Hier finden Sie in unregelmäßigen Abständen Neuigkeiten aus dem Bereich Datenschutz:

08.2020 Das Fax hat ausgedient!

Das OVG Lüneburg hat am 22.07.2020 – 11 LA 104/19 festgestellt, dass eine unverschlüsselte Übermittlung personenbezogener Daten per Fax nicht zulässig ist, da hierbei der erforderliche Schutz der Daten nicht gewährleistet ist.

07.2020 Bye bye Privacy Shield - "long" live the Standard Contractual Clauses?

Mit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärt. Damit können Unternehmen keine personenbezogenen Daten auf dieser Grundlage austauschen, da die Vereinbarung keinen ausreichenden Schutz der Daten in den USA gewährleisten könne.

Die Pressemitteilung zu dem Urteil können Sie hier einsehen: „Pressemitteilung Nr. 91/20

Was gilt es nun zu tun?

Zunächst sollten sich alle Unternehmen mit Auftragsverarbeitungen in den USA einen Überblick verschaffen, ob der Partner auf Grundlage des Privacy Shield agiert und den Ersatz der Vereinbarung durch die noch zulässigen EU-Standardvertragsklauseln prüfen.

Jedoch wird auch dieses Vertragsmodell eine Überarbeitung erfahren. Dies hat der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) in einer ersten Stellungnahme zu dem Urteil bereits angekündigt.

Die risikolose Nutzbarkeit der Standardvertragsklauseln für die USA im Speziellen scheint nicht mehr gegeben, wenn der Kommunikationspartner unter die Regelungen „Section 702 FISA and EO 12333“ fällt, was für alle „Electronic communication service provider“ gilt und das sind alle Anbieter von Cloud-Dienstleistungen („remote computing service“ means the provision to the public of computer storage or processing services by means of an electronic communications system;“). Dies findet sich in den Erläuterungen des EDPB zum o.g. Urteil des EUGH wonach der Datenexporteur im Einzelfall prüfen muss, dass US-Recht das angemessene Schutzniveau, das die Standardvertragsklauseln garantieren sollen, nicht beeinträchtigt und dies dürfte nicht möglich sein.

Für den Fall, dass eine Organisation den Datentransfer auch bei einem negativen Prüfergebnis aufrecht halten will, so müsse sie dies der für sie zuständigen Aufsichtsbehörde mitteilen.

Vor diesem Hintergrund fällt es schwer der Stellungnahme von Microsoft ohne Bedenken zu folgen wonach gelte:

Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.

Im Sinne aller Betroffenen bleibt zu hoffen, dass es kurzfristig zu praktikablen Lösungen für das Dilemma kommt.

04.2020 European Data Protection Board positioniert sich gegen sog. Cookie Walls

Das EPB hat sog. Cookie-Walls für unzulässig erklärt, bei denen der Zugang zu Diensten und Funktionen von der Akzeptanz zur Informationsspeicherung über den Nutzer abhängig gemacht wird.

Zitat: „In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls).“ 

Weitere hilfreiche Hinweise finden sich im Dokument: „Guidelines 05/2020 on consent under Regulation 2016/679

04.2020 Kritische Stellungnahme der Berliner Datenschutzaufsicht zu gängigen Videokonferenzlösungen

Eine Vielzahl gerade kleiner Unternehmen ist in diesen Zeiten auf die Durchführung von Videokonferenzen zur Überlebenssicherung zwingend angewiesen.

Mit einer Checkliste zu diesem Thema will die Berliner Datenschutzaufsicht Hilfestellung geben.

Leider fällt die Beurteilung der Behörde besonders beliebter Lösungen negativ aus, Zitat:

Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications.

Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst werden.

Bei solch expliziter Kritik an diesen gängigen und nutzerfreundlichen Lösungen, wäre den betroffenen Unternehmen mit ebenso klaren Empfehlungen zu aus Sicht der Behörde zulässigen Lösungen mehr geholfen als mit den doch im Ungefähren bleibenden Formulierungen und der vorgeschlagene Eigenbetrieb durch die betroffenen Unternehmen ist gerade für kleinere und Nicht-IT Firmen schlicht eine Überforderung.

04.2020 Messenger Alternativen zu WhatsApp

Die Verbraucherzentrale Nordrhein-Westfalen hat verschiedene Messengerlösungen auf Ihre sichere Nutzbarkeit hin geprüft. Es wurden unter anderem die Lösungen von Facebook, Hoccer, Signal, Skype, Telegram, Threema und Wire betrachtet.

