Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 06. April 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Information aus der Datenschutzkonferenz
  2. Novelle des Bundespolizeigesetzes
  3. Datenschutz und Digitalisierung an Hamburger Schulen
  4. IT-Sicherheit und Datenschutz bei Dienstwagen
  5. IT-Sicherheit und Datenschutz bei medizinischen Produkten

1. Information aus der Datenschutzkonferenz

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat in einer Pressekonferenz darüber informiert, dass man plant sich mit der Thematik von Datentransfers der deutschen Unternehmen in Länder außerhalb der europäischen Union gezielter zu befassen. Hierzu hat man in der Datenschutzkonferenz ein gemeinsames Vorgehen und ein Formular ausgearbeitet, welches man plant allen Unternehmen nach und nach zukommen zu lassen.

Inhaltlich geht es dabei nicht nur um die innerbetrieblichen Datentransfers international tätiger Unternehmen oder um Datenübertragung im Zusammenhang mit der Güter- oder Leistungsbeschaffung von außerhalb der EU. Vielmehr ist das Internet im Visier der Aufsichtsbehörden. Genaugenommen geht es um die Punkte:
  • Einsatz von Tracking Tools auf Webseiten oder in Anwendungen
  • Webhosting
  • E-Mail Hosting, Newsletter und E-Mail Traffic
Daneben spricht man sich auch sehr kritisch zur Speicherung und Verarbeitung von Personaldaten, hier insbesondere Bewerbungsunterlagen, in Ländern außerhalb der EU, ohne geeignete Garantien im Sinne des Art. 46 DS-GVO sicherzustellen, aus und will dieses näher untersuchen.

Es wird ferner mitgeteilt, dass das Auskunftsersuchen zunächst freiwillig für die angeschrieben Unternehmen sein soll. Zugleich wird aber darauf hingewiesen, dass den Datenschutzbehörden grundsätzlich verpflichtend Auskunft zu erteilen ist, wenn diese es fordern. Für die Praxis bedeutet dieses dann folgendes: Wer Webseiten und Internet-Services außerhalb der EU, in unsicheren Drittstaaten betreibt, ohne geeignete Abkommen oder Vereinbarungen zum Datenschutz getroffen zu haben, hat zukünftig ein Problem. Das deutet sich schon damit an, dass die bayrische Landesaufischt für den Datenschutz (LDA) vor wenigen Tagen die Voraussetzungen zum datenschutzkonformen Einsatz der viel genutzten Anwendung "Mailchimp" an sehr strenge Voraussetzungen geknüpft, und damit faktisch verboten hat.

2. Novelle des Bundespolizeigesetzes

Überschattet durch die Corona-Krise kam, weitgehend unbemerkt, ein neuer Gesetzentwurf aus der Regierung, der das Bundespolizeigesetz reformieren soll. Hiergegen wendet sich der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) mit deutlicher Kritik und mit Zweifeln an der Verfassungsmäßigkeit des Gesetzentwurfes.

Die in diesem Entwurf enthaltenen Eckpunkte werfen in der Tat Fragen auf. Es geht dabei um folgendes:
  • Zukünftig soll die Bundespolizei präventiv, auch ohne Bestehen eines Anfangsverdachts einer Straftat, die Telekommunikation von Bürger*innen überwachen dürfen.
  • Die Bundespolizei soll ebenso das Recht bekommen, digitale Geräte von Bürger*innen und Unternehmen, ohne einen bestehenden Anfangsverdacht einer Straftat, infiltrieren und auszuspähen zu dürfen.
  • Die Aufnahme Erkennungsdienstlicher Maßnahmen, wie Fingerabdrücke und Fotos, soll der Bundespolizei auch ohne einen vorherig begangenen Delikt, also anlasslos, erlaubt werden.
  • Hingegen werden die europäischen Vorgaben zu den Überwachungs- und Kontrollrechten der Datenschutzaufsichtsbehörden über die Polizeiarbeit nur bedingt umgesetzt, und die Arbeit der Datenschutzaufsichtsbehörden wird hier erschwert.
Dieses sind erhebliche Eingriffe in die Freiheits- und den Datenschutzrechte der Bürger*innen. Ob ein solches Gesetzt am Ende Bestand vor dem Verfassungsgericht haben kann, ist mehr als fraglich. Fraglich ist aber auch, welche Botschaft ein solcher Gesetzesentwurf vermittelt und was hier das Ziel ist? Natürlich wünschen wir uns alle eine effektiv funktionierende Polizei, welche die notwendigen Rechte und Mittel zur Umsetzung ihrer Aufgaben hat. Hierrüber scheint die Gesetzesvorlage aber deutlich hinauszugehen und der Bundespolizei wird eine Machtanhäufung gewährt, die weitgehend willkürlich angewandt werden darf. Diese Entwicklung könnte demokratiegefährdend sein und muss beobachtet werden.

