Zum Inhalt springen

Verein

Whistleblower-Richtlinie und bald das HinSchG

Whist­leb­lower-Richt­li­nie /​ Hin­weis­ge­ber­schutz­ge­setz prag­ma­tisch umge­setzt mit Whist­le Safe

Seit Novem­ber 2019 steht die euro­päi­sche Hin­weis­ge­ber­schutz-Richt­li­nie im EU-Amts­blatt (Whist­leb­lower-Richt­li­nie). Ihre Vor­ga­ben sind nun in Kraft getre­ten und grei­fen seit dem 18.12.2021. Die Mit­glied­staa­ten hat­ten zuvor zwei Jah­re Zeit, das EU-Gesetz in natio­na­les Recht umzu­set­zen. Die Umset­zung im deut­schen Hin­weis­ge­ber­schutz­ge­setz wird für Quar­tal 1 2022 erwar­tet. Die Anfor­de­run­gen kön­nen jedoch bereits gegen Orga­ni­sa­tio­nen gel­tend gemacht werden.

Juris­ti­sche Per­so­nen wie Fir­men, Behör­den und ande­re Rechts­trä­ger (mit mehr als 50 Mit­ar­bei­tern) sowie alle Unter­neh­men aus dem Bereich der Finanz­dienst­leis­tun­gen müs­sen gemäß den Vor­ga­ben der Whist­leb­lower-Richt­li­nie prin­zi­pi­ell ein (inter­nes) Hin­weis­ge­ber­sys­tem bereit­stel­len und einen spe­zi­el­len Beauf­trag­ten als Ansprech­part­ner vor­se­hen. Gering­fü­gi­ge Aus­nah­men kön­nen ledig­lich für Gemein­den mit weni­ger als 10.000 Ein­woh­nern gemacht werden.

Anders als von der deut­schen Recht­spre­chung bis­lang vor­ge­ge­ben, muss nach der Whist­leb­lower-Richt­li­nie ein Hin­weis­ge­ber einen Miss­stand nicht mehr zunächst intern in der eige­nen Fir­ma oder Behör­de mel­den. Er kann sich auch unmit­tel­bar an über­ge­ord­ne­te Whist­leb­lower-Stel­len wen­den oder bei irrever­si­blen Schä­den, dro­hen­den kon­kre­ten Repres­sa­li­en und beim Aus­blei­ben einer zügi­gen Rück­mel­dung an die Medi­en. Damit ent­zieht sich eine sol­che Mel­dung der Kon­trol­le Ihrer Orga­ni­sa­ti­on und birgt ent­spre­chen­de Risi­ken (Image­scha­den, Buß­gel­der, Geld­stra­fen etc.)

Unser Part­ner Whist­le Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Fir­ma oder Kom­mu­ne die recht­li­chen Anfor­de­run­gen der Whist­leb­lower-Richt­li­nie mit­tels der gesetz­lich expli­zit vor­ge­se­he­nen exter­nen Unter­stüt­zung ele­gant und auch kos­ten­schlank lösen können.

Die Webi­na­re (ca. 30 Minu­ten) fin­den statt:

10. Febru­ar 2022, 09:00 — 09:30 Uhr
18. Febru­ar 2022, 11:00 — 11:30 Uhr
24. Febru­ar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bit­te nut­zen Sie den fol­gen­den Link zur Regis­trie­rung für einen Ter­min Ihrer Wahl:
https://​next​.edu​dip​.com/​d​e​/​w​e​b​i​n​a​r​/​w​h​i​s​t​l​e​b​l​o​w​i​n​g​-​r​i​c​h​t​l​i​n​i​e​-​h​i​n​w​e​i​s​g​e​b​e​r​s​c​h​u​t​z​g​e​s​e​t​z​-​p​r​a​g​m​a​t​i​s​c​h​-​u​m​g​e​s​e​t​z​t​-​m​i​t​-​w​h​i​s​t​l​e​-​s​a​f​e​/​1​7​6​8​122

