5G: Auswirkungen auf den Datenschutz und Chancen für Unternehmen

Vom 19. März bis zum 12. Juni 2019 wurden die Frequenzen des neuen Mobilfunk-Standards 5G für Netzbetreiber von der Bundesnetzagentur versteigert. Bei 6,55 Milliarden Euro endete die Auktion. Die neue Technologie soll eine erheblich größere Geschwindigkeit im mobilen Netz erreichen, sogar bis zu 10.000 Mbit/s (1.250 MB/s). Im Vergleich zum jetzigen schnellsten 4G-Standard (LTE+) bedeutet das eine 10-fache Steigerung der maximalen Geschwindigkeit. Zudem sinkt die Latenz (Signallaufzeit) um das 10-Fache von etwa 10 ms bei 4G auf 1 ms bei 5G. Auch verspricht 5G eine höhere Energieeffizienz als 4G.

Neue Infrastruktur: präzisere Standortbestimmung

Gleichzeitig bringt der neue Mobilfunk-Standard auch Änderungen in der Infrastruktur mit sich. Der Abdeckungsbereich der künftigen 5G-Funkzellen ist deutlich kleiner als bei 4G. Das führt dazu, dass im gleichen Abdeckungsbereich eines 4G-Funkmastes mehrere (kleinere) Funkzellen für 5G eingesetzt werden müssen. Zudem dringt das Signal von 5G schlecht durch Wände, was zur Folge hat, dass auch innerhalb von Gebäuden 5G-Funkzellen nötig würden.

In Berlin wurde 2018 bereits durch die Telekom ein 5G-Test auf einem 5 Kilometer breiten Streifen zwischen Schöneberg und Mitte eingerichtet. Dafür wurden an 20 Standorten insgesamt 70 Antennen angebracht. Das zeigt, wie viel Infrastruktur bereits auf kleinem Raum nötig ist, um 5G bereitzustellen. Ein flächendeckendes 5G-Netz in Deutschland erfordert also erhebliche Investitionen, insbesondere vor dem Hintergrund, dass heute noch nicht einmal 4G flächendeckend verfügbar ist. Angesichts der Kosten ist es unwahrscheinlich, dass die 5G-Infrastruktur auch in ländlichen und gering besiedelten Regionen gebaut wird. Zunächst soll 5G vor allem in Ballungsgebieten verfügbar werden. Noch in diesem Jahr 2019 soll 5G erstmals nutzbar sein, kündigten die Telekom und Vodafone an. Zugleich kommen dieses Jahr auch die ersten 5G-Smartphones auf den Markt. Ziel der Bundesnetzagentur ist es, dass Ende 2022 98% der Haushalte mindestens mobiles Internet mit LTE-Geschwindigkeit haben.

Durch diese veränderte Infrastruktur wird eine viel präzisere Bestimmung der Position des Endgeräts und damit des einzelnen Nutzers möglich. Damit kann relativ genau der Bewegungsablauf des Nutzers in Echtzeit durch den 5G-Provider nachvollzogen werden, ohne dass dafür etwa GPS angeschaltet werden müsste.

Bisher wird die Standortbestimmung, etwa bei Jogging-Apps oder für die Statistik der Besucherzahlen für Restaurants oder Läden bei Google, vor allem durch GPS realisiert. GPS funktioniert mithilfe von geostationären Satelliten. Je mehr Satelliten in Reichweite des Smartphones sind, desto genauer ist die Standortbestimmung. Unterstützt werden kann GPS dann noch zusätzlich durch das Anschalten von WLAN und der Freigabe der Position ausgehend vom Mobilfunknetz. Mit flächendeckendem 5G wird GPS praktisch überflüssig – oder kann helfen, den Standort noch genauer zu bestimmen.

Sicherheitsrisiken und Stärken der Architektur von 5G

Sicherheitsforscher weisen darauf hin, dass der Grundfeiler der 5G-Architektur, ein zentraler Kontrollserver (SDN), ein attraktives Ziel für mögliche Angriffe sein könnte. Angreifer könnten versuchen, den Server zu überlasten. Um dem entgegenzuwirken, sei die korrekte Konfiguration des SDN, insbesondere bei großen Netzwerken, entscheidend.

Gleichzeitig kann eine korrekte und sichere Konfiguration des SDN zugleich auch ein besonders guter Schutz gegen Angriffe sein. Erst recht, wenn durch die SDN-Architektur mithilfe von maschinellem Lernen potenzielle Angriffe frühzeitig durch Algorithmen erkannt werden können.

Darum ist es insbesondere aus datenschutzrechtlicher Sicht umso wichtiger, auf die IT-Sicherheit bei der Umsetzung des neuen Mobilfunk-Standards zu achten, damit Angreifer nicht Zugriff auf die umfangreichen Positionsdaten der Nutzer erhalten.

Bedeutung und Gefahren von 5G für den Datenschutz

Die Position und der Bewegungsablauf eines Nutzers, die mit seiner Mobilfunknummer verknüpft sind, zählen zu den personenbezogenen Daten. So werden Standortarten explizit in Art. 4 Nr. 1 DSGVO genannt. Damit unterliegen sie dem Schutz der Datenschutz-Grundverordnung. Kann nun ein so exakter Bewegungsablauf allein durch die Nutzung des Mobilfunknetzes aufgenommen werden, besteht natürlich auch die Gefahr des Missbrauchs dieser Daten.

Dabei geht es nicht nur um das illegale Abgreifen dieser Daten, sondern vor allem auch um deren Nutzung durch Apps auf dem Smartphone, die Werbetreibenden eine viel genauere personenbezogene Werbung anhand täglicher Routinen und Bewegungsabläufe ermöglichen.

Unternehmen können mithilfe dieser Standortdaten die persönlichen Vorlieben, Interessen, das Verhalten sowie Aufenthaltsorte oder Ortswechsel analysieren und vorhersagen. Dadurch können Profile erstellt werden, die etwa beinhalten, wo man sich gerne in der Freizeit aufhält, wo man gerne einkaufen geht, wann man Sport macht oder wie oft und zu welchem Arzt man geht. Aus diesem Grund wird dieses sogenannte Profiling in Art. 22 DSGVO besonderen Anforderungen unterworfen.

Um Missbrauch zu vermeiden und dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu genügen, könnte man in dem Zusammenhang über eine Verfremdung der eigentlich präzisen Standortdaten nachdenken, sodass nur noch der ungefähre Standort innerhalb der 5G-Funkzellen zur Verfügung steht.

Im Rahmen von Apps, wo im Vorhinein Zugriffsgenehmigungen erfragt werden, müsste in jedem Fall auch, sofern die 5G-Standortdaten verarbeitet werden, die Rechtmäßigkeit der Verarbeitung sichergestellt werden, sei es durch eine Einwilligung oder durch die Vertragsausgestaltung des App-Anbieters zur Nutzung der App.

Industrie 4.0: Vorteile und Chancen für Unternehmen

Neben der abgeschlossenen Versteigerung der Frequenzen im Bereich von 2 GHz und 3,4 bis 3,7 GHz sollen für industrielle und mittelständische Geschäftsmodelle auch Frequenzen von 3,7 GHz bis 3,8 GHz für lokale Anwendungen zur Verfügung gestellt werden. Konkrete Vergabebedingungen für diese stehen bisher aber noch aus.

Das Fraunhofer-Institut für Produktionstechnologie IPT betreibt bereits in Kooperation mit Ericsson eine Testumgebung für die künftigen Nutzungsmöglichkeiten von 5G. Durch die Vorteile von 5G mit geringer Latenz, eng abgesteckten Funkzellen und hoher Geschwindigkeit lassen sich Messdaten kabellos in Echtzeit übertragen und so umfangreiche Mess- und Regelungstechniken in Produktionsanlagen realisieren. Dabei können zahlreiche Geräte aufgrund der eng abgesteckten Funkzellen gleichzeitig betrieben werden.

Durch 5G ergeben sich so viele Vorteile und Chancen insbesondere im Bereich der Industrie-Automatisierung, der Sensorik und im Bereich der Land- und Forstwirtschaft. Auch die Kommunikation autonomer Fahrzeuge profitiert von 5G. Industrieroboter bräuchten nicht mehr über mehrere Schnittstellen kabelgebunden angesprochen zu werden, sondern könnten direkt über 5G Befehle so schnell wie möglich erhalten.

Großes Interesse an lokalen 5G-Frequenzen

In Deutschland haben bereits Firmen wie BASF, Siemens und Bosch sowie die Autokonzerne Volkswagen, BMW und Daimler angekündigt, Anträge für eigene, lokale 5G-Frequenzen zu stellen.

Bei den Autoherstellern steht vor allem die Vernetzung von Fertigungsrobotern und Maschinen im Fokus. Volkswagen plant zudem die flexible Installation von Software in den Fahrzeugen. Auch Daimler möchte 5G für den Datenaustausch in der Produktion nutzen, etwa um Produkte auf der Montagelinie zu orten. Bei allen Interessenten ist insbesondere die Steigerung der Effizienz von Bedeutung.

Die lokalen Frequenzen bieten den Unternehmen die vollständige Kontrolle über ihre Daten, denn es wird kein Netzbetreiber mehr dazwischengeschaltet. Sensible Produktionsdaten werden so nicht an Dritte übermittelt. Deshalb bleiben die Integrität und Vertraulichkeit der Daten bestmöglich gewahrt. Zudem heben die Unternehmen die Zuverlässigkeit und Sicherheit von lokalen Netzen hervor.

Auch Vorteile für jeden Endverbraucher

Auch im Alltag wird sich der neue Mobilfunk-Standard 5G in neuen dafür ausgelegten Geräten widerspiegeln. So wird durch die hohe Geschwindigkeit Cloud-Synchronisierung und der Versand von Fotos und Videos erheblich beschleunigt und vereinfacht.
Insgesamt bietet 5G viele Vorteile und vor allem große Chancen für Unternehmen zur Verbesserung ihrer Arbeitsprozesse.
Für den Datenschutz wird 5G in Zukunft ein wichtiges Thema werden, insbesondere vor dem Hintergrund der zukünftigen Verbreitung von 5G-fähigen Smartphones. Deshalb sollte der Datenschutz bereits frühzeitig eingebunden werden, um Gefahren für den Datenschutz zu erkennen und Maßnahmen zu entwickeln, damit die Errungenschaften von 5G in einen angemessenen Ausgleich zum Interesse der Verbraucher auf Privatsphäre gebracht werden können.

Als Auftragsverarbeiter Künstliche Intelligenz trainieren: eine Anleitung

Künstliche Intelligenz ist auf dem Vormarsch und die Grenzen ihres Potentials nicht absehbar. Zu Recht entwickeln kreative Köpfe ausgehend von den Möglichkeiten des Machine und Deep Learnings ständig neue KI-Strategien. Daraus wird eine Vielzahl an erfolgreichen Konzepten und Geschäftsmodellen hervorgebracht. Nicht jedes Unternehmen braucht jedoch eine eigene KI-Strategie – es kann sich andere Dienstleister suchen, die ihre KI-basierten Dienste im Rahmen eines Outsourcings anbieten und so durch die Vorteile einer Künstlichen Intelligenz überzeugen: schnell, sicher, rentabel und effektiv.

Möglich ist dies jedoch nur dank großer Mengen an Daten, die die KI sowohl bei ihrer Entwicklung als auch bei der Anwendung benötigt. Nicht selten werden personenbezogene Daten dabei sein, deren Verarbeitung sich nach Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) richtet. Der Einsatz von KI bringt damit einen Rattenschwanz an Compliance mit sich, der noch komplexer wird, je mehr Akteure in die Datenverarbeitung überhaupt eingeschaltet sind. So kann in der soeben genannten Konstellation eine Auftragsverarbeitung vorliegen, bei der ein Verantwortlicher einen Auftragsverarbeiter mit der KI-gesteuerten Verarbeitung der Daten beauftragt.

Für den Auftragsverarbeiter stellt sich wiederum die Frage, was er mit den Daten machen darf. Eine wichtige Frage dabei ist, ob er die Daten der Endkunden seines Auftraggebers benutzen darf, um seine KI zu trainieren. Schließlich müssen künstliche Intelligenzen dazu lernen, um besser zu werden. Datenschutzrechtlich ist diese Frage nicht so einfach zu beantworten – wir können Ihnen jedoch in wenigen Schritten erläutern, wie Sie strategisch und rechtssicher vorgehen können, um die Daten auch in einem Auftragsverhältnis ganz legal zum Trainieren ihrer KI nutzen zu können!

KI und Auftragsverarbeitung: ein Beispiel

Führen Sie sich zum besseren Verständnis folgende Situation vor Augen: Ein Unternehmen hat eine KI entwickelt, die E-Mails und andere Nachrichten auf bestimmte Informationen hin durchsuchen kann, entsprechend sortiert und sogar eigenständig beantwortet. Beispielsweise kann eine Kundennachfrage, wann denn ein bestimmtes Kleidungsstück aus einem Onlineshop wieder in einer bestimmten Größe erhältlich sei, von der KI verstanden werden und wird je nach Entwicklungsstand der KI an den zuständigen Kundenservicemitarbeiter weitergeleitet oder sogar selbst beantwortet. Auch Chatbots gehören in diesem Kontext dazu.

Diese KI-Strategie kann so zum Geschäftsmodell werden, indem das Unternehmen als Dienstleister für andere Unternehmen deren Kundenservice (zum Teil) übernimmt. Dieselbe Konstellation kommt bereits im Kontext von Bonitätsscoring und bei Versicherungen zum Einsatz.

