Praxisbericht
/ 26. April 2021

Tätigkeitsbericht des ULD 2020: Corona, Kliniken-Desaster & Arzttermine

Neben dem Schwerpunkt-Thema Corona finden Datenschutz-Praktiker im Tätigkeitsbericht des ULD für das Jahr 2020 einige hilfreiche Tipps.

[vc_row][vc_column][vc_column_text]Erst kürzlich hat das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein seinen Tätigkeitsbericht für 2020 vorgelegt. Darin beschäftigt sich Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, neben dem Schwerpunk „Corona-Pandemie“ mit zahlreichen praxisrelevanten Themen von der Prüfung einer Gesundheitseinrichtung bis hin zu datenschutzrechtlichen Anforderungen an Online-Terminvereinbarungen.

Prüfung einer Gesundheitseinrichtung – mit gravierenden Mängeln

Das ULD bekam im Rahmen der Datenschutzprüfung eines Klinikums Kenntnis von gravierenden datenschutzrechtlichen Mängeln in Hinblick auf die Umsetzung der technisch-organisatorischen Maßnahmen (Art. 32 DSGVO). Die Prüfung erstreckte sich stichprobenartig u.a. auf die folgende Bereiche:

  • Organisationsstrukturen, Zuständigkeiten und Verantwortlichkeiten des Klinikums
  • Funktion des Datenschutz-Management-Systems (DSMS)
  • Einhaltung von anerkannten und empfohlenen Standards zum Schutz der Patientendaten
  • Sicherheit der IT-Systeme
  • Datensicherung und -löschung
  • Dokumentation und Nachweise zur Einhaltung der Datenschutzvorschriften

Der Prüfbericht identifizierte folgende Mängel (exemplarisch):

  • DSMS ist nicht ausreichend integriert; Pflichten werden nicht überwacht/befolgt
  • zu weitreichende Zugriffsrechte auf Patientendaten; unkontrollierter Zugriff auf gesamten Datenbestand, fehlende Protokollierung und Nachvollziehbarkeit (keine Berechtigungskonzepte)
  • Archivräume nicht ordnungsgemäß geführt
  • Dienstleister konnten teils uneingeschränkt auf Patientendaten zugreifen, Verträge zur Auftragsverarbeitung für zahlreiche Dienstleister – trotz Pflicht – nicht vorhanden.
  • Einsatz veralteter Betriebssysteme – Stand der Technik blieb unbeachtet (Art. 32 DSGVO)
  • keine Datenschutz-Folgenabschätzung (DSFA) für entsprechend risikoreiche Verarbeitungen (Art. 35 DSGVO) durchgeführt

Da derartige Mängel – gerade im sensiblen Gesundheitsbereich – gravierende Folgen für Betroffene nach sich ziehen können, ist es erstaunlich, dass das ULD hier offensichtlich keine bußgeldrechtlichen Sanktionen vorgesehen hat. Es setzt stattdessen wohl ausschließlich auf „Aufklärung“ (siehe S. 51 ff. des ULD-Tätigkeitsberichts).[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Online-Terminvereinbarung bei Arztpraxen

Systeme zur Online-Terminvereinbarung beim Arzt gibt es immer häufiger. Sie sollen die aufwendige und teils lästige Terminvergabe per Telefon ablösen oder zumindest ergänzen. Doch auch in diesem Rahmen dürfen datenschutzrechtliche Anforderungen nicht zu kurz kommen oder ganz übersehen werden.

In den beschriebenen Fällen erfolgte die Online-Terminvereinbarung über eine gesicherte Plattform, die vor unbefugter Kenntnisnahme hinreichend schützt. Problematisch war aus Sicht des ULD jedoch, dass die Terminbestätigung, also die Antwort der Arztpraxis an die Patientinnen du Patienten, häufig per unverschlüsselter E-Mail via Internet, also unsicher, erfolgte.

Derartige Terminbestätigungen enthalten regelmäßig neben dem Namen der anfragenden Person auch Angaben zur Behandlung (Beispiel: Heinz Müller, Termin Onkologie Folge- / Nachsorgeuntersuchung am 12.03.2021).

Übernimmt ein Dienstleister die Online-Terminvereinbarung, so muss er die gesetzlichen Anforderungen von Art. 28 DSGVO beachten. Er muss also angemessene Garantien für die Sicherheit der im Auftrag verarbeiteten Daten treffen. In diesem Fall wäre das beispielsweise die Bereitstellung einer verschlüsselten / gesicherten Terminbestätigung (etwa per Plattform-Login) gewesen.

Die datenschutzrechtliche Verantwortung für die sichere Übermittlung der Terminbestätigung trägt der Arzt (siehe S. 52 f. des ULD-Tätigkeitsberichts).

Corona & Kontaktdaten: Die häufigsten Fehler

Im Zuge der Corona-Pandemie ergibt sich aus der jeweils aktuellen Fassung der einzelnen Landesverordnungen die Pflicht, Kontaktdaten zu erheben, zumindest in bestimmten Situationen.

Hinsichtlich dieser Kontaktdatenerhebung durch private Unternehmen (etwa Restaurants) erreichte das ULD eine Vielzahl von Beschwerden. Daraus hat das Unabhängige Landeszentrum eine Liste mit den häufigsten datenschutzrechtlichen „Fehlern“ erstellt.

1.      Offen einsehbare Listen/Daten

Als häufigster Verstoß haben betroffene Personen die Kontaktdatenerhebung über eine offen einsehbare Liste angezeigt. Dass die Gäste sämtliche zuvor eingetragenen Daten anderer Gäste einsehen konnten, stellt ein Verstoß gegen Art. 24 in Verbindung mit Art. 32 DSGVO dar.