Ich nutze die Thematik, um kurz eine Anmerkung zu meinem letzten Newsletter und der Beanstandung von dienstlichen Messengern auf privaten Endgeräten bei der Polizei Niedersachsen durch die zuständige Aufsichtsbehörde zu machen: Das niedersächsische Innenministerium hat darauf bereits reagiert und erklärt, dass die Polizei Niedersachsen noch in diesem Jahr komplett mit dienstlichen Smartphones ausgestattet werden soll, und die Praktik polizeilicher Messeneger auf privaten Endgeräten komplett eingestellt wird. Hier hat die Beanstandung der Aufsichtsbehörde schnell etwas bewirkt.

3. Datenschutz und Digitalisierung an Hamburger Schulen

Der Datenschutz hat auch an unseren Schulen an Bedeutung gewonnen. Die Corona-Krise hat hier deutlich gewirkt. Auch immer mehr Eltern als auch Lehrkräfte wenden sich mit Datenschutzbeschwerden an die Aufsichtsbehörde. Ein Trend, der in der zugrunde liegenden Motivation für die Beschwerden, sehr differenziert betrachtet werden muss.

Zuallererst hat der Hamburger Gesetzgeber mit dem §98c des Hamburger Schulgesetzes mehr Rechtssicherheit für Videokonferenzen geschaffen. Grundsätzlich dürfen Schüler*innen an unseren Schulen unter bestimmten Voraussetzungen zur Teilnahme am Videounterricht verpflichtet werden, ohne dass hierfür eine Einwilligung dieser oder deren Erziehungs-berechtigten notwendig ist. Gleichzeitig wurden Regeln festgelegt, die für Videokonferenzen, insbesondere auch unter Datenschutzaspekten, gelten sollen. Nicht alle davon sind leicht oder überhaupt umzusetzen. Bei vielen dieser Vorgaben ist die Einhaltung der Regeln durch die teilnehmenden Schüler*innen die entscheidende Voraussetzung, die man technisch und organisatorisch nicht anders, als mit einer Selbstverpflichtung der Schüler*innen, sicherstellen kann.

Weiterhin ungeklärt ist die Frage nach der Auslegung des §98b und danach, welche Anwendungen an Hamburger Schulen für Fernunterricht und Online-Lernen genutzt werden dürfen. Genau deswegen kommt es derzeit auch zu vermehrten Beschwerden an die Aufsichtsbehörde. Der Datenschutz ermöglicht hierbei grundsätzlich Lösungen für viele Wege, wenn der Gesetzgeber und alle Beteiligten eine Lösung finden wollen. Hierzu müsste zuerst geklärt sein, wofür genau eine Lösung gefunden werden soll. Und an dieser Stelle hapert es derzeit, denn ein entscheidender Punkt der Digitalisierung ist noch ungeklärt. Und leider muss der Newsletter hier wieder ein wenig politisch werden.

Es geht um die Frage, ob alle Hamburger Schulen letztlich ein und die selbe Online-Plattform nutzen, und somit alle das gleiche digitale Angebot von der Stange, unter Bereitstellung durch die Schulbehörde, anbieten, oder einzelne Schulen, insbesondere die weiterführenden Schulen, auch andere digitale Lernformen und Anwendungen einsetzen dürfen? Diese Frage ist derzeit ungeklärt. Wir finden an Hamburger Schulen einen bunten Mix an Anwendungen für Videokonferenzen und Online-Unterricht. Zum Teil datenschutzkonform, oftmals auch nicht. Dieser Zustand ist so natürlich nicht wünschenswert und hierfür müssen Lösungen gefunden werden.

