Praxisbericht
/ 05. Februar 2021

Datenschutzbehörden: Aktuelle Fälle aus Rheinland-Pfalz

Inkasso bei Ärzten, Mitarbeiterscreenings, Entgeltabrechnungen in Kindergartenrucksäcken – das sind nur einige der Themen, mit denen sich der aktuelle Tätigkeitsbericht des Landesdatenschutzbeauftragten Rheinland-Pfalz beschäftigt.

[vc_row][vc_column][vc_column_text]

Schwerpunktthemen im Datenschutz-Bericht

Dürfen Angehörige von Gesundheitsberufen wie Ärzte und Therapeuten Inkassounternehmen einbinden? (S. 56 f.)

Die Frage stellt sich, weil die Gesundheitsberufe sowohl besondere Kategorien personenbezogener Daten gemäß Art. 9 Datenschutz-Grundverordnung (DSGVO) verarbeiten als auch gesetzlichen Verschwiegenheitspflichten unterliegen (z.B. § 203 Strafgesetzbuch – StGB).

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) Prof. Kugelmann ist der Meinung: Sie dürfen ohne Einwilligung des Patienten Inkassounternehmen einschalten, um zivilrechtliche Ansprüche geltend zu machen, etwa wenn der Patient seine Rechnungen nicht begleicht.

Die damit einhergehende Verarbeitung könne der Verantwortliche auf Art. 6 Abs. 1 Buchst. f bzw. Art. 9 Abs. 2 Buchst. f DSGVO stützen. Voraussetzung: Der Schuldner ist trotz Mahnung (!) zahlungssäumig. Und das Inkassounternehmen bekommt die personenbezogenen Daten lediglich, um die Forderung einzutreiben (Erforderlichkeit / Datenminimierung beachten).

Aus Gründen der Transparenz (vgl. Art. 5 Abs. 1 Buchst. a DSGVO) müsse dem Patienten laut LfDI aber spätestens im Rahmen der Mahnung die beabsichtigte Einbindung der externen Stelle, also des Inkassounternehmens, angekündigt werden.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Sind anlasslose Mitarbeiterscreenings zulässig? (S. 43 ff.)

Spannende Ausführungen finden sich im Bericht auch zum Thema „anlasslose Mitarbeiterscreenings“ auf Basis der EU-Anti-Terrorismus-Verordnungen.

Der LfDI stellt klar, dass die Anti-Terrorismus-Verordnungen selbst keine Regelungen bezüglich der Verarbeitung von personenbezogenen Daten im Rahmen entsprechender Mitarbeiterscreenings enthalten. Die einschlägige Rechtsgrundlage für solche anlasslosen Anti-Terror-Mitarbeiterscreenings ist § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) und zentraler (Prüfungs-)Punkt die Erforderlichkeit.

Die entscheidende Frage ist  – unter Berücksichtigung der Straf- und Bußgeldvorschriften bei Verstößen, in welchem Maß der Arbeitgeber auf die anlasslosen Anti-Terror-Mitarbeiterscreenings angewiesen ist:

  • Dieses Maß dürfte lauf LfDI in kleinen und mittelgroßen Betrieben eher gering sein.
  • In Großkonzernen hingegen, die von einer komplexen und schwer überblickbaren Unternehmensstruktur geprägt sind, sind regelmäßige Mitarbeiterscreenings häufig die einzige Möglichkeit des Verantwortlichen, sich vom Vorwurf der Fahrlässigkeit zu befreien.
  • Bei der Frage nach der Erforderlichkeit kommt es folglich maßgeblich auch auf die Größe und Struktur des Verantwortlichen (Unternehmen) an.
  • Bei kleineren Unternehmen mit weniger komplexen Strukturen kommen häufig mildere Mittel in Betracht, die der Zulässigkeit umfassender Screenings entgegenstehen (können).

Laut LfDI ist für die Zulässigkeit solcher Screenings überdies entscheidend,

  • in welchem Intervall ein Abgleich mit den EU-Anti-Terrorlisten erfolgt und
  • wie Art und Umfang der zum Abgleich verwendeten personenbezogenen Daten ausfallen.

Nach Auffassung des LfDI ist ein jährlicher anlassloser Abgleich nicht zu beanstanden. Nur in sicherheitsrelevanten Bereichen wie z.B. der Rüstungsindustrie ist eine engmaschigere Abfrage zulässig.

Unternehmen dürfen dabei nur Daten abgleichen, die notwendig sind, um den Beschäftigten eindeutig zu identifizieren (Vor- und Nachname). Nur bei einem konkreten Verdacht oder bei Zweifeln an der Identität kann der Arbeitgeber den Abgleich auf weitere Identifikationsmerkmale ausdehnen.

Sichere Zustellung von Entgeltabrechnungen (S. 45 f.)

Ein amüsanter Sachverhalt betrifft die sichere Zustellung von Entgeltabrechnungen gemäß Art. 32 DSGVO.

Im vorliegenden Fall hatte der Dienstherr, eine Ortsgemeinde, einem Beschäftigten seine  Entgeltabrechnung in den Kindergartenrucksack des Sohnes, der die örtliche Kindertagesstätte besucht, gesteckt. Diese Abrechnung fand die Lebensgefährtin des Beschäftigten abends im Rucksack des Sohnes.

Laut LfDI hat der Dienstherr zwar grundsätzlich die „freie“ Wahl, welchen Weg er zur Übertragung der  Entgeltabrechnung wählt. Dieser Weg müsse aber durch technische und organisatorische Maßnahmen abgesichert sein, um u.a. die Gefahr einer Fehlleitung, eines Verlustes oder einer Kenntnisnahme durch Unbefugte weitestgehend auszuschließen. Dies war hier eindeutig nicht der Fall.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Zahlen & Fakten aus dem Tätigkeitsbericht

Privater Bereich der Aufsicht

  • Gemeldete Datenpannen: 275
  • Beschwerden: 611
  • Beratungen: 361
  • Hinweise / sonstige Eingaben: 118

Öffentlicher Bereich der Aufsicht

  • Gemeldete Datenpannen: 44
  • Beschwerden: 269
  • Beratungen: 485
  • Hinweise / sonstige Eingaben: 39

Wer die Zahlen aus dem öffentlichen und nichtöffentlichen Bereich vergleicht, dem fällt auf, dass die Zahlen innerhalb der einzelnen Themenfelder sehr unterschiedlich ausgeprägt sind.

So mag hinsichtlich der Datenpannen bezweifelt werden, dass der öffentliche Bereich tatsächlich so wenige Schutzverletzungen „produziert“ hat wie gemeldet. 44 Datenpannen im gesamten öffentlichen Bereich von Rheinland-Pfalz erscheint recht wenig. Vielleicht deutet sich hier ein „versteckter“ Verbesserungsbedarf in Sachen Sensibilisierung an.

Aufsichtsbehördliche Befugnisse – Bußgelder & Co. (S. 75)

Verwarnungen = 27

Beanstandungen = 19

Zwangsgelder = 3

Bußgelder = 10

Anweisungen = 13

Ausblick

Dass das Jahr 2019 noch mehr oder weniger ganz im Zeichen der DSGVO-Neuerungen und damit einhergehenden Beratungen seitens der Behörde stand, ist nicht allzu überraschend und prägt den Tätigkeitsbericht. Überraschend ist dagegen, dass der Tätigkeitsbericht im Vergleich zu anderen seiner Art mit gerade einmal 78 Seiten relativ kurz, aber nicht weniger aufschlussreich ist.

Es bleibt spannend, wie sich die aufsichtsbehördliche Praxis in den kommenden Jahren etwa hinsichtlich der Anzahl an Bußgeldern entwickeln wird.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]

Dr. Kevin Marschall