Aus Sicht des Datenschutzes sieht diese Konstellation folgendermaßen aus: Das Unternehmen, das die Hilfe beim Kundenservice beansprucht (Auftraggeber), beauftragt ein anderes Unternehmen (Auftragnehmer) damit, die E-Mails bzw. Nachrichten seiner Kunden auf spezielle Informationen hin zu untersuchen (beispielsweise Konfektionsgröße). Diese Informationen stellen häufig personenbezogene Daten dar, oftmals sogar besonders schützenswerte sensible Daten wie Kontodaten. Diese Auslagerung von Datenverarbeitungsprozessen oder deren Übertragung auf einen Dienstleister wird Auftragsverarbeitung genannt und unterliegt strengen Anforderungen der DSGVO.

Die Auftragsverarbeitung verlangt eine vertragliche Vereinbarung zwischen Auftraggeber und Auftragnehmer. Kennzeichen der Auftragsverarbeitung ist, dass die Daten durch den Auftragnehmer ohne weitere Rechtsgrundlage verarbeitet werden dürfen. Normalerweise bedarf es nach dem Rechtmäßigkeitsprinzip der DSGVO nämlich einer Rechtsgrundlage. Diese (z.B. eine Einwilligung) muss jedoch nur im Verhältnis Endkunde und verantwortliche Stelle (Auftraggeber) vorliegen. Wesen der Auftragsverarbeitung ist es gerade, dass der Auftragnehmer unter Verantwortung und Kontrolle des Verantwortlichen tätig wird, weil er durch einen Vertrag gebunden ist.

Das Vorgehen

Im Folgenden erklären wir Ihnen, wie Sie als Auftragnehmer im Rahmen einer Auftragsverarbeitung die Daten nicht nur für Ihre Kunden verarbeiten, sondern zusätzlich auch für sich nutzen und Ihre KI trainieren können!

Schritt 1: AVV aufstellen

Damit gelangen wir schon zum 1. Schritt: der Aufstellung eines Auftragsverarbeitungsvertrags (AVV). Zunächst muss in dem AVV der Zweck der Datenverarbeitung festgelegt werden. Der Auftragsnehmer darf seine KI also die Daten NUR zu dem dort festgelegten Zweck verarbeiten lassen. In dem Beispiel oben wäre der Zweck die Daten der Kunden zu erfassen, um ihre Nachrichten beantworten zu können. Der Zweck ist eben nicht, seine KI mit den Daten trainieren zu können, damit sie sich weiterentwickelt. Allein die Aufstellung eines AVVs bemächtigt Sie folglich nicht zum Training der KI, ist aber Grundvoraussetzung dafür, überhaupt an die Daten zu kommen.

Checkliste: Inhaltliche Mindestanforderungen an einen AVV:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte der Verantwortlichen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Regelung wie der Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erfolgt. Dies kann auch durch Überprüfungen und Inspektionen auch durch einen beauftragten Prüfer vereinbart werden.
  • Pflichten des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Schritt 2: Anonymisieren

In einem zweiten Schritt sollte bei der Aufstellung des AVV vereinbart werden, dass der Auftragsnehmer die Daten der Endkunden, die er von seinen Kunden erhält, anonymisieren darf. Der große Vorteil einer Anonymisierung ist, dass sobald Daten anonym sind, sie keine personenbezogenen Daten mehr darstellen und daher den Anwendungsbereich der DSGVO verlassen. Mit den Daten darf der KI-Anwender dann folglich aus datenschutzrechtlicher Sicht machen, was er will. Er kann seine KI also damit problemlos trainieren.

Bei einer Anonymisierung werden die personenbezogenen Daten so umgewandelt, dass sich aus ihnen kein Personenbezug mehr herstellen lässt. Es kann also anhand der Daten eine Person nicht mehr identifiziert werden. Um eine Anonymisierung durchzuführen, ist ein Anonymisierungskonzept zu gestalten. Dabei ist sicherzustellen, dass bei der Anonymisierung alle Mittel berücksichtigt werden, die von dem verantwortlichen Unternehmen oder auch anderen Personen genutzt werden können, um eine Person zu identifizieren. Die Identifizierung einer Person muss unwiderruflich unmöglich gemacht werden. In Betracht kommt z.B. die Löschung oder Generalisierung der identifizierenden Merkmale.

Sind die Daten einmal anonymisiert, stellen sie zwar keine personenbezogenen Daten mehr dar, sodass die DSGVO keine Anwendung mehr findet. Allerdings stellt der Vorgang der Anonymisierung selbst eine automatisierte Verarbeitung personenbezogener Daten dar, sodass nach dem Rechtmäßigkeitsprinzip der DSGVO eine Rechtsgrundlage für die Verarbeitung vorliegen muss. Der AVV selbst reicht dafür nicht aus. Hier ist eine Verarbeitung aufgrund berechtigter Interessen des Auftragsverarbeiters als Rechtsgrundlage möglich. Das Interesse liegt darin, dass er zur Fortentwicklung und Verbesserung seiner KI Daten braucht.

Schritt 3: KI trainieren – Modell weiterverwenden

Sind die Daten anonymisiert, dann kann die KI damit trainiert werden und sich im Rahmen von Machine Learning weiterentwickeln. Dieses weiterentwickelte, erneuerte, gestärkte Modell bzw. neuronale Netz der KI kann dann von dem Dienstleister (Auftragsnehmer) bei anderen Kunden angewendet werden. Die Daten selbst bleiben damit beim Auftraggeber, sodass betroffene Personen keine Angst haben müssen, dass sie in falsche Hände geraten.

 Fazit: Mit einem cleveren AVV und anonymen Daten zum Erfolg

Mit nur drei Schritten können KI-gestützte Geschäftsmodelle zum Erfolg werden. Die KI kann datenschutzkonform verwendet und dazu auch noch trainiert werden. Wichtig sind dabei grundsätzlich einzig und allein die clevere Gestaltung eines AVVs und die Anonymisierung der Daten. Die Experten der ISiCO Datenschutz GmbH unterstützen Sie dabei Ihr Unternehmen datenschutzkonform zu führen. Mit einem korrekt ausgestalteten AVV sowie einem durchdachten Anonymisierungskonzept können wir Ihnen helfen, Ihr Unternehmen datenschutzrechtlich compliant aufzubauen! Sprechen Sie uns an und vertrauen Sie auf unsere Erfahrung!

Lesen Sie auch folgende Beiträge:

Künstliche Intelligenz im HR-Bereich: Datenschutz meistern!

Künstliche Intelligenz und Datenschutz – Anwendungsfälle

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche

Die Datenschutz-Grundverordnung (DSGVO) regelt nicht nur wie mit personenbezogenen Daten umzugehen ist und welche Bestimmungen einzuhalten sind, sondern trifft auch Regelungen für den Fall, dass diesen Vorgaben nicht entsprochen wird.

Besonders hervorzuheben sind hier die Artikel 33 und 34 der DSGVO. In ihnen wird festgelegt, was der Verantwortliche (also das Unternehmen oder die Institution, die die Verarbeitung durchführt) zu tun hat, wenn es zu einem Datenschutzvorfall kommt. Hier sind schnelle Maßnahmen erforderlich, für die man als Verantwortlicher schon im Vorfeld Prozesse etablieren sollte, um im Falle eines Falles vorbereitet zu sein. Für Unternehmen, die mit Gesundheitsdaten agieren, sind diese Regeln noch einmal von besonderer Relevanz. Gesundheitsdaten werden von der DSGVO als besonders schützenswert angesehen und erfordern somit von den Verarbeitern eine besonders hohe Sorgsamkeit auch und gerade bei einem Datenschutzvorfall.

Im folgenden Text sollen Maßnahmen aufgezeigt werden, wie Akteure im Gesundheitswesen sich bestmöglich auf einen Datenschutzvorfall vorbereiten können.

Was ist ein Datenschutzvorfall?

Die Antwort auf diese Frage liefert die Datenschutz-Grundverordnung direkt im Gesetzestext, wo der Datenschutzvorfall in Art. 4 DSGVO definiert wird. Somit handelt es sich dabei um „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Gemeint sind damit die genauen Gegensätze zu den bei Datenverarbeitungen einzuhaltenden Gewährleistungen von Vertraulichkeit und Integrität personenbezogener Daten. Beispiele im Gesundheitsbereich sind hierbei das Versenden von Patienteninformationen an einen falschen Empfänger, das zu lange oder unsichere Speichern von Gesundheitsdaten oder der Hack einer vom verantwortlichen Unternehmen betriebenen Gesundheits-App.

Wichtig ist hier immer eine Prüfung, ob es sich bei dem Vorfall wirklich um einen Datenschutzvorfall handelt, oder ob z. B. ausnahmsweise kein Risiko für die Rechte und Freiheiten der betroffenen Person bestand. Zudem muss bewertet werden, wie schwer der Vorfall diese Rechte und Freiheiten gefährdet, nach dieser Bewertung sind verschiedene Maßnahmen zu treffen, die in den nächsten Abschnitten erläutert werden.

Konsequenzen eines Datenschutzvorfalls

Hat die Prüfung ergeben, dass der gegenständliche Vorfall als Datenschutzvorfall einzustufen ist, so hat der Verantwortliche ab dem Zeitpunkt der Kenntnisnahme maximal 72 Stunden Zeit zu handeln. Hier ist Vorsicht geboten, denn diese 72 Stunden beziehen sich nicht nur auf Werktage, sondern beinhalten auch Wochenend- und Feiertage! Aus dieser knappen Frist begründet sich auch die Erforderlichkeit eines effizienten Prozesses zur Behandlung von Datenschutzvorfällen. Zu beachten ist außerdem, dass die 72 Stunden eine Maximalangabe darstellen und bereits vorher ein Verstoß gegen die Bestimmungen der DSGVO vorliegen kann, wenn die Reaktion durch den Verantwortlichen nicht unverzüglich erfolgt. Je nach Schwere des Vorfalls ist innerhalb dieser Frist eine Benachrichtigung der zuständigen Aufsichtsbehörde oder, bei Bestehen eines hohen Risikos für Rechte und Freiheiten der betroffenen Person, zusätzlich auch noch die bestoffene Person selbst zu benachrichtigen. Anbieter von Gesundheitsdienstleistungen müssen hier besonders aufmerksam sein, denn teilweise wird von den Aufsichtsbehörden vertreten, dass ein Vorfall mit Gesundheitsdaten per se immer ein hohes Risiko bietet und damit die betroffene Person in jedem Fall zu benachrichtigen ist.

Erfolgt eine erforderliche Meldung nicht, besteht darin eine eigene Verletzung der Pflichten aus der DSGVO, die mit einem Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes von der jeweiligen Aufsichtsbehörde bestraft werden können. Dabei ist es auch unbeachtlich, ob der ursprüngliche Datenschutzvorfall bewusst oder fahrlässig herbeigeführt wurde, da die Verletzung der Meldepflicht ein eigener Verstoß ist. Die bewusste Nichtmeldung eines Datenschutzvorfalls aus Angst um Imageschäden kann also keine verantwortungsvolle Option sein.

Bußgelder vermeiden – Planung und Prozesse

Die beste Methode um Bußgelder auf Grund von Datenschutzvorfällen zu vermeiden, ist diese gar nicht erst entstehen zu lassen. Hier empfehlen sich eine Vielzahl von Maßnahmen, um das Risiko eines Datenschutzvorfalls zu minimieren. Dies beginnt bei allgemeinen Überlegungen, wie dem Schaffen eines datenschutzrechtlichen Problembewusstseins unter den Mitarbeitern und dem Vorleben einer Datenschutzkultur durch die Leitungsebene. Aber auch spezifisch können viele Gefahren schon im Vorfeld abgefangen werden. Hier bietet sich gerade bei der Arbeit mit Gesundheitsdaten generell die Durchführung einer Datenschutz-Folgenabschätzung um Risikoquellen zu identifizieren und Gegenmaßnahmen zu implementieren. Zusätzlich sollten bereits konkrete Prozesse zur Vorfallsvermeidung aufgebaut werden. Als Beispiel seien hier ein Löschkonzept genannt, aus dem klar hervorgeht, wann welche Daten wie gelöscht werden oder ein Berechtigungskonzept, das klare Vorgaben für die Zugriffe auf gespeicherte, personenbezogene (Gesundheits-)daten macht.

Trotzdem besteht immer ein Restrisiko, dass es trotz aller Vorsichtsmaßnahmen zu einem Datenschutzvorfall kommt. Für diesen Fall ist es wichtig klare Abläufe und Zuständigkeiten festzulegen und vor allem auch bekannt zu machen. Egal, welcher Mitarbeiter auf welcher Ebene einen (möglichen) Datenschutzvorfall bemerkt, immer muss für ihn oder sie klar sein, welche Person zu benachrichtigen ist. Die Kette der Benachrichtigungen ist ebenso festzulegen, wie die Einheit, die den Vorfall prüft und wer, falls erforderlich, die Meldung bei den Behörden und wenn nötig der betroffenen Person vornimmt. Auch an eine Einbeziehung des/der Datenschutzbeauftragten und eine interne Dokumentation des Vorfalls ist zu denken.

Für diesen Prozess kann keine Pauschallösung vorgeschlagen werden. Zu unterschiedlich können Strukturen seitens der Verantwortlichen sein, man denke als Extremfall an die Unterschiede in vorhandenem Personal zwischen einem Start-Up als Betreiber einer Gesundheitsapp und einem multinationalen Pharmaunternehmen. Entscheidend ist, dass der Prozess so auf den jeweils Verantwortlichen zugeschnitten ist, dass die erforderlichen Prüfungen und Meldungen innerhalb der knapp bemessenen Frist durchgeführt werden können.

