11. Mai 2017 - Hessischer Datenschutzbeauftragter stellt Tätigkeitsbericht vor

Polizei, Banken, Krankenhäuser im Fokus der Datenschutzaufsicht

In einem Hotel hängen Krankheitszeiten der Mitarbeiter aus, ein Krankenhaus lagert Patientenakten frei zugänglich in Umzugskartons – das sind nur eine der „Highlights“ aus dem neuen Tätigkeitsbericht des hessischen Datenschutzbeauftragten.

Prüfungen der Aufsicht fördern meist einiges an Datenschutzverstößen zu Tage Ein hessisches Krankenhaus zeigte beim Umgang mit Patientenakten wenig Engagement in Sachen Datenschutz (Bild: moodboard / iStock / Thinkstock)

Der 45. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten Prof. Dr. Michael Ronellenfitsch steht vor allem im Zeichen der europäischen Datenschutzreform.

Wichtig, so Ronellenfitsch, sei vor allem, dass die bisherigen deutschen Standards beibehalten würden. Besondere Bemühungen zielten auf einen wirksamen Beschäftigtendatenschutz und auf einen Ausgleich der Belange von Datenschutz und Datenverkehr ab.

Darüber hinaus beschäftigte sich die Behörde sowohl mit anlassbezogenen als auch anlasslosen Prüfungen bei Behörden und Unternehmen sowie mit zahlreichen Eingaben von Bürgern, Verwaltung und Privatwirtschaft.

Die polizeiliche Falldatei „Rauschgift“

Wann liegen die Voraussetzungen für die Speicherung in der bundesweit geführten Falldatei „Rauschgift“ vor? Das war Gegenstand einer Überprüfung, die gleichzeitig auch andere Aufsichtsbehörden in deren Zuständigkeitsbereich durchgeführt haben.

Dabei haben die Aufsichtsbehörden festgestellt, dass entgegen den gesetzlichen Vorgaben auch Bagatelldelikte erfasst wurden. Außerdem waren oftmals die Entscheidungen über die Speicherung von Daten in dieser Datei nicht nachvollziehbar. Die Aufsichten haben mit den zuständigen Stellen vereinbart, dass künftig Eingaben in die Datei genauer dokumentiert und die Löschfristen effektiver überwacht werden.

Prüfungen in der Kreditwirtschaft

Das grundsätzlich hohe Niveau des Datenschutzes im Bereich der Kreditinstitute konnte durch eine etwa 40 Institute umfassende, anlasslose Prüfung erneut bestätigt werden.

Manchen Instituten bereite laut Bericht allerdings die datenschutzgerechte Implementierung von Datenanalyse-Tools wie zum Beispiel Piwik oder Google Analytics auf den Webpräsenzen Schwierigkeiten.

Auch die bei der Aufzeichnung von Telefonaten erforderlichen Anforderungen haben nicht alle Institute erfüllt. Im geprüften Kernbereich, der Dokumentation von Geschäftsprozessen und der Behandlung von Zugriffsrechten, waren für die hessische Behörde keine Mängel erkennbar.

Prägnante Einzelfälle

  • In einem Hotel wurden die Krankheitszeiten der Mitarbeiterinnen und Mitarbeiter der Hotelküche namentlich durch Aushang an der Infotafel und am Personaleingang des Hotels für alle anderen Mitarbeiter zugänglich gemacht. Unterschrieben war der Aushang mit: „Diese Zahlen muss man sich auf der Zunge zergehen lassen.“
  • Im Kinderherzzentrum des Universitätsklinikums Gießen-Marburg entdeckte ein Besucher in einem öffentlich zugänglichen Treppenhaus zahlreiche Umzugskartons voller Patientenakten. Die Kartons standen dort über einen längeren Zeitraum. Der Besucher entnahm zwei Akten und informierte die Presse. So wurde auch der Hessische Datenschutzbeauftragte auf den Fall aufmerksam und nahm unmittelbar eine Prüfung vor Ort vor.
  • Ein Patient schilderte dem Hessischen Datenschutzbeauftragten, dass er halbjährlich von seiner Zahnarztpraxis per E-Mail an die Kontrolluntersuchung erinnert wird. Bei einer derartigen Erinnerungsmail enthielt der E-Mail-Verteiler noch weitere 27 Empfänger. Die E-Mail-Adressen enthielten zum überwiegenden Teil Vor- und Nachnamen der Empfänger.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln