Kategorie: Gesundheitsdatenschutz
31. Januar 2021
Vergangenen November urteilte das Langreicht Stuttgart über eine Klage gegen eine Versicherung (04.11.2020 – 18 O 333/19).
In dem Verfahren begehrte die Klägerin Auskunft gem. Art. 15 Absatz 1 DS-GVO über diverse Daten und Informationen bezüglich eines Versicherungsvertrags, um anhand dieser Informationen prüfen zu können, ob sie ein „ewiges Widerrufsrecht“ geltend machen könne. Dabei ging es um Auskünfte zu verschiedenen Daten, wie zum Beispiel sämtliche Gesundheitsdaten zu ihrer Person, das Datum, an dem sie bei der Beklagten den Antrag auf Versicherung gestellt hatte, Beitragsdynamikplan inkl. Rhythmus für sie, Höhe der ersten gezahlten Raten u.v.m. und beantragte Kopien dieser Informationen nebst weiterer Unterlagen.
Das Gericht stellte fest, dass die Geltendmachung des datenschutzrechtlichen Auskunftsanspruchs ausdrücklich der Prüfung diene, ob die Klägerin ein solches „ewiges Widerrufsrecht“ geltend machen könne und welche wirtschaftlichen Konsequenzen sich hieraus ergeben würden.
Für einen Anspruch sei es erforderlich, dass in den Informationen eine Aussage über die betroffene Person getroffen wird bzw. werden kann. Ein Anspruch auf allumfassende Auskunft und Kopie sämtlicher vorhandener Daten sei mit dem Sinn und Zweck des datenschutzrechtlichen Auskunftsanspruchs nicht vereinbar. Nach dem Erwägungsgrund EWG DS-GVO Nummer 63 DS-GVO, diene das Auskunftsrecht aus Art. 15 DS-GVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So solle Art. 15 DS-GVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen und auf dieser Basis könne dann eine Entscheidung über die weitere Verwendung, d.h. das „Schicksal der Daten“, wie ihre Löschung oder Sperrung getroffen werden. Der Betroffene soll so den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen.
Somit sei der Auskunftsanspruch seiner Rechtsnatur nach ein Hilfsanspruch in Bezug auf einen Hauptanspruch, nämlich in Bezug auf die weiteren datenschutzrechtlichen Rechte.
25. Januar 2021
Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.
Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.
Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.
24. September 2020
Die elektronische Patientenakte kommt 2021 und soll einen erheblichen Beitrag zur Digitalisierung des Gesundheitswesens leisten. Doch die vorgesehenen Regelungen stoßen auf starke Kritik von datenschutzrechtlicher Seite. So hat Ulrich Kelber, Bundesdatenschutzbeauftragter und zuständig für die Kontrolle der Datenverarbeitungen durch die gesetzlichen Krankenkassen, die unbeschränkte Zugriffsmöglichkeit von Ärzten auf die verarbeiteten Gesundheitsdaten gerügt (wir berichteten) und entsprechende aufsichtsbehördliche Maßnahmen angekündigt. Zudem wurde die Datensicherheit als unzureichend kritisiert, insbesondere hinsichtlich des vorgesehenen Authentifizierungsverfahrens.
Im Blickpunkt: Werbung für “Versorgungsinnovationen”
Dies sind jedoch nicht die einzigen Punkte, die im Zusammenhang mit dem sog. “Patientendaten-Schutz-Gesetz” (PDSG) für eine gewisse Aufregung sorgen. Das Netzmagazin “Telepolis” hatte bereits Anfang August über eine Änderung des § 68b Abs. 3 SGB V berichtet, die auch Ulrich Kelber sauer aufgestoßen ist. § 68b Abs. 2 S. 1 SGB V erlaubt den gesetzlichen Krankenversicherungen, “ihren Versicherten insbesondere Informationen zu individuell geeigneten Versorgungmaßnahmen zur Verfügung (zu) stellen und individuell geeignete Versorgungsmaßnahmen an(zu)bieten.” Um solche Angebote überhaupt vorbereiten zu können, dürfen die Krankenkassen gem. § 68b Abs. 1 S. 4 SGB V “die versichertenbezogenen Daten, die sie nach § 284 Abs. 1 (SGB V) rechtmäßig erhoben und gespeichert haben, im erforderlichen Umfang auswerten.” Zwar muss zumindest eine Pseudonymisierung der Daten, ggf. sogar eine Anonymisierung stattfinden. Weil hier jedoch u.a. auch Informationen über ärztliche Leistungen enthalten sind, erscheint es nicht ausgeschlossen, dass auch besonders zu schützende, weil sensible Gesundheitsdaten verarbeitet werden. Im Ergebnis kann hier eine Profilbildung der Versicherten stattfinden, um diesen “Versorgungsinnovationen”, das heißt zusätzliche Gesundheitsmaßnahmen über die bereits bezogenen ärztlichen Leistungen hinaus, anbieten zu können. Wohlwollend betrachtet geht es also um die Verbesserung der medizinischen Versorgung. Man kann darin aber auch eine exzellente Werbemöglichkeit für die Krankenkassen und deren Partner sehen.
Vorheriges Einwilligungserfordernis gestrichen
Die dargestellte Profilbildung und die Information der Versicherten über zusätzliche Maßnahmen darf aber, so die bisherige Rechtslage, nur erfolgen, wenn die Versicherten “zuvor schriftlich oder elektronisch eingewilligt” haben (§ 68b Abs. 3 S. 1 SGB V). Dieses vorherige Einwilligungserfordernis entspricht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine wirksame datenschutzrechtliche Einwilligung. Gleichzeitig ist sie den Krankenkassen jedoch ein Dorn im Auge, insbesondere stoße dies an “Praktikabilitätsgrenzen” (so der GKV-Spitzenverband bereits in einer Stellungnahme vom 11.10.2019). Aus diesem Grunde wurde von dieser Seite eine Änderung des § 68b Abs. 3 S. 1 SGB V dahingehend gefordert, dass nur noch die Teilnahme an den Angeboten und die dafür erforderlichen Verarbeitungen der vorherigen Einwilligung bedürfen – nicht aber die vorbereitenden Maßnahmen, also die Profilbildung. Dieser Änderungsvorschlag wurde in ähnlicher Form in das Gesetz aufgenommen und der neue § 68b Abs. 3 SGB V laut Gesetzesbegründung darauf gestützt, dass sich “das vormals bestehende Einwilligungserfordernis (…) als nicht praktikabel erwiesen hat.” So lautet der neue § 68b Abs. 3 SGB V – die Gesetzesänderung wurde durch den Bundesrat am 18.09.2020 angenommen – nun wie folgt: “Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der ge-zielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.”
Statt auf eine vorherige ausdrückliche Einwilligung, setzt das Gesetz also auf eine Widerspruchsmöglichkeit. Diese bezieht sich jedoch, folgt man dem Wortlaut der Norm, nur auf die gezielte Information sowie die Unterbreitung von Angeboten, nicht aber darauf, dass die personenbezogenen Daten nach § 68b Abs. 1 SGB V zur Angebotsvorbereitung verarbeitet werden. Auf diesen Verarbeitungsvorgang haben die Versicherten demnach keinen Einfluss mehr. Sie werden erst über die Datenverarbeitung informiert, wenn die Profilbildung bereits stattgefunden hat, und können lediglich die weiteren Werbemaßnahmen seitens der Versicherungen verhindern.
Wurde der BfDI getäuscht?
Pikant ist an dieser Änderung auch der Umstand, dass dem BfDI zur vorherigen Stellungnahme, die vor Verabschiedung des Gesetzes erfolgt ist, laut Aussage von Ulrich Kelber eine anderslautende Formulierungshilfe vorgelegt wurde. In dieser lautete die fragliche Bestimmung noch: “Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.” Weil hier noch eine vorherige Einwilligung vorgesehen war, habe seine Behörde zu diesem Punkt keine Stellungnahme abgegeben, so Kelber. Es sehe deswegen danach aus – so die Einschätzung von “Telepolis” – als sei der Aufsichtsbehörde absichtlich eine anderslautende Formulierungshilfe vorgelegt worden, um wegen eines Verstoßes der Norm gegen die DS-GVO einen Widerspruch durch den Bundesbeauftragten zu verhindern.
Im Interview mit “Telepolis” machte Kelber jedoch deutlich, dass durchaus noch Handlungsmöglichkeiten seiner Behörde bestünden. Werde hier ein Verstoß gegen die DS-GVO festgestellt, könnten entsprechende Datenverarbeitungen durch die Krankenkassen mit entsprechenden Anordnungen unterbunden und Veränderungen der Datenverarbeitung angewiesen werden. Im Zweifel würde dir Frage der Rechtmäßigkeit der Norm durch den EuGH geklärt werden. Dabei verweist Kelber auch auf die Möglichkeiten, die den Versicherten selbst zur Verfügung stehen: Beschwerden über die Verarbeitungen bei der für ihre Krankenkasse zuständige Aufsichtsbehörde sowie Bestreitung des Rechtswegs, notfalls bis zum Bundesverfassungsgericht.
20. Mai 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.
Mögliche Verfassungswidrigkeit
Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes.
Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.
Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.
Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.
Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.
Parlament lag Stellungnahme von Kelber vor
Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.
6. Mai 2020
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) Johannes Caspar äußerte sich kritisch bezüglich der Einführung eines Immunitätsausweises. Gegenüber dem Handelsblatt betonte er, dass „der Einsatz eines solchen Ausweises der gefährliche Weg in eine Diskriminierungs- und Entsolidarisierungsfalle“ wäre. „Gesundheitsdaten könnten über den Zugang zu Leistungen entscheiden und in der Konsequenz die Gruppe der Personen, die eine Immunität nicht nachweisen, vom öffentlichen Leben ausschließen.“
Die Pläne für die Einführung eines solchen Immunitätsausweis hat das Kabinett im „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ beschlossen. Demnach soll es einen Nachweis analog zum Impfpass geben, der auch als Grundlage bei der Entscheidung über zielgenauere Schutzmaßnahmen dienen soll.
Die Einführung eines solchen Dokuments birgt insgesamt die Gefahr einer sozialen Stigmatisierung. Der HamBfDI warnt davor, dass dadurch Personen, die zur Risikogruppe gehören am stärksten diskriminiert würden. Einen Nachweis der Immunität ohne besonderes Ausweisdokument für Personen in relevanten Berufsgruppen hält der HamBfDI hingegen für „durchaus sinnvoll“.
Inzwischen hat Gesundheitsminister Spahn den Deutschen Ethikrat um eine Stellungnahme darüber gebeten, inwiefern ein solches Ausweisdokument genutzt werden kann. Über den Gesetzesentwurf soll bereits am Donnerstag (7. Mai 2020) im Bundestag beraten werden.
8. April 2020
Letzte Woche hat das Bundeskabinett einen Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur veröffentlicht. In seiner Stellungnahme begrüßt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber (BfDI) die Einführung einer elektronischen Patientenakte, bemängelt aber auch datenschutzrechtliche Defizite in dem Gesetzentwurf.
Der BfDI befürwortet die angestrebte Digitalisierung und hebt die Vorteile einer elektronischen Patientenakte, die die Kommunikationen zwischen den zuständigen Stellen und den Patienten erleichtern kann, hervor. Demnach sei es aber auch gut, dass die Nutzung einer solchen elektronischen Akte für Patienten freiwillig ist.
Schwerwiegende Defizite sieht der BfDI insbesondere in Bezug auf das Zugriffsmanagement für die elektronische Patientenakte. Zum einen können die Nutzer erst ein Jahr nach Einführung der elektronischen Patientenakte den Zugriff auf Dokumente feingranular, d.h. für jedes Dokument einzeln verwalten. Zum anderen wird dies nur mit einem geeigneten Endgerät mit der entsprechenden App möglich sein. Bis zu diesem Zeitpunkt und für alle Nutzer ohne geeignetes Endgerät ist es möglich den Zugriff auf ihre Daten nur grobgranular zu verwalten, was Kelber als unzureichend bewertet. Zudem äußert der BfDI Bedenken hinsichtlich der Freigabe von personenbezogenen Daten für die Forschung. Probleme ergeben sich unter anderem im Zusammenhang mit der notwendigen informierten Einwilligung zur Nutzung der Daten für Forschungszwecke. Außerdem wird nicht geklärt, welche Stelle die Aufgaben des geplanten Forschungsdatenzentrums wahrenehmen wird.
19. Februar 2020
Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine “Digitale Gesundheitsanwendungen-Verordnung” (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.
Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.
Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem “zahnlosen Tiger”. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.
Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.
Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.
Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.
Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.
18. Februar 2020
Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.
Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.
Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.
Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.
Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.
13. Februar 2020
Laut Berichten der Süddeutschen Zeitung, des BR und des RBB hat ein 18-jähriger Hacker problemlos auf zehntausende Patientenakten von Kreisverbänden des Deutschen Roten Kreuzes zugreifen können. Betroffen waren dabei nicht nur Stammdaten, sondern auch sensible Patienten- und Krankeninformationen.
Der Hacker hatte die Webseite eines Kreisverbandes in Brandenburg bereits im November letzten Jahres gehackt und einen der Verbände über die Sicherheitslücken informiert. Um aufzuzeigen wie einfach er dabei vorgehen konnte, fertigte er ein drei minütiges Beweisvideo an. Darauf greift er auf das DRK-Fahrdienst-System in Frankfurt (Oder) zu. Neben der Einsicht der Patientendaten wäre es für den Hacker an dieser Stelle leicht gewesen Fahrten zu löschen.
Das DRK sperrte daraufhin die betroffene Seite. Eine Meldung
bei den zuständigen Behörden blieb jedoch aus. Der Hacker griff darauf Mitte
Januar erneut auf die Daten zu und informierte Journalisten über die
Sicherheitslücken.
Laut DRK-Generalsekretariat und der Landesverband Brandenburg sind die Vorfälle regional begrenzt. Außerdem bestehe keine einheitliche IT-Struktur. Die Vorfälle werden aber zum Anlass genommen alle Webseiten der Landesverbände und der Schwesternschaften der DRK auf ihre Datensicherheit zu überprüfen.
Die Betreiber der Seite hatten zu schwache Passwörter genutzt. Zudem handelte es sich um eine für diesen Typ von Datenbaken bereits bekannte Sicherheitslücke.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