Mehr Informationen zum Thema:

Fazit

Datenschutzvorfälle sind Verletzungen der DSGVO, die durch den Verantwortlichen durch gute Datenschutz-Compliance unwahrscheinlicher gemacht, aber nie zu 100 Prozent ausgeschlossen werden können. Gerade im Gesundheitsbereich mit seinen sensiblen Daten und den ihnen innewohnenden hohen Risiken für die betroffenen Personen besteht dadurch eine erhebliche Gefahr für die Verantwortlichen sich nicht nur Imageschäden, sondern auch empfindlichen Geldbußen auszusetzen. Mit umfassender und umsichtiger Planung im Vorfeld können diese Risiken allerdings minimiert werden. Ein erfahrener (externer) Datenschutzbeauftragter kann bei der Planung sehr gute Unterstützung bieten. Unsere Datenschutz-Experten beraten Sie gerne für alle Fragen zur Vermeidung von Datenschutzvorfällen sowie auch dem richtigen Umgang mit diesen und können mit Ihnen gemeinsam maßgeschneiderte Prozesse für Sie aufsetzen.

Das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz kommt!

Artikel-Update, 18.12.2019: Das 2. Datenschutz-Anpassungsgesetz: Änderungen bei DSB und BDSG

In der Nacht zum 28.06.2019 hat der Bundestag das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz verabschiedet. Genau wie das erste Datenschutz-Anpassungs- und Umsetzungsgesetz soll es die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) ergänzen. Die DSGVO enthält nämlich sog. Öffnungsklauseln, die es den nationalen Gesetzgebern der EU-Mitgliedstaaten ermöglichen, in bestimmten Bereichen ergänzende oder klarstellende Regelungen zu treffen.

Insgesamt enthält das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz Änderungen für 154 andere Gesetze. Das wird sich auf den ersten Blick nach einer großen und unübersichtlichen Gesetzesänderung im Datenschutz anhören – ist es aber nicht! Der Großteil der Änderungen bezieht sich auf Formulierungen. So wird die Gesetzeswortwahl der nationalen Gesetze an die Wortwahl der DSGVO angepasst (z.B. wird „erheben, speichern, verändern und nutzen“ durch „verarbeiten“ ersetzt).

Beachtung finden sollte jedoch eine Änderung, die im Vorfeld der Abstimmung schon seit Sommer 2018 zu heftiger Kritik führte:

Die schwarz-rote Regierung setzte sich mit ihrem Entwurf durch, der die Pflicht der Unternehmen zur Ernennung eines Datenschutzbeauftragten auflockert. Bisher musste ein Betrieb schon ab 10 Personen, die ständig mit der Verarbeitung von personenbezogenen Daten befasst sind, einen Datenschutzbeauftragten ernennen. In Zukunft wird die Schwelle erst ab 20 Personen erreicht. Angeführt wird, dass dies zu einem dringend notwendigen Abbau unnötiger Bürokratie führen werde. Insbesondere kleinere Unternehmen würden so finanziell und regulatorisch entlastet werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Zu Recht wird diese Änderung sowohl von der Opposition, als auch vom Bundesdatenschutzbeauftragten, der selbst der Regierungspartei SPD angehört, abgelehnt. Datenschutz muss auch in kleineren Betrieben gewährleistet werden. Nur, weil diese keinen Datenschutzbeauftragten ernennen müssen, müssen sie ja dennoch die datenschutzrechtlichen Vorgaben einhalten. Ohne einen gut geschulten internen oder einen juristisch und technisch ausgebildeten externen Datenschutzbeauftragten wird ihnen die Einhaltung des Datenschutzes jedoch nur schwer von der Hand gehen.

Fazit

Durch das neue Gesetz könnten sie sich zwar die Kosten für einen Datenschutzexperten sparen – die hohen Bußgelder drohen allerdings dann erst recht, wenn der Experte für Datenschutz im Unternehmen wegfällt.
Insbesondere führt die Artikel-29-Datenschutzgruppe (als unabhängiges Beratungsgremium Vorläufer des Europäischen Datenschutzausschusses) in ihrer Stellungnahme zur Verhängung von Bußgeldern aus, dass die Vorbereitungen des Unternehmens auf die Einhaltung der DSGVO zu berücksichtigen sind. So kann sich die (freiwillige) Bestellung eines Datenschutzbeauftragten positiv auf die Bußgeldhöhe auswirken.

Außerdem sollte nicht nur mit Blick auf die Bußgelder das Datenschutzniveau in den Unternehmen – trotz Gesetzesänderung- aufrechterhalten werden.  Die nachweisliche Einhaltung vom Datenschutz führt im europäischen Wettbewerb zu einem Vorteil. Schließlich vertrauen nicht nur Verbraucher den Unternehmen mehr, die ihre personenbezogenen Daten schützen. Viele Unternehmen wie Banken arbeiten zudem auch nur mit Unternehmen zusammen, die über einen Datenschutzbeauftragten verfügen. So gehen sie nämlich selbst auf Nummer sicher, dass sie beim Eingehen einer neuen Geschäftsbeziehung nicht in eine Datenschutzfalle tappen.

Trotz des neuen Gesetzes sollte daher nicht voreilig auf die Bestellung eines Datenschutzbeauftragten verzichtet werden.

Schulung von Datenschutzbeauftragten – mehr als nur Training!

Die Tätigkeit eines Datenschutzbeauftragten (DSB) hat durch die Datenschutz-Grundverordnung (DSGVO) und den drohenden Sanktionen enorm an Bedeutung gewonnen. Insofern ist es nicht verwunderlich, dass der Bedarf an gut ausgebildeten Datenschutzbeauftragten im letzten Jahr stark angestiegen ist. Unternehmen haben zum einen die Möglichkeit intern einen Mitarbeiter als betrieblichen Datenschutzbeauftragten zu ernennen, zum anderen können externe Datenschutzbeauftragte bestellt werden. Grundvoraussetzung ist jedoch immer, dass die bestellte Person einschlägige Fachkompetenz und Lernbereitschaft vorweisen kann. Eine einmalige Zertifizierung ist in den wenigsten Fällen ausreichend und auch gar nicht zielführend. Das Datenschutzrecht ist ständig in Bewegung und erfährt sowohl auf EU- als auch auf Bundesebene regelmäßig Anpassungen. Regelmäßige Seminare und Schulungen sollten daher auch für erfahrene Datenschutzbeauftragte auf der Tagesordnung stehen.

Breites Aufgabenspektrum erfordert Expertise

Die Kenntnisse, die ein guter Datenschutzbeauftragter vorweisen können muss, sind vielfältig. Wer glaubt, er müsse sich bloß ein wenig im Datenschutzrecht auskennen, liegt falsch. Erst wenn juristische Kenntnisse von IT-Kenntnissen sowie Wissen über das Organisations- und Prüfungswesen flankiert werden, kann der DSB seine Aufgaben zuverlässig bewältigen. Persönliche Zuverlässigkeit und Verschwiegenheit sind zudem absolute Grundvoraussetzung und runden das Profil eines Datenschutzbeauftragten ab. Nur wer bereit ist, sich durch regelmäßige Weiterbildungen ein vertieftes Verständnis des Datenschutz- und IT-Rechts anzueignen, wird auch langfristig seine Aufgaben korrekt erfüllen können.

Die DSGVO äußert sich hierzu in Artikel 37 folgendermaßen:
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Jeder (betriebliche oder externe) Datenschutzbeauftragte muss sich neben dem Datenschutz auch die relevanten Fachkenntnisse seiner Unternehmensbranche aneignen (z. B. eCommerce, Marketing, AdTech, Cloud Computing, Künstliche Intelligenz und Big Data). Einige Branchen erfordern zudem ein Verständnis zahlreicher Spezialvorschriften (etwa Banking oder Gesundheit). Daher genügt es nicht, nur die datenschutzrechtlichen Regelungen zu kennen. Man muss auch über „fachfremdes“ Wissen verfügen, um mit Fachabteilungen auf Augenhöhe sprechen zu können. Insofern sind auch umfangreichere Seminare bzw. Schulungen und Lehrkräfte von Nöten, die dieses Spezialwissen vermitteln (können).

Datenschutz ist Chefsache!

Der Datenschutzbeauftragte übernimmt im Unternehmen vor allem eine beratende, unterstützende Funktion. Verantwortlich für die Einhaltung des Datenschutzrechtes ist und bleibt jedoch die Geschäftsführung. In der Regel haftet diese im Falle von Verstößen gegen die DSGVO. Die Unternehmensleitung sollte daher immer auch in eigenem Interesse dafür Sorge tragen, dass regelmäßige Weiterbildungen und Schulungen des DSB durchgeführt werden. Die damit verbundenen Kosten sollten in Relation zu den drohenden Bußgeldern als Investition betrachtet werden.
Neu hinzugewonnenes Wissen und Informationen kann der Datenschutzbeauftragte zudem auch für seine eigene Pflicht zur Schulung von Mitarbeitern gewinnbringend einsetzen, indem er im Rahmen solcher Trainings das erworbene Wissen an das Personal weitergibt und so das Unternehmen als Ganzes profitiert.

Eine gute Schulung vermittelt auch Soft Skills

Regelmäßig stellen sich Datenschutzbeauftragte Fragen wie: Wie kommuniziere ich richtig mit Geschäftsleitung, Management und Mitarbeitern? Wie sorge ich dafür, dass Mitarbeiter den Datenschutz ernst nehmen und die Vorgaben der DSGVO  einhalten? Wie lassen sich Grundlagen im Datenschutz vermitteln, um für die größtmögliche Sicherheit bei der Verarbeitung von Daten zu sorgen? Wie vernetze ich mich richtig mit den Aufsichtsbehörden? Wie kommuniziere ich mit diesen?

Gute Seminare von Datenschutzbeauftragten beschränken sich nicht auf die bloße Vermittlung von rechtlichen Fakten. Vielmehr sollte auch die Vermittlung von Soft Skills und einer wirtschaftlichen Denkweise im Vordergrund stehen, um Probleme praxisorientiert lösen zu können. Ein Verweis auf die Notwendigkeiten des Datenschutzes ist in den seltensten Fällen ausreichend. Ein guter Datenschutzbeauftragter muss auch in der Lage sein den jeweiligen Fachabteilungen die Vorteile der Einhaltung des Datenschutzrechtes nahe zu bringen. Dafür müssen Vorschläge sprachlich und inhaltlich an das Unternehmen angepasst werden.
Praxisorientierte Lösungen erfordern oftmals eine gewisse Art des Querdenkens (“Think outside the box.”). Und diese wird nicht durch reine Theorie, sondern durch Selbstreflexion und der Arbeit an der eigenen Person entwickelt. Hierzu bedarf es praxiserfahrener Coaches.

Fazit

Der Datenschutzbeauftragte – gleich ob betrieblich oder extern bestellt – hat vielfältige Aufgaben zu erfüllen. Qualitativ hochwertige Seminare und Schulungen sind essenziell, damit diese Aufgaben erfüllt werden können. Verantwortliche sollten hier nicht sparen und auf Anbieter zurückgreifen, die über jahrelange Erfahrung im alten (BDSG) sowie im neuen Datenschutzrecht (DSGVO) verfügen.

Die ISiCO hat es sich zum Ziel gesetzt für hochwertige Ausbildungen und Weiterbildungen von Datenschutzbeauftragten zu sorgen. Deshalb haben wir die DSB-Schulung entwickelt und ins Leben gerufen, indem unsere Datenschutz- und IT-Rechtsexperten die notwendige Theorie und Praxis vermitteln. Das Angebot richtet sich sowohl an Einsteiger als auch an Fortgeschrittene.

Behördenverfahren: Tipps für den richtigen Umgang mit der Aufsichtsbehörde

Viele Unternehmen assoziieren mit dem Stichwort „Datenschutz“ sofort die drohenden hohen Bußgelder der DSGVO im Fall von Datenschutzverstößen. Bis es jedoch von einem Datenschutzvorfall zu einem Bußgeld kommt, dauert es aufgrund des langen Verfahrens eine Weile. Innerhalb der verschiedenen Verfahrensschritte gibt es sowohl seitens der Datenschutzaufsichtsbehörde als auch des Verantwortlichen mehrere Möglichkeiten, das Verfahren schon vor einem Bußgeld zu beenden.

Ausschlaggebend ist dabei nicht nur der Sachverhalt. Auch die gesamte Kommunikation mit der Behörde kann das Verfahren und damit auch das Ergebnis des Verfahrens beeinflussen. Grundsätzlich gilt: Nicht in Panik verfallen, wenn sich die Behörde bei Ihnen meldet! Es gilt dann jedoch das richtige Verhalten im Umgang mit der Behörde an den Tag zu legen.

Im Folgenden zeigen wir Ihnen auf, wie das Verfahren von einem Datenschutzvorfall bis zum Bußgeldbescheid abläuft und wie Sie richtig mit der Behörde kommunizieren, um den für Sie bestmöglichen Ausgang des Verfahrens zu erreichen.

Das Behördenverfahren im Überblick

Bevor die Datenschutzbehörde überhaupt irgendein Verfahren einleiten kann, muss sie Kenntnis von einem möglichen Datenschutzvorfall erlangen. Entweder ist sie selbst zu der Vermutung gekommen, dass es einen Datenschutzvorfall gegeben hat oder eine betroffene Person reicht Beschwerde ein. Im Folgenden kann die Behörde das verwaltungsrechtliche Verfahren einleiten und das erste Schreiben an die verantwortliche Stelle schicken. In diesem Schreiben wird in der Regel von „Auskunftsersuchen“, „Anhörung“ und „möglicher Datenschutzverstoß“ die Rede sein. Das Schreiben enthält einen Fragenkatalog, dessen Beantwortung unverzüglich zu erfolgen hat.