2.      Übermäßige Kontaktdatenerhebung

Häufig haben Verantwortliche im Rahmen der Kontaktdatenerhebung auch überschießende personenbezogene Daten erhoben wie das Geburtsdatum. Die einzelnen Landesverordnungen legen  klar fest, welche Informationen zu erheben sind. Hieran haben sich zahlreiche Verantwortliche offenbar nicht gehalten und gegen den Grundsatz der Datenminimierung verstoßen.

3.      Nutzung der Daten zu anderen Zwecken

Ein weiterer Klassiker war die missbräuchliche Verwendung der streng zweckgebundenen Kontaktdaten und deren Nutzung zu anderen Zwecken als den der infektionsrechtlichen Nachverfolgung durch die Gesundheitsämter.

So erreichten das ULD zahlreiche Beschwerden von Betroffenen, deren Daten in Kundendatenbanken landeten und die werblich kontaktiert wurden. Einige besonders dreiste Unternehmen erstellten mit den Informationen, die sie im Rahmen der Kontaktnachverfolgung erheben mussten, sogar werbliche WhatsApp-Gruppen für eigene Marketingaktionen und kontaktieren die betroffenen Personen entsprechend; selbstverständliche ohne Rechtsgrundlage.

4.      Datenerhebung durch nicht verpflichtete Stellen

Im Rahmen der Kontaktdaten-Sammlung schossen einige Unternehmen auch insofern über das Ziel hinaus, als dass sie diese Daten ihrer Kunden / Gäste erfassten, obwohl dies nach der jeweils aktuellen Fassung der Landesverordnungen zu diesem Zeitpunkt überhaupt nicht zulässig / verpflichtend gewesen ist.

So erfassten etwa Frisöre die Kontaktdaten ihrer Kunden, obwohl dies – laut ULD – bis zum 29.11.2020 in der Landesverordnung Schleswig-Holstein (noch) nicht vorgesehen war und den Betrieben somit die Rechtsgrundlage für diese Erhebung fehlte. Fazit: Ein Blick ins Gesetz erleichtert die Rechtsfindung (siehe S. 65 f. des ULD-Tätigkeitsberichts).

Datenschutz in der öffentlichen Verwaltung

Daneben beschäftigte sich das ULD in Kapitel 4 des Tätigkeitsberichts (ab S. 29) auch mit zahlreichen Fällen aus dem Bereich der (öffentlichen) Verwaltung. Zu nennen sind hierbei etwa

  • Fragen rund um die Zulässigkeit von Datenerhebungen zu Zwecken der Corona-Prävention (Fragebogen, Fiebermessen & Co.),
  • Ton- und Videoaufnahmen in kommunalen Sitzungen sowie
  • zwei spannende Datenpannen (1. Schadsoftware in der Kläranlage und 2. Einbruch in Büroräume).

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column]

Praxis-Tipp
Lesenswert sind überdies die Ausführungen des ULD zu Datentreuhandsystemen (S. 108 f.) und zu ihrer datenschutzrechtlichen Einordnung, etwa im Bereich digitaler Lern- und Lehrangebote.

Auch die  Ausführungen zum „unfallfreien Schwärzen digitaler Dokumente“ (S. 109 f.), einschließlich eines Vorschlags für ein datenschutzkonformes mehrstufiges Verfahren bei der Schwärzung, sind hilfreich.

[/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Zahlen und Fakten des ULD aus 2020

  • 497 schriftliche Beschwerden (davon für 278 nicht zuständig)
  • 219 Beschwerden bearbeitet (812 davon gegen nicht-öffentliche Stellen = Unternehmen)
  • 8 Prüfungen im öffentlichen und 5 Prüfungen im nicht-öffentlichen Bereich ohne vorherige Beschwerde
  • 808 Beratungen
  • 406 Meldungen von Verletzungen des Schutzes personenbezogener Daten (darin enthalten sind zahlreiche Datenpannen, über die Dritte bzw. betroffene Personen das ULD informiert haben, nicht die Verantwortlichen)

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht hat die Aufsichtsbehörde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

  • 42 Warnungen
  • 50 Verwarnungen
  • 13 Anordnungen
  • Eine Geldbuße hat das ULD im Jahr 2020 (wie 2019) nicht verhängt!

Fazit: ULD-Tätigkeitsbericht sendet falsches Signal

Der Tätigkeitsbericht des ULD enthält einige wichtige Klarstellungen zu relevanten Praxisfragen bei der Anwendung der Datenschutz-Grundverordnung. Das gilt gerade auch mit Bezug zu sensiblen Daten und solchen Daten, die Verantwortliche im Rahmen der Corona-Pandemie erheben.

Wie bereits im letzten Tätigkeitsbericht 2019 vermisst man auch in diesem Bericht Ausführungen zu verhängten Bußgeldern. Warum? Ganz einfach: Das ULD hat bisher keine Bußgelder erlassen.

Welche Strategie womöglich hinter dieser großen Zurückhaltung steckt, lässt sich nur vermuten. Dass das ULD seit Anwendbarkeit der DSGVO allerdings kein einziges Bußgeld verhängt hat, sendet aus Sicht der Praxis ein fatales Signal an all diejenigen datenverarbeitenden Stellen, die auf Datenschutz ohnehin keine Lust haben.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column]

Datenschutz PRAXIS - Der Podcast
[/vc_column][/vc_row]

Dr. Kevin Marschall