Auf der Suche nach den Lösungen findet sich dann aber leider nur eine neue Frage. Und es ist wohl die entscheidende Frage, wenn wir über Digitalisierung an Schulen sprechen: Wie soll digitaler Unterricht und Schule der Zukunft überhaupt aussehen? Konzepte sind gefragt, die die Digitalisierung sinnvoll einsetzen und ihr einen pädagogischen Mehrwert für die schulische Ausbildung unserer Kinder geben. Diese Konzepte gibt es auch, von allen Seiten erarbeitet, insbesondere von den Anbietern von Hard- und Software für schulisches Lernen. Es gibt sie in großer Zahl und unterschiedlichster Qualität. Man müsste nur prüfen und auswählen. Dennoch passiert hier nichts. Der Grund dafür ist finanzieller Natur.

Würde man alle Lehrkräfte der Hamburger Schulen mit einem nachhaltigen Konzept und mit digitalen Endgeräten ausrüsten, einschließlich Wartung, Lizenzen, Anwendungen, Reparatur, Ersatz und was so dazu gehört, dann täte dass 25 Millionen Euro jährlich kosten. Bundesweit eine Milliarde Euro. Damit wären nur die Lehrkräfte versorgt. Kommen die Schüler*innen noch dazu, selbst wenn sie nicht alle gleichzeitig digitale Geräte benötigen, dann sind wir bei 100 Millionen Euro jährlich allein für Hamburg, und 4 Milliarden Euro bundesweit. Dieses Budget ist nicht da. Man kämpft damit, die Schulen für steigende Schüler*innenzahlen auszustatten und Investitionsrückstau zu beheben. Dieses allein geht in den meisten Bundesländern schon über die bestehenden Budgets hinaus. Für Digitalisierung ist danach nicht mehr genug übrig.

Folglich kommt der Datenschutz hier sehr gelegen. Es klingt natürlich viel besser zu erklären, dass etwas aus Sicht des Datenschutzes nun einmal nicht möglich ist, als dass man zugibt, dass es kein Budget gibt und die Digitalisierung deswegen stillsteht. Diese provokante Aussage lasse ich einmal so dahingestellt. Richtig ist in jedem Fall, dass die Reihenfolge, in welcher die offenen Fragen zu klären sind, eine andere sein sollte:
  1. Wie viel Budget wollen wir in Digitalisierung stecken und was ist uns eine gute digitale Ausbildung unser Kinder an den Schulen wert?
  2. Was an Digitalisierung wollen und können wir uns mit dem dafür vorhandenen Budget leisten, und wie soll digitaler Unterricht der Zukunft aussehen?
  3. Wie setzen wir dabei den Datenschutz um und finden die richtigen Lösungen für bestmögliche Sicherheit in der Digitalisierung an Schulen?
Ich tue mich sehr schwer damit über Datenschutz an Schulen in Bezug auf Anwendungen zu sprechen, so lange ungeklärt ist, wohin die Digitalisierung eigentlich gehen soll und über welche Rahmenbedingungen wir reden. Den "Jetztzustand", der quasi an jeder Schule individuell anders ist, zu verbieten, weil er gegen den Datenschutz verstößt, bringt die Digitalisierung nicht weiter. Es demotiviert nur Lehrkräfte, es stiftet mehr Verwirrung und es schafft weniger digitale Kompetenzen bei den Schüler*innen. Wir brauchen ein richtiges Konzept. Und dieses Konzept fängt leider beim Budget an und hört dann am Ende beim Datenschutz auf, nicht umgekehrt. Und in diesem Konzept sollte auch sehr deutlich geregelt werden, nach welchen objektiven Kriterien und auf welchen transparenten Ausschreibungswegen Aufträge zukünftig vergeben werden.



4. IT-Sicherheit und Datenschutz bei Dienstwagen

Unsere Autos sind heutzutage keine rein mechanischen Maschinen mehr, die zusätzlich noch etwas Elektronik besitzen. Sie sind fahrende Computer. Das Auto der Gegenwart hat einen Bordcomputer mit WLAN, Bluetooth, USB-Anschluss und SD-Kartenleser, der das komplette Organisationsmanagement im KFZ sicherstellt. Dazu gehört die Steuerung des Infotainments, Navigation, Telefonie und einiges mehr. Das Auto ist ein fahrender Arbeitsplatz, der noch dazu aufzeichnet, wie wir fahren, ob wir das KFZ regelmäßig warten lassen und ob wir uns an die Verkehrsregeln halten. Der Bordcomputer synchronisiert sich dabei mit diversen externen Geräten und macht regelmäßige Updates. Funktioniert er nicht mehr, dann können wir meistens gar nicht mehr starten, geschweige denn noch mit dem Auto sicher fahren.

Genau wie jeder andere Computer kann auch der Bordcomputer eines Autos gehackt oder mit Malware infiziert werden. Wenn das passiert, dann kann das sehr weitreichende Folgen haben. Stellen Sie sich einmal vor, Sie fahren gemütlich durch Hamburg und plötzlich geht ihre Hupe von allein los, die Sie nicht mehr ausschalten können. Ebenso ist es aber auch denkbar, dass Sie die Autobahn längsfahren und der Bordcomputer den Tempomaten einschaltet, für Sie beschleunigt und dann urplötzlich den Motor einfach abschaltet. Spätestens hier ist es nicht mehr lustig, sondern eine Gefahr für Leib und Leben.

Neben einer Gefahr für Leib und Leben ist aber auch der Datenschutz im Dienstwagen ein zunehmend wichtigeres Thema. Das Auto selbst ist erst einmal nichts mehr als eine Sache und kann in diesem Sinne keine verantwortliche Stelle für den Datenschutz sein, auch wenn es zahlreiche personenbezogene Daten sammelt. Entscheidend ist, wer Zugriff auf diese Daten hat oder erhält. Ist das KFZ mit dem Internet verbunden, kann es theoretisch Daten an den Hersteller oder jeden beliebigen Dritten schicken. Merken würden wir davon nichts. Wissen tun wir es auch nicht, denn den Quellcode der Software des Bordcomputers kennen wir nicht. Auch die Autowerkstätten nehmen Zugriff auf den Bordcomputer und lesen die Fehlermeldungen des Motors aus. Ggf. gelangt man dabei in Kenntnis über Fahrverhalten und Fehler der Fahrzeugführer*innen. Die Rechtsgrundlage für solche Datenübertragungen ist schwammig und selbst eine Einwilligungserklärung wird in der Praxis schwierig, da keine Werkstatt weiß, welche Personen das KFZ gefahren haben und als betroffene Personen einwilligen müssten.

Für das Arbeitsrecht ist hier von Bedeutung, dass ein Unternehmen seine Mitarbeiter*innen nicht grundlos und generell überwachen darf. Das gilt auch für einen Dienstwagen, und insbesondere dann, wenn dieser auch für die private Nutzung überlassen ist. Ein Unternehmen darf grundsätzlich nicht auf die Nutzungsdaten des KFZ, soweit sich diese auf Verhaltensweisen der Fahrer*innen beziehen, zurückgreifen. Diese Daten, auch wenn das Unternehmen Eigentümer des KFZ ist, gehören nicht dem Unternehmen noch besteht ein Recht daran sie auslesen und nutzen zu dürfen. Das Auto ist damit zu einem komplizierten Ort geworden, an dem IT-Sicherheit und Datenschutz rigoros umgesetzt werden müssen. Wenn es für Sie als Unternehmer*innen erforderlich wird, Daten aus einem KFZ auszulesen oder das Nutzerverhalten einzelner Fahrer*innen zu überwachen, dann sollten Sie dieses nicht ohne vorherige Absprache mit ihren Datenschutzbeauftragten tun. Und Sie sollten auch alle Mitarbeiter*innen anweisen Auffälligkeiten des Bordcomputer sofort zu melden.

5. IT-Sicherheit und Datenschutz bei medizinischen Produkten

Es sind nicht nur die Autos, die sich verselbständigen können, wenn die Software infiziert ist. Diese banale Erkenntnis gilt auch für alle anderen Computer in unserem Leben, für das Internet der Dinge und damit auch für den medizinischen Bereich. Wir wissen von der Angst des Secret Service schon vor über zehn Jahren, als es um den Vizepräsidenten Dick Cheney ging und die Tatsache, dass jemand seinen Herzschrittmacher manipulieren und ihn so töten könnte. Inzwischen haben Herzschrittmacher verschiedene NFC (Near-Field-Communi-cation) Technik und wären ein leichtes Ziel für Hacker. Neben solchen Szenarien, die uns ein wenig an die James Bond Filme unserer Kindheit erinnern, sind es in der Praxis aber die weniger abenteuerlichen Dinge, die die Medizintechnik zu einem Fall für den Datenschutz und die IT-Sicherheit machen.

