Kategorie: DSGVO

Checkliste

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­liste­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Jetzt her­un­ter­la­den!
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer
Jetzt her­un­ter­la­den!

 

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Seit Mai 2018 kämp­fen nicht nur Ver­ei­ne mit den durch die Daten­schutz-Grund­ver­ord­nung neu hin­zu­ge­kom­me­nen Anfor­de­run­gen. Aber gera­de bei Ver­ei­nen mit oft­mals vie­len bzw. aus­schließ­lich ehren­amt­lich täti­gen Mit­glie­dern macht sich hier nach­voll­zieh­bar schnell Unsi­cher­heit im Umgang mit dem Daten­schutz-Recht breit. Gera­de die Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO gehö­ren hier als Ursa­che oft dazu. Die­sem Umstand trägt der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (kurz LfDI BW) schon aus Zei­ten vor der DSGVO Rechnung.

Seit Febru­ar 2021 steht nun für Ver­ei­ne ein Gene­ra­tor für “Daten­schutz­in­for­ma­tio­nen” auf der Web­sei­te des LfDI BW online. Eine begrü­ßens­wer­te Hil­fe­stel­lung, wenn es um die Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne geht.

Nach­dem eini­ge Grund­an­ga­ben in dem Online-For­mu­lar getä­tigt wur­den, erhält der Nut­zer einen Mus­ter­text zum Kopie­ren und Ein­bin­den in die Vereinswebseite.

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

So löb­lich die­ser Gene­ra­tor ist, so gefähr­lich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever han­delt es sich um eine Hil­fe­stel­lung des LfDI Baden-Würt­tem­berg bei der Erstel­lung von Daten­schutz­in­for­ma­tio­nen für Ver­ei­ne. Es wer­den nicht alle mög­li­chen Daten­ver­ar­bei­tun­gen voll­stän­dig wie­der­ge­ge­ben. Prü­fen Sie daher bit­te vor der Ver­öf­fent­li­chung, an wel­chen Stel­len Sie die Daten­schutz­in­for­ma­tio­nen noch ergän­zen müssen.

Der erzeug­te Mus­ter­text stellt jedoch einen guten Ein­stieg für die spätere/​n Daten­schutz­er­klä­rung /​ Daten­schutz­hin­wei­se der Ver­eins­web­sei­te bzw. zur Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO dar.

Vor Ver­öf­fent­li­chung soll­te man den Rat des LfDI BW jedoch wirk­lich beher­zi­gen und den Text prü­fen und ergän­zen. So sind z.B. Log­in-Berei­che für Mit­glie­der nicht in der Mus­ter­be­schrei­bung ent­hal­ten, jedoch durch­aus kei­ne Sel­ten­heit auf Vereinswebseiten.

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Bereits in der 2. Auf­la­ge ist der Pra­xis­rat­ge­ber “Daten­schutz im Ver­ein nach der DS-GVO” (Grü­ße an das Team Bin­de­strich) erschie­nen. Auf 29 Sei­ten sind die grund­le­gen­den Anfor­de­run­gen an Ver­ei­ne aus der DSGVO nach­voll­zieh­bar und auch für Nicht-Daten­schutz­be­auf­trag­te ver­ständ­lich dar­ge­stellt, abge­run­det mit prag­ma­ti­schen Tipps zur Umset­zung. Im Rat­ge­ber fin­den sich dazu auch wei­te­re Aus­füh­run­gen zu den Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO.

Für einen ers­ten Über­blick lohnt aber auch ein Blick in die FAQ für Ver­ei­ne. In die­ser sind eini­ge Kern­fra­gen zusam­men­ge­stellt und beant­wor­tet, die häu­fi­ger an den LfDI BW sei­tens von Ver­ei­nen her­an­ge­tra­gen wurden.

Wenn alle Stri­cke reißen

Es ist voll­kom­men nor­mal, wenn Ver­eins­ver­ant­wort­li­che trotz die­ser Hil­fe­stel­lun­gen unsi­cher sind in Bezug auf Anfor­de­run­gen und Umset­zung. In die­sem Fall: Spre­chen Sie mit dem Daten­schutz-Bera­ter Ihres Vertrauens.

e-privacy vo vorgelegt

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für messaging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­in­dus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futur­a­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Pro Kontra

Unser Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­land (BvD) e.V. rich­tet heu­te, am 17.09.2020 eine sehr inter­es­san­te Ver­an­stal­tung aus mit dem Titel “Föde­ral oder zen­tral – Wie sieht die Zukunft der Daten­schutz­auf­sicht aus?”. Auf­grund der aktu­el­len Gege­ben­hei­ten rund um Coro­na kann die Ver­an­stal­tung mit­tels Live-Stream mit­ver­folgt wer­den und zwar unter der URL https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/

Vor dem Hin­ter­grund der Eva­lu­ie­rung des Bun­des­da­ten­schutz­ge­set­zes steht der Vor­schlag im Raum, die Daten­schutz­auf­sicht für Unter­neh­men zukünf­tig in eine zen­tra­le Hand zu legen statt auf 17 Auf­sichts­be­hör­den (16 Land, 1 Bund) wei­ter ver­teilt zu lassen.

