32. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg

In diesem Jahr hat der Landesbeauftragte für den Datenschutz in Baden-Württemberg (LDSB) seinen Tätigkeitsbericht für die Jahre 2014 und 2015 veröffentlicht.

Die Tätigkeitsberichte der Aufsichtsbehörden bieten immer wieder spannende Erkenntnisse oder Bestätigungen für die eigene Arbeit im Datenschutz.

Datenschutz im Gesundheitssektor

Einer der Prüfschwerpunkte lag in diesem Zeitraum auf Betrieben des Gesundheitswesens, vorwiegend Krankenhäuser und Versicherungen wurden geprüft.

Krankenhäuser

Die Umsetzung der Anforderungen aus der Orientierungshilfe Krankenhausinformationssysteme (OH[nbsp] KIS) ist für alle Krankenhäuser in Deutschland weiterhin ein großes Thema. Augenscheinlich haben viele Krankenhäuser den von den Aufsichtsbehörden gewünschten Umsetzungsgrad noch nicht erreicht.
Während die Umsetzung eines Rollen- und Berechtigungskonzeptes bei vielen geprüften Krankenhäusern schon einen hohen Grad der Umsetzung erreicht hat, werden nur in wenigen Einrichtungen Zugriffsprotokollierungen durchgeführt. Auch ein Prozess zur Sperrung bzw. Löschung von Patientendaten ist in vielen Häusern bisher nicht umgesetzt worden.

Welche Anforderungen ergeben sich hieraus im Allgemeinen für Krankenhäuser?

Um den datenschutzrechtlichen Anforderungen gerecht zu werden, sollten Sie ein Rollen- und Berechtigungskonzept für die Zugriffe auf Patientendaten implementieren. Mit solch einem Konzept können Sie die Zugriffe auf Patientendaten ganz im Sinne der Datensparsamkeit auf ein notwendiges Maß reduzieren.

Weiterhin sollten Sie Maßnahmen ergreifen, um den Umgang mit personenbezogenen Daten zu protokollieren. Durch Protokollierungsmaßnahmen lassen sich Verstöße beim Umgang mit personenbezogenen Daten einfacher und im Regelfall uneingeschränkt nachvollziehen.

Zudem sollte vorgesorgt werden, dass die Sperrung von Patientendaten im Bedarfsfall möglich ist. So können Sie sicherstellen, dass bei bestimmten Patientengruppen (bspw. Beschäftigte oder deren Angehörige) die Zugriffe auf personenbezogene Daten weiter eingeschränkt werden.

Patientendaten unterliegen definierten Aufbewahrungsfristen. Nach Ablauf dieser Fristen sind die Daten physikalisch zu löschen. Auch hier müssen die technischen Voraussetzungen geschaffen werden, um den Anforderungen des Datenschutzes gerecht zu werden.

Gerne unterstützen wir Sie bei der Umsetzungen dieser Anforderungen.

Umschlagverfahren zwischen Arzt und MDK

Das bisher genutzte Umschlagverfahren ist in Deutschland nicht mehr zulässig. Dabei handelt es sich um ein Verfahren, bei dem Vertragsärzte Unterlagen über die jeweiligen Kassen in einem verschlossenen Umschlag – im Regelfall mit der Aufschrift „Ärztliche Unterlagen nur vom MDK zu öffnen“ – an den MDK weiterleiten. In Zukunft müssen die erforderlichen Unterlagen direkt dem MDK zugesandt werden. Hierzu meint der LDSB: „MDK und Krankenkassen müssen schnellstmöglich ein neues und gesetzeskonformes Verwaltungsverfahren implementieren. Ich werde diesen Prozess begleiten und bis zur Ablösung des Umschlagverfahrens verstärkt kontrollieren, dass Krankenkassen medizinische Unterlagen, die für den MDK bestimmt sind, nicht zur Kenntnis nehmen.“[nbsp] Wenn Sie also sicher gehen wollen, dass die Daten Ihrer Patienten nicht unbefugt von Beschäftigten der Kassen geöffnet werden, senden Sie alle Unterlagen direkt an den MDK.

