2. Juli 2019
Seit dem 1. Juli 2019 sind Vertragsärzte und -psychotherapeuten verpflichtet, das Versichertenstammdatenmanagement (VSDM) durchzuführen. Tun sie dies nicht, drohen ihnen Honorarkürzungen.
Derzeit sind 100.000 Praxen von Vertragsärzten und Vertragspsychotherapeuten an die Telematikinfrastruktur (TI) angeschlossen und 20.000 weitere haben die Bestellungen für den Anschluss ausgelöst. Das gab das Bundesministerium für Gesundheit (BMG) gestern bekannt. Durch das Versichertenstammdatenmanagement wird die Überprüfung der Aktualität der Patientendaten auf der elektronischen Gesundheitskarte (eGK) sichergestellt. Die Prüfung der Daten erfolgt automatisch, im Bedarfsfall werden die Patientendaten aktualisiert. Als erste Anwendung in der Telematikinfrastruktur dient der VSDM auch als Nachweis, dass eine Praxis an die TI angeschlossen ist und Anspruch auf die Erstattung der Kosten über die Kassenärztliche Vereinigung (KV) besteht.
Das Ministerium konktretisierte die Höhe der drohendenden Honorarkürzungen: bei Nicht-Umsetzung ist zunächst eine Kürzung um ein Prozent geplant. Im aktuellen Referentenentwurf des Digitale Versorgung Gesetzes ist sogar eine Kürzung um 2,5 Prozent ab März 2020 vorgesehen.
Die Vertreterversammlung der Kassenärztlichen Vereinigung Bayerns (KVB) ist besorgt: Durch die zwangsweise Anbindung an die Telematikinfrastruktur und die daran geknüpften Sanktionen und „immer neue Gesetzesvorhaben in diesem Bereich […] gefährde Bundesgesundheitsminister Jens Spahn die Datensicherheit und sorge für immensen Ärger und Verunsicherung in Bayerns Praxen.“
1. Juli 2019
Bei der baden-württembergischen Landesdatenschutzbehörde sind vermehrt Beschwerden gegen Meldebehörden im Zusammenhang mit der Wahlwerbung im Rahmen der Europa- und Kommunalwahlen im Mai eingegangen. In einigen Fällen sollen Kleinkinder und Säuglinge personalisierte Wahlwerbung erhalten haben.
Grundsätzlich können Parteien bei Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigten zum Zwecke der Wahlwerbung erfragen (§ 50 Abs. 1 Bundesmeldegesetz). Dies ist aus datenschutzrechtlicher Sicht zulässig, soweit die Betroffenen dagegen keinen Widerspruch eingelegt haben. Teilweise haben Meldebehörden aber auch Daten von Nichtwahlberechtigten und Personen, für die eine Übermittlungssperre eingetragen war, weitergegeben. Laut Datenschutzbehörde war diese Datenverarbeitung nicht zulässig, sodass es sich um Datenpannen bei den Behörden handelt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hob in einer Pressemittelung den dringenden Handlungsbedarf bei Meldebehörden hervor und drückte sein Verständnis für den Unmut der Bürger aus. Daneben betonte er aber auch die Bedeutung des Auskunftsrechts der Parteien in diesem Zusammenhang: „Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“.
Das Unternehmen Facebook wurde ausgehend von einer Pressemitteilung der italienischen Aufsichtsbehörde zu einer Geldstrafe von 1 Millionen Euro verurteilt. Konkret ging es um die im Jahr 2018 bekannt gewordene unerlaubte Weitergabe personenbezogener Daten an das Unternehmen Camebridge Analytica. Dieses hatte besagte Informationen über eine App erhalten und ausgewertet.
Dies ist nicht das einzige Verfahren in dem sich Facebook verantworten muss. In den Vereinigten Staaten sieht sich das Unternehmen beispielsweise zivilrechtlichen Ansprüchen ausgesetzt.
Trotz dem, im Vergleich zu dem maximalen Strafmaß, noch milden Bußgeld ist eine eindeutige Tendenz hin zur konsequenteren Durchsetzung datenschutzrechtlicher Normen erkennbar. Vor diesem Hintergrund sind Unternehmen gut beraten, die datenschutzrechtliche Konformität ihrer Prozesse zu überprüfen.
28. Juni 2019
Vom 3. bis zum 12. Oktober 2018 wurden durch die NSA widerrechtlich Verbindungs- und Standortdaten von einem US-Telekommunikationsanbieter bezogen.
