Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Auftragsverarbeitung. Das ewige Ärgernis

Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.

Dieses Jahr feiert die DSGVO ihren 5. Geburtstag - zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre ... 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.

Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.

Absichtserklärungen und Prosa

Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.

Beispiele aus der jüngsten Zeit

Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.

Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.

Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!

Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.

Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.

Ärger von allen Seiten

Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.

Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.

Warum fragt eigentlich niemand?

Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.

Nicht beschrieben, nicht existent

Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?

Der Poet

Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.

Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.

DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".

Verantwortliche sind natürliche oder juristische Personen,  Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.

DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.

DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften. 

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben. 

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse. 

Besondere Kategorien 

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung 

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw. 

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift. 

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt. 

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive. 

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert. 

Was nun? 

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten. 

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen. 

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht. 

Welche Fristen sind einzuhalten? 

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht! 

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist. 

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind. 

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO). 

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann. 

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist. 

Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte. 

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere. 

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden. 

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen: 

  1. Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
  2. Welche Kategorien von personenbezogenen Daten verarbeitet werden;
  3. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
  4. Zu welchem Zweck die Daten erhoben und gespeichert werden;
  5. Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
  6. Die Herkunft der Daten;
  7. Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret? 

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie. 

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden. 

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren. 

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat. 

Welche Rechte gibt es noch? 

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

  1. Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
  2. Informationen zum Zweck der Datenverarbeitung;
  3. Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
  4. Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten. 


Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Datenschutz-Verletzungen

Zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG) mussten nur Datenschutz-Verletzungen gemeldet werden, bei denen Gesundheitsdaten, Bank- und Kreditkartendaten oder Informationen aus Strafverfahren betroffen waren. Vorfälle, die solche Daten beinhalteten, waren an die Datenschutz-Aufsichtsbehörden zu melden, nicht jedoch den betroffenen Personen.

Die Meldepflichten im Fall von Datenschutz-Verletzungen sind mit der Datenschutz-Grundverordnung (DSGVO) deutlich ausgeweitet worden. Gemeldet werden müssen nunmehr alle Verletzungen des Schutzes personenbezogener Daten und zwar an die Aufsichtsbehörde als auch an die betroffenen Personen.

Art. 33 und 34 DSGVO

Die DSGVO bindet die Pflicht zu melden an die Voraussetzung, dass durch die Schutzverletzung für die betroffenen Personen ein „Risiko“ bzw. ein „hohes Risiko“ besteht (Art. 33 und 34 DSGVO). Auch dies ist neu - es geht nicht um den Schutz des Unternehmens vor Rufschaden oder ähnlichen Folgen, sondern die Person steht im Fokus. Die Person, um deren Daten es sich handelt.

Vorgehen bei Datenschutz-Verletzungen

Im Fall einer Datenschutz-Verletzung im Unternehmen ist es wichtig, zügig und überlegt die nötigen Schritte einzuleiten. Das nachfolgende Beispiel zeigt einen Vorfall aus unserer Beratung, anhand dessen wir den Ablauf im Fall einer einer Datenschutz-Verletzung darstellen wollen. Hintergrund des Vorfalls war der unüberlegte Einsatz einer Software für die Projektorganisation.

Was war passiert?

Die Personalabteilung der Firma Wegner ** wollte für eine bessere Organisation ihrer internen Abläufe die Software "Trello" einsetzen. Trello ist ein Tool für das Projektmanagement in Teams. Es ist eine Cloud Lösung und wird in den USA gehostet. Mehrere Mitarbeiter von Wegner registrieren sich für die kostenlose Version.

Am 19. März fand ich um kurz vor 9 Uhr eine E-Mail eines Hans Nielsen von der Firma MediaX, der mir schrieb, bei meinem Auftraggeber Wegner habe es eine Datenschutz-Verletzung gegeben.

"Gestern wurde ich <Hans Nielsen, MediaX> durch Herrn Burmester der Wegner AG auf ein nicht öffentliches Trello Board ... ungefragt eingeladen (18.03.2019, 18:07) und auf diesem hinzugefügt (18.03.2019, 18:07; Maileingang 18:09). Diese Einladung erfolgte ohne vorherige Kontaktaufnahme oder meine Zustimmung. Neben meinen Namen enthält dieses Board diverse personenbezogene Daten anderer Personen. So sind hier Vor- und Nachnamen ersichtlich aber auch Verläufe zu deren Bewerbungsprozess wie Status der Bewerbung, Anmerkungen zu Reisebereitschaft und allgemein zu diesem Bewerber".

Es folgte die nicht öffentliche URL des Boards und mehrere Screenshots der Mail, sowie die Information, dass er Herrn Burmester informiert und dieser den Zugriff am 19.03.2019 um 09:58 Uhr wieder unterbunden habe.

Ich setzte mich mit dem in der Mail genannten Herrn Burmester in Verbindung, um Details der Sache zu erfahren. Herr Burmester war nicht zu erreichen. Ein Anruf in der IT ergab die Auskunft: „Wir kennen dieses Tool nicht und haben den Einsatz nicht freigegeben“.

Es droht Ungemach

Ich schrieb eine EILT! DATENSCHUTZ! Mail an den Geschäftsführer und wies ihn darauf hin, dass diese Datenschutz-Verletzung nach meiner vorläufigen Einschätzung an die Datenschutz-Aufsichtsbehörde gemeldet werden muss. Damit lief auch die Frist; nach Art. 33 Abs. 1 DSGVO muss eine Datenschutz-Verletzung innerhalb von 72 Stunden „nach Kenntnis des Vorfalls“ an die Aufsichtsbehörde gemeldet werden.

In unserem Fall hieß das: Kenntnis des Vorfalls bei der Datenschutzbeauftragten etwa zeitgleich mit der Kenntnis im Unternehmen am 19.03.2019 um 09:30 Uhr. Die 72 Stunden Frist nach Art. 33 Abs. 1 DSGVO endete am Freitag, 22.03.2019, 09:30 Uhr.

Betroffene Personen

Es waren ungefähr ein Dutzend Personen betroffen, die sich bei der Firma Wegner beworben hatten. Es waren keine Geburtsdaten, keine Adressen, keine Details aus Lebensläufen öffentlich geworden, aber die Angabe über den Status des Bewerbungsverfahrens („Gespräch hat stattgefunden“, "passt von Qualifikation her nicht“) und Angaben zum Hintergrund („kommt aus Consulting“, „viel SAP Erfahrung“).

Wie konnte das passieren?

Trello speichert offenbar alle Namen und Mailadressen von Personen, die irgendwann mal damit gearbeitet haben – wenn auch nur probehalber und vorübergehend. Wenn man mit der Funktion „hinzufügen mittels Einladung“ einen Namen eingibt, gleicht das System den Namen mit den schon auf Vorrat gespeicherten ab. Dann schickt es ohne weitere Nachfrage eine Einladung raus. Dementsprechend landete nach Eingabe des Namens des „Hans Nielsen“ von der Firma Wegner die Einladung bei Hans Nielsen von der Firma MediaX. Dieser zweite Hans Nielsen war im Gegensatz zu dem ersten offenbar schon einmal bei Trello registriert.

Die nächsten Maßnahmen

Der Geschäftsführer rief mich am späteren Abend zurück und ich empfahl ihm mehrere Maßnahmen:

Darüberhinaus empfahl ich:

Ich sah keine Verpflichtung nach Art. 34 DSGVO, die betroffenen Personen zu informieren. Die Daten waren nur für eine Person und auch nur über einen relativ kurzen Zeitraum einsehbar. Hinzu kam, dass es sich „nur“ um den Namen und den Status des Bewerbungsverfahrens handelte.

Fazit

Bei allem, was hier im Vorfeld schiefgelaufen war, wurde immerhin richtig und angemessen reagiert, als der Schaden entstanden war. Die Meldung an die Aufsichtsbehörde wurde gemacht und ich warte nunmehr auf eine Reaktion von dort.

Damit eine richtige und angemessene Reaktion nicht dem Zufall überlassen bleibt, bietet es sich an, unternehmensinterne Prozesse und Verantwortlichkeiten für den Fall einer Datenschutz-Verletzung festzulegen und bei den Verantwortlichen bekannt zu machen.

** alle Namen wurden erfunden. Es handelt sich nicht um die tatsächlichen Namen der Beteiligten.

Datenschutz im Versicherungswesen (2)

Teil zwei unserer Reihe zu Datenschutz im Versicherungswesen. Heute geht es um die Frage ob eine Einwilligung der versicherten Personen gebraucht wird, wenn zwei Versicherungsunternehmen ein Produkt zusammen anbieten.

Die Beteiligten:

Eine Versicherung (V1) vertreibt als Versicherungsvermittler ein Versicherungspaket für eine andere Versicherung (V2). Ohne den Austausch personenbezogener Daten der Versicherungsnehmer kann weder V1 noch V2 das Versicherungspaket anbieten.

Die Fragestellung:

V1 und V2 tauschen zum Zweck des Vertriebs und der Durchführung des Versicherungspakets Daten von Versicherungsnehmern aus. Ist dafür eine Einwilligung der Versicherungsnehmer nach Art. 6 Abs. 1 lit a) in Verbindung mit Art. 7 DSGVO nötig?

Datenschutzrechtliche Einordnung:

Es handelt sich um eine Übermittlung personenbezogener Daten zwischen V1 und V2, die von der Datenschutz-Grundverordnung (DSGVO) erlaubt sein muss.

Die Übermittlung von Daten ist auch nach der DSGVO zulässig, sofern die DSGVO sie erlaubt. Sofern das nicht der Fall ist, ist eine Übermittlung von personenbezogenen Daten nur mit der Einwilligung der betroffenen Person zulässig. In Art. 6 Abs. 1 DSGVO heißt es im ersten Halbsatz:

„Die Verarbeitung <personenbezogener Daten> ist nur zulässig, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist“.

Die dann aufgeführten Bedingungen für eine erlaubte Übermittlung von personenbezogenen Daten sind u.a.

Art. 6 Abs. 1 lit b) DSGVO

Als Erlaubnis für den Datenaustausch zwischen V2 und V1 kommt vorrangig Art. 6 Abs. 1 lit b) DSGVO in Betracht. Danach muss die Datenverarbeitung erforderlich sein für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist.

Die Versicherungsnehmer, die ein Versicherungspaket abschließen, sind Vertragspartei und sie sind betroffene Personen im Sinne der Vorschrift. Der Versicherungsvertrag kann nur mittels der Zusammenarbeit und mittels des Datenaustausches zwischen V1 und V2 erfüllt werden.

Daher liegt für den Datenaustausch eine gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Art. 6 Abs. 1 lit f) DSGVO

Die Vorschrift des Art. 6 Abs. 1 lit f) DSGVO käme ebenfalls als gesetzliche Erlaubnis für den Datenaustausch zwischen V1 und V2 in Frage. Im Sinne dieser Vorschrift ist als „berechtigtes Interesse“ eines Verantwortlichen jedes wirtschaftlich legitime Interesse akzeptiert. Ein berechtigtes Interesse der Weitergabe der Daten liegt daher seitens V1 als auch seitens V2 vor. Entgegenstehende schutzwürdige Interessen der Versicherungsnehmer sind hier nicht zu erkennen. Sie profitieren von einem Angebot, das zwei Unternehmen gemeinsam erbringen, und von den damit verbundenen Serviceleistungen. Daher liegt für den Datenaustausch auch diese gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Verhaltensregeln Versicherungswirtschaft

Dieses Ergebnis wird durch Art. 16 der "Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft" (Stand 29.06.208) gestützt. Dort heißt es in Art. 16 Absatz 2:

„Ein Datenaustausch mit anderen Versicherern ... erfolgt darüber hinaus, soweit dies zur Antrags- und Leistungsprüfung und -erbringung, einschließlich der Regulierung von Schäden bei gemeinsamer, mehrfacher oder kombinierter Absicherung von Risiken, des gesetzlichen Übergangs einer Forderung gegen eine andere Person oder zur Regulierung von Schäden zwischen mehreren Versicherern über bestehende Teilungs- und Regressverzichtsabkommen erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem entgegensteht“.

Hier wird ganz offensichtlich ebenfalls davon ausgegangen, dass ein Datenaustausch zwischen Versicherern in den bezeichneten Fällen ohne Einwilligung der Versicherungsnehmer zulässig ist.

Einwilligung

Trotz des Vorliegens einer gesetzlichen Erlaubnis für den Datenaustausch könnten V1 und/oder V2  zusätzlich oder alternativ eine Einwilligung der betroffenen Person einholen. Art. 6 Abs. 1 DSGVO nennt ausdrücklich die Erfüllung „mindestens“ einer der genannten Erlaubnistatbestände, und die Einwilligung ist an erster Stelle genannt.

Nach Art. 7 Abs. 4 DSGVO muss eine Einwilligung in eine Datenverarbeitung freiwillig erfolgen.

V2 sah für die Einwilligungserklärung einen Text vor, der wie folgt lautete:

 Mit meiner/unserer Unterschrift willige/n ich/wir ein, dass gemäß der links abgedruckte Einwilligungserklärung die Versicherer der V2-Versicherungsgruppe und die Unternehmen der V1-Versicherungsgruppe meine allgemeinen Antrags-, Vertrags- und Leistungsdaten jeweils in gemeinsamen Datensammlungen führen. WICHTIGER HINWEIS: Diese Einwilligung ist freiwillig und ich/wir kann/können sie jederzeit mit Wirkung für die Zukunft widerrufen. Es wird jedoch darauf hingewiesen, dass dann die Erfüllung der Vertragspflichten seitens der Versicherer im Leistung- bzw. Schadenfall in der Regel nicht möglich sein wird.

Hier wird trotz der Behauptung des Gegenteils die Einwilligung von der Erfüllung des Vertrages abhängig gemacht, die damit nicht mehr freiwillig ist: keine Einwilligung, keine Vertragserfüllung seitens des Versicherers. Die betroffene Person hat keine Wahl. Diese Einwilligung ist mangels Freiwilligkeit unzulässig und unwirksam. Sie ist auch entbehrlich, da es wie oben beschrieben, gesetzliche Erlaubnistatbestände für den Austausch zwischen Versicherung und Versicherungsvermittler gibt, und auf die sollte zurückgegriffen werden.

 

 

 

 

Datenschutz im Versicherungswesen (1)

Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.

Die Beteiligten:

Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.

Das Problem:

U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.

Datenschutzrechtliche Einordnung:

Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.

In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:

… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.

Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.

Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.

M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.

Datenschutzrechtliche Verantwortlichkeit

Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat - nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.

Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat - im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.

Das Praxisproblem:

Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U - die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.

Die Empfehlung der Datenschutzbeauftragten:

Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.