Bereits an verschiedenen Stellen in unserem Blog haben wir über die sogenannten Datenschutz-Aufsichtsbehörden geschrieben. Diese haben umfangreiche Aufgaben. Eine ist es, die Tätigkeiten der Behörden in Form von Jahresberichten zu dokumentieren und den Parlamente (Landtage und Bundestag) vorzustellen.
Diese Tätigkeitsberichte sind eine gute Informationsquelle für die Rechtsauffassungen und die Ausrichtungen der Behörden und geben einen Richtwert – auch für mögliche zukünftige Überprüfungen bzw. Überprüfungsschwerpunkte.
Wir haben uns alle verfügbaren Tätigkeitsbericht aus dem Jahr 2019 für Sie angeschaut und möchten Ihnen diese nun gerne aufbereitet nach Themenkomplexen als (teilweise gekürzte und angepasste) Zitatauswahl vorstellen. Hierbei haben wir uns die Themen herausgesucht, die am wahrscheinlichsten für Sie interessant sind. Aufgrund des Umfangs, erstellen wir für Sie hieraus eine Blog-Serie. Die Teile der Blogserie können Sie hier auswählen:
Im Volltext können Sie die Tätigkeitsberichte hier nachlesen:
Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz – ZAfTDa
Bei Fragen zu einzelnen Themen, sprechen Sie uns gerne an.
Berufsgeheimnisträger
Ernennung als interner DSB
Notare in einer Sozietät bzw. einer Bürogemeinschaft können sich jedoch nicht gegenseitig als Datenschutzbeauftragte benennen. Ein Notar als Verantwortlicher kann sich auch nicht in eigener Sache als Datenschutzbeauftragter bestellen.
Baden-Württemberg, Kap. 5, Abs. 5.1
Unverschlüsselte E-Mails
Soweit in E-Mails von Berufsgeheimnisträgern (z. B. Rechtsanwälten) an betroffene Personen auch sensible Daten Dritter enthalten sind, entscheidet das Risiko, wie diese verschlüsselt werden müssen. Aus diesem Grund müssen Berufsgeheimnisträger unserer Auffassung nach beim Versand von E-Mails grundsätzlich auf das Vorhandensein einer Transportverschlüsselung achten. Bei einem hohen Risiko für die Rechte und Freiheiten ist zusätzlich eine Inhaltsverschlüsselung (beispielsweise mittels PGP oder SMIME) vorzusehen. Ein Absenken des angemessenen Schutzniveaus bei einem hohen Risiko hin zu einer bloßen Transportverschlüsselung ist zwar mit Zustimmung der betroffenen Person möglich; dies gilt jedoch nur insoweit, als hiervon ausschließlich Daten der betroffenen Personen enthalten sind. Soweit E-Mails eines Berufsgeheimnisträgers auch sensible personenbezogene Daten Dritter mit einem hohen Risiko (z. B. zu der gegnerischen Partei bei einem Rechtsanwalt) enthalten, ist zwingend eine Inhaltsverschlüsselung vorzunehmen. Der sendende Berufsgeheimnisträger muss bei Versand von Daten von Dritten sich zudem vergewissern, dass der E-mail-Provider des Empfängers (d. h. der der betroffenen Person) die Inhalte der E-Mail nicht zu Werbezwecken auswertet. Sollte dies der Fall sein, wie es bspw. bei vielen Freemail-Providern der Fall ist, ist unabhängig vom Risiko eine Inhaltsverschlüsselung vorzunehmen.
Bayern LDA, Kap. 18, Abs. 18.5
Terminverwaltung via E-Mail
Eine Verbesserung der Terminverwaltung von Arztpraxen kann der Verbesserung der Gesundheitsvorsorge dienen und ist daher zu begrüßen. Allerdings ist es zwingend notwendig, dass die Verarbeitung der Patientendaten dabei für die Patientinnen und Patienten transparent bleibt und zusätzliche Dienste, wie Terminerinnerungen per SMS oder E Mail, nur mit Einwilligung der Patientinnen und Patienten erfolgen.
