Datenschutz in Krankenhäusern und Arztpraxen

In Krankenhäusern und anderen Gesundheitseinrichtungen werden täglich große Mengen an verschiedenen personenbezogenen Daten verarbeitet. Den größten Anteil haben hierbei Gesundheitsdaten, die als hochsensible Daten unter Art. 9 DS-GVO fallen und damit besonders geschützt werden müssen. Die Verarbeitung von Informationen zum Gesundheitszustand von Patientinnen und Patienten birgt insbesondere bei mangelnden Schutzmaßnahmen ein mitunter enormes Risiko für die betroffenen Personen, weshalb dem Datenschutz und der (IT-)Sicherheit im Gesundheitssektor eine wichtige Bedeutung zukommt. Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf. Zusätzlich [...]

Aktuelle Datenpannen & Ereignisse

Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung - auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen. Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, relevant für datenschutzrechtliche Fragestellungen sind, wie Änderungen am BGB zur Umsetzung der europäischen Digitale-Güter-Richtlinie, einem sehr interessanten gerichtlichen Vergleich, den Datenschutzvorfällen in Testzentren oder den Versand von E-Mails an [...]

Emotet – Malware mit dem Potenzial zum Totalschaden

Die Gefahr durch Schadsoftware ist sowohl für Privatpersonen als auch für Unternehmen und Behörden in den letzten Jahren immer mehr gestiegen. Cyberkriminelle entwickeln ständig neue Programme, um andere Internetuser auszuspionieren, Daten zu sammeln oder sich auf andere Weise zu bereichern. Dass sie dabei immer kreativer werden, macht es sowohl für Virenscanner und SPAM-Filter als auch für die Empfänger gefälschter E-Mails schwierig, Schadprogramme zu erkennen. Werden Systeme von Schadsoftware befallen, kann dies erhebliche finanzielle Schäden zur Folge haben, die zum Teil existenzbedrohend sind. Eine der seit Jahren gefährlichsten Schadsoftware war Emotet. Der Banking-Trojaner wurde im Jahr 2014 erstmals von Experten entdeckt und bedroht seitdem Privatpersonen, Unternehmen und Behörden. Einer der wohl bekanntesten Fälle ist der Befall mit Emotet beim Kammergericht Berlin im September des vergangenen [...]

Unzulässige Videoüberwachung am Arbeitsplatz: 10,4 Millionen Bußgeld

Kaum hat das neue Jahr begonnen, wurde bereits das erste Bußgeld in Millionenhöhe wegen eines Verstoßes gegen die DS-GVO bekannt. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachen, Barbara Thiel, sprach noch vor dem Jahreswechsel gegen das Unternehmen notebooksbilliger.de AG das bisher höchste Bußgeld in Niedersachen aus. Sie ahndete die unzulässige Videoüberwachung in den Räumlichkeiten des Hardware-Händlers mit einer Geldstrafe in Höhe von 10,4 Millionen Euro. Nach Ansicht der Datenschutzaufsicht entspricht der Einsatz der Videokameras bei dem Unternehmen nicht den datenschutzrechtlichen Anforderungen und stellt damit einen schwerwiegenden Verstoß gegen die DS-GVO dar. Wie hoch die Anforderungen an eine datenschutzkonforme Videoüberwachung sind, haben in den letzten Jahren immer wieder verschiedene Gerichtsurteile sowie Bußgelder und Anordnungen der Aufsichtsbehörden gezeigt. Auch wenn es im Alltag häufig nicht so [...]

Erstes Urteil zur Videoüberwachung: Genaue Abwägung aller Interessen notwendig

Der Einsatz von Videokameras ist sowohl bei Privatpersonen als auch bei Unternehmen sehr beliebt, um Einbrecher abzuschrecken und Straftaten aufzudecken. Die Überwachungsanlagen werden nicht nur stetig weiterentwickelt und bieten umfangreiche Funktionen, sondern sind auch immer leichter und kostengünstiger zu beschaffen. Deshalb setzen Unternehmen in vielen Bereichen auf eine Videoüberwachung und installieren auf dem Firmengelände und in den Räumlichkeiten meist mehrere Kameras. Hierbei werden in der Regel neben Gegenständen auch Personen wie Beschäftigte, Kunden oder Besucher aufgezeichnet. Eine solche Videoüberwachung stellt unabhängig davon, ob die Bilder aufgezeichnet und gespeichert werden oder nicht, einen Eingriff in das Persönlichkeitsrecht der gefilmten Personen dar, da überwacht wird, wann sie sich wo aufhalten und was sie dort tun. Nachdem die DS-GVO die Rechte der Betroffenen erheblich gestärkt hat, ist [...]

Geburtsdatum als alleiniges Authentifizierungsmittel ungeeignet

Wie wichtig es ist, die datenschutzrechtlichen Vorgaben in alle Prozesse eines Unternehmens zu integrieren und betriebliche Abläufe entsprechend datenschutzkonform zu gestalten, zeigt das Bußgeld gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen das Unternehmen Anfang Dezember 2019 ein Bußgeld in Höhe von 9,55 Millionen Euro wegen der mangelnden Sicherheit beim Authentifizierungsverfahren des telefonischen Kundenservices. Das eingesetzte Verfahren sei aufgrund unzureichender technischer und organisatorischer Maßnahmen nicht geeignet, um die Weitergabe von Kundendaten an Unberechtigte zu vermeiden. Nachdem die 1&1 Telecom GmbH Einspruch gegen die Geldbuße erhoben hatte, wurde Anfang Oktober 2020 vor dem Landgericht (LG) Bonn das erste Verfahren gegen ein Millionenbußgeld nach der DS-GVO in Deutschland eröffnet (Az.: 29 OWi 1/20 LG). Hintergrund des Bußgelds [...]

Schwere Missachtung des Beschäftigten-Datenschutzes: 35 Millionen € Bußgeld

Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro. Das Wichtigste in Kürze Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden. Durch einen Konfigurationsfehler war der Ordner im [...]

Hackerangriff auf Universitätsklinikum Düsseldorf – so wichtig sind die TOMs

In den letzten Jahren häufen sich immer mehr Meldungen von Unternehmen und öffentlichen Einrichtungen, die Opfer einer Cyberattacke geworden sind. Die Täter suchen in der Regel gezielt nach bestehenden Sicherheitslücken und nutzen diese aus, um die betreffenden Computersysteme mit Schadsoftware zu infizieren. Die derzeit wohl am weitesten verbreitete Methode der Hacker ist der Einsatz von Verschlüsselungstrojanern, die beispielsweise in manipulierten E-Mails versteckt sind. Mithilfe der Schadsoftware (engl.: Malware) werden Daten, die auf den infizierten Computern gespeichert sind, verschlüsselt. Anschließend fordern die Hacker Lösegeld (engl.: ransom), gegen dessen Bezahlung sie den Schlüssel zur Wiederherstellung der Daten herausgeben wollen. Eine Studie der US-amerikanischen Temple University kam zu dem Ergebnis, dass die Frequenz an (öffentlich bekannten) Ransomware-Attacken dieses Jahr auf dem Höchststand seit 2013 liegt. Je nach [...]

Fehler bei der Cookie-Banner-Gestaltung: 30.000 € Bußgeld

Sind Cookie-Banner den meisten Websitebetreibern und auch Websitenutzern ein Dorn im Auge, so führt nach der jetzigen Rechtslage in den allermeisten Fällen doch kein Weg an ihnen vorbei. Zwar wurden die Spielregeln für das Setzen von Cookies durch die Datenschutz-Grundverordnung (DS-GVO) nicht verändert, jedoch sind die Strafen für die Nichtbeachtung der Vorschriften mit der DS-GVO deutlich empfindlicher geworden. Dies führte dazu, dass der Gestaltung der sog. Cookie-Banner sichtlich mehr Beachtung geschenkt wird – nicht unbedingt von den Unternehmen selbst, aber vielfach von den zuständigen Aufsichtsbehörden und den Usern der Homepage. Besonders hart zu spüren bekam das eine spanische Billigfluglinie, denn gegen sie wurde bereits im Oktober 2019 ein Bußgeld in Höhe von 30.000 Euro verhängt. Das Wichtigste in Kürze Eine spanische Billigfluglinie bot Usern [...]

Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld

Das Wichtigste in Kürze: Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden die klassischen Informationen der Teilnehmer erfasst. Die personenbezogenen Daten wurden später für Werbezwecke verwendet. Die Krankenkasse nutzte dabei auch personenbezogene Daten von Personen, von denen keine Einwilligung vorlag. Der Landesdatenschutzbeauftragte verhängte ein Bußgeld von 1,2 Millionen Euro. Ziel der Aufsichtsbehörde sei es nach Herrn Brink aber nicht, besonders hohe Bußgelder zu verhängen, sondern ein besonders gutes und angemessenes Datenschutzniveau zu gewährleisten. Die Aufsichtsbehörde betonte, dass der Datenschutz eine Daueraufgabe sei. Wirksamer Datenschutz erfordere daher regelmäßige Kontrollen und Anpassungen. Der Fall im Detail Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen, um damit fleißig persönliche Informationen der Teilnehmer – wie bspw. Kontaktdaten oder [...]

Nach oben