Projekt Zahnräder verzahnen

Daten­schutz­ma­nage­ment — Cha­os oder System

Unse­re Kun­den wis­sen es (hof­fent­lich), wie wir Daten­schutz “mana­gen” in der Zusam­men­ar­beit mit ihnen. Inter­es­sen­ten, aber auch Kol­le­gin­nen und Kol­le­gen aus der Bran­che fra­gen jedoch durch­aus mal nach. “Wie macht ihr das mit dem das mit dem Daten­schutz­ma­nage­ment mit euren Kun­den bei der a.s.k. Daten­schutz als exter­ne Datenschutzbeauftragte?”

Glück­li­cher­wei­se haben nur weni­ge Inter­es­sen­ten bzw. poten­ti­el­le Kun­den bereits eine wie auch immer gear­te­te Daten­schutz-Soft­ware von der Stan­ge. Nicht, weil die­se gene­rell unbrauch­bar wären, aber in der Zusam­men­ar­beit intern /​ extern meist doch eher sub­op­ti­mal. Auch wenn sich lang­sam die eine oder ande­re Cloud-Lösung dar­un­ter befin­det, so lau­fen die­se Anwen­dun­gen meist on pre­mi­se, sprich auf den Sys­te­men des Kun­den. Für uns Exter­ne hie­ße dies, eine Viel­zahl an VPN-Cli­ents und Zugangs­lö­sun­gen auf allen Gerä­ten des a.s.k.-Teams ein­zu­rich­ten und zu pfle­gen. Ein beacht­li­cher Auf­wand. Und es soll sogar Orga­ni­sa­tio­nen geben, die einen Fern­zu­griff auf inter­ne Sys­te­me kom­plett unter­sa­gen. Von daher auch nicht optimal.

Hin­zu kommt, dass wir ja nicht nur als exter­ne Daten­schutz­be­auf­trag­te arbei­ten, son­dern auch im Bereich Infor­ma­ti­ons­si­cher­heit tätig sind. Hier sind u.a. auf­grund zeit­li­cher Vor­ga­ben (wie z.B. För­der­mit­tel­fris­ten) eine sys­te­ma­ti­sche Pro­jekt­lei­tung und ein enges Füh­ren der zu erle­di­gen­den Auf­ga­ben kri­ti­sche Erfolgsfaktoren.

Eine Platt­form für (fast) alles, nicht nur für Daten­schutz­ma­nage­ment muss her

Also haben wir uns vor über 10 Jah­ren auf die Suche nach der eier­le­gen­den Woll­milch­sau oder — wie wir hier in Fran­ken sagen — der bier­brau­en­den Schäu­f­ele­kloss­kuh gemacht. Zwin­gen­de Vor­aus­set­zun­gen waren:

  • Ein­fa­cher Zugang sowohl für unse­re Kun­den als auch uns
  • Leich­te Ver­ständ­lich­keit und Bedienbarkeit
  • Hohes Maß an Sicher­heit (u.a. Ver­schlüs­se­lung nicht nur bei Bewegt­da­ten, son­dern auch im Ruhezustand)
  • Zwei-Fak­tor-Authen­ti­fi­zie­rung für alle Nut­zer admi­nis­tra­tiv Pflicht (sonst kein Zugang /​ Zugriff)
  • Fle­xi­ble Ein­setz­bar­keit für unse­re Themen

Dabei soll­te es stets mög­lich sein, vor­ge­fer­tig­te Inhal­te mit unse­ren Kun­den gemein­sam bear­bei­ten zu kön­nen, ein­fach neue Inhal­te ergän­zen zu kön­nen und bei Pro­jek­ten auch das Zeit­ma­nage­ment im Blick haben zu kön­nen. Und das Gan­ze ohne stun­den­lan­ge Ein­füh­run­gen, Schu­lun­gen oder Handbuchwälzerei.

Je mehr wir uns im Markt umge­se­hen und Tools getes­tet haben, des­to grö­ßer wur­den dann auch unse­re Ansprüche 🙂

  • Doku­men­ten­ma­nage­ment (zumin­dest Ver­sio­nie­rung) wäre nicht verkehrt.
  • Auto­ma­ti­sche Wie­der­vor­la­gen z.B. für regel­mä­ßi­ge TOM-Nach­prü­fun­gen bei Auf­trags­ver­ar­bei­tern ein Gedicht.
  • Doku­men­ta­ti­on (auch im Zuge der Nach­weis­bar­keit und Beleg­bar­keit) von Dis­kus­sio­nen zu Fra­gen von Kun­den an zen­tra­ler Stel­le statt stun­den­lan­ger Recher­ché in zahl­rei­chen Post­fä­chern (gera­de bei Mit­ar­bei­ter­wech­seln eine Pest).
  • Über­sicht­li­che Dar­stel­lung erle­dig­ter und noch offe­ner ToDos, einer­seits zur Moti­va­ti­on der Betei­lig­ten, aber auch zur Erleich­te­rung des Berichtswesens.
  • Bear­bei­ten und Doku­men­tie­ren von Betrof­fe­nen­an­fra­gen und Daten­schutz­ver­let­zun­gen mit ein­fa­cher Mög­lich­keit des Löschens nach abge­lau­fe­ner Aufbewahrungsfrist.
  • Und … und … und … unse­re Wunsch­lis­te wur­de immer länger.

Ja, stimmt. Zahl­rei­che der im Markt erhält­li­chen Tools für Daten­schutz­ma­nage­ment kön­nen das irgend­wie, teil­wei­se oder gänz­lich. Irgend­ei­ne Krö­te muss man aber doch schlu­cken. Und man erhält “Daten­schutz von der Stan­ge”. Und sie kön­nen halt meist auch “nur” Daten­schutz. Die Steue­rung eines ISMS auf Basis des BSI IT-Grund­schutz oder ande­rer Stan­dards als exter­ner Pro­jekt­lei­ter ist damit sel­ten zu stem­men. Von ande­ren Auf­ga­ben in unse­rem Arbeits­all­tag ganz zu schwei­gen. Und für alles ein jeweils ande­res Tool ein­zu­set­zen, ist am Ende auch kei­ne Lösung.

Vor vie­len Jah­ren die Lösung: Daten­schutz­ma­nage­ment via Stackfield

Und dann haben wir nach län­ge­rer Suche vor vie­len Jah­ren unse­re bier­brau­en­de Schäu­f­ele­kloss­kuh gefun­den. Die Münch­ner Stack­field GmbH hat­te mit dem Pro­dukt Stack­field eine Alter­na­ti­ve zu Trel­lo (einem bekann­ten US-Kan­ban-Board) am Start und sowohl das vor­han­de­ne Pro­dukt als auch die wei­te­re Road­map waren viel­ver­spre­chend. Und den Ein­satz als zen­tra­les Sys­tem für Daten­schutz­ma­nage­ment für unse­re Kun­den und uns, aber auch als Pro­jekt­ma­nage­ment-Tool haben wir seit­her kei­ne Sekun­de bereut. Auf­grund der kon­ti­nu­ier­li­chen Wei­ter­ent­wick­lung des Pro­dukts sind mitt­ler­wei­le noch zahl­rei­che Fea­tures hin­zu­ge­kom­men, die wir nicht auf unse­rer Lis­te hat­ten, die aber den Arbeits­all­tag in der Zusam­men­ar­beit mit unse­ren Kun­den noch wei­ter erleich­tern. Direk­te ver­schlüs­sel­te Chat-Funk­ti­on, Video­kon­fe­ren­zen (geplant oder adhoc) inner­halb der Pro­jekt­um­ge­bung ohne sepa­ra­tes Tool, Wis­sens­ma­nage­ment und noch so vie­les mehr. Aus unse­rem Arbeits­all­tag ist Stack­field nicht mehr weg­zu­den­ken. Auch abseits der Zusam­men­ar­beit mit Kun­den ist Stack­field für rein inter­ne a.s.k.-Angelegenheiten ein eben­so wich­ti­ges Instru­ment gewor­den. Auf den ers­ten Blick mag Stack­field einem wie ein Auf­ga­ben-/Pro­jekt­ma­nage­ment-Tool unter vie­len erschei­nen. Doch unter der Hau­be steckt noch sehr viel mehr.

Doch bevor wir das nun lang und breit erklä­ren und damit den Umfang die­ses Bei­trags spren­gen wür­den: Der geschätz­te Ste­phan Han­sen-Oest, auch bekannt als “Daten­schutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor eini­ger Zeit einen Video­cast mit uns zu dem The­ma “Stack­field als DSMS” gemacht. Unter dem Titel “So arbei­ten Daten­schutz­be­auf­trag­te — a.s.k. Daten­schutz” kann sich jeder, der mag, wei­te­re Details zur Ein­satz­wei­se die­ser Lösung anschau­en , die nicht von der Stan­ge kommt. Viel Spaß beim Schauen!