Ich möchte in diesem Artikel das Augenmerk auf die Integrität von Daten werfen. Der Datenschutz kennt nicht nur den Schutz personenbezogener Daten vor einer unberechtigten Übertragung an dritte Personen oder einer Veröffentlichung. Datenschutz bedeutet auch die Richtigkeit personenbezogener Daten sicherzustellen und zu erhalten. Das ist gerade in der Medizin von großer Bedeutung. Stellen Sie sich vor, dass Sie an einem Tumor operiert werden, den Sie gar nicht haben, weil man Ihre Daten verwechselt hat. Das MRT war nicht von Ihnen, sondern von jemand anderem und wurde vertauscht. Es geht aber nicht nur um das Vertauschen von Daten, sondern auch um die korrekte Aufzeichnung. Der Speicher unser medizinischen Daten ist zuerst einmal unser eigener Körper. Medizinische Instrumente lesen unseren Körper aus. Dabei liefern Elektroden und Sensoren irgendwelche technischen Impulse, die eine Anwendung zu verwertbaren Daten konvertiert, die danach auf einem Bildschirm angezeigt werden. Was am Ende auf dem Bildschirm erscheint wird nicht mehr hinterfragt. Es ist die postulierte Wahrheit. Genaugenommen ist es aber nur Bildschirmgläubigkeit an die Richtigkeit der Angaben.

Angaben auf Bildschirmen können manipuliert oder falsch sein. Es geht mir dabei an dieser Stelle nicht um böswillige Manipulation, möglich ist theoretisch natürlich alles, sondern um versehentliche Verfälschung von Daten. Das beginnt mit Bugs. Auch medizinische Geräte bekommen regelmäßig Updates und neue Software. Auch hier gilt der Grundsatz "besser fertig als fehlerfrei" und auch hier werden Fehler gemacht. Ein Fehler kann bedeuten, dass der Wert aus Ihrem Körper zwar technisch richtig gemessen, aber falsch umgerechnet und auf dem Bildschirm des Arztes inkorrekt angezeigt wird. So bekommen Sie dann eine Tablette, die Sie eigentlich nicht bräuchten, oder keine Tablette, obwohl sie eine bräuchten. Vielleicht passiert deswegen sogar schlimmeres. Der häufigste Fehler ist aber menschliches Versagen in der richtigen Benutzung der Geräte. Eine Elektrode oder ein Sensor leiten nur teilweise, sitzen an der falschen Stelle oder Kabel wurden vertauscht. Schon ist das Ergebnis nicht mehr das, was Ihr Körper eigentlich senden müsste. Software kann sich auch mal aufhängen. So sendet ein Sensor bei jedem Patienten immer wieder den gleichen Wert. Bis man es feststellt und das ganze Gerät resettet hat, kann es dauern. Bei der Auswertung von Laborwerten kann versehentlich die falsche Patientenakte geöffnet werden. Ein gutes Beispiel ist mein eigener Hausarzt, der gleich zwei "Tobias Lange" als Kunden hat. Versehentlich könnten meine Werte dem anderen Kunden und umgekehrt eingespielt werden. Viel häufiger kommt es aber vor, die letzte geöffnete Kundenkarte auf den Bildschirm nicht zu aktualisieren, wo man schnell eintippt, und ganz vergessen hat, dass man erst den neuen aktuellen Patienten öffnen muss. Immer wieder ist auch das manuelle Übertragen von Werten und der klassische Tippfehler ein Problem. Mögliche technische und menschliche Fehler lauern also an vielen Ecken. Und aufgrund der Masse der medizinischen Datenerhebungen in Arztpraxen und Krankenhäusern passieren diese Fehler auch. Das ist leider eine simple mathematische Tatsache, der wir uns ernüchternd stellen müssen. Es gibt keine absolute Sicherheit der Richtigkeit der Messwerte medizinischer Geräte in unseren Patientenakten.

Nirgendswo kommt es dennoch mehr auf die Richtigkeit unserer Daten an, als in der Medizin. Hier geht es im schlimmsten Fall um unser Leben. Datenschutz und IT-Sicherheit sind daher gerade für Ärzte und Krankenhäuser ein ganz entscheidendes Gebiet zur Qualitätssicherung der Behandlung. Der wichtigste Punkt ist hierbei die Schulung und Sensibilisierung des medizinischen Personals für diese Problematik. Gut ausgebildetes und geschultes Personal sorgt für richtige medizinische personenbezogene Daten und rettet damit Leben. Personal, dass nicht unter Zeit- und Leistungsdruck arbeiten muss, noch viel mehr.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werfe ich unter anderem einen Blick auf den jüngst veröffentlichten Bericht des Bundesbeauftragten für den Datenschutz und die Informationssicherheit.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com