Datenschutz in Krankenhäusern und Arztpraxen

In Krankenhäusern und anderen Gesundheitseinrichtungen werden täglich große Mengen an verschiedenen personenbezogenen Daten verarbeitet. Den größten Anteil haben hierbei Gesundheitsdaten, die als hochsensible Daten unter Art. 9 DS-GVO fallen und damit besonders geschützt werden müssen. Die Verarbeitung von Informationen zum Gesundheitszustand von Patientinnen und Patienten birgt insbesondere bei mangelnden Schutzmaßnahmen ein mitunter enormes Risiko für die betroffenen Personen, weshalb dem Datenschutz und der (IT-)Sicherheit im Gesundheitssektor eine wichtige Bedeutung zukommt. Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf. Zusätzlich [...]

On- und Offboarding datenschutzkonform gestalten

Strukturierte und klare On- bzw. Offboarding-Prozesse sind nicht nur aus personalwirtschaftlicher Sicht wichtig, sondern beide Prozesse haben auch aus datenschutzrechtlicher Perspektive eine immense Bedeutung. Als sog. organisatorische Maßnahmen gehören sie nach Art. 32 DS-GVO zu den angemessenen Maßnahmen, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu schützen. Aus datenschutzrechtlicher Sicht spielen bei der Einstellung und Entlassung von Mitarbeitern eine Vielzahl von Themen eine Rolle, die in die Prozesse integriert sein müssen. Hierzu gehören insbesondere: Onboarding Information über die Verarbeitung persönlicher Daten Datenschutzkonforme Erhebung der Mitarbeiterdaten Vergabe der Berechtigungen Einholen von speziellen Datenschutzdokumenten Datenschutzrechtliche Schulung und Verpflichtung Offboarding Entzug von Zugangsmöglichkeiten Entzug von Zugriffsrechten Rückgabe von Firmeneigentum Löschung bzw. Archivierung der [...]

Aktuelle Datenpannen & Ereignisse

Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung - auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen. Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, relevant für datenschutzrechtliche Fragestellungen sind, wie Änderungen am BGB zur Umsetzung der europäischen Digitale-Güter-Richtlinie, einem sehr interessanten gerichtlichen Vergleich, den Datenschutzvorfällen in Testzentren oder den Versand von E-Mails an [...]

Aktuelle Urteile und Bußgelder

Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Bewertung eines Auskunftsanspruchs, die Zulässigkeit der Videoaufsicht bei Prüfungen oder den Anforderungen an eine Einwilligung für Telefonwerbung sowie über aktuell verhängte interessante Bußgelder aus Deutschland, den Niederlanden, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs. OLG Schleswig-Holstein: Löschanspruch bei Schufa sechs Monate nach Restschuldbefreiung Fallbeschreibung Über das Vermögen eines Schuldners wurde ein Insolvenzverfahren eröffnet und dies gemäß der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet [...]

Datenschutz – trotz Corona eine zentrale Unternehmensaufgabe

Zusammenfassung In Zeiten einer weltweiten Pandemie, die für viele Unternehmen zum Teil existenzbedrohende Ausmaße angenommen hat, ist es vernünftig und nötig, sich über Prioritäten im Betrieb bewusst zu sein. Den Datenschutz jedoch reflexartig als einen Bereich anzusehen, in dem man Ressourcen einsparen könnte, kann sich als gefährlicher Bumerang entpuppen. Nicht nur ist das Recht auf informationelle Selbstbestimmung ein Grundrecht, das es gerade in Krisensituationen zu verteidigen gilt und das auch von Kunden als solches wahrgenommen wird. Zu Recht erwarten sie nämlich auch in Corona-Zeiten einen angemessenen Umgang mit ihren personenbezogenen Daten. Folgerichtig ist der Datenschutz nicht aufgehoben, vielmehr kommen auf Verantwortliche durch Corona eher neue Herausforderungen hinzu, nicht zuletzt wegen der immer noch steigenden Zahl von Beschwerden und Kontrollanregungen. Hatten wir uns bereits im [...]

3 Jahre DS-GVO – was müssen Unternehmen umgesetzt haben?

Rund drei Jahre ist es mittlerweile her, dass die DS-GVO in Kraft getreten ist und das Team der ascon das Beratungsangebot im Bereich Datenschutz verstärkt ausgebaut hat. Um den 25. Mai 2018 haben insbesondere viele kleine und mittelständische Unternehmen den Datenschutz noch als „vorübergehenden Hype“ abgetan. Mit die größte Sorge war es, einen geeigneten Datenschutzbeauftragten zu finden – soweit überhaupt eine Benennpflicht bestand. Seitdem hat die Bedeutung des „neuen“ Datenschutzes allerdings nicht wie vermutet wieder abgenommen, sondern Nachlässigkeiten beim Schutz personenbezogener Daten sind durch den Druck von Kunden, Arbeitnehmern und den Medien vielmehr ein wahres Damoklesschwert geworden. Betroffene Personen sind sich in den letzten drei Jahren nicht zuletzt durch die Öffentlichkeitsarbeit der Aufsichtsbehörden und die zahlreichen Medienberichte zu Datenschutzverstößen in großen Weltkonzernen ihrer Rechte [...]

Angriffe auf Exchange-Server

Die Anfang März 2021 bekannt gewordenen Sicherheitslücken in den Microsoft Exchange-Server-Versionen 2010, 2013, 2016 und 2019 entwickeln sich zu einem weltweiten Problem. Auch zahlreiche deutsche Unternehmen sind Opfer des Hackerangriffs geworden und müssen nun nicht nur aus Datenschutzsicht handeln. Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind vermutlich allein in Deutschland zehntausende E-Mail-Server kompromittiert. Das bedeutet, die Daten sind so manipuliert, dass das betroffene Unternehmen keine Kontrolle mehr über die korrekte Funktionsweise der Systeme oder die Zugriffe auf die Daten hat. Hintergrund ist ein Hackerangriff, der zunächst überwiegend amerikanischen Forschungseinrichtungen mit Pandemie-Fokus sowie weiteren essenziellen Sektoren galt. Durch die Ausnutzung einer Kombination von Sicherheitslücken gelang es den Angreifern, Kontrolle über die Exchange-Server zu erhalten. Der Hersteller Microsoft, der den Angriff einer [...]

2021-03-23T13:46:02+01:00Kategorien: Allgemein|

Datenschutzanforderungen bei Videokonferenzen

Meetings sowie andere Veranstaltungen im virtuellen Raum sind in der heutigen Zeit kaum mehr wegzudenken und gewinnen auch im Unternehmensalltag immer mehr an Bedeutung. Verschärft wurde diese Entwicklung durch die COVID-19-Pandemie und die daraus folgenden Einschränkungen und Maßnahmen zu deren Eindämmung. Bei Videokonferenzen gibt es aus Datenschutzsicht allerdings einige Punkte zu beachten – von der Wahl eines geeigneten Videokonferenz-Tools bis zur Durchführung des virtuellen Treffens. Dieser Beitrag vermittelt unter anderem auf Basis der Orientierungshilfe der Konferenz deutscher Aufsichtsbehörden (DSK) vom 23.10.2020 einen Überblick über die Datenschutzanforderungen bei Videokonferenzsystemen. Die wichtigsten Datenschutzanforderungen Im Rahmen von Videokonferenzen wird eine große Bandbreite an personenbezogenen Daten der Teilnehmer verarbeitet. Neben Anmelde- und Metadaten sind hier durch das virtuelle Meeting selbst verarbeitete Daten besonders kritisch. Hierzu zählen Bild- [...]

Tracking & Co. – Datenschutzkonformer Einsatz von Cookies auf Homepages

Auch fast drei Jahre nach Inkrafttreten der DS-GVO sind die Minderheit der Homepages datenschutzkonform aufgebaut. Dies belegen immer wieder neue Studien, regelmäßige Beschwerden bzw. Kontrollanregungen von Internetusern und regelmäßige Überprüfungen der Aufsichtsbehörden. Ein gern gewählter Zeitpunkt für anlasslose Kontrollen ist der Safer Internet Day, ein jährlich wiederkehrender Aktionstag in über 144 Ländern weltweit. Dieses Jahr fand der Aktionstag am 09.02.2021 statt. Im Fokus der Aufsichtsbehörden stand dabei vor allem die Aufklärung von Jugendlichen und Kindern sowie der Aufruf, Anwendungen mit datenschutzfreundlichen Voreinstellungen zu nutzen. Unangefochtene Nummer Eins bei den häufigsten Datenschutzfehler ist und bleibt der Umgang mit Cookies. Zwar sind heute auf fast allen Seiten sogenannte Cookiebanner zu finden, diese entsprechen aber nur in den wenigsten Fällen den Anforderungen der [...]

2021-02-10T11:44:58+01:00Kategorien: Allgemein, Datenschutz-Tipps|

Emotet – Malware mit dem Potenzial zum Totalschaden

Die Gefahr durch Schadsoftware ist sowohl für Privatpersonen als auch für Unternehmen und Behörden in den letzten Jahren immer mehr gestiegen. Cyberkriminelle entwickeln ständig neue Programme, um andere Internetuser auszuspionieren, Daten zu sammeln oder sich auf andere Weise zu bereichern. Dass sie dabei immer kreativer werden, macht es sowohl für Virenscanner und SPAM-Filter als auch für die Empfänger gefälschter E-Mails schwierig, Schadprogramme zu erkennen. Werden Systeme von Schadsoftware befallen, kann dies erhebliche finanzielle Schäden zur Folge haben, die zum Teil existenzbedrohend sind. Eine der seit Jahren gefährlichsten Schadsoftware war Emotet. Der Banking-Trojaner wurde im Jahr 2014 erstmals von Experten entdeckt und bedroht seitdem Privatpersonen, Unternehmen und Behörden. Einer der wohl bekanntesten Fälle ist der Befall mit Emotet beim Kammergericht Berlin im September des vergangenen [...]

Nach oben