Grundsätzlich ist es der NSA möglich und auch durch den Foreign Intelligence Surveillance Act (FISA) erlaubt, Metadaten von Providern in den USA abzufragen, zu speichern und auszuwerten. Nach richterlicher Bestätigung darf außerdem gezielt nach Daten von US-Bürgern gesucht werden. Von dieser Befugnis machte der Geheimdienst im letzten Jahr häufig gebrauch.
Mitte 2018 gab die NSA zu, dass es zu dem damaligen Zeitpunkt schon zu „technischen Irregularitäten“ kam, durch welche der Geheimdienst Daten von US-Bürger besaß, welche dieser nicht hätte besitzen dürfen.
Laut Behörde wird in diesem Zusammenhang das Ausmaß auf die Bürgerrechte und den Datenschutz noch ermittelt.
Die Digitalisierung des Gesundheitswesens wird durch verschiedene gesetzliche Maßnahmen, wie zum Beispiel mit dem Terminservice- und Versorgungsgesetz (TSVG), welches seit dem 01. Mai 2019 Anwendung findet sowie dem Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV), welches voraussichtlich im Juli 2019 in Kraft treten wird, vorangetrieben.
Das TSVG enthält unter anderem den politischen Auftrag an die Krankenkassen, ihren Versicherten ab dem 1. Januar 2021 eine von der gematik – Gesellschaft für Telematik zugelassene elektronische Patientenakte (ePA) anzubieten. Die Digitalisierung in der Medizin, die Digitalpolitik von Bundesgesundheitsminister Jens Spahn (CDU) sowie die Sicherheitsstruktur der Telematikinfrastruktur (TI) haben mehrfach zu Diskussionen geführt. Dabei sind insbesondere datenschutzrechtliche Aspekte immer mehr in den Vordergrund gerückt. So machten bei einer Pressekonferenz der Ärzteverband Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Sicherheitslücken in der TI bestehen würden und damit Patientendaten für Hacker künftig einfach auffindbar sein könnten.
Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweigepflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“ Damit ist auch das ärztliche Berufsrecht berührt.
Des Weiteren besteht im Zusammenhang mit der Einführung der ePA Anfang 2021 die Kritik, dass keine selektiven Zugriffsrechte vergeben werden könnten. Auch hierbei handelt es sich um einen datenschutzrechtlich relevanten Aspekt. Zudem dürfte auch noch weiterer Diskussionsbedarf in Bezug auf haftungsrechtliche Gesichtspunkte bestehen, die hinsichtlich der Sicherheitsstruktur der TI aufgekommen sind.
Die Fraktionen der großen Koalition planen im Innenausschuss des Bundestages die alten deutschen Datenschutzregeln, die schon vor der DSGVO galten, Stück für Stück anzupassen. Vergangene Woche sprach sich die Koalition für eine Entschärfung des Datenschutzes für Kleinbetriebe aus. Das geht aus gemeinsamen Änderungsanträgen von CDU/CSU und SPD hervor.
Jetzt verabschiedete der Bundestag in der Nacht auf den 28.06.2019 ein Gesetz, mit dem die Schwelle, ab der Betriebe einen Datenschutzbeauftragten ernennen müssen, von 10 auf 20 Mitarbeiter, steigt.
Gerade kleinere Betriebe beschweren sich über die Pflichten, die Ihnen durch die DSGVO auferlegt werden. Befürworter sehen in dieser Maßnahme die Möglichkeit zum Bürokratieabbau, von der 90 % der Handwerksbetriebe profitieren. Datenschützer hingegen reagieren empört.
Damit die umstrittene Neuregelung allerdings in Kraft treten kann, muss noch der Bundesrat zustimmen.
26. Juni 2019
Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des Libertés“ (CNIL) hat eine Geldbuße in Höhe von 20.000 Euro gegen ein Unternehmen verhängt. Das betroffene Pariser Unternehmen hatte ein Videoüberwachungssystem eingerichtet, das seine Mitarbeiter einer kontinuierlichen Überwachung unterwarf.
Von 2013 bis 2017 gingen bei der französischen Datenschutzbehörde Beschwerden von mehreren Mitarbeitern für das Videoüberwachungssystem des Unternehmens ein. Das Unternehmen wurde vom CNIL zweimal darauf hingewiesen, dass Maßnahmen ergriffen werden sollten. Außerdem hat das CNIL das Unternehmen aufgefordert, ihm zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen.
