Datenschutz # Datensicherheit

Diese Richtlinie, die für die Sicherheit der Daten und Systeme durch die EU konzipiert wurde, bezieht das Spektrum des Gesundheitswesens mit ein. "Dienstleister im Gesundheitswesen" umfassen dabei Pflegedienste, Pflegeheime, Tagesförderungen für behinderte Menschen und ähnliche Einrichtungen, die legitime Gesundheitsdienstleistungen im Hoheitsgebiet der EU erbringen.

Obwohl die NIS2-Richtlinie derzeit lediglich eine Richtlinie der EU ist, steht Deutschland vor der Herausforderung, eine eigene Gesetzgebung zu erlassen. Die Uhr tickt, denn die Frist zur Umsetzung endet am 17. Oktober 2024.

Diakonische und caritative Einrichtungen haben also weniger als ein Jahr, um sich auf die neuen gesetzlichen Anforderungen vorzubereiten.

Wie gehen wir bei unseren Kunden vor?

Als externe Datenschutzbeauftragte betreue ich auch Kunden im caritativen Bereich. Dabei berate ich nicht nur im Datenschutz sondern genauso umfangreich in der Datensicherheit. Dadurch ist die NIS2 Richtlinie für unsere Kunden grundsätzlich keine große oder neue Herausforderung.

Der erste Schritt 👣 besteht darin, den erforderlichen Aufwand zu ermitteln und einen umfassenden Maßnahmenplan zu erstellen. In diesem Kontext wird bereits jetzt begonnen, bei Datenschutz-Kunden den notwendigen Aufwand zu evaluieren. Ein wesentlicher Vorteil liegt darin, dass die NIS2-Richtlinie, der BSI-Grundschutz und der Datenschutz viele Überschneidungspunkte aufweisen. Dies bedeutet, dass die bisher getroffenen Datenschutzmaßnahmen gleichzeitig einige Anforderungen der NIS2-Richtlinie und des BSI erfüllen können.

🕑 Die frühzeitige Planung und Umsetzung von Datenschutzmaßnahmen ermöglichen es den diakonischen Einrichtungen, den Übergang zur NIS2 reibungslos zu gestalten. 🔄 Die Synergien zwischen den verschiedenen Vorschriften eröffnen die Möglichkeit, Effizienzgewinne zu erzielen und Ressourcen effektiv zu nutzen. Angesichts der bevorstehenden Frist ist eine proaktive Herangehensweise entscheidend. Konkrete Informationen zur Umsetzung der NIS2 werden noch folgen.

Das Datenschutzrecht (DSGVO) sieht bei einer datenschutzrechtlichen Zusammenarbeit zwei mögliche Wege vor:

1. Auftragsverarbeitung nach Art. 28 DSGVO.

2. Gemeinsame Verantwortung nach Art. 26 DSGVO.

Welcher Vertrag der richtig ist hängt von der Art der Zusammenarbeit und der sich daraus resultierenden Verantwortung ab.

Die neusten Erkenntnisse aus der Rechtsprechung zeigen allerdings, dass vorwiegend von einer gemeinsamen Verantwortung ausgegangen werden sollte. Sowohl das ausleihende als auch das leihende Unternehmen verarbeiten zum Teil unterschiedliche und zum Teil gemeinsame Daten. So werden z.B. Bewerbungsdaten, Mitarbeiterstammdaten oder auch Abrechnungsdaten gemeinsam verarbeitet. Zutrittsdaten oder andere organisatorische Daten werden hingegen vermutlich nur beim leihenden Unternehmen erfasst oder gespeichert. Und genau diese Differenzierungen müssen vertraglich festgehalten und die unterschiedlichen Verantwortlichkeiten geregelt werden. In der Gesamtbetrachtung der rechtlichen Situation geht der Gesetzgeber daher von einer gemeinsamen Verantwortung aus. Die Vertragsinhalte können an die bekannten Verträge zur Auftragsverarbeitung angelehnt werden. Die Aufsichtsbehörde für den Datenschutz in Baden Württemberg stellt auch eine entsprechende Vertragsvorlage zur Verfügung. Unter Umständen hat der Anbieter der Arbeitnehmerüberlassung eine Vertragsvorlage für die Kunden vorbereitet. Es lohnt sich demnach auch dieses Kriterium in einem Anbietervergleich einfließen zu lassen.

Obwohl die DSGVO in der gesamten Europäischen Union gilt, so auch in Dänemark, wird sie unterschiedlich interpretiert und angewendet. Vielleicht liegt das daran, dass Datenschutz in Deutschland einen besonderen Stellenwert hat, da er bereits im Grundgesetz verankert ist. Kollegen aus meinem Bereich verstehen sicherlich, wie man nach Jahren im Datenschutz nur noch mit der Datenschutz-👓 durchs Leben geht. Das kann sowohl positiv als auch negativ sein. Lassen Sie mich kurz erzählen, was ich durch diese Brille in Dänemark gesehen habe.

🚘 𝐏𝐚𝐫𝐤𝐡ä𝐮𝐬𝐞𝐫: Fast überall wurden die Kennzeichen der einfahrenden Autos gescannt, um die Einfahrtszeit zu registrieren. Keine Schranken, nur Smartphone-Zahlung beim Ausfahren, meistens per Kreditkarte. Zahlungsverweigerer erhalten später eine Rechnung mit Strafgebühr. Ich fragte mich: Wie viele Daten werden allein für das Parken erfasst? Wo sind die Datenschutzhinweise? Was passiert mit den Daten? Und die Kunden? Sie scheinen es zu begrüßen. Die Vorteile habe ich natürlich erkannt. Es spart Kosten für Schranken und Personal und den Kunden das Aufsuchen der Kassenautomaten.

🎦 𝐊𝐚𝐦𝐞𝐫𝐚𝐬: Viele Kameras in Dänemark, aber keine Warnhinweise. Bedeutet das, dass Dänemark im Datenschutz hinterherhinkt? Oder sind wir Deutschen einfach zu vorsichtig? Vielleicht sollten wir in Deutschland pragmatischer im Datenschutz sein, besonders in Bezug auf Digitalisierung.

🚌 𝐁𝐮𝐬𝐭𝐨𝐮𝐫: Ich wollte eine Stadtrundfahrt mit Hop-On-Hop-Off-Bussen machen, aber man benötigte eine App, um Tickets zu kaufen und zu nutzen. Das Ticket war ein QR-Code, also zwei Apps erforderlich. "Daumen hoch" für die Digitalisierung, aber "Kopfschütteln" für die komplizierte Handhabung und die Wartezeiten beim Scannen. Ein Papierticket wäre vermutlich schneller gewesen.

😲 Leider endeten meine ersten Erfahrungen in einer durchdigitalisierten Welt fast in einem Fauxpas. Die Energie meines Smartphones ging, aufgrund der intensiven Nutzung, dem Ende entgegen. Grundsätzlich stellt dieser Umstand für mich kein Problem dar. Ich bin auch gerne mal ohne Smartphone unterwegs. Allerdings habe ich vergessen, dass sowohl das Busticket, als auch andere Funktionen in Dänemark nur mit dem Smartphones nutzbar sind. Deshalb habe ich zwar spät, aber noch rechtzeitig die Brisanz in meiner Situation erkannt. Jetzt verstehe ich, warum viele Menschen eine Powerbank mitnehmen. Dänemark ist in der Digitalisierung weiter als Deutschland, sicherlich, weil nicht jeder Schritt datenschutzrechtlich geprüft wurde. Diese Erfahrungen werden sich positiv auf meine beratende Tätigkeit auswirken.

Sowohl die Boardcomputer als auch verbaute Fahrtenschreiber zeichnen eine große Menge an Daten auf, die als personenbezogene Daten auch unter die Datenschutzgrundverordnung (DSGVO) fallen.

Es handelt sich dabei um Daten wie Kilometerstände, Fehlermeldungen, Sensordaten (z.B. Anzahl der Mitfahrer), Benutzereinstellungen (z.B. Sitzeinstellungen), SIM-Karten-Daten (Ortung ist möglich), Daten aus der Koppelung mit Smartphones (z.B. Telefonbuch, Musikdaten, Nachrichten) usw.

Da sämtliche neuen Fahrzeuge eine Reihe von personenbezogenen Daten verarbeiten, spielt der/die Datenschutzbeauftragte bei der Anschaffung der Fahrzeuge eine immer wichtiger werdende Rolle.

Der/die Datenschutzbeauftragte muss sich weiterbilden, um auch in diesem Umfeld fachlich beraten zu können.

Mit voranschreitender Digitalisierung wird es immer schwieriger, die Prozesse und IT-Systeme professionell zu bewerten. Daher sind Weiterbildungen unabdingbar. Der/die Datenschutzbeauftragte muss bei jeder Anschaffung eines Dienstwagens Kriterien prüfen, um das Risiko für die Geschäftsführung kalkulierbar zu machen.

Welche Kriterien sollten geprüft werden?

Wie erfolgt ein Update? Muss das Auto in die Werkstatt gefahren werden oder erhält das Fahrzeug die Updates Over-the-Air (OTA). Das bedeutet, dass das im Fahrzeug eine SIM-Karte verbaut wurde, die über das Mobilfunknetz oder manchmal über WLAN ein Update erhält. Durch die SIM-Karte verarbeitet das Auto fast die gleichen Daten wie ein Smartphone. Deshalb sind an das Fahrzeug ähnliche Anforderungen zum Datenschutz zu stellen, wie an ein Smartphone.

Im Datenschutz ist auch eine entsprechende Richtlinie anzustoßen. In einer Richtlinie für die Nutzung von Dienstwagen sollte festgelegt werden welche Verhaltensweisen von den Mitarbeitern erwartet wird. So sollte es beispielsweise ausgeschlossen werden, dass Mitarbeiter alle Daten eines dienstlichen Smartphones auf das Fahrzeug übertragen. Gegen eine Verbindung via Bluetooth zur Nutzung einer Freisprecheinrichtung ist datenschutzrechtlich nichts einzuwenden. Verbindungsübersichten sollten gelöscht werden, sobald das Fahrzeug durch eine andere Person genutzt wird. Ebenso sollte die Richtlinie Regelungen enthalten, die das Verhalten bei Unfällen und Diebststählen beschreibt. Aus der Sicht des Datenschutzes sind dabei die Risiken für die Daten an Board (Bordcomputer, mitgenommene Akten, digitale Geräte) zu berücksichtigen.

👉 Fazit: Datenschutz ist auch in Fahrzeugen unerlässlich! 👈

Ohne den/die Datenschutzbeauftragte(n) sollten keine Prozesse oder Anschaffungen durchgeführt werden, um das Risiko einer Fehlentscheidung zu minimieren.

Damit sowohl die Datenschutzbeauftragten als auch Unternehmen ohne Datenschutzbeistand die Firmenfahrzeuge datenschutzkonform einsetzen können stellen wir Ihnen eine kleine Checkliste zur Verfügung.

In diesem Beitrag wollen wir einen Blick auf dieses wichtige Thema werfen und den Unternehmen und Datenschutzbeauftragten zeigen, welche Maßnahmen Sie ergreifen sollten, um die Mitarbeiterdaten zu schützen.

Sobald die Mitarbeiter ihre dienstlichen Smartphones 📱 mit dem Fahrzeug verbinden erhalten auch Werkstatt und Hersteller die Kundendaten z.B. Telefonnummern, Anruflisten, Nachrichten. In den wenigsten Datenschutzhinweisen wurde dieser Umstand berücksichtigt. Ich behaupte mal, die meisten Unternehmen haben dazu keine Einwilligung der Kunden vorliegen. Zugegeben, dieses Vorgehen ist wenig praxisnah. Dennoch müssen die datenschutzrechtlichen Vorgaben der DSGVO und BDSG berücksichtigt werden. Eine entsprechende Rechtsgrundlage für die Offenlegung der Daten ist erforderlich.

Da die Hersteller der Fahrzeuge bisher kaum den Schutz der Daten in der Entwicklung der Autos berücksichtigen bzw. bewusst diese Daten für eigene Zwecke nutzen, müssen die Unternehmen als Fahrzeugnutzer diesen Missstand beheben. 😕

Im Vorfeld sollten die Hersteller dahingehend umfangreich geprüft werden. Die Unternehmen, als Fahrzeugnutzer, sind verpflichtet die Kunden transparent über eine mögliche Datenübertragung an Werstätten und Hersteller zu informieren.

Wie sollten Unternehmen und Datenschutzbeauftragte vorgehen?

1. Fahrzeughersteller sollten genausten unter die 🔎 genommen werden. Weniger ist mehr. Vielleicht reichen einfache Firmenfahrzeuge ohne viele Infotainmentsystem aus.

2. Es sollten Regelungen im Umgang mit Firmenfahrzeugen getroffen werden. Mitarbeiter dürfen die Daten des Smartphones nicht mit dem Fahrzeug synchronisieren. Vor dem Besuch der Werkstatt sollten Daten im Fahrzeug gelöscht werden z.B. Anruflisten, Telefonnummern.
Die Mitarbeiter müssen wissen welche Infotainmentsysteme von ihnen genutzt werden dürfen und welche nicht.

Für eine bessere Übersicht haben wir die wichtigsten Prüfpunkte in der folgenden Checkliste zusammengefasst.

Grundsätzlich ist jede Datenschutzverletzung (auch „Datenpanne“ genannt) meldepflichtig. Ausnahmen von dieser Regel gibt es nur für Datenpannen, die voraussichtlich kein Risiko für die Betroffenen (z.B. Kunden oder Mitarbeiter) bedeuten. Um das zu prüfen, muss demnach eine Risikoabschätzung durchgeführt werden. Organisationen mit einem/einer Datenschutzbeauftragten können sich für die Risikoabschätzung auf die Expertise des/der Beauftragten verlassen. Übrige Organisationen sind gut beraten vorsorglich jede Datenschutzverletzung zu melden.

Was ist eine Datenschutzverletzung?

Datenschutzverletzungen sind sehr vielfältig. Fälschlicherweise werden häufig nur die typischen "Hackerangriffe" als Datenschutzpanne gesehen. Das Datenschutzrecht legt bei der Beurteilung einer Datenpanne die Maßstäbe allerdings viel strenger an. So ist bereits der Verlust eines Speichermediums mit personenbezogenen Daten (z.B. Kundenlisten) eine Datenschutzverletzung. Oder auch die Unachtsamkeit im Büro, so dass Anzeigen auf dem Monitor durch Besucher eingesehen werden können, wird als Datenschutzverletzung gewertet.

Beispiele aus meiner praktischen Tätigkeit:

• Verlust eines USB-Sticks mit zahlreichen Dokumenten und Kundenlisten
  
• Serverdefekt von 3 Tagen. Nicht Erreichbarkeit der Daten.
  
• Einbruch in einen Dienstwagen und Diebstahl des Laptops.
  
• Vergessene Löschung von Berechtigungen im Buchhaltungssystem eines bereits ausgeschiedenen Mitarbeiters.
  
• Verlust von Patientenakten beim Postversand.
  
• Vergessene Ausdrucke im Gemeinschaftsdrucker über Nacht.
  
• Fehlendes Update am Server.
  
• Nutzung von Systemen mit Sicherheitslücken.
  
• Hackerangriff auf privates E-Mail Konto, welches widerrechtlich zum Teil beruflich genutzt wurde.
  

Natürlich führen deratige Vorfälle nicht pauschal zu einer Datenschutzverletzung. Grundsätzlich ist immer eine Einzelfallbetrachtung erforderlich. Diese Beispiele aus unserem Berateralltag sollen die Vielfältigkeit der Datenschutzverletzungen aufzeigen.

Welche Schritte müssen ergriffen werden?

Sobald eine Datenschutzverletzung in Sinne der DSGVO vorliegt sind Verantwortliche verpflichtet die Verletzung der zuständigen Behörde innerhalb einer Frist von maximal 72 Stunden anzuzeigen.
Neben der Anzeigepflicht, gegenüber der Behörde, gilt es noch weitere Gegenmaßnahmen zu ergreifen und Dokumentationen anzufertigen, bei denen der/die Datenschutzbeauftragte ebenfalls beratend unterstützen kann.

Dennoch stellen sich die Verantwortlichen die Frage, ob die Meldung einer Datenpanne ein Bußgeld nach sich ziehen kann. Derartige Unsicherheiten führen, meinen Erfahrungen nach, häufig dazu, dass Verantwortliche Datenpannen bewusst nicht melden.

Einen wichtigen Hinweis möchte ich Ihnen vorweg geben. Die Unterlassung einer Meldung an die Behörde ist keine gute Idee. Aufgrund der umfangreichen Vernetzung der Mitarbeiter wird eine Datenpanne früher oder später bekannt. Eine unterlassene Meldung an die Behörde ist definitiv ein bußgeldbehafteter Verstoß gegen den Datenschutz.

Mit der Frage, ob eine fristgemäße Meldung dennoch mit einem Bußgeld bestraft werden kann, hat sich 2019 bereits die Aufsichtsbehörde Thüringen beschäftigt. In der Pressemeldung vom 23.08.2019 verweist die Behörde auf den § 43 Abs. 5 BDSG. Darin wurde schon vor vielen Jahren rechtlich geregelt, dass die Meldung nicht ohne Weiteres für ein Bußgeld herangezogen werden darf.

Nicht auszuschließen ist allerdings, dass die Behörde die gemeldete Datenschutzverletzung zum Anlass einer Kontrolle nimmt. Auch dazu sei gesagt, dass meine bisherigen Erfahrungen gezeigt haben, dass eine vernünftige Zusammenarbeit mit der Behörde in erster Linie als Amtsunterstützung gesehen werden kann. Jeder Hinweis der Behörde sollte als Anlass zur Verbesserung gesehen werden, um größere Schäden (ggf. Schadenersatzansprüche) oder Bußgeldverfahren zu vermeiden.

Bei Meldungen zu Datenschutzverletzungen können Sie sich auf unsere Unterstützung und Erfahrung verlassen.