Hier kommt in Betracht, Gebrauch von seinem eventuell vorliegenden Auskunftsverweigerungsrecht zu machen. Die Rechtslage in Bezug auf das „Wer“ und „Wann“ des Auskunftsverweigerungsrechts ist allerdings ungeklärt, sodass sich zurzeit mehrere Handlungsalternativen ergeben können. Dies ist insbesondere in Anbetracht des Spannungsfelds zu sehen, dass sich zum einen selbstbelastende Äußerungen für ein späteres Straf- oder Ordnungswidrigkeitenverfahren negativ auswirken können, andererseits aber die Verweigerung von Zusammenarbeit mit der Aufsichtsbehörde ebenfalls zu Sanktionen führen kann.

Je nachdem, wie man auf das Auskunftsersuchen reagiert, ergeben sich verschiedene Möglichkeiten, wie das Verfahren nun weitergeht. Gehen wir einmal von dem „schlimmsten Fall“ aus, dass die Auskunft erteilt wurde, die Behörde nun eine Gesamtwürdigung des Materials vornimmt und zu dem Ergebnis kommt, dass ein Datenschutzverstoß vorliegt. In diesem Fall wird der zuständige Sachbearbeiter den Fall an die Sanktionsstelle der Behörde weiterleiten. Diese ist für das Bußgeldverfahren an sich zuständig, das ein Ordnungswidrigkeitenverfahren nach dem Ordnungswidrigkeitengesetz (OWiG) darstellt.

Das Bußgeldverfahren beginnt mit einem Vorverfahren (Ermittlungsverfahren). Dieses sieht eine Anhörung vor, die mündlich oder schriftlich erfolgen kann. Auch hier kann der Beschuldigte (also die verantwortliche Stelle) ein umfassendes Schweigerecht nutzen. Das Ermittlungsverfahren kommt wiederum im schlimmsten Fall mit der Festsetzung einer Geldbuße zu einem Ende.
Sobald der Bußgeldbescheid zugestellt wurde, beginnt das Zwischenverfahren. Der Beschuldigte kann Einspruch gegen den Bescheid einlegen (innerhalb von zwei Wochen). So bekommt die Behörde die Möglichkeit, ihre Entscheidung noch einmal zu überdenken. Im besten Fall tut sie das auch zugunsten des Beschuldigten, doch schwarzmalerisch gehen wir wieder davon aus, dass die Behörde es unbedingt darauf ankommen lassen will und die Akten an die Staatsanwaltschaft weiterleitet, die ab diesem Zeitpunkt die Herrin des weiteren Verfahrens ist.
Auch dort werden die Akten umfangreich gesichtet und wenn die Staatsanwaltschaft zu dem Ergebnis kommt, dass ein hinreichender Tatverdacht gegeben ist, gibt sie die Akten an das zuständige Gericht weiter. Je nach Höhe der angesetzten Geldbuße prüft das Amtsgericht oder das Landgericht die Zulässigkeit des Einspruchs.

Das kann zu vier verschiedenen Konstellationen führen:

  • Zurückverweisung an Behörde mit Zustimmung der Staatsanwaltschaft, wenn der Sachverhalt nicht genügend aufgeklärt ist.
  • Einstellung des Verfahrens mit Zustimmung von Staatsanwaltschaft und Behörde.
  • Entscheidung im Beschlussverfahren (d.h. ohne mündliche Verhandlung und nur nach Aktenlage)
  • Entscheidung durch Urteil nach einer mündlichen Hauptverhandlung.

Im Rahmen einer mündlichen Hauptverhandlung kann der Beschuldigte entweder freigesprochen oder verurteilt werden. Rechtsmittel sind hier generell noch möglich, doch spätestens danach schließt sich das Vollstreckungsverfahren an. Spätestens hier muss das Bußgeld bezahlt werden. Das Verfahren ist dann beendet.

Die richtige Kommunikation mit der Behörde

Eben hat sich gezeigt, dass das aufsichtsbehördliche Verfahren durchaus auf die Mitwirkung des Verantwortlichen angewiesen ist. Dieser hat die Möglichkeit, in verschiedenen Konstellationen vollumfänglich zu kooperieren oder auch vom Auskunftsverweigerungsrecht bzw. Schweigerecht Gebrauch zu machen. Es ist jedoch nicht möglich zu sagen, wann in welchem Umfang kooperiert werden sollte oder wann es Sinn ergibt, von den Verweigerungsrechten Gebrauch zu machen, den Einspruch einzulegen oder eben nicht einzulegen. Dies sollte in jedem Einzelfall erneut in enger Zusammenarbeit mit Ihren Datenschutzexperten entschieden werden.

An diesen Fakten sollte man sich jedoch orientieren:

  • Die Nichtzusammenarbeit mit der Datenschutzbehörde ist bußgeldbewährt: Man sollte, wenn man sich bspw. entscheidet nicht vollumfänglich während des Verwaltungsverfahrens Auskunft zu erteilen, daran denken, dass schon allein die Nichtzusammenarbeit mit der Behörde ebenfalls zu einem Bußgeld führen kann.
  • Beratungsfunktion der Aufsichtsbehörden: Die Aufsichtsbehörden sind nicht nur dazu da, um Sanktionen zu verhängen. Sie haben auch die Funktion, beratend tätig zu werden, um Verstößen gegen das Datenschutzrecht vorzubeugen.

Unternehmen können sich daher in diesem weiten Spektrum bewegen und immer für sich neu entscheiden, was sie für den besten Weg für den Umgang mit der Behörde halten. Insbesondere, dass eine proaktive Zusammenarbeit der Behörde mehr Erfolg haben kann als Heimlichtuerei, ist spätestens seit dem Fall Knuddels bekannt. Nach einer schweren Datenpanne hat das Chatportal aktiv mit der Datenschutzbehörde zur Aufklärung des Falls zusammengearbeitet und zugesichert, technisch seine Sicherheitsmaßnahmen aufzurüsten. Dies führte zu einer deutlichen Verringerung (jedoch nicht Verhinderung) des Bußgelds.

Der aktive kommunikative Umgang mit der Datenschutzbehörde kann zudem bereits an den Stellen geübt werden, wo zwingend die Kooperation mit der Behörde vorgeschrieben ist. Das ist z.B. der Fall, wenn das Ergebnis einer Datenschutz-Folgenabschätzung (DSFA) ein hohes Risiko für Betroffenenrechte aufzeigt. Generell ist bei der Zusammenarbeit mit der Behörde darauf zu achten, fachgerecht und umfassend die Anfragen zu beantworten, solange das mit dem Recht auf Selbstbelastungsfreiheit im Einklang ist.

Fazit: Jeden Schritt durchdenken – kein unüberlegtes Handeln!

In aller Kürze:

  1. Die Kommunikation im Verwaltungsverfahren: Die Auskunft sollte erteilt werden, wenn das Auskunftsverweigerungsrecht nicht geltend gemacht werden kann. In welchem Umfang die Auskunft allerdings erfolgen soll, ist im Einzelfall zu entscheiden.
  2. Die Kommunikation im Bußgeldverfahren: Im Ermittlungsverfahren kann und sollte ggf. von einem Schweigerecht Gebrauch gemacht werden. Im Zwischenverfahren sollte ebenso sorgfältig die Möglichkeit eines Einspruchs geprüft werden, da ggf. der Bußgeldbescheid danach höher ausfallen kann als vorher! Einspruch kann auch nur in Bezug auf die Rechtsfolge (Höhe des Bußgelds) eingelegt werden und später zurückgenommen werden.

Es gibt keine Vorgehensweise im Umgang mit der Datenschutzaufsichtsbehörde, die man generell für alle Situationen empfehlen könnte. Unternehmen sollten sich immer eng mit Ihren Datenschutzexperten absprechen und in jedem Stadium des Bußgeldverfahrens neu über das Vorgehen beraten. Im ersten Auskunftsersuchen der Behörde sollten Sie sich dann mit Ihrem Experten Antworten auf folgende Fragen überlegen:

  1. Ist das Verhalten des Unternehmens als Datenschutzverstoß zu qualifizieren oder ist eine solche Bewertung zumindest möglich?
  2. Geht die Beantwortung der Fragen inhaltlich über den bereits von der Behörde vorgetragenen Sachverhalt hinaus?
  3. Sind diese Angaben geeignet, das Unternehmen zu schädigen?

Sind diese Fragen zu beantworten, sollten Sie gemeinsam überlegen eine Kanzlei mit der Frage zu betrauen, ob eine Auskunftsverweigerung Sinn macht. Die Rechts- und IT-Experten der ISiCO Datenschutz GmbH sind Ihre vertrauensvollen Ansprechpartner in allen Fragen des Datenschutzes. Wir weisen die Expertise im Umgang mit den Datenschutzbehörden auf und können zusammen mit Ihnen individuelle Lösungen und Strategien im Umgang mit der Behördenkommunikation entwickeln und ggf. unsere Partner von der im Datenschutzrecht spezialisierten Rechtsanwaltskanzlei Schürmann Rosenthal Dreyer miteinbeziehen.

Lesen Sie auch folgenden Beitrag:

Umgang mit Betroffenenanfragen – Worauf kommt es an?

Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?

Digitalstaatsministerin Dorothee Bär gab am 23.12.2018 der Welt am Sonntag ein Interview, in dem sie erklärte, dass die Digitalisierung im Gesundheitswesen unter anderem durch eine Lockerung der datenschutzrechtlichen Vorgaben erreicht werden könne.

„Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre. Das blockiert viele Entwicklungen im Gesundheitswesen, deshalb müssen wir da auch an der einen oder anderen Stelle abrüsten, einige Regeln streichen und andere lockern“(s. zum Interview ). Insbesondere die Einführung der elektronischen Gesundheitsakte bis 2021 nahm die Staatsministerin dabei in den Blick.

Unabhängig davon, ob tatsächlich ein Kausalzusammenhang zwischen Datenschutz und verlangsamter Digitalisierung besteht, stellt sich die Frage, ob datenschutzrechtliche Vorgaben in Deutschland einfach so „gelockert“ werden können oder überhaupt gelockert werden müssen!

Die Datenschutz-Grundverordnung regelt die Verarbeitung von Gesundheitsdaten an verschiedenen Stellen und ist daher bei allen Überlegungen zur Digitalisierung im Gesundheitswesen zu berücksichtigen. Dieser Artikel soll einen Überblick über die datenschutzrechtlichen Anforderungen der DSGVO im Gesundheitswesen liefern und mögliche Bereiche für eigene nationale Regelungen der Mitgliedstaaten darstellen.

Hintergrund: Regelungen zum Gesundheitswesen in der DSGVO

Die DSGVO regelt das Gesundheitswesen nicht ausdrücklich. Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen, dieser entfiel jedoch nach den Beratungen zur letzten Fassung. Dennoch sind in der DSGVO Regelungen enthalten, die sich speziell auf Gesundheitsdaten beziehen und sich damit entscheidend auf die Digitalisierung im Gesundheitswesen auswirken.

Eine Datenverarbeitung, d.h. die Verarbeitung personenbezogener Daten, ist nach der Datenschutz-Grundverordnung grundsätzlich verboten, aber gemäß Artikel 6 Abs.1 lit. (a) zum Beispiel dann erlaubt, wenn der Betroffene in diese Verarbeitung einwilligt. Darüber hinaus ist – neben anderen Erlaubnisgründen – eine Datenverarbeitung auch dann zulässig, wenn eine Abwägung aller beteiligten Interessen zu dem Ergebnis führt, dass eine Datenverarbeitung überwiegenden Interessen (etwa eines Unternehmens) dient. Für Gesundheitsdaten sieht Artikel 9 DSGVO jedoch Spezialregelungen vor. Gesundheitsdaten gelten nach Maßgabe des Artikels 9 als besonders schutzwürdig, weil sie besonders sensibel sind. Ihre Verarbeitung ist daher aufgrund der Sensibilität der Daten nur nach den engen Maßgaben des Artikels 9 Abs. 2 DSGVO in Verbindung mit Artikel 6 DSGVO zulässig.

Die Anwendungsbereiche des Artikels 9 Abs. 2 DSGVO

Unternehmen ist dringend zu raten, die Gesetzgebung der EU und der Mitgliedstaaten genau zu verfolgen, da Artikel 9 Abs. 2 lit. (a) den jeweiligen Gesetzgebern die Möglichkeit gibt, bestimmte Bereiche der Verarbeitung von Gesundheitsdaten „einwilligungsfest“ zu machen. Machen die Gesetzgeber von dieser Möglichkeit Gebrauch, wäre die Verarbeitung von bestimmten Gesundheitsdaten trotz einer Einwilligung unrechtmäßig, da Artikel 9 DSGVO eine vertragliche Grundlage für eine Verarbeitung nicht vorsieht.

Bis zu einer nationalen Regelung bleibt es aber dabei, dass Einwilligungen, die den Voraussetzungen des Artikels 9 DSGVO entsprechen als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten dienen können. Vor allem im Zusammenhang mit der Verwendung von Gesundheitsapps werden solche Einwilligungen relevant.

Gesundheitsapps

Ein wichtiger Anwendungsfall bei der Verarbeitung von Gesundheitsdaten im Bereich der Digitalisierung sind Gesundheitsapps, wie Herzfrequenzmesser oder Sporttracker. Zunächst ermöglicht Artikel 9 Abs. 2 lit. (a) DSGVO die Verarbeitung personenbezogener Daten durch eine Einwilligung des Betroffenen. Dabei ist auf die umfangreichen Informations- und Transparenzpflichten der DSGVO zu achten. Der Betroffene muss zu jeder Zeit wissen, was mit seinen Daten passiert. Ohne seine Einwilligung dürfen Gesundheitsdaten nicht an Dritte (etwa Versicherungen) weitergegeben werden.

Artikel 9 Abs. 2 DSGVO enthält eine Vielzahl von weiteren Erlaubnisnormen, die auch Health-Apps greifen können. Ein Beispiel ist etwa die Sicherung lebenswichtiger Interessen, wenn die betroffene Person nicht mehr in der Lage ist eine Einwilligung zu erteilen (z.B. bei Lokalisierung der betroffenen Person bei einem von einer App angezeigten Herzinfarkt). Allerdings muss für diese Erlaubnisnorm tatsächlich und im konkreten Einzelfall ein lebenswichtiges Interesse betroffen sein. Das dauerhafte Tracken von Daten, die (irgendwann) auch ein lebenswichtiges Interesse betreffen können, ist also nicht zulässig. Ebenso stellt die vorherige offensichtliche Veröffentlichung von Daten durch den Betroffenen (etwa das Posten des infolge regelmäßigen Trainings gesenkten Ruhepulses) eine Erlaubnisnorm dar.

Daneben kommt die Sicherung der individuellen und der öffentlichen Gesundheit als Rechtsgrundlage in Betracht. Die individuelle Gesundheit kann es gebieten, bestimmte Krankheiten und Symptome des Betroffenen fachgerecht zu behandeln und dabei auf die hierfür erforderlichen Daten in der App zurückzugreifen. Die öffentliche Gesundheit erfasst vor allem Fälle von sich ausbreitenden Gesundheitsgefahren wie Epidemien, deren Ausbreitung per App getrackt wird. Die Rechtfertigungsnormen der individuellen und öffentlichen Gesundheit für das Betreiben von Health-Apps leiten zu der damit verbundenen Frage nach der Zulässigkeit der elektronischen Patientenakte nach der DSGVO über. Für die Apps besteht jedenfalls auf der Grundlage der DSGVO ausreichend Legitimation, sodass die Lockerung nationaler Datenschutzvorschriften insoweit nicht notwendig erscheint.

Die elektronische Patientenakte

Sowohl Artikel 9 Abs.2 lit. (h) (individuelle Gesundheit) als auch Artikel 9 Abs. 2 lit. (i) (öffentliche Gesundheitsvorsorge) ermöglichen es den Mitgliedstaaten selbst zu bestimmen, wann die Verarbeitung von Gesundheitsdaten für diese beiden Zwecke erforderlich ist. Damit liegen sog. Öffnungsklauseln vor, bei denen Mitgliedstaaten einen Spielraum zum Erlass eigener nationaler Regelungen haben, ohne gegen die DSGVO zu verstoßen. In diesem Rahmen könnten entsprechende Regelungen im Sozialgesetzbuch V (SGB V) eingeführt werden, die eine elektronische Patientenakte nicht nur im Format einer Gesundheitskarte, sondern auch als App auf dem Smartphone zulassen. Die Öffnungsklauseln der DSGVO und des SGB V ermöglichen damit zwar die Einführung der elektronischen Patientenakte, deren jeweilige Benutzung im Einzelfall muss aber stets von der jeweils zu erteilenden Einwilligung des Patienten (oder den sonstigen Erlaubnisnormen des Artikels 9 Abs. 2 DSGVO) abhängig bleiben. Falls Staatsministerin Bär insoweit von einer Lockerung des Datenschutzes zur Einführung und Nutzung der elektronischen Patientenakte gesprochen hat, bleibt mehr als fraglich ob die Nutzung der Patientenakte ohne Einwilligung des Patienten und außerhalb der Vorgaben des Artikels 9 Abs.2 DSGVO zulässig und mit der DSGVO vereinbar wäre.

Der aktuelle Reformvorschlag zu Artikel 305 Abs.1 SGB V sieht eine solche Einwilligungsbedürftigkeit zur Nutzung der elektronischen Patientenakte ausdrücklich vor. Allerdings ist fraglich, ob nach der vorgeschlagenen Version des Artikels 305 Abs.1 SGB V „Anbieter elektronischer Patientenakten“ nicht das Einwilligungserfordernis unterlaufen könnten, weil der aktuelle Wortlaut des Reformvorschlages eine solche Ausnahme zumindest zulässt, indem er für solche Anbieter einen erleichterten Zugriff ermöglicht. Darin dürfte dann ein Verstoß gegen das Einwilligungserfordernis der DSGVO liegen.

Mehr Informationen zum Thema

Datenschutz im Krankenhaus: Ein Überblick

Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?

Übermittlung von Gesundheitsdaten: Fallstricke bei Health-Apps & Fitnesstrackern

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche

Big Data

Big Data Analysen von Gesundheitsdaten erfolgen in unterschiedlichen Anwendungsfällen. Zum Beispiel können solche Analysen ebenfalls der Ausbreitung von Krankheiten entgegenwirken und das bedarfsgerechte Angebot an Arzneimitteln und Medizinprodukten optimieren. Aus beiden Gründen können sie daher unter Umständen auf Artikel 9 Abs.2 lit. (i) DSGVO (Schutz der öffentlichen Gesundheit und der Qualität von Arzneimitteln und Medizinprodukten) gestützt werden. Dabei sind aber stets die Betroffenenrechte, wie das Recht auf Widerruf zu berücksichtigen, das bei Big Data Analysen grundsätzlich schwer umzusetzen ist. Um diesen Herausforderungen zu begegnen, müssen die Grundsätze der Pseudonymisierung und Anonymisierung berücksichtigt werden. Dies gilt auch für den Fall, dass sich die Mitgliedstaaten für die Nutzung der auch hier vorhandenen Öffnungsklauseln entscheiden.

Fazit und Handlungsempfehlung

Gesundheitsdaten stellen nach der Wertung der DSGVO besonders sensible und daher besonders schutzwürdige Daten dar. Unabhängig davon ob diese Daten auf der Grundlage des nationalen Rechts oder der DSGVO selbst verarbeitet werden, ist stets darauf zu achten, dass eine Rechtsgrundlage für ihre Verarbeitung vorliegt. Wenn deren Voraussetzungen in jedem Einzelfall vorliegen und ggf. auch ihre DSGVO-Konformität geprüft wurden, ist auch die Verarbeitung von Gesundheitsdaten in neuen digitalen Anwendungen zulässig.

Umgang mit Betroffenenanfragen – Worauf kommt es an?

Der richtige Umgang mit Anfragen von Betroffenen ist ein großer Gewinn für jedes Unternehmen. Ein routiniertes Vorgehen kann nicht nur Compliance sicherstellen, sondern auch den gesamten Geschäftsablauf optimieren und beschleunigen. Aus diesem Grund sollte die Beantwortung von Betroffenenanfragen fester Bestandteil eines guten Datenschutz-Managementsystems im Unternehmen sein. Doch wie geht man mit Betroffenenanfragen richtig um? Was ist nach der DSGVO zu beachten?

Eine Betroffenenanfrage erkennen

Zunächst muss eine Anfrage von Betroffenen überhaupt als solche erkannt werden. Das hört sich vielleicht einfach an, ist es aber nicht immer! Schließlich sind die Mehrzahl der betroffenen Personen juristische Laien, die vermutlich das Wort „Betroffenenanfrage“ und insbesondere das konkrete Recht, das sie geltend machen wollen, wörtlich gar nicht verwenden werden. Das müssen sie auch nicht! Hier ist der Verantwortliche gefragt, das Richtige aus der Nachricht der betroffenen Person zu entnehmen. So sollten Sie schon bei folgenden Formulierungen davon ausgehen, dass die Nachricht eine Betroffenenanfrage darstellt und daher auch vorsorglich als eine solche behandeln:

  • „Ich habe eine Frage zum Datenschutz oder „Ich möchte etwas zum Umgang mit meinen Daten wissen“
  • Die Begriffe Information, Auskunft, Sperrung, Einschränkung der Verarbeitung, Löschung, Recht auf Vergessen oder Widerspruch werden verwendet
  • „Woher haben Sie meine Daten?“
  • Unzulässige, unerwünschte Werbung, Spam wird beanstandet
  • „Bitte melden Sie mich vom Newsletter ab“
  • „Bitte berichtigen Sie folgende Angaben zu meiner Person“
  • Person droht mit Anwalt, Abmahnung oder Meldung an Datenschutzbehörde
  • Person verlangt nach dem Datenschutzbeauftragten

Diese Formulierungen können auf die verschiedenen Antragstypen hinweisen, die den jeweiligen Betroffenenrechten der DSGVO zuzuordnen sind:

  • Das Recht auf Auskunft (Auskunftsrecht)
  • Das Recht auf Datenlöschung
  • Das Recht auf Einschränkung der Verarbeitung
  • Das Recht auf Datenberichtigung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht gegen eine zuvor erteilte Einwilligung

Die Beantwortung – was ist zu beachten?

Zwar können die Anfragen auf allen möglichen Wegen erteilt werden, wie etwa mündlich, elektronisch, telefonisch oder schriftlich. Die Beantwortung sollte jedoch immer schriftlich oder ggf. auch elektronisch erfolgen. Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem gilt, und das ist auch gesetzlich vorgeschrieben, dass die Beantwortung in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen erfolgen muss. Dringend zu raten ist außerdem, dass der gesamte Vorgang und die gesamte Kommunikation dokumentiert wird!

Des Weiteren gibt es natürlich eine Frist zu beachten. Es ist vorgesehen, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats von Eingang der Betroffenenanfrage an erfolgen muss. Zwar gibt es ausnahmsweise eine Fristverlängerung auf insgesamt drei Monate, aber darauf sollten Sie sich besser nicht verlassen! Nur in seltenen Fällen ist das statthaft.

Außerdem ist zu beachten, dass die betroffene Person immer informiert werden muss, wenn ihrer Anfrage nicht nachgekommen werden kann. Das ist z.B. der Fall, wenn die Person die Löschung ihrer Daten verlangt, dem jedoch gesetzliche Aufbewahrungspflichten entgegenstehen.

Sollte die Anfrage bei dem Auftragsverarbeiter eintreffen, so muss dieser sie nicht beantworten, sondern an den Verantwortlichen weiterleiten. Genaueres sollte der Auftragsverarbeitungsvertrag (AVV) regeln.

Die Beantwortung – der Vorgang

Wie sieht nun das beste Vorgehen aus, wenn eine Betroffenenanfrage eingegangen ist? Folgender grober Ablauf ist zu empfehlen:

  • Weiterleitung der Anfrage an den Datenschutzkoordinator des Unternehmens
  • Frist festlegen: Eingangszeitpunkt der Anfrage notieren
  • Eingangsbestätigung an betroffene Person versenden
  • Recherche: Durchsuchen der Datenquellen nach Daten der betroffenen Person
  • Identifizierung: Datenschutzkoordinator identifiziert betroffene Person anhand der Datenquellen
  • Datenschutzbeauftragter kann jederzeit kontaktiert werden
  • Änderung Datenbestand je nach Anfragetyp
  • Antwort versenden durch Datenschutzkoordinator
  • Dokumentation des Vorgangs durch Datenschutzbeauftragten

Insbesondere der vierte Punkt stößt in der Praxis auf Schwierigkeiten, denn die Daten über die anfragende Person müssen erst einmal gefunden werden. Hier ist ein gut geführtes Verzeichnis über Verarbeitungstätigkeiten (VVT), das die Daten übersichtlich aufführt, enorm hilfreich.

Die Folgen der Betroffenenanfrage

Was genau die Folgen der Betroffenenanfrage sind, richtet sich nach dem konkreten Anfragetyp:

Das Recht auf Auskunft (Auskunftsrecht): Beansprucht die betroffene Person Auskunft, sind ihr die gespeicherten Daten mitzuteilen und die Informationen im gesetzlich definierten Umfang zur Verfügung zu stellen. Konkret hat die Person u.a. ein Auskunftsrecht über die Verarbeitungszwecke der personenbezogenen Daten (z.B. zum Zweck des E-Mail-Marketings), die Kategorien von personenbezogenen Daten, die verarbeitet werden (z.B. Kontaktdaten), die Empfänger der Daten (insbesondere in Staaten außerhalb der EU) und die Speicherdauer der personenbezogenen Daten.

Das Recht auf Datenberichtigung: Das Recht auf Datenberichtigung beinhaltet das Recht, die eine Person betreffenden unrichtigen Daten korrigieren sowie ergänzen zu lassen.

Das Recht auf Einschränkung der Verarbeitung: Hier muss der Verantwortliche sicherstellen, dass die gespeicherten personenbezogenen Daten nicht mehr verarbeitet werden.

Das Recht auf Löschung: Wird die Löschung der personenbezogenen Daten abgefragt, so sind die Konsequenzen selbsterklärend – die entsprechenden Daten müssen gelöscht werden. In manchen Fällen kann jedoch auch eine Anonymisierung ausreichen, wenn eine Reidentifizierung der Person technisch und organisatorisch ausgeschlossen ist.

Recht auf Datenübertragbarkeit: Macht eine Person ihr Recht auf Datenübertragbarkeit geltend, so muss die Person von der verantwortlichen Stelle in einem strukturierten und maschinenlesbaren und gängigen Format die Daten erhalten, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist. Wenn technisch möglich können die Daten auf Wunsch auch direkt an einen anderen Verantwortlichen übermittelt werden.

Recht auf Widerspruch: Mit dem Recht auf Widerspruch wird die an sich erlaubte Datenverarbeitung für die Zukunft unzulässig gemacht. Das Recht kann bei Daten, die auf Grundlage von öffentlichem oder berechtigtem Interesse verarbeitet werden, ausgeübt werden. Jedoch ist zu beachten, dass auch Einwilligungen zurückgezogen werden können.

Fazit: Mit Struktur und Routine Compliance sicherstellen!

Tatsächlich ist es gar nicht so schwierig mit Betroffenenanfragen richtig umzugehen. Wenn sie routiniert einer vorgegebenen Struktur bei der Beantwortung folgen und genau wissen, was bei welchem Anfragetyp zu beachten ist, ist das bereits die halbe Miete.

Der Teufel liegt jedoch im Detail!

Es kommt immer auf den Einzelfall an und darauf, wie die Antworten sprachlich und inhaltlich aufgebaut werden. Eventuell kann es sogar vorkommen, dass von dem üblichen Prozedere abgewichen werden muss. Aus diesem Grund ist zu empfehlen, einen erfahrenen Datenschutzexperten damit zu betrauen, die Betroffenenanfragen innerhalb ihres Datenschutz-Managementsystems zu integrieren und ein ordentliches und vollständiges VVT aufzustellen.

Sprechen Sie die IT- und Rechtsexperten der ISiCO Datenschutz GmbH gerne darauf an! Wir können Ihnen zeigen, wie Sie sicher und korrekt mit Betroffenenanfragen umgehen und können Ihnen bei der Erstellung Ihres VVTs zur Hand gehen! Außerdem schulen wir Ihre Mitarbeiter im richtigen Umgang mit Betroffenenrechten und übernehmen auch gerne die Funktion als Datenschutzbeauftragter für Ihr Unternehmen!

TOM-Audits: So gelingt die Umsetzung in fünf Schritten

Der Begriff TOM, kurz für Technische und Organisatorische Maßnahmen, ist für viele Unternehmen nichts Neues. Schon im alten Bundesdatenschutzgesetz (BDSG) in §9 wird von der Erforderlichkeit technischer und organisatorischer Maßnahmen bei der Verarbeitung personenbezogener Daten gesprochen.

Diese Erforderlichkeit wird seit dem 25.05.2019 in der Datenschutz-Grundverordnung (DSGVO) im Artikel 32, Sicherheit der Verarbeitung, geregelt. Auch hier werden geeignete TOM gefordert, um ein dem Risiko angemessenes Schutzniveau für die Datensicherheit zu gewährleisten. Angesichts der erhöhten Aufmerksamkeit, die das Thema Datenschutz durch das Inkrafttreten der DSGVO erhalten hat sowie des stark gestiegenen Bußgeldrahmens, hat auch das Thema TOM eine viel höhere Relevanz gewonnen als bisher. Im Rahmen einer Zertifizierung nach Artikel 42 DSGVO werden sich Unternehmen in Zukunft im Bereich der TOM ebenfalls auditieren lassen müssen.

Warum ein TOM-Audit?

Während sich viele Unternehmen dem Thema TOM im eigenen Haus mittlerweile gewidmet haben, ist vielen gar nicht bewusst, dass sie in einem Auftragsverarbeitungsverhältnis auch für die Kontrolle der TOM bei Ihren Auftragsverarbeitern zuständig sind. Der reine Abschluss eines Auftragsverarbeitungsvertrags ist hier nicht ausreichend, um die datenschutzrechtlichen Pflichten zu erfüllen. Verantwortliche müssen hingegen sicherstellen, dass sie nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit Artikel 32 DSGVO steht.

Zur Überprüfung von TOM wählen mittlerweile viele Unternehmen das Vor-Ort-Audit als Mittel der Wahl. Im Gegensatz zu schriftlichen Compliance-Checks oder Telefonaudits kann sich der Auditor selbst beim Auditierten von dem Vorhandensein der TOM überzeugen.

In der Regel wird in Vorbereitung eines Audits eine Aufstellung der TOM erstellt, die im Anschluss vom unabhängigen internen oder externen Auditor überprüft wird.

TOM-Audit in fünf Schritten:

Ein exemplarischer Ablauf eines Vor-Ort-Audits von der Vorbereitung und Durchführung bis zur Auswertung könnte folgendermaßen aussehen:

  • Zunächst wird die Dokumentation der zu prüfenden TOM gesichtet und auf Angemessenheit und Schlüssigkeit geprüft.
  • Daraus wird ein Fragen- und Prüfungskatalog erstellt, der zum einen eine generelle Überprüfung beinhaltet und zum anderen offene Punkte miteinschließt, die sich bei der Dokumentationsprüfung ergeben haben.
  • Bei der Vor-Ort-Prüfung findet eine Begehung der relevanten Räumlichkeiten statt, wobei die angegebenen technischen Maßnahmen, wie z. B. die Zutrittskontrolle oder die Sicherheit der Serverräume, mit der übermittelten Dokumentation abgeglichen und auf Eignung überprüft werden.
  • Dann werden Richtlinien und Auftragsverarbeitungsverträge geprüft und Mitarbeiter befragt. Zum Abschluss werden in einem gemeinsamen Gespräch noch offene Punkte geklärt.
  • Im Anschluss fertigt der Auditor einen Bericht an, der eine Zusammenfassung der Durchführung des Audits, sowie unter Umständen aufgetretene Mängel und empfohlene Maßnahmen zur Verbesserung enthält.

Unsere Empfehlung

Ein externes Audit der TOM bedeutet für Mitarbeiter und Unternehmen meist auch eine psychologische Belastung. Deshalb empfehlen wir, dass sich Unternehmen dem Thema frühzeitig widmen und sich im Bedarfsfall externe Beratung dazu zu holen.

Für die proaktive Durchführung von Audits der TOM im eigenen Unternehmen sprechen außerdem folgende Dinge:

  • Erfüllung der Rechenschaftspflicht der DSGVO (Art. 5 (2) DSGVO)
  • Verfügbarkeit eines Auditberichts zum Nachweis für Kunden
  • Erfassung des Ist-Zustands im eigenen Unternehmen
  • Anhebung des Datenschutz- und IT-Security-Niveaus

Die ISiCO Datenschutz GmbH bietet dabei folgende Leistungen an:

  • Analyse des IST-Zustandes bei den TOM
  • Überprüfung bereits implementierter TOM
  • Vorbereitung auf Audits
  • Coaching der Mitarbeiter
  • Durchführung von Audits
  • Im Unternehmen beim Verantwortlichen selbst
  • Bei Auftragsverarbeitern
  • Dokumentation aller relevanten Maßnahmen
  • Unterstützung bei der Identifikation besonders risikoreicher Verarbeitungstätigkeiten
  • Zertifikat zur Vorlage beim Verantwortlichen

Das Omnibusgesetz: geplante Änderungen im Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) gilt als europäische Verordnung EU-weit und unmittelbar. Das bedeutet, dass die Mitgliedstaaten der Europäischen Union die Vorgaben nicht erst in nationale Gesetze gießen müssen, damit das neue Datenschutzrecht gilt. Dennoch sind Anpassungen des nationalen Rechts erforderlich. Zum einen ist es den Mitgliedstaaten verboten, Regelungspunkte der Verordnung zu wiederholen (Wiederholungsverbot). Insofern sind Streichungen notwendig. Zum anderen enthält die DSGVO zahlreiche Öffnungsklauseln, die Abweichungen und Beschränkungen durch nationale Regelungen zulassen. Die ersten Änderungen erfolgten schließlich mit dem ersten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) und betrafen das Bundesdatenschutzgesetz (BDSG). Nun soll das zweite DSAnpUG-EU kommen. Es enthält vornehmlich rechtstechnische bzw. redaktionelle Änderungen.

Das Omnibusverfahren: Zweites DSAnpUG-Gesetz im Express

Das zweite Anpassungsgesetz wird als Omnibusgesetz bezeichnet, da es im sog. Omnibusverfahren verabschiedet werden soll. Anders als üblich, soll mit einem Omnibusgesetz nicht nur ein Sachverhalt geregelt werden, sondern gleiche mehrere. Diese Sachverhalte müssen inhaltlich nicht zwingend miteinander zusammenhängen. Die Vorteile: Die Vorschläge können schneller verabschiedet werden und Abgeordnete, die im Rahmen eines separaten Gesetzgebungsverfahrens nicht allen Punkten zustimmen würden, akzeptieren diese im Omnibusverfahren viel eher – eine Art Kompromiss.

Änderungen von mehr als 154 Fach- und Bundesgesetzen fast aller Ressorts

Wurde mit dem ersten Anpassungsgesetz noch das genuine, nationale Datenschutzrecht (BDSG) angepasst, soll das zweite Anpassungsgesetz nun vor allem den bereichsspezifischen Datenschutz ins Auge fassen. Hierzu zählen die datenschutzrechtlichen Regelungen der Strafprozessordnung (StPO), der Sozialgesetzbücher (etwa SGB V und SGB XI), aber auch Regelungen weniger prominenter Gesetze wie dem Rindfleischetikettierungs- oder dem Agrarstatistikgesetz. Die Postdienste-Datenschutzverordnung von 2002 soll hingegen gänzlich aufgehoben werden.

Auch inhaltliche Änderungen sind geplant

Zwar heben die Befürworter des Gesetzesvorhabens immer wieder hervor, es handele sich nur um geringfügige Änderungen, die zudem bloß rechtstechnischer Natur seien. Das mag schwerpunktmäßig auch zutreffend sein. Es gibt jedoch tatsächlich auch inhaltliche Änderungen. So sollen zum Beispiel auch neue Rechtsgrundlagen geschaffen werden, die folgende Verarbeitungssituationen erfassen:

  • Verarbeitung von personenbezogenen Daten zu Zwecken staatlicher Auszeichnungen
  • Verarbeitung sensibler Informationen (etwa Religionsdaten) durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen und zur Weitergabe an Sicherheitsbehörden im Ernstfall
  • Weiterverarbeitung personenbezogener Daten zum Zwecke der „Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik“ durch das BSI
  • Verarbeitung besonderer Kategorien personenbezogener Daten durch das BSI (§ 3a Abs. 3 BSIG-E)
  • „Umfängliche zusätzliche Datenspeicherungen“ durch die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS-Gesetz)

Verhältnis des TMG zur DSGVO weiterhin unklar

Auch das Telemediengesetz (TMG) enthält datenschutzrechtliche Regelungen, die die Verarbeitungsmöglichkeiten im Bereich der elektronischen Kommunikation, die Unternehmen nach der DSGVO eigentlich zustünden, teilweise an besondere Voraussetzungen knüpft. Besonders relevant sind diese Regelungen für den Einsatz von Cookies und das Tracking von Website-Besuchern zu Werbezwecken.
Nach Ansicht der Datenschutzkonferenz (DSK) seien die entsprechenden Paragraphen nicht mehr anwendbar, sondern nur die Vorgaben der DSGVO. Rechtsverbindlich ist diese Ansicht aber nicht. Und es gibt tatsächlich auch Stimmen, die sich dagegen aussprechen. Leider enthält der Gesetzesentwurf keine Klarstellung zu dieser Problematik.

Telekommunikationsdienstleister sollen dem BfDI unterstellt werden

Anders als bisher, sollen Telekommunikationsdienstleister in Zukunft einheitlich der Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) unterstehen. Zu diesem Zwecke soll § 9 BDSG reformiert werden. Das Telekommunikationsgesetz (TKG) soll in Zukunft nur noch Verarbeitungsvorgänge in Umsetzung der ePrivacy-Richtlinie regeln. Bestimmungen des TKG, die Bereiche betreffen, welche bereits die DSGVO regelt, sollen gestrichen werden. Welche dies im Einzelnen sein sollen, lässt der Gesetzesentwurf unbeantwortet. Im ursprünglichen Referentenentwurf waren daher auch umfangreiche Änderungen des TKG und TMG vorgesehen, um diese Rechtsunsicherheiten aus der Welt zu schaffen. Die Bundesregierung hat entsprechende Vorschläge jedoch aus bisher unbekannten Gründen verworfen.

Fazit

Die geplanten Änderungen durch das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind tatsächlich hauptsächlich rechtstechnischer Natur. So werden zahlreiche Begriffsbestimmungen und Verweise geändert. Aber auch die wenigen inhaltlichen Anpassungen sollten unseres Erachtens deutlicher kommuniziert werden.

Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hielt ein neues Instrument Eingang ins deutsche Datenschutzrecht: die Datenschutz-Folgenabschätzung (DSFA). Ihrem Namen entsprechend dient die DSFA dazu, die Folgen von Verarbeitungsverfahren einzuschätzen sowie Risiken zu erkennen und zu bewerten. Um gefundenen Risiken wirksam entgegentreten zu können, ist die DSFA durchzuführen, bevor ein bestimmtes Verfahren in Betrieb genommen wird. Durch den schnellen technologischen Wandel kann eine einmal durchgeführte DSFA natürlich nicht für immer Bestand haben, sondern ist in regelmäßigen Abständen zu wiederholen, um die Risikobewertung im Lichte der aktuellen Technik neu zu bewerten. Sehr ähnliche Verarbeitungsvorgänge können jedoch in einer Datenschutz-Folgenabschätzung zusammengefasst werden. Gerade für Anbieter von Gesundheitsleistungen jeder Art ist die DSFA eine Maßnahme, der viel Beachtung geschenkt werden sollte, wie sich aus dem folgenden Text zeigen wird.

Eine DSFA ist nicht für jede Datenverarbeitung erforderlich, sondern nur dann, wenn sich für die betroffene Person besondere Risiken ergeben können. Immer zwingend durchzuführen ist eine DSFA, wenn eine „umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten“ durchgeführt wird. Unter diese besonderen Kategorien fallen u.a. auch Gesundheitsdaten.  Der Begriff der Gesundheitsdaten wiederum wird vom Gesetz definiert als Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen. Neben logischen Anwendern wie Krankenhäusern, Arztpraxen oder Forschungseinrichtungen, fallen hier also auch die Anbieter von Health-Apps oder Wearables schnell in den Anwendungsbereich der Regelung. Dafür reicht z.B. schon die Aufzeichnung oder Übermittlung von Vitalwerten wie dem Pulsschlag oder die Verwaltung von Arztterminen.

Als zweite Voraussetzung muss die Verarbeitung dieser Daten auch in umfangreichem Maße erfolgen. Bei all den eben genannten Anbietern ist davon auszugehen, da hier die Verarbeitung von Gesundheitsdaten quasi zum Geschäftszweck gehört. Im Ergebnis wird man als Anbieter im Bereich Health & Pharma nur in absoluten Ausnahmefällen um die Erstellung einer Datenschutz-Folgenabschätzung herumkommen.

Neben dieser inhaltlichen Prüfung der Notwendigkeit bestehen auch sogenannte „Blacklists“ der Datenschutz-Aufsichtsbehörden. In diesen sind spezifische Verfahren festgehalten, für die immer eine DSFA durchzuführen ist, selbst wenn die Datenverarbeitung nicht umfangreich ausfällt. Genannt werden von den Behörden hier z.B. der Einsatz von telemedizinischen Lösungen und auch die zentrale Speicherung von Messdaten aus Fitnessarmbändern oder Smartphones.

Wie ist eine DSFA anzugehen?

Sobald die Erstellung einer DSFA als Notwendigkeit identifiziert wurde, sollte ein „DSFA-Team“ zusammengestellt werden, welches den Prozess strukturiert durchführt. Zwingend Mitglied dieses Teams ist der/die Datenschutzbeauftragte. Außerdem sollten alle an der Datenverarbeitung beteiligten Abteilungen involviert werden. Dies betrifft insbesondere den Bereich IT / Informationssicherheit, welcher regelmäßig einen entscheidenden Beitrag zum Gelingen der DSFA leisten kann und muss. Steht das DSFA-Team, muss eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung erfolgen. Im Idealfall kann hier auf ein bereits bestehendes Verzeichnis von Verarbeitungstätigkeiten zurückgegriffen werden, andernfalls ist ein solches anzulegen.

Im nächsten Schritt müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung überprüft werden. Hierzu sind die Zwecke der beabsichtigten Verarbeitung gegen die möglichen Gefahren für die betroffene Person abzuwägen. Der Health-Bereich hat hier regelmäßig die Steigerung der Gesundheit und des Wohlbefindens der betroffenen Person als Ziel, was zu einer überzeugenden Argumentation für Notwendigkeit und Verhältnismäßigkeit führen kann. Jedoch sollte hier eine kritische Überprüfung stattfinden, ob dasselbe Ziel nicht auch mit weniger datenintensiven Verarbeitungen erreicht werden kann.

Die Risikobewertung – das Kernstück der DSFA

Stehen Verfahrensverzeichnis und Notwendigkeit fest, kommt im nächsten Schritt das eigentliche Herzstück der DSFA: die Bewertung der Risiken für die betroffene Person. Die einzelnen Schritte der Verarbeitung sind hier daraufhin zu untersuchen, welche Gefahren den Daten und damit auch Rechten der betroffenen Personen droht. Hierzu gibt es verschiedene Modelle der Risikobewertung. Risiken können z.B. für die Vertraulichkeit der Daten bestehen oder ihre Integrität. Aber auch Punkte wie Transparenz für die betroffene Person oder ihre Möglichkeiten zur Intervenierbarkeit sind hier zu begutachten und zu bewerten. Das jeweilige Risiko ist nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu bewerten. Gerade bei der Verwendung von Gesundheitsdaten landet man hier schnell im Hochrisikobereich für die betroffene Person, da bereits geringe Fehler gravierende Auswirkungen haben könne. Man denke z.B. an eine fehlerhafte Übermittlung von medizinischen Daten auf Grund derer eine eigentlich notwendige Behandlung unterbleibt oder das öffentliche Bekanntwerden von bestimmten Erkrankungen die zu einem Ansehensverlust der betroffenen Person oder zum Verlust des Arbeitsplatzes führen können. Eine Kombination aus den beiden genannten Faktoren ergibt das schlussendliche Risiko der Datenverarbeitung.

Risikoeindämmung

Nach der Identifizierung und Bewertung von Risiken können schließlich spezifische Gegenmaßnahmen getroffen werden. Dies zielt auf den gezielten Einsatz von den technisch-organisatorischen Maßnahmen, den sogenannten TOM ab. Hier wird, unter Zusammenarbeit mit den einzelnen Abteilungen festgelegt, wie die Risiken am besten bekämpft werden können. Dazu steht eine Vielzahl von Optionen zur Verfügung. Klassische Maßnahmen sind hier beispielsweise die Begrenzung des Zugangs zu Daten auf wenige berechtigte Personen, ein genereller Passwortschutz oder auch die Verschlüsselung von Datenübermittlungen. Auch die Erstellung eines Löschkonzeptes und die Frage wie die Rechte der betroffenen Person garantiert werden können, sind Themen der Risikoeindämmung. Dabei ist zu beachten, dass das einfache Aufschreiben generischer Maßnahmen nicht ausreichend ist, sondern immer eine spezifische Auseinandersetzung mit den identifizierten Problemen erforderlich ist. Trotzdem kann natürlich auf bereits bestehende Konzepte und Abläufe zurückgegriffen werden. Erfahrungsgemäß verbleiben gerade im Bereich der Gesundheitsdaten immer noch Restrisiken, jedoch ist das Ziel diese so gering wie möglich zu halten.

Schritte nach der DSFA

Mit Abschluss der Risikobewertung ist die DSFA generell an ihrem Ende angelangt. Jedoch kann trotzdem noch weiterer Handlungsbedarf bestehen. Laut Gesetz soll „gegebenenfalls“ das Feedback der betroffenen Personen eingeholt werden. Im Gesundheitsbereich ist hier z.B. an Patientenvertretungen zu denken. Diese Einbeziehung ist aber (bisher) noch der Sonderfall und normalerweise nicht erforderlich.

In jedem Fall erforderlich ist die Einbeziehung der Aufsichtsbehörde, sollten auch trotz der Implementierung von Gegenmaßnahmen noch hohe Restrisiken für die betroffenen Personen bestehen. Daraus folgt aber nicht zwangsläufig ein Verbot der geplanten Datenverarbeitung, vielmehr können an diesem Punkt in Zusammenarbeit mit der Behörde weitere Maßnahmen zur Risikoeindämmung erarbeitet werden. Auf Grund des zu erwartenden Zeitverlustes ist dies aber trotzdem tunlichst zu vermeiden und schon vorher eine ausreichende Risikoeindämmung durchzuführen.

Wie bereits anfangs erwähnt, ist mit der einmaligen Durchführung einer DSFA die Pflicht nicht vollständig erfüllt. Vielmehr sollte bereits zu diesem Zeitpunkt ein konkreter Termin zur erneuten Durchführung (z.B. nach einem Jahr) festgelegt werden. Schon vorher sollte eine erneute DSFA durchgeführt werden, wenn sich an dem Verarbeitungsprozess gravierende Änderungen oder Neuerungen, z.B. Ergänzungen des Funktionsumfangs, ergeben.

Datenschutz-Guru-Podcast:

Datenschutz-Folgenabschätzung: Im Gespräch mit Rechtsanwältin Kathrin Schürmann

Fazit – Aufwand der es Wert ist

Klar ist, dass die Durchführung einer DSFA mit einem nicht unerheblichen Aufwand verbunden ist. Allein das Einholen aller erforderlicher Informationen und die Zusammenstellung des DSFA-Teams können bei vielen beteiligten Abteilungen Schwierigkeiten bereiten.

Demgegenüber stehen allerdings die klaren Vorteile, die sich aus einer korrekten Durchführung der Datenschutz-Folgenabschätzung ergeben. Am auffälligsten dabei natürlich die Chance, mögliche Datenschutzverstöße bereits vor ihrem Entstehen zu identifizieren und so zu verhindern. Dies erspart ggf. hohe Bußgelder durch die Behörde und einen Image- und Vertrauensverlust bei Patienten und/oder Kunden, welche auf Pannen bei Gesundheitsdaten erfahrungsgemäß besonders sensibel reagieren.

Darüber hinaus ergeben sich auch intern Chancen durch eine DSFA. So kann diese genutzt werden, um die eigenen Prozesse zu überprüfen und insbesondere auch technische Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen.

Zusammenfassend handelt es sich bei der Durchführung der DSFA also um einen Aufwand, der nicht nur einem gesetzlichen Erfordernis genügt, sondern auch einen wirklichen Benefit bietet. Sollten Sie Fragen zur Durchführung einer Datenschutz-Folgenabschätzung haben, oder Unterstützung bei der Durchführung einer solchen benötigen, stehen Ihnen unsere Experten gerne zur Verfügung.

FAQ zum Health & Law Netzwerktreff vom 14. Oktober 2020

1. Ist eine DSFA für Telemedizin-Lösungen wie z. B. Videosprechstunden notwendig?

Sobald eine geplante Verarbeitung als Lösung der Telemedizin einzustufen ist, muss zwingend immer eine DSFA durchgeführt werden. Die Datenschutz-Aufsichtsbehörden haben Telemedizin explizit auf ihre „Blacklist“ aufgenommen, da hier ein hohes Risiko für die besonders sensiblen Gesundheitsdaten gesehen wird.

2. Bieten Standardvorlagen mit Risikobausteinen eine geeignete Grundlage für die Risikoanalyse?

Schon bestehende Dokumentationen und Analysen können im Rahmen der DSFA natürlich verwendet werden und eine Grundlage bilden. Sie ersetzen allerdings nicht die Durchführung einer DSFA. Vielfach sind auch Anpassungen und Ergänzungen nötig, da die bereits bestehende Dokumentation nicht die speziellen Anforderungen des Datenschutzes berücksichtigt.

3. Es finden grundsätzlich fast nie Datenverarbeitungen ohne jegliche Schutzmaßnahmen statt. Wie ist das in der Risikoanalyse zu berücksichtigen und darzustellen?

Es ist prinzipiell richtig, dass Datenverarbeitungen vermutlich nirgendwo im Health-Bereich ohne bereits bestehende Schutzmaßnahmen durchgeführt werden. Um eine gute Analyse und Dokumentation zu ermöglichen, ist es aber sinnvoll, sich auch bereits bestehende Maßnahmen „wegzudenken“, um das grundsätzliche Risikopotenzial der Datenverarbeitung zu ermitteln. Im Rahmen der Risikomitigation sind dann aber natürlich auch die bereits ohnehin schon bestehenden Maßnahmen zu berücksichtigen.

4. Wer muss eine DSFA erstellen wenn im Rahmen von Projekten verschiedene Partner in die Datenverarbeitung involviert sind?

In Konstellationen der gemeinsamen Verantwortlichkeit mehrerer Akteure ist jeder Partner verpflichtet eine DSFA zu erstellen. Um dies effektiver zu gestalten, sollte in der Vereinbarung über die gemeinsame Verantwortlichkeit festgelegt werden, welcher der Partner die Erstellung des DSFA-Berichtes federführend übernimmt. Die anderen Partner werden dahingehend zur Unterstützung verpflichtet. Ist der DSFA-Bericht erstellt, kann dieser von allen Partnern genutzt werden.

5. Ergeben sich die Anforderungen an die Datenschutz-Folgenabschätzung ausschließlich aus der DSGVO?

Die Anforderungen an die Erstellung einer DSFA ergeben sich aus der DSGVO. Natürlich müssen aber Spezialgesetze wie z.B. die SGB im Rahmen der Durchführung berücksichtigt werden. Ergeben sich aus diesen z.B. spezielle Anforderungen an die Rechtsgrundlage oder Aufbewahrungspflichten, müssen diese bei der Datenverarbeitung eingehalten und dann auch entsprechend in der DSFA abgebildet werden.

Übermittlung von Gesundheitsdaten: Fallstricke bei Health-Apps & Fitnesstrackern

Die Digitalisierung durchzieht mittlerweile sämtliche Lebensbereiche. Auch und vor allem im Gesundheitswesen ist das Bestreben, die digitale Transformation voranzutreiben, immens – von staatlicher wie privater Seite gleichermaßen. So ist der Markt bereits heute gut gefüllt mit den unterschiedlichsten Fitness-Trackern und Gesundheits-Apps. Selbst Krankenkassen fördern mit Prämien die Nutzung eigener Apps und den Kauf von Fitnessarmbändern. Mit Blick auf den zunehmenden Trend der Selbstvermessung ist diese Entwicklung jedoch keine Überraschung. Die Digitalisierung des Gesundheitssektors bietet vor allem das Potential, die Qualität der medizinischen Versorgung bedeutend zu verbessern: Zu den Verbesserungen zählen insbesondere zuverlässigere Diagnosen durch den Einsatz von Künstlicher Intelligenz (KI), großflächige Erschließung ländlicher Gebiete durch neue Kommunikationskanäle und die drastische Senkung staatlicher Ausgaben durch eine optimierte Gesundheitsvorsorge.

Die Kernfrage: Was ist bei der Übermittlung von Gesundheitsdaten zu beachten?

Fitness-Tracker entfalten ihr volles Potential nur in Verbindung mit einer entsprechenden App, die die erhobenen Daten ansprechend und verständlich visualisiert. Nutzer müssen sich in der Regel zunächst registrieren und ein Profil erstellen, um die App vollumfänglich nutzen zu können. Dieses Profil und die erhobenen personenbezogenen Daten werden zumeist an einen zentralen Server übermittelt, dort gespeichert und fortwährend synchronisiert. Die Anforderungen, die an eine solche Datenübermittlung gestellt werden, verschärfen sich aufgrund der Tatsache, dass es sich bei den zu verarbeitenden Daten regelmäßig um Gesundheitsdaten handelt. Hinzu kommt, dass auch Hacker aufmerksam die Entwicklung des Selbstoptimierungsmarktes verfolgen, denn Wearables sind inzwischen zu einem beliebten Angriffsziel geworden. Im Fokus stehen hierbei Zahlungs-, Nutzer- und auch Gesundheitsdaten. Insofern müssen Verantwortliche aus technischer Sicht in erhöhtem Maße für die Sicherheit der Daten sorgen. Was ist im Hinblick auf eine solche Übermittlung also zu beachten?