[nbsp]

Datenschutz im Arbeitsleben

Das zum 01. Januar 2015 verabschiedete Mindestlohngesetz (MiLoG) ist nicht nur als Mittel für den Kampf gegen „Lohndumping“ zusehen, sondern wirft gerade im Bereich der Arbeitnehmerüberlassung (ANÜ) datenschutzrechtliche Fragen auf. Nach den Vorschriften des § 13 MiLoG haftet ein Auftraggeber wie ein Bürge nach den Vorgaben von § 14 Arbeitnehmerentsendegesetz (AEntG) dafür, dass alle entliehenen Beschäftigten nach den Vorgaben des MiLoG entlohnt werden. Diese Haftung erstreckt sich im Zweifel auch auf eingesetzte Subunternehmer. Demnach drohen Auftraggebern Bußgelder, wenn sie wissentlich oder in Folge fahrlässiger Unkenntnis eine schlechtere Bezahlung zulassen. Allerdings ist in den Gesetzten nicht näher beschrieben, wie ein Auftraggeber sicherstellen kann, dass alle Leiharbeitnehmer entsprechend entlohnt werden.

Die scheinbar einfachste Lösung – die pauschale Einsichtnahme in Daten von Leiharbeitnehmern (bspw. Lohn- und Gehaltsabrechnungen) – ist aus Sicht des Datenschutzes nicht zulässig. Diese Ansicht vertreten alle Datenschutzaufsichtsbehörden in Deutschland. Jedoch führt der LDSB im Einklang mit allen Aufsichtsbehörden Lösungen auf, um dieser Problematik entgegenwirken zu können:

  1. Zunächst sollten Sie als Auftraggeber Ihren Auftragnehmer sorgfältig auswählen. Wenn ein Unternehmen deutlich günstigere und vielleicht sogar unrealistische Angebote abgibt, ist eine weitere Prüfung geboten (siehe hierzu auch die folgenden Punkte).
  2. Wälzen Sie Haftungsrisiken auf ihren Auftragnehmer ab. Lassen Sie sich vertraglich zusichern, dass der Auftragnehmer alle Anforderungen aus den einschlägigen gesetzten erfüllt. Vereinbaren Sie zusätzlich Vertragsstrafen.
  3. Lassen Sie den Einsatz von Subunternehmern nur mit ihrer ausdrücklichen Zustimmung zu. Verpflichten Sie ihren Auftragnehmer dazu, allen Subunternehmern die gleichen Verpflichtungen aufzuerlegen, die er ihnen gegenüber hat.
  4. Fordern Sie regelmäßig anonymisierte Lohn- und Gehaltsabrechnungen bei ihren Auftragnehmern an.[nbsp]
  5. Fordern Sie im Zweifel von einem für den Auftragnehmer tätigen Steuerberater oder Wirtschaftsprüfer testierte Bestätigung zur Einhaltung der Mindestlohnvorgaben an (sog. Testatlösung).
  6. Wenn alle diese Maßnahmen nicht zu einem zufriedenstellendem Ergebnis führen und weiterhin Anhaltspunkte bestehen, dass der Auftragnehmer nicht den gesetzlichen Mindestlohn zahlt, können Sie selbst einen Steuerberater oder Wirtschaftsprüfer mit einer Kontrolle beauftragen.

Spätestens bei Punkt 6 sollten Sie zu einem eindeutigen Ergebnis kommen.

[nbsp]

Datenschutz in der Wirtschaft

E-Mail-Werbung

In vielen Fällen erfüllen die Anmeldevorgänge zu Newslettern und anderen werblichen Nachrichten noch nicht die Anforderungen des Datenschutzes. Mittlerweile ist allgemein bekannt, dass bei der Anmeldung, bspw. für einen Newsletter, eine gesonderte Einwilligung einzuholen ist. Darüber hinaus wurde das sogenannte „Double-Opt-in-Verfahren“ von den Aufsichtsbehörden als zulässige Vorgehensweise anerkannt. Jedoch versuchen Unternehmen häufig, durch Pflichtfelder zum Ankreuzen sowie durch die unzulässige Vermischung[nbsp] von[nbsp] Allgemeinen Geschäftsbedingungen und Datenschutzerklärung, eine scheinbare Zulässigkeit von[nbsp] E-Mail-Marketing zu konstruieren.

In seinem Jahresbericht verweist der LDSB nochmals ausführlich auf die datenschutzrechtlichen Anforderungen an die E-Mail-Werbung.

Als Rechtsgrundlagen müssen im Regelfall die Vorschriften des Telemediengesetz (TMG), Bundesdatenschutzgesetz (BDSG) sowie des Gesetzes gegen den unlauteren Wettbewerb (UWG) berücksichtigt werden. Bei der Einwilligung ist weiterhin zu beachten, ob diese schriftlich oder elektronisch erfolgt. Weiter muss eine elektronische Einwilligung protokolliert werden. Der genaue Inhalt der Einwilligung muss dabei jederzeit für den Nutzer abrufbar sein. Betroffene müssen vor Abgabe der Einwilligung schriftlich oder auf elektronischem Wege umfassend über ihre Widerrufsmöglichkeiten aufgeklärt und über die erhobenen Daten sowie die Verwendung dieser Daten informiert werden.