Hier geht es zum kompletten Bericht und so viel sei schon jetzt verraten, es geht auch ohne WhatsApp 🙂

02.2020 Statusbericht zur Bedrohungslage durch Cyberangriffe und Malware im Gesundheitswesen

Der kalifornische Sicherheitsdienstleister Malwarebytes veröffentlichte einen Bericht zu den Entwicklungen im Bereich Cyberkriminalität und Malware mit dem Fokus auf das Gesundheitswesen. Die Studie sieht die größten Herausforderungen bei der Schaffung des erforderlichen Sicherheitsniveaus in

  • veralteten IT-Systemen,
  • unzureichendem Sicherheitsbewusstsein der Anwender sowie
  • steigenden Angriffsflächen durch Cloud-Lösungen, mobilen Anwendungen oder IoT Lösungen und
  • unzureichender vertraglicher Absicherung mit eingebundenen Dienstleistern.

Die komplette Studie in englischer Sprache finden Sie bei Malwarebytes.

02.2020 Weitreichende Konsequenz des Auskunftsanspruchs im Gesundheitswesen

Zahlreiche Aufsichtsbehörden – darunter auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit RLP – vertreten die Auffassung, dass der Auskunftsanspruch des Patienten die unentgeltliche Herausgabe einer vollständigen Kopie der Patientenakte notwendig macht.

Diese Bewertung würde die bisherige Möglichkeit der behandelnden Einrichtungen, die zur Erstellung der Kopie anfallenden Kosten gegenüber dem Patienten auf Grund BGB bzw. der Berufsordnungen der Heilberufe geltend machen zu können, ausser Kraft setzen.

Weitere Details zu dieser Position finden Sie auf der Webseite des LfDI RLP.

12.2019 Bußgeld von 9.550.000 € gegen Telekommunikationsdienstleister

Ein drastisches Bußgeld verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH, da es nach Bewertung der Behörde auf Grund nicht angemessener technischer und organisatorischer Maßnahmen des Unternehmens Unbefugten möglich gemacht wurde personenbezogene Kundendaten telefonisch bei der Hotline des Unternehmens zu erlangen.

So sei es Anrufern mit der bloßen Angabe von Namen und Geburtsdatum des Kunden möglich gewesen weitere personenbezogene Daten zu erhalten.

Das Unternehmen hat zwischenzeitlich ein verbessertes Authentifizierungsverfahren eingerichtet, so dass die beanstandete Lücke behoben ist. Im übrigen wird man gegen das verhängte Bußgeld den Gerichtsweg beschreiten.

Weitere Details zu dem Fall finden Sie auf der Seite des BfDI. Die Position des Unternehmens zu dem Vorgang beleuchtet ein Artikel auf GOLEM.DE.

12.2019 Fehlerhafte Adressierung von Patientenunterlagen bleibt Dauerthema​

Der fehlerhafte Versand von patientenbezogenen Dokumenten ist immer wieder Thema, da häufig auf Grund menschlichen Versagens Behandlungsunterlagen an falsche Adressaten verschickt werden. Dies ergab eine Recherche des NDR und die Aufsichtsbehörden mahnen hier die unbedingte Beachtung von Sorgfalt und Aufmerksamkeit an, um solch ernste Verletzungen des Datenschutzes zu verhindern.

Weitere Details zu einem konkreten Fall einer Hamburger Klinik finden Sie auf den Seiten des NDR.

11.2019 Bußgeld von 14,5 Millionen € auf Grund unzulässiger Datenspeicherung

Ende Oktober verhängte die Berliner Datenschutzaufsicht ein Rekordbußgeld von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE.

Hintergrund für diese Sanktion bildet ein Verstoß gegen die Vorgaben zur Löschung von personenbezogenen Daten aus Verarbeitungsverfahren, wenn der Rechtsgrund für die Datenvorhaltung nicht mehr besteht. Das Unternehmen hat nach den vorliegenden Informationen Daten in einem Archivsystem weit über die gesetzlich zulässigen Zeiträume vorgehalten und so einen unzulässigen „Datenfriedhof“ geschaffen.

Daher sind alle Datenverarbeiter angehalten wirksame Löschverfahren zu etablieren, die sicherstellen, dass nur die erforderlichen personenbezogenen Daten verfügbar sind.

Weitere Details zu dem Sachverhalt finden Sie in der Pressemitteilung der Behörde.

06.2019 Studie der Versicherungswirtschaft offenbart Defizite in der IT-Sicherheit im Gesundheitswesen

In einer aktuellen Branchenstudie hat der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) die IT-Sicherheit verschiedener Gesundheitsdienstleister in Deutschland betrachtet und ist dabei zu einem bedenklichen Fazit gekommen, so nutzen bei fast 90% der Arztpraxen mehrere Nutzer dieselbe Zugangskennung mit einfachen oder gar ohne Passwortabsicherung, ebenso scheint der Bereich der Verschlüsselung elektronischer Post noch nicht den Anforderungen an den Schutz besonderer personenbezogener Daten zu genügen.

