e-privacy vo vorgelegt

Am 04.11.2020 wurde ein Entwurf für eine E-Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von `visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig. 

Ausnahmen dieser E-Privacy Aspekte 

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E-Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheitfraud preventionDirektwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels `präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit „Spiegel Online“ an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne. 

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E-Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der `rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden. 

E-Privacy und das Nutzerverhalten 

Hand aufs Herz – wer kennt die `do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E-Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen. 

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben. 

Die vorgeschlagene E-Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die `Funktionalitäten´ der hard– und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker – dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter. 

Pro Kontra

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel „Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?“. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. „Standpunkte: Pro und Kontra Zentralisierung“ und „Erfahrungen aus der Datenschutzpraxis“. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.

 

 

Patientendaten PDSG ePA Datenschutz mangelhaft

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat. 

Patientendaten als hochsensibles Schutzgut 

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur `vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten `intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten 

Es würden `aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) `ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung  seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien `weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA. 

Patientendaten in Zeiten fragwürdiger `Digitalisierung´ 

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der `behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein. 

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten 

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022  für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können – entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung. 

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Verursacher von Datenschutzverletzungen 

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit `Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik `datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben `konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels `operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich. 

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten 

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich – hinreichende Gesundheit vorausgesetzt – mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten. 

Fazit und Statement 

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter. 

Das heißt also – verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

lfdi bidib bildungszentrum

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit. 

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen. 

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg 

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden. 

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.