Fünftens - Erst nachdenken, dann posten

Um unangenehme Überraschungen zu vermeiden, ist es daher ratsam vor einer Veröffentlichung nachzudenken. Will ich diese Information tatsächlich mit der ganzen Welt teilen? Will ich sie auf einige ausgewählte Freunde beschränken? Kann mein Kommentar missverstanden werden? Aus dem Kontext gerissen und gegen mich verwendet werden? Kann ich auch in fünf Jahren noch zu diesen Äußerungen stehen? Auch sollte man sich vergegenwärtigen, dass die (offline) Rechte anderer auch online gelten. Sätze, die im realen Leben eine Beleidigung darstellen, sind auch eine Beleidigung, wenn sie gepostet werden. Online Beleidigungen, Drohungen, Nötigungen und dergleichen sind in ihrer Wirkung noch wesentlich schlimmer, als wenn sie außerhalb des Netzes stattfinden, weil sie eine viel größere Reichweite als im realen Leben haben.

Sechstens -  Privat ist nicht immer privat

Private Äußerungen über den Arbeitgeber sind erst mal privat und vom Grundrecht auf freie Meinungsäußerung geschützt. Im Zusammenhang mit Veröffentlichungen über den Arbeitgeber ist privat nicht mehr privat, wenn „außerdienstliches Verhalten auf den betrieblichen Bereich durchschlägt“, indem zum Bespiel ehrverletzende Äußerungen, wahrheitswidrige Tatsachenbehauptungen oder grob unsachliche Angriffe den Betriebsfrieden stören können. Wann das eine oder das andere der Fall ist, wird von Arbeitsgericht zu Arbeitsgericht ganz unterschiedlich gewertet (es gibt bereits einige Entscheidungen zu diesem Thema). Wo die Grenze der freien Meinungsäußerung erreicht ist, sollte man also besser nicht ausprobieren.

Siebtens - Seien Sie wählerisch

Seien Sie wählerisch mit ihren Freunden, im richtigen Leben sind Sie das auch. Nur weil es nur einen Mausklick braucht um „Freundschaften“ zu schließen, sollten Sie in der virtuellen Welt keine anderen Maßstäbe anlegen als im wirklichen Leben. Beantworten Sie also keine Kontaktanfragen von Leuten, die sie nicht kennen. Jedem „Freund“ öffnen Sie den Zugriff auf ihre persönlichen Informationen – und damit auch die Möglichkeit, diese zu missbrauchen.

Achtens - Datenschutzeinstellungen lesen und nutzen!

Datenschutzerklärungen auf Webseiten sind keine sehr erbauliche Lektüre. Die Anbieter von Sozialen Netzwerken haben seitenlange Datenschutzerklärungen und Nutzungsbedingungen, die in der Regel mehr verschleiern als offen legen. Die Voreinstellungen zum Datenschutz, die vom Anbieter gewählt sind, sind meistens alles andere als datenschutzfreundlich. Daher sollten Sie sich die Mühe machen, die Bedingungen zu lesen und die Möglichkeiten zu nutzen, denn es gibt ein paar Möglichkeiten, die Sichtbarkeit der eigenen Profilinformationen zu steuern.

Auffindbarkeit über Suchmaschinen

Wer nicht möchte, dass sein Profil gefunden wird, wenn man den eigenen Namen in eine Suchmaschine eingibt, kann das durch eine entsprechende Einstellung verhindern. Auf diese Weise ist beispielsweise potentiellen Arbeitgebern der Blick auf Familienfotos verwehrt.

Freunde klassifizieren

Netzwerk-Freunde können verschiedenen Gruppen zugeordnet werden („Kreise“ bei Google+). Familienmitglieder können eine Gruppe sein, Arbeitskollegen eine andere, die Gewerkschaftsgenossen eine dritte. Bei jeder Veröffentlichung einer Information kann dann festgelegt werden, welche Gruppe diese zu sehen bekommt, alle oder nur eine oder mehrere ausgewählte.

Veranstaltungen

Ein überlegter Umgang mit Freunde-Gruppen schützt auch vor Peinlichkeiten im Zusammenhang mit der Einladung zu Veranstaltungen über ein Soziales Netzwerk. Der Berichterstattung in den Medien zufolge sind diese eine Spezialität von Jugendlichen und Politikern: Eine „öffentliche“ Einladung bei Facebook ist eine Einladung nicht etwa an die „Öffentlichkeit“ der Freunde, sondern an die ganze Welt. Wenn über Facebook zu einer Parteiveranstaltung öffentlich eingeladen wird, ist jeder eingeladen, der diese liest. Das können dann auch mal 30.000 sein, obgleich der gemietete Saal höchstens 300 Menschen fasst.

- Fortsetzung folgt -

Read More

Der ganz große Hype um Facebook scheint schon wieder abzuflauen, aber trotzdem werde ich fast täglich nach den Chancen und Risiken der Nutzung Sozialer Netzwerke gefragt. Daher habe ich die wesentlichen Hintergründe und Gebote hier in einer Übersicht zusammengestellt.

Erstens - Bezahlt wird mit Privatsphäre

Als erstes sollte man sich vergegenwärtigen, dass in einem Sozialen Netzwerk umsonst nicht umsonst ist. Zwar kann sich jeder und jede bei Facebook oder Google+ ein Profil anlegen (um nur die Bekanntesten zu nennen), ohne dafür Gebühren zahlen zu müssen. Bezahlt wird dennoch, bezahlt wird mit persönlichen Daten. Beispiel Facebook: Das Unternehmen soll demnächst mit ungefähr 100 Milliarden Dollar an die Börse gehen. Reichlich viel für eine Firma, die nichts produziert und überhaupt erst seit drei Jahren Gewinn abwirft. Diese Tatsache führt denn auch zum nächsten Gebot.

Zweitens - Seien Sie (daten-) sparsam

Alle Informationen, die Sie in Sozialen Netzwerken hinterlegen, werden von den Anbietern gespeichert, ausgewertet und zu Werbezwecken genutzt und vermutlich auch an andere Firmen verkauft. Je mehr Angaben Sie machen, desto lukrativer ist Ihr Profil. Das gilt nicht nur für Hobbies, Interessen, Vorlieben, sondern auch für „Gefällt mir“-Angaben, die Teilnahme an Gruppen, Spielen und das Hochladen von Fotos und überhaupt alle Angaben, die sich irgendwie kommerziell verwerten lassen - und das ist im Zweifel selbst die Postleitzahl. Wozu genau diese Informationen im Einzelnen genutzt werden und an wen sie übermittelt werden, gehört zu den gut gehüteten Geheimissen von Facebook und Co.

Drittens - Profile werden geplündert

Profile werden also geplündert. Die Plünderung durch die Werbeindustrie ist das eine, aber auch andere nutzen die Informationen, die wir über uns preisgeben. Kriminelle bedienen sich in den Profilen; Identitätsdiebstahl wird auf diese Weise vereinfacht. Für Personalverantwortliche ist es zur Regel geworden, in Sozialen Netzwerken über Bewerber zu recherchieren. Wer unter Hobbies „Kiffen“ eingetragen oder Fotos vom letzten Besäufnis veröffentlich hat, dürfte in vielen Unternehmen schlechte Chancen auf Einstellung haben.

Viertens - Das Internet vergisst nie

Es gibt einen weiteren Grund, in Sozialen Netzwerken datensparsam zu sein. Das Internet vergisst nie und es wird auch in Zukunft nicht vergessen. Forderungen nach einem „digitalen Radiergummi“ werden schöne Träume bleiben; sie sind technisch nicht realisierbar. Jeder Text, jedes Foto hinterlässt eine Spur, die auch nach Jahren noch auffindbar ist. Peinliche Selbstdarstellungen bleiben auf diese Weise ebenso erhalten wie brillante wissenschaftliche Abhandlungen. Zwar kann man einzelne Beiträge löschen, aber es ist kein Verlass darauf, dass diese nicht schon anders wohin kopiert wurden oder von den Anbietern der Netzwerke trotzdem noch vorgehalten werden.

- Fortsetzung folgt -

Read More

Es ist gut zwei Jahre her, dass ich zum ersten Mal einen Vortrag über Cloud Computing gehalten habe. Bei der Recherche zur Vorbereitung fand ich weit überwiegend Literatur aus den USA, europäische Quellen gab es wenige. Dies hat sich seither geändet. Trotzdem blieb es schwierig, aus den Veröffentlichungen für die Beratungspraxis  praktikable Kriterien für eine datenschutzkonforme Nutzung von Cloud Lösungen heraus zu filtern.

"Sopot Memorandum"

Nunmehr hat die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation (auch bekannt als "Berlin Group") bei ihrer Sitzung im polnischen Sopot Ende April ein Memorandum beschlossen, das Datenschutz-Anforderungen an das Cloud Computing enthält. Das  Papier wurde von Vertretern der Datenschutzbehörden aus 21 Ländern verabschiedet, und damit liegt zum ersten Mal ein international abgestimmter Kriterienkatalog zu Cloud Computing und Datenschutz vor.

Datenschutzkonformes Cloud Computing

Das Papier der Internationalen Arbeitsgruppe hat den großen Vorteil, dass es eine verständliche und gut begründete Übersicht über Datenschutz-Anforderungen an die Nutzung von Cloud-Diensten enthält. Mehr als alles andere, was ich zu diesem Thema bisher gelesen habe, bietet es die Möglichkeit der Orientierung in der Praxis. Umfragen zufolge sehen noch immer mehr als die Hälfte der Unternehmen, die Cloud-Lösungen nutzen könnten, davon ab, weil ihnen die damit verbundenen Datenschutzfragen als zu riskant erscheinen. Diese haben mit dem Memorandum nunmehr eine Orientierungshilfe.

Eine Chance für europäische Anbieter

Die Lektüre des Dokuments bestätigt eine These, die ich schon länger vertrete: Eine datenschutzkonforme Nutzung von Cloud-Lösungen ist in der Regel nur mit kleineren, innereuropäischen Anbietern zu machen, mit denen auch individuelle Vereinbarungen und nachprüfbare Absprachen zu Datenschutzstandards möglich sind.

Das Dokument ist über die Seiten des Berliner Datenschutzbeauftragten, der auch den Vorsitz der Internationalen Arbeitsgruppe inne hatte, hier abrufbar (pdf in englischer Sprache):

http://www.datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/27-april-2012

Read More

 

 

 

Zugegeben - mitunter zweifele ich bei der Vorbereitung von Mitarbeiterschulungen zum Datenschutz,  ob ich wirklich Vorsichtsmaßnahmen beim Versand von E-Mails thematisieren sollte. Vorsichtmaßnahmen etwa von der Qualität: "Drücken Sie nicht voreilig die <Senden> -Taste, vergewissern Sie sich, ob der Empfänger auch richtig eingetragen ist".

Alle Mitarbeiter auf einmal gekündigt

Eine Meldung auf spiegel online ließ mich heute denken, ich kann auch solche vermeintlich simplen Grundlagen nicht oft genug betonen. Am vergangenen Freitag schickte das Londoner Unternehmens Aviva Investors, der Investmentzweig eines großen Versicherungskonzerns, zeitgleich an alle 1300 Beschäftigte per E-Mail ihre Kündigung. Entlassen werden sollte aber nur ein einziger Mitarbeiter. Wie genau das geschehen konnte, geht aus dem Artikel leider nicht hervor. Die Firma bemerkte die Panne eine knappe halbe Stunde später und versandte eine weitere E-Mail an die 1299 Mitarbeiter, die nicht entlassen werden sollten.

Niemand nimmt es ernst?

"Ich glaube nicht, dass irgendeiner unserer Mitarbeiter es für etwas anderes als einen Fehler gehalten hat. Das ist den Leuten ziemlich schnell klar geworden", wurde der Firmensprecher Paul Lockwood zitiert. Keiner hat es ernst genommen? Nun ja, für einen Mitarbeiter war die Kündigung ernst. Außerdem war seit Januar bekannt, dass der sechstgrößte Versicherungskonzern plant, ein Achtel aller Stellen zu streichen.  Nach einem peinlichen Fehler ist das eine peinliche Entschuldigung.

Das flüchtige Medium

Einmal mehr ist damit klar geworden, wie flüchtig und unsicher das Medium E-Mail ist - auch wenn es uns nicht so erscheint. Wie im Übrigen das Fax auch. Der Bericht ließ mich auch an einen Vorfall denken, den mir meine Hausärztin vor einer Weile berichtete. In dem Faxgerät ihrer Praxis war ein umfangreiches  Gutachten über Michel Friedmann gelandet, das sich mit der Frage seiner Zurechnungsfähigkeit beschäftigte. Erstattet im Zusammenhang mit einem Strafprozess wegen Drogenmissbrauchs und eigentlich bestimmt für ein Berliner Gericht. Der Absender hatte statt 030 für die Berliner Vorwahl 040 für Hamburg gewählt. Für Entscheidungen von großer Tragweite ist es daher wohl doch besser, auf hergebrachte Formen der Kommunikation zurück zu greifen. Auch wenn uns das als ein hoffnungslos altmodischer Rat erscheint.

Der spiegel online Artikel:

http://www.spiegel.de/karriere/berufsleben/0,1518,829521,00.html

 

 

 

 

Read More

Wie schade, dass die FDP nicht ausschließlich aus Leuten wie  der Bundesjustizministerin Sabine Leutheuser-Schnarrenberger besteht. Sie würde mir noch richtig sympatisch. Und vermutlich würde sie auch wieder von mehr als einem Prozent der Wahlberechtigten gewählt. Die ganzen Dummschwätzer, die auf Piraten machen, wären entbehrlich ... doch nein, der Punkt ist ein anderer.