Berlin, Kap. 6, Abs. 6.3
Datenschutzinformationen und Einwilligungen
Meist nutzten diese Arztpraxen Musterformulare. Soweit wir bei den Datenschutzinformationen Verbesserungsbedarf erkannten, bestand dieser z. B. darin, dass unzureichende Informationen mit Einwilligungserklärungen vermischt wurden. Aufgrund unserer Beratung wurden beide Formulare entsprechend den gesetzlichen Anforderungen separat gefasst. Mehrfach sahen die Datenschutzinformationen vor, dass Behandelte diesen zustimmen oder sie als „gelesen und verstanden“ bestätigen sollten. Wir wirkten auf das Streichen solcher Erklärungen bzw. Bestätigungen hin, da die Patientinnen und Patienten nicht verpflichtet sind, die Informationen zur Kenntnis zu nehmen oder ihnen zuzustimmen. Am Rande der Prüfung stellten wir fest, dass gelegentlich Einwilligungen in die Speicherung oder Verarbeitung der Daten zu Behandlungs- oder Abrechnungszwecken erbeten wurden. Wir wiesen darauf hin, dass die zivilrechtliche Dokumentationspflicht der Medizinerinnen und Mediziner unabhängig vom Willen der Patientin oder des Patienten besteht. Bereits die Datenschutz-Grundverordnung sieht eine datenschutzrechtliche Befugnis für die Verarbeitung zu Behandlungszwecken grundsätzlich vor. Auch regelt das Sozialgesetzbuch – jedenfalls bei gesetzlich Versicherten – die Übermittlungen zu Abrechnungszwecken. Insgesamt konnten wir anlässlich unserer Umfrage die Praxisinhaberinnen und inhaber sensibilisieren zu prüfen, in welchen Fällen eine Einwilligungserklärung oder Entbindung von der ärztlichen Schweigepflicht tatsächlich notwendig ist.
Brandenburg, Kap. II
Faxversand durch Rechtsanwälte
Auch ein Fax hat hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail. Fax-Dienste enthalten auch keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Unverschlüsselte E-Mails und Fax-Dienste sind nicht für die Übertragung personenbezogener Daten geeignet.
Bremen, Kap. 7, Abs. 7.2
Abrechnungsstelle bei Arztpraxen
Gleich mehrere Beschwerdeverfahren betrafen die Übermittlung von Patientendaten an externe Abrechnungsunternehmen durch Arztpraxen. Wenn die Patientin oder der Patient privatversichert ist, ist eine solche Übermittlung nur zulässig, wenn die betroffene Person darin eingewilligt hat. Wir mussten allerdings feststellen, dass eine entsprechende Einwilligung nicht immer vorlag und haben in diesen Fällen die betroffenen Praxen sensibilisiert und verwarnt.
Bremen, Kap. 8, Abs. 8.4
Protokollierungen bei Krankenhausinformationssystemen
Wer in einem Krankenhaus behandelt wird, hat die berechtigte Erwartung, dass seine dort verarbeiteten sensiblen personenbezogenen Daten grundsätzlich nur von den für seine Behandlung und Pflege zuständigen Personen zur Kenntnis genommen und genutzt werden. Um dieser mit dem Datenschutzgrundsatz der Vertraulichkeit hinterlegten Erwartungshaltung zu genügen, müssen in sog. Krankenhausinformationssystemen nicht nur schreibende, sondern auch lesende Zugriffe auf die dort verarbeiteten personenbezogenen Daten protokolliert und geeignete Möglichkeiten zur Auswertung vorgehalten werden.
Hamburg, Kap. II, Abs. 5
Informationspflichten durch Arztpraxen
Auch sieht die DSGVO nicht vor, dass eine medizinische Behandlung einer kranken Person unterbleiben muss, nur weil sie die Datenschutzerklärung nicht unterschreibt. Es ist die freie Entscheidung der Patientin und des Patienten, das Informationsangebot der Praxis anzunehmen oder zu verweigern. Die Praxis muss lediglich nachweisen können, dass sie ihren Patientinnen und Patienten die Informationen angeboten hat.
