e-privacy vo vorgelegt

Am 04.11.2020 wurde ein Entwurf für eine E-Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von `visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig. 

Ausnahmen dieser E-Privacy Aspekte 

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E-Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheitfraud preventionDirektwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels `präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit „Spiegel Online“ an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne. 

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E-Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der `rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden. 

E-Privacy und das Nutzerverhalten 

Hand aufs Herz – wer kennt die `do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E-Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen. 

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben. 

Die vorgeschlagene E-Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die `Funktionalitäten´ der hard– und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker – dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter. 

Patientendaten PDSG ePA Datenschutz mangelhaft

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat. 

Patientendaten als hochsensibles Schutzgut 

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur `vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten `intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten 

Es würden `aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) `ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung  seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien `weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA. 

Patientendaten in Zeiten fragwürdiger `Digitalisierung´ 

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der `behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein. 

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten 

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022  für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können – entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung. 

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Verursacher von Datenschutzverletzungen 

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit `Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik `datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben `konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels `operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich. 

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten 

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich – hinreichende Gesundheit vorausgesetzt – mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten. 

Fazit und Statement 

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter. 

Das heißt also – verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

1st world corona measures

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind. 

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf.  Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen. 

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App 

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung. 

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren. 

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt. 

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren. 

Datenschutz und Privatsphäre 

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg. 

Prüfauftrag der Corona App war limitiert 

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen. 

Fazit zum aktuellen Stand der Corona App 

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Dashcams im Straßenverkehr und der Datenschutz

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag. 

Die Funktionsweise  

Dashcams sollen insbesondere das Verkehrsgeschehen und -unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können – einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht. 

Dashcams in der praktischen Anwendung 

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden. 

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter. 

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite

Die Frage zur Zulässigkeit von Dashcams vor dem BGH 

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.  

Überwiegende Interessen beim Einsatz von Dashcams 

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten. 

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.