Hin­weis: Die­se kos­ten­freie Ver­an­stal­tung zur Whist­leb­lower-Richt­li­nie wird von Whist­le Safe e.K. Ber­lin durch­ge­führt, nicht von der a.s.k. Daten­schutz. Fra­gen rich­ten Sie daher bit­te direkt an info@​whistle-​safe.​com bzw. https://​whist​le​-safe​.com

Herz­li­che Grü­ße sowie ein fro­hes und vor allem gesun­des Neu­es Jahr 2022
Das Team von a.s.k. Datenschutz

Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Seit Mai 2018 kämp­fen nicht nur Ver­ei­ne mit den durch die Daten­schutz-Grund­ver­ord­nung neu hin­zu­ge­kom­me­nen Anfor­de­run­gen. Aber gera­de bei Ver­ei­nen mit oft­mals vie­len bzw. aus­schließ­lich ehren­amt­lich täti­gen Mit­glie­dern macht sich hier nach­voll­zieh­bar schnell Unsi­cher­heit im Umgang mit dem Daten­schutz-Recht breit. Gera­de die Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO gehö­ren hier als Ursa­che oft dazu. Die­sem Umstand trägt der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (kurz LfDI BW) schon aus Zei­ten vor der DSGVO Rechnung.

Seit Febru­ar 2021 steht nun für Ver­ei­ne ein Gene­ra­tor für “Daten­schutz­in­for­ma­tio­nen” auf der Web­sei­te des LfDI BW online. Eine begrü­ßens­wer­te Hil­fe­stel­lung, wenn es um die Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne geht.

Nach­dem eini­ge Grund­an­ga­ben in dem Online-For­mu­lar getä­tigt wur­den, erhält der Nut­zer einen Mus­ter­text zum Kopie­ren und Ein­bin­den in die Vereinswebseite.

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

So löb­lich die­ser Gene­ra­tor ist, so gefähr­lich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever han­delt es sich um eine Hil­fe­stel­lung des LfDI Baden-Würt­tem­berg bei der Erstel­lung von Daten­schutz­in­for­ma­tio­nen für Ver­ei­ne. Es wer­den nicht alle mög­li­chen Daten­ver­ar­bei­tun­gen voll­stän­dig wie­der­ge­ge­ben. Prü­fen Sie daher bit­te vor der Ver­öf­fent­li­chung, an wel­chen Stel­len Sie die Daten­schutz­in­for­ma­tio­nen noch ergän­zen müssen.

Der erzeug­te Mus­ter­text stellt jedoch einen guten Ein­stieg für die spätere/​n Daten­schutz­er­klä­rung /​ Daten­schutz­hin­wei­se der Ver­eins­web­sei­te bzw. zur Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO dar.

Vor Ver­öf­fent­li­chung soll­te man den Rat des LfDI BW jedoch wirk­lich beher­zi­gen und den Text prü­fen und ergän­zen. So sind z.B. Log­in-Berei­che für Mit­glie­der nicht in der Mus­ter­be­schrei­bung ent­hal­ten, jedoch durch­aus kei­ne Sel­ten­heit auf Vereinswebseiten.

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Bereits in der 2. Auf­la­ge ist der Pra­xis­rat­ge­ber “Daten­schutz im Ver­ein nach der DS-GVO” (Grü­ße an das Team Bin­de­strich) erschie­nen. Auf 29 Sei­ten sind die grund­le­gen­den Anfor­de­run­gen an Ver­ei­ne aus der DSGVO nach­voll­zieh­bar und auch für Nicht-Daten­schutz­be­auf­trag­te ver­ständ­lich dar­ge­stellt, abge­run­det mit prag­ma­ti­schen Tipps zur Umset­zung. Im Rat­ge­ber fin­den sich dazu auch wei­te­re Aus­füh­run­gen zu den Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO.

Für einen ers­ten Über­blick lohnt aber auch ein Blick in die FAQ für Ver­ei­ne. In die­ser sind eini­ge Kern­fra­gen zusam­men­ge­stellt und beant­wor­tet, die häu­fi­ger an den LfDI BW sei­tens von Ver­ei­nen her­an­ge­tra­gen wurden.

