Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Datenschutz von Patientendaten
  2. Unique Identifier in Cookies und beim Online Tracking
  3. Bußgeld und Schadenersatz bei Datenpannen

1. Datenschutz von Patientendaten

Beim Datenschutz von Patientendaten besteht leider ein grundsätzliches Problem. Viele Krankenhäuser und Verwaltungen solcher Daten führen diese immer noch mit Informationstechnik, also mit EDV-Betriebssystemen sowie Hard- und Software, durch, die nicht mehr dem aktuellen Stand der Technik entsprechen und keine angemessene Sicherheit bieten. Mit dieser traurigen Wahrheit, die auch kurzfristig sicher nicht behoben werden wird, müssen wir leider in die Thematik starten.

Auch im Krankenhaus und in der Organisation von größeren Arztpraxen spielen Messenger-Dienste eine immer wichtigere Rolle. Von Seiten des Datenschutzes ist das problematisch, insbesondere wenn hierzu private Endgeräte genutzt werden. Die herkömmlichen Dienste unseres Alltags, wie WhatsApp, entsprechen nicht den Vorgaben des Datenschutzes und dürfen nicht in Unternehmen verwandt werden. Zu den konkreten Anforderungen für Messenger-Dienste im medizinischen Bereich hat die Datenschutzkonferenz ein "Whitepaper" verfasst, welches die Voraussetzung für einen datenschutzkonformen Einsatz dieser Dienste nennt. Sie finden diese Papier unter dem folgendem Link: Whitepaper der Datenschutzkonferenz zum Einsatz von Messenger Diensten im medizinischen Bereich.

In 2019 kam es zu einem Fall einer Beschlagnahme von Unterlagen in einem Krankenhaus, darunter auch Patientenunterlagen, für ein Strafverfahren gegen einen dort vormals angestellten Arzt. Die Beschlagnahme wurde seitens des Krankenhauses unter Berufen auf die Strafprozessordnung (StPO) und den Datenschutz verweigert. Mit dem Fall befasste sich auch der dafür zuständige Landesbeauftragte für den Datenschutz und führte dazu aus, dass das Beschlagnahmeverbot nach der StPO nur im Falle des Strafverfahrens gegen einen Patienten besteht, nicht jedoch im Falle eines Strafverfahrens gegen einen Arzt. Die Beschlagnahme durfte also erfolgen. Seitens des Datenschutzes wurde die Ermittlungsbehörde aber auf strenge Erfordernisse hingewiesen:
  • Die Möglichkeit der Einsicht der Unterlagen darf nur für die direkt mit dem Ermittlungsverfahren betrauten Personen erfolgen.
  • Die Unterlagen müssen vor Missbrauch geschützt werden.
  • Der Ausschluss der Öffentlichkeit in der mündlichen Verhandlung vor Gericht gemäß § 172 Nr. 2 Gerichtsverfassungsgesetz (GVG) bei der Erörterung ärztlicher Aufzeichnungen ist in jedem Fall zu wahren.
  • Unter Abwägung der berechtigten Belange des Betroffenen und des öffentlichen Interesses darf die Staatsanwaltschaft grundsätzlich Sachverständige zu Durchsuchungen bei der Beschlagnahme hinzuziehen.
In 2019 musste man sich auch vielfach mit dem Fall befassen, wo ein Patient in einer Arztpraxis oder einem Krankenhaus die Unterschrift unter die Datenschutzerklärung verweigerte. In einigen Fällen wurde dabei anschließend die Behandlung des Patienten ebenso verweigert. Hierzu führt das Unabhängige Landeszentrum Datenschutz Schleswig-Holstein (ULD) klar aus, dass die DSGVO nicht vorsieht, dass eine medizinische Behandlung einer Person unterbleiben muss, nur weil die Datenschutzerklärung nicht unterschrieben wurde. Es ist die freie Wahl eines jeden Patienten die Datenschutzerklärung zu unterschreiben oder dieses zu verweigern. Die Arztpraxis oder das Krankenhaus müssen lediglich nachweisen, dass die Datenschutzinformationen angeboten wurden. In diesem Zusammenhang möchte ich auf eine Publikation des ULD zu den Informationspflichten in Arztpraxen und Krankenhäusern hinweisen: Praxisreihe Datenschutzbestimmungen Nr. 4 Informationspflichten

Ein kurioser Fall ereignete sich im Januar letzten Jahres in Kiel. Dort stand ein offener Altpapier-Container in der Innenstadt, quasi mitten auf der Straße, für jeden zugänglich und gefüllt mit einigen Kubikmetern sensiblen Patientendaten auf Papier. Das ganze ist einem Labor passiert, dass einen externen Dienstleister mit der Aktenvernichtung beauftragt hatte. Ein Auftragsverarbeitungsvertrag oder eine rechtliche Vereinbarung hatte man aus Zeitgründen nicht geschlossen. Verantwortlich war daher das Labor und nicht die Drittfirma, die die Akten ausgeräumt und unsachgemäß gelagert hat. Dieses zeigt einmal mehr die Wichtigkeit eines korrekten Auftragsverarbeitungsvertrags und die seriöse Auswahl von Dienstleistern bei der Aktenvernichtung.

Gängig ist die Lieferung von Medikamenten durch Apotheken zu den Kunden nach Hause. Auch hierbei gilt der Datenschutz und nicht nur der, denn Apotheker und deren berufsmäßig tätige Gehilfen (dazu zählen auch Auslieferfahrer) unterliegen zusätzlich auch der Schweigepflicht nach § 203 StGB. Es muss sichergestellt werden, dass unbefugte keine Kenntnis von personenbezogenen Daten erhalten. In der Praxis heißt das, dass die Medikamente blickdicht verpackt und transportiert werden müssen. Gibt der Bote die Medikamente wegen Abwesenheit beim Nachbarn ab, darf er dieses nicht in einer offenen Tüte tun. Die Medikamente müssen blickdicht verpackt und nicht ohne weiteres zu öffnen sein. Grundsätzlich sollte eine Übergabe von Medikamenten nur an Befugte erfolgen, also an den Patienten selbst oder dessen hierfür benannten Personen.

Als letzten Punkt beim Thema Datenschutz von Patientendaten möchte ich mich mit dem Thema des Diebstahls von Unterlagen oder einem Laptop mit sensiblen Patientendaten aus einem Auto heraus befassen. Diese Thematik betrifft insbesondere auch Pflegedienste. Man legt mal eben die Unterlagen auf den Beifahrer- oder Rücksitz und geht einkaufen. Dann kommt man zurück, das Auto ist aufgebrochen und alles ist weg. Jeder denkt hier immer, dass einem selbst das nicht passieren wird und nur Theorie ist. Es passiert in der Praxis aber leider erstaunlich oft und sollte sehr ernst genommen werden. Eine umgehende Meldung an die Aufsichtsbehörde und weitere Maßnahmen sind hier unbedingt erforderlich. Entscheidend ist insbesondere folgendes, was auch in der Meldung ausgeführt werden sollte, um ein (hohes) Bußgeld zu vermeiden:
  • Wurde das Auto mit krimineller Energie aufgebrochen oder war es versehentlich unverschlossen?
  • Gab es schriftliche Vorgaben für den Transport von Patientendaten/Laptops in Kraftfahrzeugen und wurden diese Vorgaben beachtet?
    • Enthalten diese Vorgaben Regelungen zum Verfahren bei Pausen?
    • Enthalten diese Vorgaben Regelungen zum Verfahren bei Dienstschluss?
    • Wurden die Mitarbeiter hierauf und auf den Datenschutz regelmäßig geschult?
  • Handelt es sich um Unterlagen oder elektronische Medien, die mit Wissen des verantwortlichen erstellt und transportiert wurden?
  • Sofern der Diebstahl aus einem privaten KFZ heraus erfolgt ist: Gibt es Regelungen für die Nutzung von privaten KFZ und wurden diese befolgt?
  • Wurde ein blickdichtes Behältnis für die Aufbewahrung der Unterlagen beim Transport genutzt oder waren diese von außen sichtbar?
  • Sind gestohlene elektronische Medien ausreichend verschlüsselt und gesichert?
  • Wo im Auto befanden sich die Unterlagen/Laptop im Zeitpunkt des Diebstahls?
  • Wurde umgehend eine Strafanzeige gestellt?
    (Das Stellen einer Strafanzeige ist unbedingt erforderlich!)
Trotz regelmäßiger Schulung von Mitarbeitern und deren schriftlicher Verpflichtung auf angemessene Schutzvorschriften beim Transport von Patientendaten in Kraftfahrzeugen, kommt es leider doch immer wieder vor, dass diese Regelungen missachtet werden. Auch in diesem Fall ist die verantwortliche Stelle, also das Unternehmen des Beschäftigten, für die Datenpanne verantwortlich. Dass ein Unternehmen hierbei nachweisen kann, alles für die Einhaltung des Datenschutzes geleistet zu haben, wird in der Regel bei der Bemessung des Bußgeldes positiv berücksichtigt. Auch wenn der Vorfall schuldhaft einem Mitarbeiter zugerechnet werden kann, treffen Bußgeld und eventueller Schadenersatz durch Betroffene immer die verantwortliche Stelle. Handelte der Mitarbeiter dabei mit mittlerer oder grober Fahrlässigkeit, kann ein Teil des entstandenen Schadens intern gegen diesen Mitarbeiter geltend gemacht werden.