Schleswig-Holstein, Kap. 4, Abs. 4.5.4
Datenschutzverletzungen
Die sichere Verarbeitung personenbezogener Daten ist eine Grundvoraussetzung. Selbst mögliche Einwilligungen betroffener Personen zum unverschlüsselten E-Mail-Versand können Verantwortliche daher nicht von ihrer Pflicht entbinden, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugter Offenbarung zu treffen.
Bund, Kap. 8, Abs. 8.3
Zwar muss nicht zwangsläufig jede Übermittlung personenbezogener Daten auf elektronischem Wege per Ende-zu-Ende-verschlüsselter E-Mail erfolgen. Dieses Verfahren ist eine mögliche bei Datenübermittlungen sogar wesentliche Maßnahme, um ein angemessenes Schutzniveau zu gewährleisten. Eine andere Möglichkeit ist beispielsweise der E-MailVersand von Dokumenten in passwortgeschützten Archiven. Ein OnlineAbruf von schützenswerten Daten über eine verschlüsselte Verbindung ermöglicht für Absender und Empfänger ein bekanntes und praktikables Verfahren. Die notwendigen Zugangsmerkmale (Login, Passwort) sind, wie bereits zuvor beschrieben, über einen anderen und sicheren Kommunikationsweg zu übermitteln.
Top-7 der Datenpannen in BW
Top 7-Liste der häufigsten Ursachen gemeldeter Pannen der Postfehlversand auf Platz 1 rangierte, der E-Mail-Fehlversand auf Platz 3, die Versendung einer E-Mail mit offenem Adressverteiler auf Platz 5 und der Faxfehlversand auf Platz 7. Datenpannen, bei denen Arztpraxen Opfer von Cyberangriffen wurden (Platz 2 der Top 7-Liste). Viele Datenpannenmeldungen, die etwa den Fehlversand eines Arztbriefs zum Gegenstand hatten, enthielten zu meiner Verwunderung die Aussage, man sehe bei der Arztpraxis keine Benachrichtigungspflicht weil das Risiko als gering oder nicht vorhanden betrachtet werde. Grundsatz der Benachrichtigungspflicht Ausnahmen geben kann. Beispielsweise dann, wenn ein unbefugter Empfänger fehlgeleiteter Gesundheitsdaten, etwa wegen Verschlüsselung und anderer Einschränkungen, die Klardaten gar nicht zur Kenntnis nehmen konnte.
Baden-Württemberg, Kap. 1, Abs. 1.5
Datenschutzverletzungen in ST
Versendungen von Briefpost an Nichtberechtigte, Versendung von E-Mails an nicht beabsichtigten Empfänger sowie mit offenem Verteiler, Versendung von E-Mails durch den Virus „Emotet“, Abhandengekommene Datenträger, Entsorgung von Unterlagen mit personenbezogenen Daten im Papiermüll, Kompromittierung eines Amazon-Kontos, Verschlüsselung durch Schadsoftware, Fehlerhafte Zuordnung von Unterlagen, Doppelte Vergabe von Sendungsnummern
Sachsen-Anhalt, Kap. 14, Abs. 14.2
Cc statt Bcc
Bereits in meinem 22. Tätigkeitsbericht habe ich die Thematik der unzulässigen offenen Übermittlung von E-Mail-Adressen behandelt. Auch im Berichtszeitraum erreichten mich zahlreiche Art.-33-Meldungen von Unternehmen und öffentlichen Stellen, in denen es zu einem E-Mail-Versand per CC statt per BCC kam. Da in diesen Fällen ebenfalls keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zudem die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO nicht mehr gegeben ist, wurde auch hier gegen datenschutzrechtliche Bestimmungen verstoßen.Auch in derartigen Fällen habe ich Verwarnungen ausgesprochen. Die Prüfung der bei mir eingegangen Meldungen zeigte, dass die Verantwortlichen grundsätzlich geeignete Verfahren implementiert haben, die eine Einhaltung der Betroffenenrechte gewährleisten. In ihren Schreiben schilderten mir zahlreiche Verantwortliche, ihr Personal angesichts solcher Vorfälle datenschutzrechtlich fortgebildet zu haben.
Niedersachsen, Kap. I.3