Für Geschäftsreisende

Im Laufe der letzten zwei Jahre hat der LDSB ebenfalls intensiver den Umgang von Hotels mit Gästedaten betrachtet. Hier wurden unter anderem die Themen Personalausweiskopien, Angabe der privaten Adresse bei Geschäftsreisenden und die sichere Datenübertragung per E-Mails geprüft.

Hierbei stellte der LDSB fest, dass Kopien von Personalausweisen oder Reisepässen, sowohl zu Zwecken der Abschreckung und Verfolgung von Zechprellern als auch zur Überprüfung der Meldedaten, nicht den hohen Anforderungen des Bundesministeriums des Innern (BMI) an die Voraussetzungen einer zulässigen Passkopie gerecht werden.
Die Voraussetzungen an eine zulässige Kopie von deutschen Personalausweisen und Reispässen lässt sich wie folgt zusammenfassen:

Die Erstellung einer Kopie muss erforderlich sein. Vorab wäre also zu prüfen, ob die alleinige Vorlage des Ausweises ausreicht. Die Vorlage des Ausweises sollte entsprechend dokumentiert werden. Muss dennoch eine Kopie erstellt werden, sind zwingend weitere Voraussetzungen zu beachten: Die Kopie muss als solche erkennbar sein und darf nur zur Identifizierung des Gastes genutzt werden. Alle nicht zur Identitätsfeststellung benötigten Daten (bspw. Zugangs- und Seriennummern) sollten durch den Gast auf der Kopie geschwärzt werden. Wenn der mit der Kopie erfolgte Zweck erreicht ist, muss die Kopie unverzüglich vernichtet werden.

Zur Verdeutlichung:

Das Personalausweisgesetz (PAuswG) erlaubt nur unter besonderen Umständen die Kopie eines Personalausweises oder Reisepasses. Im Regelfall muss ein Gesetz die Kopie vorschreiben oder erlauben. Beispiele für solche Vorschriften finden Sie hierzu u.a. in § 4 in Verbindung mit § 8 Geldwäschegesetz (GwG) oder auch in § 95 Telekommunikationsgesetz (TKG). Wie eingangs erwähnt, erfüllen die meist nachvollziehbaren Interessen von Hotelbetreibern nicht die Anforderungen des BMI.

Sollte ein Hotelbetreiber eine Kopie von Ihnen fordern, können wir Ihnen nur empfehlen, diesen auf die Unzulässigkeit hinzuweisen. Zusätzlich können Sie die Vorlage des Ausweises anbieten und der Hotelbetreiber kann dies vermerken.

Hotels verlangen von ihren Gästen weiterhin oftmals die Angabe der privaten Anschrift in Meldescheinen. Beachten Sie hierbei: alle verpflichtenden Angaben in Meldescheinen dürfen nur für die im Bundesmeldegesetz (BMG) genannten Zwecke verwendet werden. Als Zwecke kommen dabei nur Übermittlungen an zuständige Behörden in Betracht. Eine weitergehende Verwendung der Daten, bspw. zur Zusendung von Werbung an die private Adresse des Gastes, ist unzulässig.

Des Weiteren stellte der LDSB fest, dass an Hotels Daten in auszufüllenden Formularen zwar verschlüsselt übertragen werden, der E-Mail-Verkehr allerdings häufig unverschlüsselt stattfindet. Die Problematik liegt darin, dass auch sensible Daten wie Kreditkartennummern und Bankverdingungsdaten abgefragt oder übermittelt werden. Personenbezogene Daten sind jedoch auch bei der Übermittlung gegen eine Kenntnisnahme durch unbefugte Dritte zu schützen. Unverschlüsselte E-Mails lassen sich allerdings im Zweifel von Unbefugten leicht mitlesen.
Wenn Sie sensible Daten nicht unverschlüsselt an den Empfänger übermitteln wollen, fragen Sie im Zweifelsfall nach einer Alternative zur Datenübermittlung via E-Mail. [nbsp]

[nbsp]

Sie haben Fragen zu den einzelnen Themen oder zum Datenschutz allgemein? Sprechen Sie uns an. Wir unterstützen Sie gerne! Ihr tacticx-Team.

Kostenlose Anfrage stellen.

Sende uns eine Nachricht

1 + 0 = ?

Die mit einem * gekennzeichneten Felder sind Pflichtfelder und müssen ausgefüllt werden.

Kostenlose
Anfrage
stellen.

Sende uns eine Nachricht

2 + 1 = ?

Die mit einem * gekennzeichneten Felder sind Pflichtfelder und müssen ausgefüllt werden.