Start ist um 15 Uhr und beson­ders inter­es­sant wird es bei den Bei­trä­gen ab 15:25 Uhr. “Stand­punk­te: Pro und Kon­tra Zen­tra­li­sie­rung” und “Erfah­run­gen aus der Daten­schutz­pra­xis”. Rein­schau­en bzw. Rein­hö­ren lohnt sich auf jeden Fall, wenn Ver­tre­ter der Lan­des­da­ten­schutz­be­hör­den auf Daten­schutz-Anwäl­te und Prak­ti­ker aus der Wirt­schaft tref­fen, um die Vor- und Nach­tei­le der aktu­ell facet­ten­rei­chen DSGVO Aus­le­gun­gen und Mei­nun­gen in den ver­schie­de­nen Bun­des­län­dern zu diskutieren.

Vor- und Nachteile

Wer wie wir auf­grund der Kun­den­struk­tur mit eigent­lich allen Lan­des­da­ten­schutz­be­hör­den zu tun hat, kann den Wunsch nach einer Zen­tra­li­sie­rung bzw. Ver­ein­heit­li­chung durch­aus nach­voll­zie­hen. Die nicht sel­te­ne weit gefä­cher­te und diver­gie­ren­de Aus­le­gung der DSGVO macht es nicht unbe­dingt leich­ter. Und selbst wenn es gemein­sa­me Stel­lung­nah­men z.B. im Zuge der DSK (Daten­schutz­kon­fe­renz) gibt, sind die­se gele­gent­lich so vage, dass die Bedeu­tung für die Umset­zungs­pra­xis durch­aus gegen Null stre­ben kann. Eine ein­heit­li­che Sicht­wei­se wäre hier durch­aus auch gegen­über Kun­den sehr hilf­reich. Es ist nicht immer leicht zu argu­men­tie­ren, war­um etwas in einem Bun­des­land ok ist, in einem ande­ren Bun­des­land von der Auf­sicht nicht ger­ne gese­hen wird. Ein pro­mi­nen­tes Bei­spiel sind die doch sehr abwei­chen­den Sicht­wei­sen zur Art und Wei­se der Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung (DSFA). Mitt­ler­wei­le haben sich hier gefühlt zwei Lager gebil­det, SDM vs. PIA. Ob man mit einer ande­ren Vor­ge­hens­wei­se aus Sicht der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de alles rich­tig macht, wird die Zeit zeigen.

Ande­rer­seits hat und kennt man durch die dezen­tra­le Struk­tur sei­ne Ansprech­part­ner, die bei Anfra­gen oft zeit­nah und kom­pe­tent reagie­ren. Im Zuge einer Zen­tra­li­sie­rung müss­te durch aus­rei­chen­de per­so­nel­le Beset­zung die­se Bera­tungs­funk­ti­on auch zukünf­tig sicher­ge­stellt sein. Was einer­seits ein Nach­teil sein kann (unter­schied­li­che bis gegen­sätz­li­che Mei­nun­gen der Lan­des­da­ten­schutz­be­hör­den), stellt im Hin­blick auf Mei­nungs­viel­falt und Ideen für Umset­zungs­mög­lich­kei­ten ande­rer­seits durch­aus auch einen Vor­teil dar. Im Zuge einer Zen­tra­li­sie­rung wür­de dies ent­fal­len. Dann gibt es nur noch die eine Sicht­wei­se der zen­tra­len Instanz. Auch dies wäre dann erst mal eine Mei­nung, die ande­re Vor­ge­hens­wei­sen nicht zwin­gend aus­schlie­ßen wür­de, aber der Pool zur Aus­wahl oder Ent­wick­lung ande­rer Umset­zungs­mög­lich­kei­ten wäre stark redu­ziert bzw. nicht mehr vorhanden.

So haben bei­de Lösun­gen ein Für und Wider. Man darf auf die heu­ti­gen Dis­kus­sio­nen im Rah­men der Ver­an­stal­tung und im Hin­blick auf die wei­te­re Ent­wick­lung sehr gespannt sein. Schau­en Sie rein: https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/ Start 15 Uhr.

 

 

Patientendaten PDSG ePA Datenschutz mangelhaft

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben