Schadensersatz bei Verletzungen des Datenschutzes

Schadensersatz bei Verletzungen des Datenschutzes

Verstöße gegen den Datenschutz führen schnell zu Schadensersatzansprüchen. Grund genug, es mit den Regeln des Datenschutzes sehr genau zu nehmen.

2.000 € Schmerzensgeld sind keine Kleinigkeit

Wer an seinem Arbeitsplatz Mails versendet, sollte die Spielregeln des Datenschutzes kennen, die dabei gelten. Und: Extrem sorgfältiges Arbeiten ist angesagt! Das hätte der Mitarbeiter einer Krankenversicherung besser beherzigen sollen. Denn wegen einer gar nicht so großen Datenschutzpanne muss sein Arbeitgeber jetzt 2.000 € Schmerzensgeld zahlen.

„Fehlversendungen“ passieren bei Mails sehr schnell

Mails sind schneller als Briefpost und auch billiger. Das gilt allerdings nur, wenn die Mail an die richtige Adresse geht. Ein „Fehlversand“ an eine falsche Adresse kann erheblichen Ärger nach sich ziehen. Genau eine solche Panne unterlief dem Mitarbeiter einer Krankenversicherung.

Ein Sachbearbeiter verschreibt sich bei der Mailadresse

Eine Kundin meldete sich bei ihm telefonisch und bat darum, ihr den Inhalt ihrer Gesundheitsakte aus den letzten drei Jahren zuzusenden. Der Mitarbeiter fragte die Kundin, ob eine Zusendung per Mail in Ordnung wäre. Anfangs hatte die Kundin Bedenken, schließlich stimmte sie aber zu. Dabei war ihr klar, dass ihr eine unverschlüsselte Mail zugehen würde. Sie bat darum, ihr die Unterlagen an die Mailadresse „B1@fff.de“ zu senden. Aus Versehen schrieb der Sachbearbeiter jedoch an „B2@fff.de“.

Natürlich entschuldigt er sich bei der Kundin

Erst als sich die Kundin nach drei Tagen erkundigte, wo denn die Mail mit ihren Unterlagen bleibt, fiel die Panne auf. Der Sachbearbeiter entschuldigte sich bei der Kundin. Außerdem informierte er seine Vorgesetzten.

Ein wirtschaftlicher Schaden ist nicht entstanden

Letztlich „passierte nichts“. Einige Monate später kontaktierte ein Mitarbeiter der Krankenkasse das Unternehmen, das sich in den beiden Mailadressen hinter der Abkürzung „fff“ verbirgt. Das Unternehmen „fff“ versicherte, dass das E-Mail-Postfach „B2fff.de“ nie benutzt worden sei. Man habe es jetzt gelöscht.

Die Kundin fordert 15.000 € und bekommt 2.000 €

Trotzdem forderte die betroffene Kundin Schmerzensgeld. Ihre Vorstellung: 15.000 €, Anwaltskosten natürlich extra. Das Oberlandesgericht Düsseldorf stutzte zwar die Hoffnungen der Kundin erheblich zurecht. 2.000 € Schmerzensgeld bewilligte das Gericht ihr aber doch.

Es geht um Ausgleich für Sorgen und Ängste

Nach Auffassung des Gerichts soll das Schmerzensgeld die Kundin für die Sorgen und Befürchtungen entschädigen, unter denen sie gelitten hat. Denn immerhin habe sie viele Monate lang die Kontrolle über sensible Gesundheitsdaten verloren. Zudem seien diese Daten zum Teil sogar ausgesprochen intim gewesen.

Der Hinweis auf ein bloßes Versehen hilft nichts

Dass dem Sachbearbeiter erkennbar „nur“ ein Versehen passiert war, half nichts. Damit befasste sich das Gericht noch nicht einmal näher. Es stellte einfach fest, dass der Versand an die falsche Mailadresse den Datenschutz verletzt hat. Zwar war die Kundin mit einer Versendung per Mail einverstanden, aber natürlich nur mit einer Versendung an die richtige Mailadresse. Da der Sachbearbeiter eine andere Mailadresse benutzte, bleibt es dabei, dass ein Datenschutzverstoß vorlag.

Aufmerksamkeit bei Datenschutz-Schulungen macht Sinn

Der Fall erinnert daran, dass man an Datenschutz-Schulungen sehr aufmerksam teilnehmen sollte. Gibt es vielleicht Daten, die überhaupt nicht per Mail verschickt werden sollen? Wie stelle ich sicher, dass die Mailadresse auch wirklich stimmt? Wer hier aufpasst und auch einmal nachfragt, bewahrt sein Unternehmen vor Schadensersatzansprüchen und sich selbst vor Ärger!

Briefpost kann genauso riskant sein

Da per Mail alles so gründlich schiefgegangen war, schickte die Krankenkasse der Kundin die angeforderten Unterlagen schließlich per Brief. Verständlich, denn von Mails hatten in diesem Fall beide Seiten genug. Gerade deshalb sollte man bedenken: Eine falsche Adressierung kommt sehr wohl auch bei Briefen vor, und zwar gar nicht so selten. Auch dann ist Schadensersatz fällig.

Jedenfalls eine Abmahnung steht noch im Raum

Die 2.000 € muss die Krankenkasse zahlen, nicht der Sachbearbeiter persönlich. Ob sein Arbeitgeber bei ihm Rückgriff nehmen kann, richtet sich nach den Regeln des Arbeitsrechts. Da der Sachbearbeiter „nur“ fahrlässig gehandelt hat, wird er seinem Arbeitgeber wahrscheinlich nichts erstatten müssen. Eine Abmahnung wäre aber allemal gerechtfertigt. Sollte es früher schon weitere Verstöße gegeben haben, stünde auch eine Kündigung im Raum.

Auskunftsanspruch für Kontoauszüge?

Auskunftsanspruch für Kontoauszuege

Das Recht auf Auskunft ist vielleicht das wichtigste Recht in der Datenschutz-Grundverordnung (DSGVO). Aber auch dieses Recht hat Grenzen. Am Beispiel von Kontoauszügen lässt sich das sehr schön zeigen.

Das Auskunftsrecht ist sehr wichtig

Eine betroffene Person hat bekanntlich ein Recht auf Auskunft über alle Daten, die sie betreffen. Klar ist auch, wie wichtig dieses Recht ist. Nur wenn jemand weiß, ob etwa ein Unternehmen Daten über ihn verarbeitet, kann er nachprüfen, ob damit alles in Ordnung ist.

Es gibt auch ein Recht auf eine Kopie

Geregelt ist das alles in Art. 15 DSGVO. Dort ist auch festgelegt, dass eine betroffene Person „eine Kopie der personenbezogenen Daten“ verlangen kann. An dieser Formulierung entzündete sich ein Streit zwischen einer Bank und einem ihrer Kunden.

Die erste Kopie ist kostenlos

Der Kunde hatte seine Kontoauszüge offensichtlich völlig korrekt erhalten. Allerdings hatte er sie wohl verlegt oder verloren. Das brachte ihn auf die Idee, von seiner Bank nochmals eine Kopie dieser Kontoauszüge zu verlangen. Nach seiner Vorstellung sollte das für ihn kostenlos sein. Denn schließlich steht in Art. 15 DSGVO auch, dass die erste Kopie von Daten kostenlos ist. Erst weitere Kopien dürfen etwas kosten.

Die Bank zeigt sich verschlossen

Die Bank konnte sich mit dieser Idee allerdings nicht anfreunden. Dabei ging es ihr wohl weniger um den einen konkreten Kunden. Vielmehr fürchtete sie, künftig ständig mit solchen Wünschen konfrontiert zu werden. Das wäre in der Summe für sie ziemlich teuer. Deshalb lehnte sie den Wunsch des Kunden ab.

Die Datenschutzaufsicht unterscheidet sehr klug

Der wollte das nicht auf sich beruhen lassen und wandte sich an das Bayerische Landesamt für Datenschutzaufsicht. Es ist in Bayern zuständig für die Datenschutzaufsicht in der Wirtschaft und damit auch für den Datenschutz bei Banken. Das Landesamt entschied über den Wunsch des Kunden im Sinne eines klugen „ja, aber …“

Eine Auflistung der Kontobewegungen muss die Bank liefern

Das Ja bedeutet: Der Großkunde kann von seiner Bank tatsächlich eine kostenlose Auflistung der Geldbewegungen auf seinem Konto verlangen. Das ergibt sich aus folgenden Überlegungen:

  • Bei den Kontobewegungen handelt es sich um personenbezogene Daten. Denn sie beziehen sich auf die Person des Kunden.
  • Damit steht dem Bankkunden ein Recht auf Auskunft über diese Kontobewegungen zu.

Das muss kostenlos geschehen

Diese Auskunft muss die Bank grundsätzlich kostenlos erteilen. Etwas anderes würde nur dann gelten, wenn der Kunde ein- und dieselbe Auflistung mehrfach anfordert, ohne dass es dafür einen nachvollziehbaren Grund gibt.

Es gibt keinen Anspruch auf Kopien „alter“ Kontoauszüge

Das Aber folgt jedoch auf dem Fuß: Der Bankkunde kann nicht verlangen, dass die Bank die Auflistung der Kontobewegungen gerade in Form von Kontoauszügen zur Verfügung stellt. Vielmehr kann sie ihm stattdessen etwa eine Tabelle der Kontobewegungen überlassen. Das begründet das Landesamt wie folgt:

  • Kontoauszüge sind eine besonders aufbereitete Form von Kontobewegungen.
  • Das Auskunftsrecht gibt einem Bankkunden keinen Anspruch darauf, dass er Kontodaten in dieser Weise aufbereitet erhält.
  • Die Bank hat ihre Pflicht erfüllt, wenn sie ihm die Daten in irgendeiner geordneten Form zur Verfügung stellt, etwa als Tabelle.
  • Alles, was darüber hinausgeht, ist ein Service, der mit dem Auskunftsanspruch nach DSGVO nichts zu tun hat.
  • Ob die Bank einen solchen Service überhaupt bietet, ist ebenso ihre Sache wie die Frage, ob sie dafür ein besonderes Entgelt verlangt.

Natürlich gilt dabei: keine Tricks

Allerdings muss alles fair und ohne Tricks ablaufen. Die Bank kann deshalb den Auskunftsanspruch des Kunden zwar auch dadurch erfüllen, dass sie ihm Kopien seiner „alten“ Kontoauszüge zur Verfügung stellt. Dann darf sie dafür allerdings keine Kosten von ihm verlangen. Es ist also zu unterscheiden:

  • Erteilt die Bank von sich aus Auskunft dadurch, dass sie dem Kunden Kopien von „alten“ Kontoauszügen zur Verfügung stellt, kann sie dafür nichts verlangen.
  • Will sie jedoch die Auskunft eigentlich in anderer Form erteilen, etwa als Tabelle, und liefert dann auf ausdrücklichen Wunsch des Kunden doch Kopien der früheren Auszüge, kann sie sich das bezahlen lassen.

Der Kunde kann keine Aufbereitung von Daten verlangen

Der Kunde hat also keinen Anspruch auf eine bestimmte Form der Auskunft. Wichtig ist lediglich, dass er eine vollständige Auskunft erhält. Sofern das der Fall ist, kann er keine spezielle Aufbereitung der Daten verlangen.

Was genau versteht man im Datenschutz unter Vertraulichkeit?

Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.

Einmal ganz im Vertrauen gesagt

Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.

Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.

Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.

Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?

Es geht um Verschwiegenheit und Zugangsschutz

Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.

Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.

Die IT hat ein etwas anderes Bild von Vertraulichkeit

Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.

Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.

Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.

Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.

Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.

Missbrauch von Daten für private Zwecke

Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? Mit einer Geldbuße dürften die wenigsten rechnen.

Nehmen wir einfach einmal an …

Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.

Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?

Der Grundsatz der Zweckbindung ist verletzt

Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.

Die Datenschutzaufsicht kann Geldbußen verhängen

Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.

Wer muss mit einer Geldbuße rechnen?

Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.

Ein „Mitarbeiterexzess“ ist eine hässliche Sache

Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.

Ständige Überwachung soll nicht sein

Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.

Die Geldbuße dafür muss der Beschäftigte zahlen

Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.

Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative

Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.

In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.

Der Arbeitgeber wird Konsequenzen ziehen

Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.

Gesichtserkennung, Fingerscan & Co.: Bequem, aber nicht ohne Risiko

Passwörter muss man sich merken, seine Fingerabdrücke nicht. Entsprechend beliebt sind biometrische Verfahren bei der Anmeldung für Geräte und Applikationen. Doch der Datenschutz warnt davor, Biometrie vorschnell einzuführen. Warum eigentlich?

Werden Passwörter bald überflüssig?

In einer Umfrage von Cisco unter 500 Anwenderinnen und Anwendern zeigte sich, dass Fingerabdrücke ein beliebter Ersatz für Passwörter sind. Mehr als die Hälfte (55 Prozent) fühlt sich wohl dabei, den Fingerabdruck für den Zugang zu einem Online-Konto zu verwenden. 40 Prozent haben nichts gegen eine Gesichtserkennung einzuwenden.

Tatsächlich ersetzen Unternehmen den Passwortschutz zunehmend durch andere Sicherheitsverfahren. Das gilt vor allem für die Nutzung der Biometrie in Form von Fingerabdrücken und Gesichtserkennung. Smartphones und andere mobile Endgeräte haben Funktionen zur Anmeldung über Fingerabdruck oder Gesichtserkennung gleich an Bord. Entsprechend häufig erfolgt auch die Anmeldung darüber, wenn sich Beschäftigte im Homeoffice befinden oder unterwegs arbeiten.

Laut einer Umfrage der FIDO Alliance unter 1.000 befragten Deutschen gelten biometrische Verfahren nicht nur als bequem, sondern auch als sicherste Art der Identitätsprüfung. Viele Studien gehen deshalb davon aus, dass Passwörter kaum noch eine Zukunft haben, die Biometrie wird sie ersetzen.

Sollte sich der Datenschutz darüber nicht freuen, wo doch so große Probleme mit ausreichend starken Passwörtern bestehen? Ja und nein, lautet die Antwort.

Passwörter kann man tauschen, Fingerabdrücke nicht

Wollen Unternehmen biometrische Lösungen einsetzen, fordert der Datenschutz, die Risiken genau zu prüfen. Dafür gibt es gute Gründe: Biometrische Daten und ihre Analyse eignen sich zwar sehr gut als Identitätsnachweis. Gelangen biometrische Daten aber in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen.

Haben Angreifer Passwörter gestohlen, kann und muss man sie ersetzen. Bei biometrischen Merkmalen wie den Fingerabdrücken oder dem Gesicht kann man jedoch nicht beliebig neue, eindeutige Kennzeichen wählen. Man hat nur ein Gesicht und eine begrenzte Zahl von Fingerkuppen.

Biometrische Daten lassen sich missbrauchen

Im Gegensatz zu einem Passwort, das sich bekanntlich nicht mit der jeweiligen Person in Verbindung bringen lassen sollte, also zum Beispiel nicht den Namen enthalten soll, haben biometrische Daten sehr wohl mit der Person zu tun. So lässt sich ein Gesichtsausdruck nicht nur nutzen, um eine Person zu identifizieren. Es sind auch weitere Analysen möglich, wie eine Studie des EU-Parlaments warnt. So könnten sich darüber zum Beispiel menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit, so die Studie.

Biometrie erfordert hohe Sicherheit

Wer also den Komfort einer Anmeldung über Gesichtserkennung oder Fingerabdruck nutzen will, muss das Verfahren besonders gut absichern. Das will der Datenschutz sicherstellen, um Missbrauch zu verhindern. Aus diesem Grund fordert der Datenschutz eine Prüfung vor der Einführung von Biometrie – nicht um die Passwort-Probleme zu erhalten, sondern um die Daten der betroffenen Personen zu schützen.

Denken Sie deshalb auch bei privater Nutzung von Fingerscan und Gesichtserkennung daran, nicht einfach jedes Verfahren zu verwenden. Stehlen Angreifer Ihre biometrischen Muster, sind Ihre privaten und beruflichen Zugänge in Gefahr, wenn sie durch Biometrie geschützt werden.

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein

Legen Sie Daten in einem Cloud-Speicher wie Google Drive ab, können Sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. Für den Datenschutz aber sieht das ganz anders aus.

Das Ziel: Daten speichern, austauschen und sichern

Wer im Homeoffice oder unterwegs arbeitet, muss manchmal kreativ sein, so scheint es. Viele Möglichkeiten, die im Büro bestehen, hat man außerhalb des Unternehmens nicht. Wollen Sie zum Beispiel wichtige Daten speichern, erscheint die Ablage allein auf dem Notebook oder Tablet nicht ausreichend. Was passiert, wenn das Endgerät verloren geht? Dann war alle Arbeit umsonst.

Im Büro können Sie Ihre Daten in einem Verzeichnis im Netzwerk ablegen. Dort können auch Kolleginnen und Kollegen, die mit den Daten arbeiten müssen, bequem darauf zugreifen. Sind Sie aber unterwegs oder im Homeoffice, fehlen mitunter diese Möglichkeiten zur Speicherung im Netzwerk und zum Datenaustausch. Auch die regelmäßigen Backups lassen sich nicht so einfach zentral durchführen, wenn Sie unterwegs oder im heimischen Büro arbeiten.

Bietet das Unternehmen keine entsprechende Unterstützung oder kennt man die vorgesehenen Lösungen zur Datenspeicherung und zum Datentransfer nicht, wird man schnell erfinderisch. Da gibt es doch Lösungen wie Google Drive oder Dropbox, die sich privat bereits bewährt haben. Erkennen Sie sich wieder? Damit sind Sie nicht allein – leider, aus Sicht des Datenschutzes.

Das Problem: Die sogenannte Schatten-IT

Wählen Sie als Nutzer selbst die Lösungen aus, mit denen Sie Daten speichern und austauschen wollen, sorgen Sie für sogenannte Schatten-IT. Gemeint sind damit IT-Lösungen, die die zuständige Stelle im Unternehmen nicht geprüft und genehmigt hat.

Nutzen Sie ungeprüfte und betrieblich nicht freigegebene Lösungen, können damit Risiken für die Daten verbunden sein, die der IT-Abteilung im Unternehmen nicht bekannt sind. Und diese Risiken lassen sich deshalb auch nicht mit den notwendigen IT-Sicherheitslösungen abwenden. Das ist gerade bei den Cloud-Speichern der Fall, die jeder einfach, schnell und meist kostenlos nutzen kann.

Die dringende Empfehlung: Bitte keine Eigeninitiative bei der Datenspeicherung

Normalerweise freut sich jedes Unternehmen über die Eigeninitiative der Mitarbeiterinnen und Mitarbeiter. Doch wenn es um die Sicherheit der Daten und die Einhaltung des Datenschutzes geht, ist es weder gut noch gewünscht, selbst nach Lösungen zu suchen.

Betriebliche Daten dürfen nur in betrieblich genehmigten Lösungen gespeichert und darüber ausgetauscht werden. Andernfalls können die Daten in Gefahr geraten, weil die Sicherheit von Lösungen für private Zwecke nicht den hohen Anforderungen eines Unternehmens entspricht. Zudem kann es gerade bei Cloud-Speichern passieren, dass die personenbezogenen Daten in ein Land übermittelt werden, das nicht ohne Weiteres das notwendige Datenschutzniveau bietet.

Verwenden Sie deshalb nur betrieblich genehmigte Anwendungen, auch im Homeoffice und unterwegs! Kennen Sie die Lösung nicht, fragen Sie bitte nach.

Die Praxisübernahme und das „Zwei-Schrank-Modell“

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

Datenauskunft als Datenpanne?

Datenauskunft als Datenpanne

Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Fristen einzuhalten ist nicht alles

Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.

Die Identität des Antragstellers muss geklärt sein

Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.

Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.

Nicht auf die falsche Prüfung der Identität setzen

Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.

Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.

Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.