minu­ten) fin­den statt:

10. Febru­ar 2022, 09:00 — 09:30 Uhr
18. Febru­ar 2022, 11:00 — 11:30 Uhr
24. Febru­ar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bit­te nut­zen Sie den fol­gen­den Link zur Regis­trie­rung für einen Ter­min Ihrer Wahl:
https://​next​.edu​dip​.com/​d​e​/​w​e​b​i​n​a​r​/​w​h​i​s​t​l​e​b​l​o​w​i​n​g​-​r​i​c​h​t​l​i​n​i​e​-​h​i​n​w​e​i​s​g​e​b​e​r​s​c​h​u​t​z​g​e​s​e​t​z​-​p​r​a​g​m​a​t​i​s​c​h​-​u​m​g​e​s​e​t​z​t​-​m​i​t​-​w​h​i​s​t​l​e​-​s​a​f​e​/​1​7​6​8​122

Hin­weis: Die­se kos­ten­freie Ver­an­stal­tung zur Whist­leb­lower-Richt­li­nie wird von Whist­le Safe e.K. Ber­lin durch­ge­führt, nicht von der a.s.k. Daten­schutz. Fra­gen rich­ten Sie daher bit­te direkt an info@​whistle-​safe.​com bzw. https://​whist​le​-safe​.com

Herz­li­che Grü­ße sowie ein fro­hes und vor allem gesun­des Neu­es Jahr 2022
Das Team von a.s.k. Datenschutz

e-privacy vo vorgelegt

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für messaging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­in­dus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futur­a­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISI­S12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Patientendaten PDSG ePA Datenschutz mangelhaft

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben