Das EU-U.S. Data Privacy Framework

Was lange dauert, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Pri-vacy Framework. Sie sind möglicherweise noch nicht mit diesem Begriff vertraut? Es handelt sich um eine neue rechtliche Grundlage für die Übermittlung von Daten in die USA. Dabei gibt es einige Schwierigkeiten zu beachten.

Der 16. Juli 2020 weckt negative Erinnerungen

Für Unternehmen, die auf Datenübermittlungen in die USA angewiesen sind, war der 16. Juli 2020 ein schwarzer Tag. Zu dieser Zeit erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum „Privacy Shield“ für ungültig. Ab diesem Tag konnten Unternehmen Datenübermittlungen in die USA nicht mehr auf den Angemessenheitsbeschluss als Rechtsgrundlage stützen.

Dies war schmerzhaft, da Datenübermittlungen auf Basis des „Privacy Shields“ nur einen geringen rechtlichen Aufwand erforderten Im Gegensatz dazu waren alle möglichen Alternativen mit großen bürokratischen Hürden verbunden.

Der rechtliche Unsicherheitszustand hat nun ein Ende

Seit dem 10.Juli 2023 gibt es wieder einen Angemessenheitsbeschluss der EU-Kommission, den Unternehmen zur Übertragung von Daten in die USA nutzen können. Darin ist festgelegt dass unter bestimmten Bedingungen US-Unternehmen ein angemessenes Datenschutzniveau bieten müssen.

Es sei jedoch darauf hingewiesen: unter bestimmten Bedingungen. Doch wenn diese Bedingungen erfüllt sind funktioniert alles wieder so wie vor dem 16. Juli 2020 mit Hilfe des „Privacy Shields“. Unternehmen in der EU können also wieder personenbezogene Daten an ihre US-Geschäftspartner übermitteln, ohne zusätzliche Datenschutzregelungen vereinbaren zu müssen.

Die Begeisterung hält sich dennoch in Grenzen

Die Wirtschaft hat die neuen Regelungen dankbar aufgenommen. Immerhin erleichtern sie erheblich den Alltag im Bereich Datenschutz. Jedoch ist echte Begeisterung selten zu spüren. Stattdessen herrscht eine gewisse Skepsis über die Zukunft der neuen Regelungen vor. Alles deutet darauf hin, dass es früher oder später dazu kommen wird, dass auch diese vom EuGH rechtlich geprüft werden. Werden sie dann Bestand haben?

So verständlich solche Befürchtungen sind – im Augenblick helfen die neuen Regelungen wirklich weiter.

Das Grundschema nachdem sie funktionieren ist relativ einfach: US-Unternehmen können sich in einer Art Register für den Datenschutz eintragen lassen. Dieses trägt den Namen „Data Privacy Framework List“. Um dies tun zu dürfen, müssen viele Voraussetzungen erfüllt sein. So muss zum Beispiel ein angemessenes Maß an Datensicherheit vorhanden sein.

Wenn ein US-Unternehmen diesen Zertifizierungsprozess erfolgreich abgeschlossen hat, können seine Geschäftspartner aus der EU darauf vertrauen ,dass das amerikanische Unternehmen adäquaten Datenschutz bietet. Dadurch wird die Übertragung personenbezogener Daten dorthin ermöglicht.

Für Personaldaten gelten jedoch besondere Regeln

Obwohl auf dieser Basis auch die Übermittlung von Personaldaten zulässig ist,gibt es zusätzliche Verpflichtungen für US-Unternehmen.Dazu gehört besonders die Zusammenarbeit mit Datenschutz-Aufsichtsbehörden in der EU.

Die Zertifizierung muss jährlich erneuert werden US-Unternehmen, die auf der „Data Privacy Framework List“ stehen, müssen ihre Zertifizierung jedes Jahr aktualisieren. Andernfalls werden sie von der Liste gestrichen. Daher müssen sich ihre Geschäftspartner aus der EU jedes Jahr vergewissern , dass die Zertifizierung erneuert wurde. Im Moment richten alle betroffenen Unternehmen in der EU, die dafür notwendigen Prozesse ein, wenn diese nicht ohnehin schon vorhanden sind.

Microsoft 365 bleibt eine Herausforderung

Viele Unternehmen hatten gehofft, dass dieser neue Angemessenheitsbeschluss alle Probleme bei Datenübertragungen in die USA lösen würde. Dies galt insbesondere für den Einsatz von Microsoft 365. Jedoch haben einige Datenschutzaufsichtsbehörden bereits Bedenken geäußert. Sie weisen daraufhin dass immer noch unklar sei welche Daten Microsoft in den USA verarbeitet und was damit geschieht. Ob diese Behauptung wahr ist oder nicht, steht zur Debatte. Allerdings steht fest dass durch diesen neuen Angemessenheitsbeschluss die Pflicht bestehen bleibt jegliche Datenverarbeitung transparent zu machen. Wenn es Unklarheiten gibt, bietet dieser Beschluss keine Hilfe. Es gilt weiterhin Lösungen zu finden.

Für weitere Informationen nehmen Sie bitte Kontakt zu mir auf: Datenschutz Beratung

15. Juli 202315. Juli 2023

Der EU-U.S. Data Privacy Framework, ein neuer Meilenstein für Datenschutz

Sehr geehrte Leserinnen und Leser,

ein neuer Meilenstein für den Datenschutz wurde erreicht: Der EU-U.S. Data Privacy Framework wurde eingeführt. Dieses Abkommen soll den Schutz personenbezogener Daten bei grenzüberschreitendem Datenaustausch zwischen der EU und den USA stärken. In diesem Blogbeitrag erfahren Sie mehr über die Hintergründe und Auswirkungen des neuen Datenschutzabkommens.

1. Einleitung

Mit dem EU-U.S. Data Privacy Framework wird ein neuer Meilenstein für den Datenschutz gesetzt. Doch was genau verbirgt sich hinter diesem Begriff? Der Framework regelt den Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten von Amerika und soll dabei sicherstellen, dass die Datenschutzstandards auf beiden Seiten eingehalten werden. Dies ist besonders wichtig im Hinblick auf die Übermittlung personenbezogener Daten, wie es beispielsweise bei Cloud-Diensten oder sozialen Netzwerken der Fall ist. Durch den Framework soll ein höheres Maß an Transparenz und Rechtssicherheit geschaffen werden. Doch wie genau wird er vorgestellt und welche Kritik gibt es daran? Antworten auf diese Fragen sollen in den folgenden Abschnitten gegeben werden.

2. Was ist der EU-U.S. Data Privacy Framework?

Der EU-U.S. Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, das den Austausch personenbezogener Daten regelt. Das Abkommen wurde am 2. Februar 2016 vorgestellt und soll den Datenschutz für europäische Bürgerinnen und Bürger verbessern. Der Rahmen besteht aus einer Reihe von Prinzipien, die von den Unternehmen beider Seiten eingehalten werden müssen, um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden. Es wurde entwickelt, um sicherzustellen, dass die Übertragung von personenbezogenen Daten zwischen der EU und den USA rechtskonform erfolgt und gleichzeitig die Privatsphäre der betroffenen Personen gewahrt bleibt. Das Abkommen ist ein Meilenstein für den Datenschutz, da es einen rechtlichen Rahmen schafft, der den Schutz personenbezogener Daten in Europa stärkt. Es gibt Unternehmen auf beiden Seiten des Atlantiks eine klare Richtlinie für die Verarbeitung personenbezogener Daten und stellt sicher, dass diese Daten nicht missbraucht werden. Trotzdem gibt es auch Kritik an dem Rahmen. Einige Datenschutzaktivisten argumentieren, dass er nicht weit genug geht und dass es immer noch Möglichkeiten gibt, wie Unternehmen personenbezogene Daten missbrauchen können. Andere haben Bedenken hinsichtlich der Überwachung durch Regierungen geäußert. Insgesamt stellt der EU-U.S. Data Privacy Framework jedoch einen wichtigen Schritt in Richtung eines besseren Datenschutzes dar. Er bietet eine klare Richtlinie für Unternehmen auf beiden Seiten des Atlantiks und schützt gleichzeitig die Privatsphäre von Personen, deren Daten übertragen werden.

3. Wie wird der EU-U.S. Data Privacy Framework vorgestellt?

Die Vorstellung des Frameworks erfolgte durch die Europäische Kommission und das US-Handelsministerium im Februar 2016. Das Framework hat das Ziel, den Datenaustausch zwischen Europa und den USA zu regulieren und sicherer zu machen. Es soll Unternehmen eine klare Orientierung geben, wie sie personenbezogene Daten über den Atlantik hinweg transferieren können, ohne gegen europäisches Datenschutzrecht zu verstoßen. Die Vorstellung des Frameworks wurde von beiden Seiten als bedeutender Schritt in Richtung Datenschutz begrüßt. Infolgedessen haben sich mittlerweile mehr als 3.500 Unternehmen dem Rahmenabkommen angeschlossen.

4. Warum ist es ein Meilenstein für den Datenschutz?

Der EU-U.S. Data Privacy Framework stellt einen bedeutenden Meilenstein für den Datenschutz dar, da er erstmals klare Regeln für den Austausch personenbezogener Daten zwischen der Europäischen Union und den USA festlegt. Das Framework beruht auf den Prinzipien der Transparenz, Rechenschaftspflicht und gegenseitigen Anerkennung und stellt sicher, dass US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, bestimmte Datenschutzstandards einhalten müssen. Dies ist insbesondere vor dem Hintergrund des Schrems-II-Urteils des Europäischen Gerichtshofs von großer Bedeutung, das den Datenaustausch zwischen der EU und den USA stark eingeschränkt hat. Mit dem neuen Framework können Unternehmen nun wieder rechtskonform personenbezogene Daten übertragen und somit auch wirtschaftliche Beziehungen aufrecht erhalten. Der Datenschutz wird dabei nicht vernachlässigt, sondern gestärkt.

5. Welche Kritik gibt es an dem Framework?

Eine der größten Kritiken an dem EU-U.S. Data Privacy Framework ist, dass es keine rechtlichen Konsequenzen für Unternehmen gibt, die sich nicht an die Datenschutzbestimmungen halten. Das bedeutet, dass es keine Sanktionen geben wird, wenn ein Unternehmen gegen das Framework verstößt. Ein weiterer Kritikpunkt ist, dass das Framework nur für den transatlantischen Datenaustausch gilt und nicht für den internationalen Datenaustausch. Das bedeutet, dass Unternehmen außerhalb der EU und der USA immer noch Daten ohne angemessenen Schutz austauschen können. Einige Datenschützer argumentieren auch, dass das Framework zu vage ist und nicht klar genug definiert, was als angemessener Schutz gilt. Es bleibt abzuwarten, ob das Framework tatsächlich den gewünschten Schutz bietet oder ob weitere Maßnahmen erforderlich sind, um die Privatsphäre von Menschen in der digitalen Welt zu schützen.

6. Fazit

Abschließend kann festgehalten werden, dass der EU-U.S. Data Privacy Framework ein bedeutender Schritt in Richtung Datenschutz darstellt. Durch die Einigung zwischen der EU und den USA werden nun klare Regeln für den Datenaustausch festgelegt und somit die Rechte der Bürgerinnen und Bürger gestärkt. Besonders hervorzuheben ist die Verpflichtung der US-Regierung zur Überwachung des Datenaustauschs sowie die Möglichkeit für europäische Bürgerinnen und Bürger, Beschwerden bei einer unabhängigen Stelle einzureichen. Allerdings gibt es auch Kritik an dem Framework, insbesondere bezüglich der fehlenden Durchsetzbarkeit von Sanktionen bei Verstößen gegen das Abkommen. Auch bleibt abzuwarten, wie sich das Framework in der Praxis bewährt und ob es tatsächlich zu einem besseren Schutz personenbezogener Daten beitragen wird. Insgesamt ist jedoch zu begrüßen, dass endlich eine Lösung für den transatlantischen Datenaustausch gefunden wurde, die sowohl den Interessen der Wirtschaft als auch dem Schutz der Privatsphäre gerecht wird.

28. Januar 202328. Januar 2023

Webinar Hinweisgeberschutzgesetz

Viele unserer Mandanten fragten nach weiteren Informationen zum Hinweisgeberschutzgesetz. Deshalb haben wir für Anfang/Mitte März ein kostenloses Webinar zum Hinweisgeberschutzgesetz geplant.

Für die Planung, benötigen wir Ihre vorläufige Anmeldung. Ab dem 20.2.2023 verschicken wir dann die Terminvorschläge für das Webinar. es wird 3 Termine geben.

2. Oktober 20222. Oktober 2022

Hinweisgeberrichtlinie – Hinweisgeberschutzgesetz

Vorgaben der EU-Hinweisgeber Richtlinie

Ab Dezember 2021 gelten verbindliche Compliance-Vorschrift für Unternehmen, Kommunen und öffentliche Einrichtungen. Dies erfordert die Einrichtung interne Meldestelle mit Schutz der Identität (Anonymität) von Hinweisgebern und Betroffenen.

Die Umsetzung in deutsches Recht ist fast vollzogen. Ab Anfang 2023 tritt das neue Gesetz dann auch in Deutschland in Kraft.

Die Umsetzung des Hinweisgebergesetzes ist erforderlich bei

Unternehmen mit mehr als 50 Beschäftigten
Öffentliche Einrichtungen, Behörden mit mehr als 50 Beschäftigten
Kommunen mit mehr als 10.000 Einwohnern

Die Anforderung für die Umsetzung sind

Sichere Dialogmöglichkeit über anonymisierten Kanal Eingangsbestätigung und Rückmeldung an Hinweisgeber
Nachvollziehbare Dokumentation
Anonymitätswahrung und Datenschutz
Revisionssichere Dokumentation

Deutsches Hinweisgebersystem

DSBOK bietet einen verschlüsselten Meldekanal mit Dialogfunktion. Das System ist zertifiziert, sicher und DSGVO-konform. Sie erhalten von uns

Ihr eigenes Hinweisgebersystem (mit eigenem Branding)
Schutzschild gegen Regelverletzungen und Gesetzesverstöße
Erfüllung der EU-Hinweisgeber-Richtlinie
Vertrauensvolle Korrespondenz und Abwicklung

Ihre Mitarbeiter und Geschäftspartner können intern auf Missstände wie Korruption, Amtsmissbrauch, oder Diskriminierung aufmerksam zu machen.

Fordern Sie einen Testzugang und eine kostenlose Erstberatung auf unserer Hinweisgeber-System Webseite an: Hinweisgebersystem-Online

8. Mai 20222. Oktober 2022

Schadensersatz bei Verletzungen des Datenschutzes

Verstöße gegen den Datenschutz führen schnell zu Schadensersatzansprüchen. Grund genug, es mit den Regeln des Datenschutzes sehr genau zu nehmen.

2.000 € Schmerzensgeld sind keine Kleinigkeit

Wer an seinem Arbeitsplatz Mails versendet, sollte die Spielregeln des Datenschutzes kennen, die dabei gelten. Und: Extrem sorgfältiges Arbeiten ist angesagt! Das hätte der Mitarbeiter einer Krankenversicherung besser beherzigen sollen. Denn wegen einer gar nicht so großen Datenschutzpanne muss sein Arbeitgeber jetzt 2.000 € Schmerzensgeld zahlen.

„Fehlversendungen“ passieren bei Mails sehr schnell

Mails sind schneller als Briefpost und auch billiger. Das gilt allerdings nur, wenn die Mail an die richtige Adresse geht. Ein „Fehlversand“ an eine falsche Adresse kann erheblichen Ärger nach sich ziehen. Genau eine solche Panne unterlief dem Mitarbeiter einer Krankenversicherung.

Ein Sachbearbeiter verschreibt sich bei der Mailadresse

Eine Kundin meldete sich bei ihm telefonisch und bat darum, ihr den Inhalt ihrer Gesundheitsakte aus den letzten drei Jahren zuzusenden. Der Mitarbeiter fragte die Kundin, ob eine Zusendung per Mail in Ordnung wäre. Anfangs hatte die Kundin Bedenken, schließlich stimmte sie aber zu. Dabei war ihr klar, dass ihr eine unverschlüsselte Mail zugehen würde. Sie bat darum, ihr die Unterlagen an die Mailadresse „B1@fff.de“ zu senden. Aus Versehen schrieb der Sachbearbeiter jedoch an „B2@fff.de“.

Natürlich entschuldigt er sich bei der Kundin

Erst als sich die Kundin nach drei Tagen erkundigte, wo denn die Mail mit ihren Unterlagen bleibt, fiel die Panne auf. Der Sachbearbeiter entschuldigte sich bei der Kundin. Außerdem informierte er seine Vorgesetzten.

Ein wirtschaftlicher Schaden ist nicht entstanden

Letztlich „passierte nichts“. Einige Monate später kontaktierte ein Mitarbeiter der Krankenkasse das Unternehmen, das sich in den beiden Mailadressen hinter der Abkürzung „fff“ verbirgt. Das Unternehmen „fff“ versicherte, dass das E-Mail-Postfach „B2fff.de“ nie benutzt worden sei. Man habe es jetzt gelöscht.

Die Kundin fordert 15.000 € und bekommt 2.000 €

Trotzdem forderte die betroffene Kundin Schmerzensgeld. Ihre Vorstellung: 15.000 €, Anwaltskosten natürlich extra. Das Oberlandesgericht Düsseldorf stutzte zwar die Hoffnungen der Kundin erheblich zurecht. 2.000 € Schmerzensgeld bewilligte das Gericht ihr aber doch.

Es geht um Ausgleich für Sorgen und Ängste

Nach Auffassung des Gerichts soll das Schmerzensgeld die Kundin für die Sorgen und Befürchtungen entschädigen, unter denen sie gelitten hat. Denn immerhin habe sie viele Monate lang die Kontrolle über sensible Gesundheitsdaten verloren. Zudem seien diese Daten zum Teil sogar ausgesprochen intim gewesen.

Der Hinweis auf ein bloßes Versehen hilft nichts

Dass dem Sachbearbeiter erkennbar „nur“ ein Versehen passiert war, half nichts. Damit befasste sich das Gericht noch nicht einmal näher. Es stellte einfach fest, dass der Versand an die falsche Mailadresse den Datenschutz verletzt hat. Zwar war die Kundin mit einer Versendung per Mail einverstanden, aber natürlich nur mit einer Versendung an die richtige Mailadresse. Da der Sachbearbeiter eine andere Mailadresse benutzte, bleibt es dabei, dass ein Datenschutzverstoß vorlag.

Aufmerksamkeit bei Datenschutz-Schulungen macht Sinn

Der Fall erinnert daran, dass man an Datenschutz-Schulungen sehr aufmerksam teilnehmen sollte. Gibt es vielleicht Daten, die überhaupt nicht per Mail verschickt werden sollen? Wie stelle ich sicher, dass die Mailadresse auch wirklich stimmt? Wer hier aufpasst und auch einmal nachfragt, bewahrt sein Unternehmen vor Schadensersatzansprüchen und sich selbst vor Ärger!

Briefpost kann genauso riskant sein

Da per Mail alles so gründlich schiefgegangen war, schickte die Krankenkasse der Kundin die angeforderten Unterlagen schließlich per Brief. Verständlich, denn von Mails hatten in diesem Fall beide Seiten genug. Gerade deshalb sollte man bedenken: Eine falsche Adressierung kommt sehr wohl auch bei Briefen vor, und zwar gar nicht so selten. Auch dann ist Schadensersatz fällig.

Jedenfalls eine Abmahnung steht noch im Raum

Die 2.000 € muss die Krankenkasse zahlen, nicht der Sachbearbeiter persönlich. Ob sein Arbeitgeber bei ihm Rückgriff nehmen kann, richtet sich nach den Regeln des Arbeitsrechts. Da der Sachbearbeiter „nur“ fahrlässig gehandelt hat, wird er seinem Arbeitgeber wahrscheinlich nichts erstatten müssen. Eine Abmahnung wäre aber allemal gerechtfertigt. Sollte es früher schon weitere Verstöße gegeben haben, stünde auch eine Kündigung im Raum.

14. April 202213. August 2023

Auskunftsanspruch für Kontoauszüge?

Das Recht auf Auskunft ist vielleicht das wichtigste Recht in der Datenschutz-Grundverordnung (DSGVO). Aber auch dieses Recht hat Grenzen. Am Beispiel von Kontoauszügen lässt sich das sehr schön zeigen, denn der Auskunftsanspruch für Kontoauszüge kann begrenzt werden.

Das Auskunftsrecht ist sehr wichtig

Eine betroffene Person hat bekanntlich ein Recht auf Auskunft über alle Daten, die sie betreffen. Klar ist auch, wie wichtig dieses Recht ist. Nur wenn jemand weiß, ob etwa ein Unternehmen Daten über ihn verarbeitet, kann er nachprüfen, ob damit alles in Ordnung ist.

Es gibt auch ein Recht auf eine Kopie

Geregelt ist das alles in Art. 15 DSGVO. Dort ist auch festgelegt, dass eine betroffene Person „eine Kopie der personenbezogenen Daten“ verlangen kann. An dieser Formulierung entzündete sich ein Streit zwischen einer Bank und einem ihrer Kunden.

Die erste Kopie ist kostenlos

Der Kunde hatte seine Kontoauszüge offensichtlich völlig korrekt erhalten. Allerdings hatte er sie wohl verlegt oder verloren. Das brachte ihn auf die Idee, von seiner Bank nochmals eine Kopie dieser Kontoauszüge zu verlangen. Nach seiner Vorstellung sollte das für ihn kostenlos sein. Denn schließlich steht in Art. 15 DSGVO auch, dass die erste Kopie von Daten kostenlos ist. Erst weitere Kopien dürfen etwas kosten.

Die Bank zeigt sich verschlossen

Die Bank konnte sich mit dieser Idee allerdings nicht anfreunden. Dabei ging es ihr wohl weniger um den einen konkreten Kunden. Vielmehr fürchtete sie, künftig ständig mit solchen Wünschen konfrontiert zu werden. Das wäre in der Summe für sie ziemlich teuer. Deshalb lehnte sie den Wunsch des Kunden ab.

Die Datenschutzaufsicht unterscheidet sehr klug

Der wollte das nicht auf sich beruhen lassen und wandte sich an das Bayerische Landesamt für Datenschutzaufsicht. Es ist in Bayern zuständig für die Datenschutzaufsicht in der Wirtschaft und damit auch für den Datenschutz bei Banken. Das Landesamt entschied über den Wunsch des Kunden im Sinne eines klugen „ja, aber …“

Eine Auflistung der Kontobewegungen muss die Bank liefern

Das Ja bedeutet: Der Großkunde kann von seiner Bank tatsächlich eine kostenlose Auflistung der Geldbewegungen auf seinem Konto verlangen. Das ergibt sich aus folgenden Überlegungen:

Bei den Kontobewegungen handelt es sich um personenbezogene Daten. Denn sie beziehen sich auf die Person des Kunden.
Damit steht dem Bankkunden ein Recht auf Auskunft über diese Kontobewegungen zu.

Das muss kostenlos geschehen

Diese Auskunft muss die Bank grundsätzlich kostenlos erteilen. Etwas anderes würde nur dann gelten, wenn der Kunde ein- und dieselbe Auflistung mehrfach anfordert, ohne dass es dafür einen nachvollziehbaren Grund gibt.

Es gibt keinen Anspruch auf Kopien „alter“ Kontoauszüge

Das Aber folgt jedoch auf dem Fuß: Der Bankkunde kann nicht verlangen, dass die Bank die Auflistung der Kontobewegungen gerade in Form von Kontoauszügen zur Verfügung stellt. Vielmehr kann sie ihm stattdessen etwa eine Tabelle der Kontobewegungen überlassen und so dem Auskunftsanspruch für Kontoauszüge nachkommen.

Das begründet das Landesamt wie folgt:

Kontoauszüge sind eine besonders aufbereitete Form von Kontobewegungen.
Das Auskunftsrecht gibt einem Bankkunden keinen Anspruch darauf, dass er Kontodaten in dieser Weise aufbereitet erhält.
Die Bank hat ihre Pflicht erfüllt, wenn sie ihm die Daten in irgendeiner geordneten Form zur Verfügung stellt, etwa als Tabelle.
Alles, was darüber hinausgeht, ist ein Service, der mit dem Auskunftsanspruch nach DSGVO nichts zu tun hat.
Ob die Bank einen solchen Service überhaupt bietet, ist ebenso ihre Sache wie die Frage, ob sie dafür ein besonderes Entgelt verlangt.

Natürlich gilt dabei: keine Tricks

Allerdings muss alles fair und ohne Tricks ablaufen. Die Bank kann deshalb den Auskunftsanspruch des Kunden zwar auch dadurch erfüllen, dass sie ihm Kopien seiner „alten“ Kontoauszüge zur Verfügung stellt. Dann darf sie dafür allerdings keine Kosten von ihm verlangen. Es ist also zu unterscheiden:

Erteilt die Bank von sich aus Auskunft dadurch, dass sie dem Kunden Kopien von „alten“ Kontoauszügen zur Verfügung stellt, kann sie dafür nichts verlangen.
Will sie jedoch die Auskunft eigentlich in anderer Form erteilen, etwa als Tabelle, und liefert dann auf ausdrücklichen Wunsch des Kunden doch Kopien der früheren Auszüge, kann sie sich das bezahlen lassen.

Der Kunde kann keine Aufbereitung von Daten verlangen

Der Kunde hat also keinen Anspruch auf eine bestimmte Form der Auskunft. Wichtig ist lediglich, dass er eine vollständige Auskunft erhält. Sofern das der Fall ist, kann er keine spezielle Aufbereitung der Daten verlangen.

Auskunftsanspruch für Kontoauszüge Fazit

Den Auskunftsanspruch für Kontoauszüge gibt es also generell, die Frage ist die Aufbereitung und Art und Weise der Bereitstellung.

Was Sie noch beachten müssen bei der Auskunft für Betroffene: Auskunft als Datenpanne

5. Januar 20225. Januar 2022

DSBOK Niederlassung Niederlande

In Q4 2021 schloss unser Kollege Michael Bense die Prüfung zum Datenschutzbeauftragten beim TÜV Rheinland erfolgreich ab. Ab dem 01.01.2022 ist die offizielle Partnervertretung in Holland von DSBOK in Baarn unter Leitung von Herrn Bense. Natürlich bleibt Herr Bense auch weiterhin den von Ihm in Deutschland betreuten Mandanten erhalten.

5. Januar 20225. Januar 2022

Die Praxisübernahme und das „Zwei-Schrank-Modell“

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

Man stellt in der Arztpraxis zwei Schränke auf.
In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
Schrank 2 ist zunächst völlig leer.
Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

10. Dezember 202110. Dezember 2021

EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

23. Juli 202123. Juli 2021

Datenauskunft als Datenpanne?

Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Fristen einzuhalten ist nicht alles

Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.

Die Identität des Antragstellers muss geklärt sein

Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.

Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.

Nicht auf die falsche Prüfung der Identität setzen

Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.

Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.

Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.