2. Unique Identifier in Cookies und beim Online Tracking

Das Sammeln und Verarbeiten von personenbezogenen Daten auf Webseiten mit anschließender kommerzieller Nutzung ist leider weiterhin Gang und Gebe, auch wenn der Datenschutz diese ohne eine vorherige ausdrückliche Einwilligung verbietet.

Die Methoden und Argumentation hierzu werden immer komplizierter. Gängig, aber nicht legal, ist die Praxis die IP-Adresse zu anonymisieren und einen "Unique Identifier" in einem Tracking Cookie auf dem Endgerät zu speichern. Es wird dann argumentiert, dass man mit dem eindeutigen Code in dem Cookie schließlich keinen, hinter dem Anschluss stehenden Menschen, durch Anfrage bei einem Internetprovider, ermitteln kann. Somit liegt ein personenbezogenes Merkmal nicht vor. Diese Argumentation ist falsch. Unique Identifier in Cookies sind personenbezogene Merkmale und dürfen nicht ohne die vorherige informierte Einwilligung der Betroffenen auf einem Endgerät platziert werden.

Die Datensammler im Internet werden aber zunehmen innovativer und die Wahrung des Datenschutzes wird hier immer komplizierter. Mehr und mehr gängig wird das sogenannte "Fingerprint Tracking". Hierbei wird kein "Unique Identifier", in Form eines eindeutig identifizierbaren Codes, der vom Endgerät her übertragen wird, und den das Endgerät entweder besitzt (z.B. IP-Adresse) oder dem man diesem vorher aufgespielt hat ( z.B. Cookie), übertragen, sondern es werden die zahlreichen Informationen von Hard- und Software des Endgeräts ausgewertet und hieraus Muster erstellt, die so individuell sind, dass diese sich zur Wiedererkennung des Gerätes, und damit des Nutzers, eignen. Das geht soweit, dass man sogar den Schmutz auf der Kamera, den das menschliche Auge nicht sieht, auswertet. Fingerprint Tracking ist erstaunlich präzise. Es erreicht eine Richtigkeit der Wiedererkennung der Endgeräte von über 99%, wie es in der Fachliteratur dargestellt wird.

Auch für das Fingerprint Tracking gilt, dass es nur erlaubt ist, wenn vorab hierfür eine informierte Einwilligung eingeholt wurde. Die Erstellung eines eindeutigen Musters zur Wiedererkennung eines Nutzers, auch wenn dieses nicht vom Nutzer her übertragen, sondern erst auf den Servern der verantwortlichen Stellen aus zahlreichen nicht eindeutigen Merkmalen zu einem eindeutigen Merkmal errechnet wird, stellt ein personenbezogenes Merkmal im Sinne des Datenschutzes da. Das Problem hierbei liegt allerdings in der Nachweisbarkeit der Methode von außen. Ob Fingerprint Tracking betrieben wird oder nicht, weiß nur die verantwortliche Stelle, die es auf ihrem Server tut bzw. nicht tut. In der Regel haben die großen strategischen Websitebetreiber ein kommerzielles Interesse so etwas zu tun, aber gar kein Interesse es zuzugeben. Wenn ein Betreiber behauptet, dass er so etwas nicht tut, dann kann das erst einmal keiner nachweisen. Es bedürfte bei Verdacht schon einer sehr detaillierten Außenprüfung bei der verantwortlichen Stelle, wofür gegenwärtig bei den Datenschutzbehörden keine Ressourcen bestehen. Bei verantwortlichen Stellen in EU-Ausland ist die wirklich Verfolgung gegenwärtig schier unmöglich.