Weitere Details und den Gesamtbericht finden Sie auf der Webseite des GDV.

06.2019 Beanstandung zu langer Aufbewahrung der Daten inaktiver Kunden

Die Berliner Datenschutzaufsicht kritisiert in Ihrem Jahresbericht die zu lange Aufbewahrung von Kundendaten, die die Leistungen eines Unternehmens – hier eines Lieferdienstes – seit längerer Zeit nicht mehr in Anspruch genommen hatten. Die Behörde stellt sich dabei auf den Standpunkt, dass eine Speicherung über einen Zeitraum zweijähriger Inaktivität hinaus grundsätzlich nicht zulässig ist.
Datenverarbeiter sind somit dringend gehalten Ihr Verfahren zur regelhaften Löschung nicht mehr benötigter Daten entsprechend auf Stand zu halten.

Details und weitere spannende Informationen finden sich im Jahresbericht der Behörde.

04.2019 Europarat verabschiedet neue Leitlinie zum Schutz von Gesundheitsdaten

Mit seiner Empfehlung (CM/Rec(2019)2) hat der Europarat die besondere Bedeutung des Schutzes personenbezogener Gesundheitsdaten nochmals hervorgehoben und eine unionsweite Vereinheitlichung des Datenschutzes in diesem Bereich weiter vorangetrieben.

Aktuell ist die Empfehlung in englischer / französischer Sprache verfügbar.

04.2019 Datenschutzinitiative für Ärzte und andere Leistungserbringer im Gesundheitswesen

Mit der Initiative „Mit Sicherheit gut behandelt“ haben der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz sowie die Kassenärztliche Vereinigung des Landes ein praxisorientiertes Informationsprogramm zur DSGVO für die Leistungserbringer im Gesundheitswesen ins Leben gerufen.

Hier finden Sie die Webseite mit dem vielfältigen Informationsangebot.

04.2019 Grenzen des Rechts auf Datenübertragbarkeit

In seinem Tätigkeitsbericht 2017/18 stellt die bayerische Datenschutzaufsicht klar, dass Patienten kein allumfassendes Recht auf Übertragbarkeit aller Daten gegenüber dem Leistungserbringer haben. So erstreckt sich das in Artikel 20 DSGVO enthaltene Recht auf Datenübertragbarkeit grundsätzlich nicht auf die Leistungserbringer im Gesundheitswesen, deren Datenverarbeitung gemäß Artikel 9 Absatz 2 Buchstabe h erfolgt. Weiterhin führt die Aufsichtsbehörde aus, dass auch lediglich vom Patienten bereitgestellte Daten unter einen möglichen Übertragungsanspruch fielen und nicht die  vom Behandler / Leistungserbringer erhobenen medizinischen Daten wie z.B. Laborparameter.

Hier finden Sie die Details und den kompletten Tätigkeitsbericht.

02.2019 - LDI NRW informiert zu technischen Anforderungen an die TOM's beim Versand von Mails

Das LDI NRW gibt Hinweise zu den für einen aus seiner Sicht sicheren Versand von E-Mails erforderlichen technischen und organisatorischen Maßnahmen.
Ein Punkt ist dabei die Forderung im Betreffbereich der Mail auf keinen Fall personenbezogene Daten zu nennen. Dies wird immer wieder übersehen und könnte bei strenger Auslegung der Position der Aufsichtsbehörde unter Umständen auch zu einem Bußgeld wegen unzureichender organisatorischer Maßnahmen führen.

Hier finden Sie die ausführliche Stellungnahme.

01.2019 - Bußgeld auf Grund fehlenden Vertrags zur Auftragsverarbeitung (AVV)

Ein Versandhändler wurde mit einem Bußgeld durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit belegt, da er es versäumt hatte als Auftraggeber einen Vertrag zur Auftragsverarbeitung mit seinem Auftragnehmer zu vereinbaren.

Denken Sie also immer daran im Fall der Verarbeitung personenbezogener Daten durch Dritte eine entsprechende Vereinbarung nach Artikel 28 Abs. 3 zu schließen, um Sicherheit für beide Parteien zu schaffen.

Weitere Details finden Sie im Artikel des Heise Verlags.

10.2018 - Krankenhaus in Portugal erhält Bußgeld wegen Verstosses gegen die DSGVO - "need to know" Prinzip

Das Hospital do Barreiro wurde mit einem Bußgeld belegt, da es unter anderem gegen Grundsätze der Zugriffskontrolle verstossen haben soll und zu vielen Nutzern den Zugriff auf medizinische Daten eingeräumt haben soll.

Weitere Details finden sich im Artikel „CNPD: Hospital do Barreiro multado em 400 mil euros por permitir acessos indevidos a processos clínicos