Schlagwort: Schutzmaßnahmen

DSK: Forderungen zur datenschutzkonforme Verarbeitung von Gesundheitsdaten

1. Dezember 2022

Vergangene Woche veröffentliche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und Länder (DSK) die „Petersberger Erklärung“, in der sie sich „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ äußerte. Konkret behandelte die DSK die Frage, wie der Gesetzgeber den Rahmen für eine datenschutzkonforme Verarbeitung von Forschungsdaten schaffen könne.

Forderung nach neuer Rechtsgrundlage

Zunächst betonte die DSK, dass neben der Möglichkeit, einen europäischen Gesundheitsdatenraum (wir berichteten) auszugestalten, auf nationaler Ebene der Bedarf zur Regelung der Nutzung von Forschungsdaten bestehe. Dabei bekräftigte die DSK als zentrale Forderung, dass die Einzelperson „(…) nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ dürfe.

Aus Sicht der DSK könne die Rechtsgrundlage für die Nutzung von Forschungsdaten eine datenschutzrechtliche Einwilligung im Sinne des Art. 4 Nr. 11 iVm Art. 7 DSGVO sein. Alternativ könne der Gesetzgeber eine gesetzliche Regelung als Rechtsgrundlage zur Datenverarbeitung schaffen. Dabei müsse eine Interessenabwägung erfolgen. Es sei einerseits das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu beachten. Andererseits sei das Gemeinwohlinteresse zu berücksichtigen, zu dessen Zweck die Forschung erfolge.

Forderung nach weitreichenden Schutzmaßnahmen

Außerdem unterstrich die DSK die Wichtigkeit geeigneter „Garantien für die Rechte und Freiheiten betroffener Personen“. Geeignete Maßnahmen zum Schutz seien zunächst die Datenminimierung und Anonymisierung. Wenn eine Anonymisierung nicht möglich sei, solle zumindest eine Pseudonymisierung erfolgen. Letztere könne Aufgabe einer zu erschaffenden unabhängigen und eigenverantwortlichen Vertrauensstelle sein.

Soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen wollen, solle eine Regelung besondere Schutzmaßnahmen vorsehen. Insbesondere die Einführung einer technischen Methode solle sicherstellen, dass trotz der Verknüpfung betroffene Personen nicht identifiziert werden können. Außerdem solle der Gesetzgeber festlegen, wer für einzelne Verarbeitungstätigkeiten im Forschungsprozess Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei.

Darüber hinaus äußerte die DSK sich zu der Regelung eines medizinischen Registers. Sie empfahl, dass zunächst eine Übersicht über die bereits bestehenden Register einzurichten sei. Auf diese Weise könne der Gesetzgeber dazu beitragen, eine mehrfache Datensammlung zu vermeiden. Bei der Errichtung eines neuen Register sei ein Standard für die einzuhaltende Qualität festzulegen.

Forschungsgeheimnis und neue Befugnisse

Im Anschluss forderte die DSK die Einführung eines Forschungsgeheimnisses. Das Ziel sei es, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen.

Abschließend forderte die DSK, dass die Datenschutzaufsichtsbehörden neue Befugnisse erhielten. Sie sollten erlassene Maßnahmen sofort vollziehen können.

Keine Übermittlung sensibler Daten per Telefax?

12. August 2020

Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.

Wie es zu der Entscheidung kam

Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.

Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.

Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.

Die Entscheidung des OVG Lüneburg

Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.

Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.

Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.

Folgen der Entscheidung

Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.

Besserer Schutz für Hinweisgeber – einheitliche Standards für die EU geplant

21. März 2019

Über Whistleblowing-Hotlines erhalten Mitarbeiter und Externe die Möglichkeit, auf Missstände im Unternehmen aufmerksam zu machen, Fälle sexueller Belästigung zu melden oder auch einfach Fragen zu stellen. Dabei sind aufgrund der beteiligten Parteien und entgegenstehender Interessen datenschutzrechtliche Aspekte immer zu berücksichtigen.

Im November 2018 hatte bereits die Datenschutzkonferenz eine Orientierungshilfe zu Whisteblowing-Hotlines veröffentlicht. Mitte März 2019 wurde nunmehr auf europäischer Ebene ein einheitlicher Schutz beschlossen, das aber erst durch die Mitgliedsstaaten in nationales Recht umgewandelt werden muss. In der Pressemitteilung heißt es: “Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden.” So der Erste Vizepräsident Frans Timmermans.

Mitgliedsstaaten werden mithin aufgefordert, umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen. Neben dem Datenschutz decken die neuen Vorschriften ebenfalls z.B. Bereiche wie die Geldwäschebekämpfung, Unternehmensbesteuerung oder Umweltschutz ab. Es stehe überdies den Mitgliedsstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten.

Zu den geforderten Rahmenbedingungen gehören:

  • klare Meldeverfahren und Pflichten für Arbeitgeber
  • sichere Meldekanäle
  • Vermeidung von Vergeltungsmaßnahmen und wirksamer Schutz

Diese vorläufige Einigung muss nun sowohl vom Europäischen Parlament als auch vom Rat förmlich gebilligt werden.

Grund für diesen Beschluss ist die uneinheitliche Regelung des Schutzes von Hinweisgebern in der EU. In den meisten Ländern wird nur teilweise Schutz in bestimmten Wirtschaftszweigen oder für gewisse Kategorien von Arbeitnehmern gewährleistet.

IT-Sicherheit und Datenschutz in Kliniken: Mängel bereiten zunehmend Probleme

8. November 2018

Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.

Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.

Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.

Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.

Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.