Für das Recht auf Anonymität im Netz

Frau Leutheuser-Schnarrenberger sprach sich am vergangenen Donnerstag in ihrer Eröffnungsrede auf einer Veranstaltung der Universität Passau klar und deutlich für das Recht auf Anonymität im Internet aus. "Der Rechtsstaat muss Internet-Pöbeleien aushalten", so ihre zentrale These.  Es gebe "viele gute Gründe für unbescholtene Internetnutzer, sich anonym oder mit Pseudonym im Netz zu bewegen." Den Betreibern von Online Angeboten sei in der Regel die Möglichkeit der anonymen Nutzung ihrer Angebote zumutbar, da diese durch bereits bestehende Rechtsvorschriften (Telemediengesetz) vor unkalkulierbaren Risiken geschützt seien.

Ein ausführlicher Bericht findet sich auf Spiegel Online:

http://www.spiegel.de/netzwelt/netzpolitik/0,1518,828683,00.html

Hier ist noch ein weiterer interessanter Artikel aus dem letzten Sommer, der die wesentlichen Argumente wider den Zwang zu Klarnamen im Netz sehr gut zusammen fasst:

http://www.spiegel.de/netzwelt/netzpolitik/0,1518,776897,00.html

Read More

Spricht man mit Geschäftsführern, IT-Verantwortlichen oder anderen im Krankenhaus Umfeld tätigen Personen über Datenschutz, erfolgt von deren Seite früher oder später die Einschätzung: Datenschutz im Krankenhaus? Wenn man das macht, kann ja kein Krankenhaus mehr arbeiten.

Orientierunghilfe Krankenhausinformationssysteme

Vor gut einem Jahr hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die „Orientierungshilfe Krankenhausinformationssysteme“ heraus gegeben, die zum ersten Mal kompakt die Datenschutzanforderungen darlegt, die aus Sicht der Datenschutzbeauftragten an den Betrieb von Krankenhausinformationssystemen zu stellen sind. Die Reaktionen waren verhalten. In der Tat sind die in der Orientierungshilfe formulierten Vorgaben anspruchsvoll. Dass es aber offensichtlich gelingen kann, diese umzusetzen, ist einer Pressemitteilung des Datenschutzbeauftragten von Rheinland-Pfalz von vor einer Woche zu entnehmen.

Die Pressemitteilung im Wortlaut:

Patientinnen und Patienten, die medizinischer Hilfe bedürfen, wollen sich in ein Krankenhaus begeben können mit der Gewissheit, dass mit sensiblen persönlichen Daten, die für eine qualifizierte Behandlung erhoben und verarbeitet werden müssen, sorgfältig umgegangen wird. Deshalb sind elektronische Krankenhausinformationssysteme, welche die Grundlage einer effizienten und umfassenden Patientenversorgung im heutigen Klinikbetrieb darstellen, in datenschutzrechtlicher Hinsicht besonders bedeutsam.

Vorher-Nachher Vergleich

Um die Belange einer optimalen Patientenversorgung und die datenschutzrechtlichen Vorgaben gleichermaßen zu gewährleisten, haben das Landeskrankenhaus - Anstalt des öffentlichen Rechts - mit Sitz in Andernach und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zwischen August 2011 und April 2012 ein gemeinsames Projekt durchgeführt. Dabei wurde die Nutzung des vom Landeskrankenhaus (AöR) betriebenen Krankenhausinformationssystems im Zusammenhang mit der Patientenaufnahme und der Behandlung sowie nach Abschluss der Behandlung untersucht.

Grundlage Orientierungshilfe

Die Durchführung des Projektes erfolgte vor allem unter dem Aspekt, inwieweit die von den staatlichen Datenschutzbeauftragten im Jahre 2011 vorgelegte "Orientierungshilfe Krankenhausinformationssysteme" im Landeskrankenhaus (AöR) bereits umgesetzt ist und in welcher Weise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) die im Projekt gewonnenen Erkenntnisse für die weitere Verwendung der Orientierungshilfe gegenüber anderen Krankenhäusern, aber auch für den beabsichtigten Dialog mit den Systemherstellern, heranziehen kann.

Das Landeskrankenhaus (AöR) ist der Träger verschiedener Einrichtungen in Rheinland-Pfalz im psychiatrisch-psychotherapeutischen, psychosomatischen und neurologischen Bereich sowie im Bereich der geriatrischen Akutbehandlung und Rehabilitation, Sozialpädiatrie und Kommunikationsstörungen, der Chirurgie und Inneren Medizin mit insgesamt mehr als 3.000 Beschäftigten. Das im Landeskrankenhaus (AöR) eingesetzte Krankenhausinformationssystem (KIS) enthält derzeit ca. 430.000 Behandlungsfälle.

Die Anforderungen sind erfüllbar

Das Projekt hat gezeigt, dass mit der gegenwärtig im Landeskrankenhaus (AöR) betriebenen IT-Lösung ein Großteil der in der Orientierungshilfe vorgegebenen Anforderungen abgedeckt wird und die Organisation des technischen Betriebs sowie der Administration der Anwendungen und Systeme gut gelöst sind.

"Die Zusammenarbeit mit den Datenschützern war ausgesprochen konstruktiv und hilfreich. Das Landeskrankenhaus nimmt den Datenschutz sehr ernst. Datenschutz und optimale Patientenbehandlung müssen zusammen gedacht werden", hebt Dr. Gerald Gaß, Geschäftsführer des Landeskrankenhauses (AöR), hervor. "Wir werden auch den Hersteller unseres Krankenhausinformationssystems in die Pflicht nehmen, um einen guten Datenschutz praktikabel umzusetzen. Unsere Mitarbeiter sind für die Belange des Datenschutzes sensibilisiert und geschult."

Lohnendes Referenzprojekt

Die Durchführung des Referenzprojektes hat sich für alle Beteiligten in hohem Maße gelohnt. Das Landeskrankenhaus (AöR) erhielt auf der Basis der bestehenden datenschutzrechtlichen Vorgaben eine aktuelle Bewertung des Datenschutzniveaus des von ihm betriebenen Krankenhausinformationssystems. Der festgestellte Handlungsbedarf zur Verbesserung des Datenschutzes wurde differenziert nach der Verantwortlichkeit des Verfahrensbetreibers und des Systemherstellers explizit ausgewiesen. Der LfDI sammelte im Rahmen des Projekts wertvolle Erfahrungen für die künftige Interpretation und den Umgang mit der Orientierungshilfe auf Landesebene und darüber hinaus für deren beabsichtigte Fortschreibung. Aber auch die mittelbar mit dem Projekt befassten Stellen wie der betroffene Systemhersteller oder die Krankenhausgesellschaft Rheinland-Pfalz als projektbegleitendes Gremium profitieren von dem Einsatztest der "Orientierungshilfe Krankenhausinformations-systeme" und den hierbei gewonnenen Erkenntnissen.

"Das Referenzprojekt ist für die weitere Verbesserung des Datenschutzes im Bereich der Krankenhäuser von herausragender Bedeutung", betont der rheinland-pfälzische Landesdatenschutzbeauftragte Edgar Wagner bei der Vorstellung der Projektergebnisse am 16. April 2012 in Mainz. "Es hat sich bestätigt, dass der Datenschutz einer optimalen Patientenversorgung im Krankenhaus nicht entgegensteht. Ein datenschutzgerechter Einsatz von IT-Systemen im Krankenhausbetrieb ist möglich und notwendig."

 
Read More

Das Persönliche ist das Politische, lautete ein Leitsatz der Frauenbewegung der Achtziger Jahre. Getreu diesem Motto hat eine Gruppe Wissenschaftlerinnen, Politikerinnen von SPD, Grünen und der Piratenpartei sowie Künstlerinnen einen offenen Brief an den SPD-Parteichef Sigmar Gabriel geschrieben, der kürzlich zum zweiten Mal Vater wurde. Wie er die Vereinbarkeit von Beruf und Familie sehe. Ob er der Doppelbelastung als Vater und Parteivorsitzender gewachsen sei und ob er sich als junger Vater die Leitung eines Bundestagswahlkampfes zutraue, fragten die Frauen. "Wie schnell werden Sie nach der Geburt Ihres Kindes Ihren Beruf wieder aufnehmen?" Der Brief formulierte Fragen, die Politikerinnen in vergleichbarer Situation ständig gestellt bekommen.

Gabriel reagierte verärgert und ließ wissen, er habe seine „private Lebensplanung“ mit seiner Frau besprochen und die ginge niemanden etwas an.

Hilfe vom Datenschutzbeauftragten

Schützenhilfe erhielt Gabriel nun vom rheinland-pfälzischen Landesbeauftragte für den Datenschutz, Edgar Wagner. Der ließ als Pressemitteilung am 13. April unter der Überschrift „… vom richtigen Umgang mit der Privatsphäre“ verlauten,

... zu einer humanen Gesellschaft gehören nicht nur Öffentlichkeit, Offenheit und Transparenz, sondern auch Privatheit, Diskretion und Geheimnisse, auch Tabus. Das eine setzt das andere voraus und ist ohne dieses nicht möglich.

Und weiter:

Deswegen ist es auch aus der Sicht von Datenschützern so sehr zu begrüßen, das es unter den Personen des öffentlichen Lebens Beispiele gibt, die ihre Privatsphäre hüten und pflegen und dem öffentlichen Blick vorenthalten. In einer Gesellschaft, in der Transparenz als Wert an sich angesehen und deshalb - selbstredend im offenen Brief - gefordert wird, der SPD-Vorsitzende solle "das Leitbild einer partnerschaftlichen Familie öffentlich vorleben", ist es notwendig, Grenzen zu ziehen und das Private eben nicht, auch nicht politisch, zu vermarkten. So gesehen ist die Haltung Gabriels - "wir wollen uns die Definition dessen, was wir für uns für privat halten, nicht von anderen abnehmen lassen" - beispielgebend.

Parteiprogramm und Person

Mit Verlaub, Herr Wagner, hier haben Sie etwas völlig falsch verstanden. Zum einen stellt sich die Frage, warum diese Pressemitteilung erst jetzt kommt, da ein Mann sich kritischen Fragen ausgesetzt sieht – wo war Ihr Kommentar zu entsprechenden Fragen (und teilweise massiven Anfeindungen), die Frau Nahles und Frau Schröder sich gefallen lassen mussten, als sie kurz nach der Geburt ihrer Kinder in die Politik zurück kehrten?

Außerdem: Sigmar Gabriel gehört einer Partei an, dessen Vorstand im September 2011 ein Fünf-Punkte-Programm beschloss, das unter anderem mehr Zeit für die Familie vorsieht, ohne die beruflichen Entwicklungsmöglichkeiten von Eltern einzuschränken. "Frauen und Männer sollen Familienarbeit und Berufstätigkeit partnerschaftlich vereinbaren können", heißt es darin unter anderem.

Wie der Vorsitzende dieser Partei für sich diesen Beschluss mit Leben füllen möchte – ob er ihn überhaupt mit Leben füllen möchte - soll dem Datenschutz unterliegen? Das kann nicht sein. Ein Politiker steht als öffentliche Person ja nicht nur für Programme, die man beliebig von der Person abspalten kann. Ein Politiker steht auch immer als Person für das, was er politisch fordert, ansonsten kann seine (politische) Glaubwürdigkeit schnell dahin sein.

Kein medialer Exhibitionismus

Eine glaubwürdige oder wenigstens halbwegs glaubwürdige Übereinstimmung zwischen politischem und privatem Verhalten einzufordern hat nichts mit „medialem Exibhitionismus“ zu tun, sondern mit dem berechtigtem Hinweis auf gesellschaftliche Ungleichheiten und der Glaubwürdigkeit von Politikern, hier fest gemacht an Herrn Gabriel. Ihn als „Vorbild der persönlichen und privaten Diskretion“ zu erklären, wie der Landesdatenschutzbeauftragte es tut, ist vor diesem Hintergrund verfehlt und zeugt von einem seltsamen Verständnis von Privatheit.

http://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2012041301

http://www.sueddeutsche.de/politik/offener-brief-von-feministinnen-sigmar-gabriel-soll-vorzeige-papa-werden-1.1320157

 

 

Read More

Ein Ergebnis des Drucks seitens europäischer Datenschützer auf Facebook ist die seit 2010 bestehende Option, die eigenen Profildaten herunterzuladen. Bisher wurden allerdings nur die selber eingestellten Daten von Facebook heraus gegeben, wie z.B. Fotos, Freunde, Einträge ins Profil oder auf der Pinnwand.

Erweiterte Auskunft

Nunmehr soll die Auskunft um Kategorien erweitert werden, in denen Daten automatisiert generiert werden, also von Facebook automatisch mitgespeicherte Informationen.

Laut Heise online betrifft das die folgenden Informationen:

• vorherige Namen

 

• erhaltene und gesendete Freundschaftsanfragen, die nicht bestätigt wurden

 

• Einstellungen zur Sichtbarkeit des Geburtstages

 

• aktuelle Einstellungen zu Wohn- und Geburtsort

 

• Informationen zu Veranstaltungen, die akzeptiert, abgelehnt oder zu denen Kommentare gepostet wurden

 

• Daten zur Erstellung sowie Re- und Deaktivierung des Kontos

 

• Log-In- und Log-Out-Informationen – Daten der IP Adressen, von denen sich ausgeloggt wurde

 

• Sprachen – Informationen über Sprachen, die angegeben wurden

 

• Familienangaben – Informationen über Menschen, die als Familienmitglieder angegeben wurden

 

• Infos zum Anstupsen ("Pokes")

 

• Infos zum Beziehungsstatus inklusive alter Angaben zum Beziehungsstatus

 

• Mobiltelefonnummern

 

• Datr-Cookie Informationen

„Self-Service“ in den Kontoeinstellungen

Die neue Funktion soll nach und nach soll allen Nutzern weltweit im Wege einer Art „Self-Service“ zur Verfügung gestellt werden. Über die Konteneinstellungen kann man die Daten selber anfordern. Sobald sie vorliegen erfolgt eine Benachrichtigung per E-Mail und man kann die Daten als Zip-Datei herunter laden.

Insgesamt will Facebook auf dieser Weise 39 Datenkategorien für jeden Nutzer offen legen. Die Zahl basiert auf einer Untersuchung des Irischen Datenschutzbeauftragten bei Facebook im Zuge der Diskussion mit der Initiative „Europe v Facebook“. Den Facebook Kritikern der Initiative sind diese 39 Datenkategorien noch zu wenig. Sie gehen von mindestens 84 Datenkategorien aus, die Facebook über jeden seiner Nutzer speichert.

 http://www.heise.de/newsticker/meldung/Facebook-erweitert-Selbstauskunft-1519574.html

Read More

Drei Tage nach den Berichten über hunderte Patientenakten, die eine Hamburger Asklepios Klinik offen in einem Müllcontainer entsorgt hatte, ist das Thema auch schon wieder in der Versenkung verschwunden. Ein Kollege machte mich auf einen Artikel der taz aufmerksam, der einen, vorsichtig ausgedrückt, seltsamen Umgang der Hamburger Behörden mit dem Vorfall offenbart.

Keine Straftat?

Die Polizei sehe „keine Anhaltspunkte für eine Straftat“, wird ihr Sprecher Andreas Schöpflin zitiert. Keine Straftat? Patientenakten in einen Müllcontainer zu werfen ist ein Bruch der ärztlichen Schweigepflicht, und der ist eine Straftat.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar sei, so der Bericht weiter, „weitgehend machtlos“. Die Einleitung eines Bußgeldverfahrens“ gegen Asklepios werde geprüft. Grund: Eklatanter „Verstoß gegen Datenschutzrichtlinien“. Aber der Datenschutzbeauftragte müsse es „möglicherweise mit einer Rüge bewenden lassen“. Das verwundert ebenso sehr wie die Einschätzung der Polizei.

Bußgeld sollte möglich sein

Das Bundesdatenschutzgesetz sieht für das vorsätzliche oder fahrlässige „unbefugte Erheben oder Verarbeiten personenbezogener Daten, die nicht allgemein zugänglich sind“ ein Bußgeld bis 300.000 EUR vor. Warum der Hamburgische Datenschutzbeauftragte nicht diesen Tatbestand prüft, bleibt sein Geheimnis.

Neue Gesetze benötigt?

Auch die Forderung des Hamburgischen Datenschutzbeauftragten nach neuen Gesetzen bleibt rätselhaft. Johannes Caspar sieht nach dem Bericht der taz einen dringenden „legislativen Handlungsbedarf“ bei derartig „schwerwiegenden Verstößen gegen gültige Datenschutzrichtlinien“. Die Bußgeldbeträge des BDSG sind im Zuge der Novelle 2009 unlängst auf Beträge bis zu 300.000 EUR erhöht worden. In Fällen, in denen die Täter einen wirtschaftlichen Vorteil aus der illegalen Datenverarbeitung ziehen, der 300.000 EUR übersteigt, kann auch der Gewinn abgeschöpft werden. Neu aufgenommen wurde zu diesem Zeitpunkt ebenfalls die Meldepflicht beim Verlust von Patientendaten. Dieser muss nicht nur der Aufsichtsbehörde gemeldet werden, sondern auch den betroffenen Patienten. Geschieht dies nicht, ist auch das eine Ordnungswidrigkeit, die mit Bußgeld geahndet werden kann.

Instrumente vorhanden

Es sind also erst mal gesetzliche Instrumente vorhanden, die die Verhängung einigermaßen empfindlicher Bußgelder ermöglichen. Wann, wenn nicht in Fällen wie diesen sollte man sie ausprobieren?

Der zitierte Artikel findet sich hier:

http://taz.de/Daten-Schlamperei/!90710/

Read More

Letzte Woche wurde ein Mann auf dem Gelände des ehemaligen Krankenhauses Eilbek in Hamburg dabei beobachtet und fotografiert, wie er in einen hohen Container kletterte und Patientenakten an sich nahm, die dort offen lagerten. Ein Sprecher des Krankenhauses sagte zur Hamburger Morgenpost, die über den Vorfall berichtete, man wisse nicht, wer die Akten in den Container getan habe und aus welchem Grund. Auch die Identität des Mannes war zunächst nicht bekannt.

Der Journalist als Aktendieb

Offenbar wurden über Wochen hinweg insgesamt 14 Container voller Akten aussortiert, von denen einige in einem unverschlossenen Container landeten, in denen sie nicht gehörten. Am nächsten Tag stellte sich der vermeintliche Aktendieb der Polizei. Der taz Journalist Marco Carini hatte einen Hinweis auf die Akten im Container bekommen und wollte nun herausfinden, wie und warum sie dorthin gekommen waren. Er fand hunderte Krankenakten und Notfallprotokolle, vor allem aus den ersten Jahren der 2000er. Neben den detaillierten Krankengeschichten waren Namen und Adressen der Patienten ebenso notiert wie chronische Leiden, Unfallursachen und private Probleme. Auf einigen war auch noch vermerkt: „Bis zum Jahr 2013 aufbewahren“.