3. Bußgeld und Schadenersatz bei Datenpannen

Mich erreichten zu meinem letzten Newsletter einige Rückfragen, so dass ich einen Punkt nochmal etwas klarer ausführen möchte:

Eine Datenpanne muss nicht zwangsweise zu einem Bußgeld und Schadenersatz-ansprüchen durch Betroffene führen. Dieses ist nur dann der Fall, wenn die verantwortliche Stelle die Datenpanne zu verantworten hat und gegen die DSGVO verstoßen hat. Ein Verstoß liegt dann nicht vor, wenn man die Erfordernisse der DGVO angemessen erfüllt hat. Erleidet man aber dennoch, zum Beispiel durch einen Diebstahl mit erheblicher krimineller Energie, eine Datenpanne, dann ist diese nicht schuldhaft zu vertreten. Es gilt: Wenn gegen die Verordnung nicht verstoßen wurde, ist ein verhängtes Bußgeld ohne Rechtsgrundlage und kann, sollte es verhängt werden, angefochten werden. Dieses heißt aber nicht, dass bei einer Datenpanne, die einem nicht schuldhaft zuzurechnen ist, deswegen nicht die Verpflichtungen, die Datenpanne umgehend zu melden und die entsprechend notwendigen Schritte einzuleiten, bestehen. Die nach DSGVO für den Fall einer Datenpannen vorgeschriebenen Maßnahmen müssen auch in diesem Fall erfüllt sein, damit man damit argumentieren kann, gegen die Verordnung nicht verstoßen zu haben.

Ein Schadenersatz und arbeitsrechtliche Sanktionierungen seitens einem Unternehmens gegenüber den eigenen Mitarbeitern, wenn diese, mit nicht nur leichter Fahrlässigkeit, die Datenpanne wider ihnen bekannten betrieblichen Regelungen herbeigeführt haben, besteht grundsätzlich immer. Das gilt im wesentlichem auch für Beamte und den öffentlichen Dienst.

Anders ist es bei der persönlichen Haftung des Datenschutzbeauftragten. Entsteht eine Datenpanne daraus, dass ein Datenschutzbeauftragter nicht seine Pflichten erfüllt hat, dann haftet dieser nicht nur dem Unternehmen gegenüber, sondern es kann auch gegen den Datenschutzbeauftragten persönlich ein Bußgeld verhängt werden. Und dieses unabhängig davon, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt. Trotz der Tatsache, dass nach §43 BDSG-neu Bußgelder nicht gegen Behörden oder öffentliche Stellen verhängt werden können, wäre es aber theoretisch denkbar persönlich gegen den Datenschutzbeauftragten einer Behörde oder öffentlichen Stelle, selbst wenn dieser Beamter ist, bei Pflichtverletzung ein Bußgeld zu verhängen.

Das hört sich alles dramatisch an. Wenn man es aber ein wenig reflektiert, dann hat sich mit dem Datenschutz in der Haftung zwischen Mitarbeitern und Unternehmen, als auch zwischen Beratern und Unternehmen, nichts verändert. Wer eine Aufgabe übernimmt, gleich in welcher Art von Beschäftigungsverhältnis, der haftet für den Schaden, der durch seine Fehler entsteht, wenn dieser Schaden sich nicht nur auf leichte Fahrlässigkeit begründet. Verstößt und erfüllt man seine Pflichten nicht, kann der Arbeitgeber arbeitsrechtliche Sanktionen einleiten als auch Schadenersatz, wenn ein Schaden entstanden ist, geltend machen. Das ist keine neue Erfindung, um es einmal so lapidar auszudrücken.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Die Themen des nächsten Newsletters stehen noch nicht fest und Sie werden sich überraschen lassen müssen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com
twitter email custom