Und bevor jemand fragt: Nein, die­ser Bei­trag ist kein Wer­be­bei­trag und nicht gespons­ort. Wir erhal­ten auch kei­ne Ver­güns­ti­gun­gen oder Kick­backs irgend­ei­ner Art. Wir sind ein­fach von dem Tools so begeis­tert, dass wir dar­über berich­ten wollten.

Mausefalle

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von VirusTo­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

VirusTo­tal ist ein Ser­vice von Goog­le und unter https://​www​.virusto​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Webi­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet VirusTo­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet VirusTo­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

e-privacy vo vorgelegt

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für messaging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­in­dus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futur­a­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Patientendaten PDSG ePA Datenschutz mangelhaft

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben

lfdi bidib bildungszentrum

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit — LfDI Baden-Würt­tem­berg, Dr. Ste­fan Brink, hat in die­sem Monat ein neu­es Bil­dungs­zen­trum eröff­net. Das „Bil­dungs­zen­trum Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg“ (BIDIB) infor­miert alle inter­es­sier­ten Bür­ger, zivil­ge­sell­schaft­li­che Grup­pen, Ver­ei­ne, Ver­bän­de, Unter­neh­men etc. unter dem Mot­to „Daten­schutz und Infor­ma­ti­ons­frei­heit zum Anfas­sen“ und bil­det ein Forum für die moder­nen Grund­rech­te Daten­schutz und Informationsfreiheit. 

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Die offi­zi­el­le Web­site des BIDIB kön­nen Sie hier auf­ru­fen und die zuge­hö­ri­ge Pres­se­mit­tei­lung hier. Die mit Mit­teln des Land­tags Baden-Würt­tem­berg eta­blier­te Bil­dungs­ein­rich­tung gibt Bil­dungs- und Dis­kus­si­ons­ver­an­stal­tun­gen Raum, in denen poli­ti­sche, ethi­sche, recht­li­che und sozio­lo­gi­sche Aspek­te des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt wer­den. Die Dar­rei­chungs­for­men sind u.a. digi­ta­le For­ma­te, Vor­trä­ge, Kon­fe­ren­zen, Work­shops und Schu­lun­gen, die mit dem Know-how der LfDI Baden-Würt­tem­berg Mit­ar­bei­ten­den gespeist wer­den. Dazu gehört auch eine Dis­kus­si­ons­rei­he mit Dr. Ste­fan Brink zu ver­schie­de­nen gesell­schafts­re­le­van­ten Themen. 

Zukunfts­wei­sen­de Aspekte

Der LfDI Baden-Würt­tem­berg sieht „bedarfs­ge­rech­te Bil­dungs­an­ge­bo­te, die die­se Grund­rech­te aus mög­lichst vie­len Per­spek­ti­ven beleuch­ten und durch­drin­gen [..] von grund­le­gen­der und gesamt­ge­sell­schaft­li­cher Bedeu­tung“. Neben dem ste­ti­gen Aus­bau der Ver­an­stal­tungs- und Bil­dungs­an­ge­bo­te ist auch die Erwei­te­rung um /​ bestehen­der Koope­ra­tio­nen wie mit Han­dels­kam­mern, Gewerk­schaf­ten, Par­tei­en und wei­te­ren Orga­ni­sa­tio­nen avi­siert. Nach der Auf­bau­pha­se des BIDIB bis vor­aus­sicht­lich Ende die­sen Jah­res wird das Bil­dungs­zen­trum über eige­ne Räum­lich­kei­ten verfügen.

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg 

Zu den Gra­tu­lan­ten gehö­ren der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Prof. Kel­ber, die Gesell­schaft für Frei­heits­rech­te und der CCC. Ins­be­son­de­re in Zei­ten, in denen vie­ler­orts unaus­ge­reif­te Digi­ta­li­sie­rung mit zeit­glei­chem Rück­gang der Trans­pa­renz vor­an­ge­trie­ben wird und der Bür­ger weit weni­ger ratio­nal auf das digi­ta­le Zeit­al­ter ein­ge­stellt wird als er annimmt, sind Ein­rich­tun­gen der Bil­dung, der zeit­ge­mä­ßen Auf­klä­rung und des Dis­kur­ses mehr als not­wen­dig. Es wäre zu begrü­ßen, wenn noch wei­te­re sol­cher Ein­rich­tun­gen in den Bun­des­län­dern eta­bliert würden.