Pro Kontra

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel „Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?“. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. „Standpunkte: Pro und Kontra Zentralisierung“ und „Erfahrungen aus der Datenschutzpraxis“. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.

 

 

gesundheitsdaten gehen an die polizei

Nun auch Sachsen-Anhalt – das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.  

Offenlegung durch parlamentarische Nachfrage 

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt – heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt. 

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten 

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l 

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern 

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten. 

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest. 

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden. 

Corona Prävention und die Verarbeitung von Gesundheitsdaten 

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen. 

Das Verwaltungsgericht Schleswig hat entschieden: die Klarnamenpflicht für Facebook-Nutzer aus Deutschland bleibt (vorerst) bestehen! Das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD)  hatte gegen diese Verpflichtung geklagt.  Demnach wäre eine Pseudonymisierung der Nutzernamen aufgrund deutscher Rechtsvorschriften notwendig. Deutsches Recht sei anzuwenden, da Facebook eine GmbH mit Sitz in Hamburg habe.

Das Gericht ist der Argumentation des ULD nicht gefolgt. Nach dessen Sichtweise sei die europäische Niederlassung in Irland ausschlaggebend und somit gelte irisches Recht. Damit stellte das Gericht generell die Zuständigkeit deutscher Datenschutzbehörden in Frage. Das irische Datenschutzrecht kennt kein solches Anrecht auf Pseudonyme.

Thilo Weichert, Leiter des ULD zeigt sich überrascht: „Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.“ Die Entscheidung sei auch im Hinblick auf das europäische Datenschutzrecht wenig nachvollziehbar.

Quelle:

 

Datenpanne (c) Sascha Kuhrau

Datenpanne (c) Sascha KuhrauDIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

 Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

Die Easycash GmbH zahlte für die unberechtigte Weitergabe von Kontodaten – siehe „Easycash sammelt Daten von EC-Karteninhabern zwecks Bewertung der Zahlungsfähigkeit“ und „Hamburger Datenschützer stellt Strafantrag gegen easycash Loyalty Solutions“ – ein Bußgeld in Höhe von 60.000 Euro.

Der zuständige Datenschutzbeauftragte von Nordrhein-Westfalen, Ulrich Lepper kommentiert sein Vorgehen: „Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten.“

Die Daten hatte Easycash an die in Ham­burg ansäs­sige Firma easy­cash Loy­alty Solu­ti­ons als Schwesterunternehmen vermittelt, das Kunden- und Bonusprogramme anbietet, und die Daten statistisch auswertete. Easycash wickelt im Auftrag von Einzelhändlern EC-Kartenzahlungen ab und verfügt daraus über zahlreiche Datensätze über Kartenzahlungsvorgänge. An das Schwesterunternehmen gab Easycash die Daten von rund 400.000 Zahlungsvorgängen weiter.

Nach Angaben von Lepper zeigte sich Easycash einsichtig und kooperativ. Das Bußgeld sei bereits bezahlt.

Quellen:

Hilfreiche Datenschutz-Links

  • Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
  • Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
  • Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
  • Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
  • Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.