Wenn alle Stri­cke reißen

Es ist voll­kom­men nor­mal, wenn Ver­eins­ver­ant­wort­li­che trotz die­ser Hil­fe­stel­lun­gen unsi­cher sind in Bezug auf Anfor­de­run­gen und Umset­zung. In die­sem Fall: Spre­chen Sie mit dem Daten­schutz-Bera­ter Ihres Vertrauens.

LfDI Baden-Würt­tem­berg — neu­es Bildungszentrum

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit — LfDI Baden-Würt­tem­berg, Dr. Ste­fan Brink, hat in die­sem Monat ein neu­es Bil­dungs­zen­trum eröff­net. Das „Bil­dungs­zen­trum Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg“ (BIDIB) infor­miert alle inter­es­sier­ten Bür­ger, zivil­ge­sell­schaft­li­che Grup­pen, Ver­ei­ne, Ver­bän­de, Unter­neh­men etc. unter dem Mot­to „Daten­schutz und Infor­ma­ti­ons­frei­heit zum Anfas­sen“ und bil­det ein Forum für die moder­nen Grund­rech­te Daten­schutz und Informationsfreiheit. 

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Die offi­zi­el­le Web­site des BIDIB kön­nen Sie hier auf­ru­fen und die zuge­hö­ri­ge Pres­se­mit­tei­lung hier. Die mit Mit­teln des Land­tags Baden-Würt­tem­berg eta­blier­te Bil­dungs­ein­rich­tung gibt Bil­dungs- und Dis­kus­si­ons­ver­an­stal­tun­gen Raum, in denen poli­ti­sche, ethi­sche, recht­li­che und sozio­lo­gi­sche Aspek­te des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt wer­den. Die Dar­rei­chungs­for­men sind u.a. digi­ta­le For­ma­te, Vor­trä­ge, Kon­fe­ren­zen, Work­shops und Schu­lun­gen, die mit dem Know-how der LfDI Baden-Würt­tem­berg Mit­ar­bei­ten­den gespeist wer­den. Dazu gehört auch eine Dis­kus­si­ons­rei­he mit Dr. Ste­fan Brink zu ver­schie­de­nen gesell­schafts­re­le­van­ten Themen. 

Zukunfts­wei­sen­de Aspekte

Der LfDI Baden-Würt­tem­berg sieht „bedarfs­ge­rech­te Bil­dungs­an­ge­bo­te, die die­se Grund­rech­te aus mög­lichst vie­len Per­spek­ti­ven beleuch­ten und durch­drin­gen [..] von grund­le­gen­der und gesamt­ge­sell­schaft­li­cher Bedeu­tung“. Neben dem ste­ti­gen Aus­bau der Ver­an­stal­tungs- und Bil­dungs­an­ge­bo­te ist auch die Erwei­te­rung um /​ bestehen­der Koope­ra­tio­nen wie mit Han­dels­kam­mern, Gewerk­schaf­ten, Par­tei­en und wei­te­ren Orga­ni­sa­tio­nen avi­siert. Nach der Auf­bau­pha­se des BIDIB bis vor­aus­sicht­lich Ende die­sen Jah­res wird das Bil­dungs­zen­trum über eige­ne Räum­lich­kei­ten verfügen.

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg 

Zu den Gra­tu­lan­ten gehö­ren der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Prof. Kel­ber, die Gesell­schaft für Frei­heits­rech­te und der CCC. Ins­be­son­de­re in Zei­ten, in denen vie­ler­orts unaus­ge­reif­te Digi­ta­li­sie­rung mit zeit­glei­chem Rück­gang der Trans­pa­renz vor­an­ge­trie­ben wird und der Bür­ger weit weni­ger ratio­nal auf das digi­ta­le Zeit­al­ter ein­ge­stellt wird als er annimmt, sind Ein­rich­tun­gen der Bil­dung, der zeit­ge­mä­ßen Auf­klä­rung und des Dis­kur­ses mehr als not­wen­dig. Es wäre zu begrü­ßen, wenn noch wei­te­re sol­cher Ein­rich­tun­gen in den Bun­des­län­dern eta­bliert würden. 

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­filing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Darknet Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Bre­x­it, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 2

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­cial Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Die mobile Version verlassen