Angesichts weiterer Beschwerden wurde im Februar 2018 in den Räumlichkeiten des Unternehmens eine Kontrolle durchgeführt. Bei den Ermittlungen kam raus, dass drei Kameras im Büro der Angestellten diese kontinuierlich an ihrem Arbeitsplatz filmten, ohne dass ihnen Informationen über die Videoüberwachung zur Verfügung gestellt wurden. Daneben wurden noch weitere Verstöße festgestellt. So waren beispielsweise die Computerarbeitsplätze nicht passwortgeschützt, und alle Mitarbeiter griffen auf gemeinsame Unternehmens-E-Mails mit einem allen bekannten Passwort zu.
Da zum Ende der in der Aufforderung gesetzten Frist keine zufriedenstellenden Maßnahmen ergriffen wurden, führte das CNIL im Oktober 2018 eine zweite Prüfung durch, bei der das Fortbestehen der Mängel trotz gegenteiliger Behauptungen des Unternehmens bestätigt wurde. Daher wurde von der französischen Datenschutzbehörde ein Sanktionsverfahren eingeleitet.
Für die Bestimmung der Geldbuße wurden
insbesondere die Größe und die finanzielle Situation des Unternehmens
berücksichtigt. Da das betroffene Pariser Unternehmen ein sehr kleines
Unternehmen mit nur neun Mitarbeitern ist, wurde lediglich ein Bußgeld in Höhe
von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung
ausgesprochen.
25. Juni 2019
Falschparker sind in vielen überfüllten Großstädten ein Ärgernis. Sie blockieren Ein- und Ausfahrten oder behindern Fußgänger und Fahrradfahrer. In Stuttgart wurden Verkehrssünder nun online von Twitter-Usern an den Pranger gestellt. Unter dem Hashtag #StuttgartParktFair wurden Fotos der falsch abgestellten Fahrzeuge gepostet.
Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht hierin einen eindeutigen Verstoß gegen die Datenschutzgrundverordnung. Das Problem: Fotos der Falschparker werden mit klar erkennbaren Nummernschildern ins Internet gestellt. Nummernschilder sind personenbezogene Daten, die einem Fahrzeughalter zugeordnet sind und unterliegen mithin dem Datenschutz. Eine Veröffentlichung im Internet ohne Einwilligung des Betroffenen sei nicht zulässig.
Zwar sollen keine Verfahren gegen die Nutzer angestrebt werden, allerdings verweist der Landesdatenschutzbeauftragte darauf, dass den Betroffenen möglicherweise Schadensersatzansprüche zustehen können.
Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz gelten nicht für die Katholische Kirche, zumindest nicht für den verfasst-kirchlichen Bereich und die Einrichtungen, die vom organisatorischen Geltungsbereich des § 3 KDG erfasst sind. Für kirchliche Einrichtungen gilt das Katholische Datenschutzgesetz.
Die Datenschutzgrundverordnung hat in Art. 91 festgelegt, dass religiöse Vereinigungen oder Gemeinschaften, die schon bisher nach nationalem Recht eigene Datenschutzregeln hatten, diese auch weiter anwenden können, wenn sie mit der Datenschutzgrundverordnung in Einklang gebracht werden. Auf die Katholische Kirche trifft diese Voraussetzung zu.
Das abgelöste Bundesdatenschutzgesetz war nach der Regelung in § 1 Abs. 2 BDSG nur auf öffentliche Stellen des Bundes und der Länder und auf Organe der Rechtspflege anwendbar. Die Kirchen, die von Art. 137 Abs. 5 WRV als öffentlich-rechtliche Religionsgesellschaften anerkannt sind fallen nicht hierunter. Bei privatrechtlich organisierten Einrichtungen der Kirche, also eingetragene Vereine, zivilrechtliche Stiftungen, etc. findet das Katholische Datenschutzgesetz Anwendung, sofern diese zur Kirche gehören und ein Stück am kirchlichen Auftrag mitwirken.
19. Juni 2019
Das Landesamt für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat ausweislich einer von ihm herausgegebenen Mitteilung ein erstes Bußgeld gegen einen Polizeibeamten verhängt.
Dieser habe dienstlich erlangte personenbezogene Daten rechtswidrig zu privaten Zwecken verwendet. Konkret habe er ohne dienstlichen Bezug und unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) Daten einer privaten Zufallsbekanntschaft abgefragt und zur Ermittlung der Festnetz- und Mobilfunknummern weiterverwendet. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.
Aus diesem Grund sei eine Geldbuße in Höhe von 1.400,- Euro verhängt worden. Es handele sich um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Landesdatenschutzgesetzes (LDSG).