Rechtliche Herausforderungen – verschärfte Anforderungen im Gesundheitssektor

1. Auch die Kombination einzelner Daten führt zum Personenbezug

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist bei der Verarbeitung von Daten, die über ein Fitnessarmband bzw. eine entsprechende App erhoben werden, aufgrund des direkten Personenbezugs unzweifelhaft eröffnet (Nutzerprofil, IP-Adresse etc.). Hinzu kommt, dass regelmäßig besonders schützenswerte Gesundheitsdaten betroffen sind. So ermöglicht die Kombination von Fitnessarmband und App sogar die Aufzeichnung von EKGs. Auch zusätzliche Daten können vom Nutzer eingegeben werden, zum Beispiel, um optimierte Trainingsempfehlungen zu erhalten. Zu bedenken ist hierbei jedoch, dass auch die Kombination einzelner Daten Rückschlüsse auf den Gesundheitszustand eines Betroffenen zulassen kann. So lässt sich aus den zusätzlich angegebenen Daten wie dem Gewicht, dem Alter und der Größe der sog. „Body Mass Index“ (kurz: BMI) ableiten. Oftmals ist den Unternehmen daher der konkrete Umfang an verarbeiteten Gesundheitsdaten gar nicht bewusst. Eine vollständige Erfassung der verarbeiteten Daten ist jedoch notwendig, um den umfassenden Transparenz- und Informationspflichten nach Artikel 13 DSGVO nachkommen zu können.

2. Datenschutz-Folgenabschätzung für sich nutzen

Aus der gemeinsamen Positivliste der Datenschutzaufsichtsbehörden ergibt sich: Werden Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind (Pulsmesser, Beschleunigungssensoren etc.), zentral gespeichert, so ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diese Pflicht zur Durchführung einer DSFA sollten Unternehmen nicht als lästige Pflicht, sondern als Chance betrachten. Mit Hilfe von DSFAs können Unternehmen besser abschätzen, welche Daten sie in welchem Umfang verarbeiten und worauf sie bei der Übermittlung dieser Daten achten müssen, um die Vorgaben der Datenschutz-Grundverordnung einhalten zu können. Außerdem können auf diese Weise Herausforderungen des Datenschutzes und der Datensicherheit bereits in der Entwicklungsphase identifiziert werden, um so nachgelagerte juristische Komplikationen und Bußgelder zu vermeiden.

3. Spezielle Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten kennen

Die „normalen“ Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind in Art. 6 Abs. 1 DSGVO aufgelistet. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten, worunter auch Gesundheitsdaten fallen, tritt ergänzend Art. 9 Abs. 2 DSGVO hinzu. Daher sollte darauf geachtet werden, dass die betreffende Verarbeitung nach beiden Regelungen zulässig ist. Art. 9 Abs. 2 DSGVO zieht dafür neben der Einwilligung sehr enge Grenzen. Erlaubt ist die Verarbeitung von Gesundheitsdaten beispielsweise, wenn sie zum Schutz lebenswichtiger Interessen von Personen oder für Zwecke der Gesundheitsvorsorge erforderlich ist. Wenn Gesundheitsdaten über einen Fitnesstracker bzw. eine entsprechende App erhoben und weiterverarbeitet werden, ist daher regelmäßig die Einwilligung der betroffenen Person einzuholen.

Während die Einwilligung nach Art. 6 Abs. 1 DSGVO auch konkludent, das heißt durch schlüssiges Verhalten, erfolgen kann, muss sie für die Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 DSGVO ausdrücklich erteilt werden. Zudem sollten Verantwortliche aufgrund der Sensibilität von Gesundheitsdaten und der aus diesem Grund gebotenen engen Auslegung der Ausnahmetatbestände bei der Formulierung von Einwilligungserklärungen besonders gründlich sein und umfassend über die beabsichtigte Verarbeitung informieren. Insbesondere die Tatsache, dass die Daten nicht auf dem Endgerät verbleiben, sondern an einen zentralen Server des Unternehmens übermittelt werden, sollte hervorgehoben und verständlich dargestellt werden.

Beabsichtigen Unternehmen zudem die personenbezogenen Daten zu einem Zweck weiterzuverarbeiten, der für die Erbringung der eigentlichen Leistung nicht erforderlich ist, so ist das sog. Kopplungsverbot zu berücksichtigen. Sollen die Daten zum Beispiel zu Marketingzwecken weiterverarbeitet werden, darf eine entsprechende Zustimmung nicht mit der zentralen Einwilligungserklärung kombiniert, sondern muss gesondert eingeholt werden. Gleiches gilt für den im Bereich von Gesundheits-Apps häufig vorkommenden Fall der Weitergabe an Dritte.

Checkliste Einwilligung

  • Freiwillig und ausdrücklich
  • Für bestimmten Fall (Generaleinwilligungen sind unzulässig)
  • In informierter Weise unmissverständlich abgegeben
  • Verständliche, leicht zugängliche Form
  • Mit Hinweis auf die jederzeitige Widerrufbarkeit
  • Klare und einfache Sprache

4. Verantwortungsbewusste Auftragsverarbeiter auswählen

Oftmals sind Server-Betreiber und Anbieter von Fitnesstrackern bzw. den entsprechenden Apps nicht identisch. Vielmehr wird der Server-Betrieb an einen spezialisierten Dienstleister ausgelagert (sog. Outsourcing), dem somit die Einsichtnahme in die gespeicherten personenbezogenen Daten möglich ist. Ein solcher Dienstleister ist regelmäßig als Auftragsverarbeiter zu qualifizieren, sodass der Abschluss eines Auftragsverarbeitungsvertrages (kurz: AVV) notwendig ist. Bei der Verarbeitung von Gesundheitsdaten durch Dienstleister haben Verantwortliche gemäß Artikel 28 Absatz 1 und Absatz 3 Buchstabe c DSGVO vertraglich dafür Sorge zu tragen, dass auch der Dienstleister adäquate, dem Stand der Technik entsprechende Vorkehrungen zum Schutz dieser Daten (technische und organisatorische Maßnahmen, kurz: TOMs) trifft, um meldepflichtige Datenpannen zu vermeiden. Dies gilt vor dem Hintergrund hochsensibler Gesundheitsdaten in besonderem Maße.

Gern wird aufgrund bestehender oder vorteilhafter Infrastrukturen auf Anbieter aus dem Ausland wie etwa Amazon Web Services zurückgegriffen. Wenn es sich um Staaten außerhalb der EU handelt, müssen sich Verantwortliche unbedingt folgende Fragen stellen: Wurde dem jeweiligen Land ein angemessenes Datenschutzniveau per Beschluss der Kommission attestiert? Ist der Anbieter nach dem EU-U.S. Privacy Shield zertifiziert? Sofern dies nicht der Fall ist, müssen Verantwortliche und ihre Auftragsverarbeiter geeignete Garantien nach Artikel 46 Absatz 1 und 2 DSGVO wie etwa Standardvertragsklauseln vorsehen.

Datensicherheit und Wahrung von Betroffenenrechten als Wettbewerbsvorteil

Mit einem hohen Datenschutzniveau kann nicht zuletzt auch auf dem Markt geworben werden. Denn ganz besonders bei den persönlichen Gesundheitsdaten kann es für Nutzer bei der Auswahl der richtigen App entscheidend sein, wie transparent die Informationen über Datenverarbeitungen sind und wie viele eigene Einstellungsmöglichkeiten sie in diesem Bereich haben. Die Kundenzufriedenheit ist oft höher, wenn die Laufdaten oder die Herzfrequenz ohne „schlechtes Gewissen“ preisgegeben werden. Der Schaden, der durch die Offenlegung der teils sehr persönlichen Informationen an unbefugte Dritte entstünde, erscheint vielen Verbrauchern entsprechend hoch.

Daher sollten auch die Betroffenenrechte im Auge behalten werden. Neben den Erfordernissen an eine transparente Information ist vor allem auch das Recht auf Löschung wichtig. Viele Unternehmen haben eine nur unzureichende technische wie personelle Infrastruktur, um Löschanfragen gemäß der DSGVO schnell aufzunehmen, zu prüfen und umzusetzen. Nutzer dürfen jedoch jederzeit Löschanfragen stellen, woraufhin das Bestehen einer Löschpflicht umgehend geprüft werden muss. Das Recht auf Löschung umfasst übrigens auch Daten, die auf den externen Servern dritter Unternehmen liegen, etwa Cloud-Anbieter. Hier sollte im Vorfeld darauf geachtet werden, dass mit diesen datenschutzrechtliche Verträge geschlossen werden, die die Umsetzung von Löschpflichten garantieren.

Der Sicherheit von Gesundheitsdaten kommt eine tragende Rolle zu

Der Datensicherheit kommt im Zusammenhang mit der Verarbeitung von Gesundheitsdaten eine besondere Bedeutung zu. Dem gesteigerten Interesse von Hackern an Wearables und Health-Apps werden vonseiten der Anbieter bedauerlicherweise in den seltensten Fällen entsprechende Schutzvorkehrungen entgegengestellt. Besonders kritisch zu betrachten ist dieser Missstand, wenn es sich um eine App handelt, die von Krankenhäusern etwa zum Zwecke des Monitorings ihrer Patienten genutzt wird. In diesem Kontext ist die ständige Verfügbarkeit, Vertraulichkeit und Integrität von Gesundheitsdaten überragend wichtig: Die Kompromittierung bloß einzelner Verbindungen und die dadurch ermöglichte Manipulation einzelner Messwerte kann bereits zu gesundheitsschädigenden oder sogar lebensbedrohlichen Fehldiagnosen führen.

Verantwortliche sollten in diesem Zusammenhang zudem nicht bloß die Verbindung zwischen Endgerät und Server vor sog. „Man-in-the-middle“-Angriffen absichern, sondern den Blick vor allem auch auf die Übertragung zwischen Wearable und App richten, da diese ebenfalls ein beliebtes Angriffsziel von Hackern ist. Eine Verschlüsselung von Verbindungen (Transport Layer Security, kurz: TLS) sollte daher standardmäßig auch von der Verschlüsselung der übertragenen Daten (Ende-zu-Ende-Verschlüsselung) flankiert werden.

Vor allem aus technischer Sicht besteht also die Möglichkeit, sich von Mitbewerbern abheben zu können.

Zuverlässige Anonymisierung von Gesundheitsdaten gestaltet sich schwierig

Wann immer möglich, sollten personenbezogene Daten anonymisiert werden. Auf diese Weise wird der Anwendungsbereich der DSGVO verlassen, sodass deutlich weniger Verwaltungsaufwand betrieben werden muss, um die betroffenen Daten nutzen zu können.

Mit Blick auf Gesundheitsdaten erscheint eine erfolgreiche Anonymisierung im Sinne der DSGVO (Re-Identifikation unmöglich) jedoch zweifelhaft. Eine Studie aus dem Jahr 2013 hat zum Beispiel gezeigt, dass 4 bis 5 Blutzucker- oder Cholesterinwerte von rund 60 000 Patienten ausreichen, um eine eindeutige Identifizierung betroffener Personen zu ermöglichen.

Insofern sollte zumindest die Pseudonymisierung personenbezogener Daten forciert werden. Nach einer Pseudonymisierung wird eine Re-Identifikation der betroffenen Person nicht unmöglich, aber aufgrund des Ersetzens des Namens oder anderer Merkmale wesentlich erschwert.

Eine Frage der Ethik: Die Zusammenarbeit mit Krankenkassen

Ob man als Anbieter von Health-Apps mit Krankenkassen zusammenarbeitet oder eine eigene App einer Krankenkasse entwickelt hat – in beiden Fällen erhalten Krankenkassen Daten, zu denen sie zuvor keinen Zugang hatten. Auf diese Weise können Präventionsmaßnahmen besser erforscht werden. Andererseits können aber auch individuelle Gesundheitsprofile erstellt und die Versicherungsleistungen bzw. die Kosten davon abhängig gemacht werden. In Deutschland ist das beispielsweise über umfangreiche Bonusprogramme möglich. Ob das als Zusatzleistung für besonders engagierte Versicherungsnehmer oder als Diskriminierung aller anderen zu bewerten ist, ist eine ethische Frage und kann sicherlich unterschiedlich bewertet werden. Hier dürfte vor allem die jeweilige Ausgestaltung des Bonusprogrammes entscheidend sein. Und schließlich gilt auch hier: Je transparenter das Programm und die App sind, desto vertretbarer dürfte auch das Ergebnis sein.

Handlungsempfehlung und Fazit

Die datenschutzrechtlichen und technischen Herausforderungen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten sind beachtlich. Um auch langfristig auf dem Markt bestehen zu können, sollten Unternehmen bei Fitnesstrackern und sonstigen Health-Apps die entsprechenden Vorgaben umsetzen.

Vor allem eine transparente Gestaltung, die der Nutzer gut überblicken kann, und die Information, welche Daten zu welchen Zwecken erhoben werden, ist dazu erforderlich. Dazu gehört nicht zuletzt auch ein gut zu erreichender Kundenservice. Empfehlenswert ist zudem, das Prinzip der Datensparsamkeit zu beachten und nur solche Daten zu erfassen, die für die Nutzung der App notwendig sind, anstatt pauschal Daten abzugreifen.

Damit Datenpannen und lebensbedrohliche Vorfälle vermieden werden können, sollten Verantwortliche sich vor allem um besonders sichere Verbindungen zwischen Tracker, App bzw. Smartphone und Server kümmern. Auf die Weitergabe an Dritte sollte zudem nach Möglichkeit verzichtet werden. Im besten Fall betreiben Unternehmen die Server selbst. Zwecks Finanzierung bietet es sich an, auf Werbung zu verzichten und alternativ bezahlpflichtige Apps zu entwickeln, die mit besonders hohem Datensicherheitsniveau überzeugen.

Lesen Sie auch folgende Beiträge:

Datenschutz im Krankenhaus: Ein Überblick

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche

Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?

Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?