Die verantwortliche Stelle merkt nichts

Der Journalist informierte den Hamburgischen Datenschutzbeauftragten. Die verantwortliche Asklepios Klinik erfuhr erst von diesem von den falsch entsorgten Akten. Auch fast eine Woche nach dem Vorfall ist der Klinik unklar, wie die Akten in den offenen Container gelangten. Man befrage Mitarbeiter von Fremdfirmen, die für die Entsorgung zuständig seien, wurde ein Kliniksprecher heute zitiert.

Aktenentsorgung ist Auftragsdatenverarbeitung

Eigentlich ist es ganz einfach. Die Entsorgung von Patientenakten ist datenschutzrechtlich formal betrachtet eine Auftragsdatenverarbeitung und für die gelten strenge Anforderungen, was die Auswahl und die Kontrolle der Dienstleister betrifft. Ein Krankenhaus, das eine Aktenentsorgung in Auftrag gibt, muss einen zuverlässigen Entsorger aussuchen, ihm genaue Vorgaben machen und diese vertraglich regeln. Die Umsetzung des Auftrags muss durch das Krankenaus kontrolliert werden. Es gibt Firmen, die über Datenschutz-Gütesiegel verfügen und denen man auch sensible Akten problemlos anvertrauen kann.

Große Lücke zwischen Theorie und Praxis

Und warum ist es dann offenbar so schwer, diese an sich einfachen Regeln einzuhalten? Ich würde behaupten, weil es vielen Krankenhäusern einfach egal ist. Datenschutz rangiert in zahlreichen Krankenhäusern und Arztpraxen auf dem untersten Platz der Skala der wichtigen Dinge. Ich erinnerte mich beim Lesen dieser Berichte an Gespräche, die ich im letzten Jahr mit Datenschutzbeauftragten aus verschiedenen Krankenhäusern hatte. „Ich bin gelernter Ingenieur“, sagte mir einer. „Ich bin in erster Linie für das Funktionieren der Solaranlagen zuständig, die unser Krankenhaus mit Energie versorgen. Von Datenschutz habe ich keine Ahnung, aber man hat mir diese Aufgabe übergeben“. So krass ist es sicher nicht überall, aber die Tendenz ist deutlich.

Mangelnde Datenschutzorganisation in Krankenhäusern

Es sind innerhalb der Krankenhäuser keine verbindlichen Abläufe definiert, welche Anforderungen an externe Dienstleister in puncto Datenschutz gestellt werden müssen und wie die Einhaltung vorgegebener Regeln zu kontrollieren ist. Sofern es überhaupt Datenschutzbeauftragte gibt und diese wissen, was sie tun, erfahren sie in der Regel erst von einem Auftrag, wenn dieser schon vergeben ist. Nachträglich gute Datenschutzstandards durchzusetzen, ist dann praktisch unmöglich. Dies ist in Bezug auf die ordnungsgemäße Entsorgung alter Akten besonders ärgerlich, weil diese – anders als andere Datenschutzfragen in Krankenhäusern – ganz einfach zu organisieren ist.

Spürbare Folgen

Nur mit Mahnungen und guten Worten wird der Versuch, wirksamen Datenschutz in Krankenhäusern zu etablieren, vergebene Liebesmüh bleiben. Es bleibt zu hoffen, dass Container-Nachlässigkeit für Asklepios spürbare Folgen haben wird. Das Bundesdatenschutzgesetz sieht für eine schlecht kontrollierte Auftragsdatenverarbeitung ein Bußgeld bis 50.000 EUR vor - und eine solche liegt dem Vorfall mit einiger Sicherheit zugrunde. Außerdem muss Asklepios bei einem Datenverlust dieser Größenordnung die Betroffenen informieren. Tut es das nicht, kann auch das ein Bußgeld nach sich ziehen.

 

Quellen:

http://www.mopo.de/polizei/patientenakten-weg-mann-klaut-akten-von-ehemaligem-klinikgelaende-in-eilbek,7730198,14143104.html

http://www.mopo.de/polizei/auf-der-spur-eines-datenschutz-skandals--taz--reporter--darum-stahl-ich-die-klinik-akten,7730198,14578380.html

 

 
Read More

Eine Meldung des Hamburgischen Datenschutzbeauftragten vom 9. März 2012

Quelle: http://www.datenschutz-hamburg.de/news/detail/article/ausgestaltung-der-notfallzugriffe-auf-patientendaten-im-uke-formell-beanstandet.html

(hmbbfdi, 9.3.2012) Der Notfallzugriff ermöglicht jedem Arzt des Universitätsklinikums Hamburg-Eppendorf (UKE) unabhängig davon, ob er eine Behandlung durchführt, auf alle elektronischen Daten der Patienten zuzugreifen. Dies kann in außergewöhnlichen, sehr zeitkritischen Situationen medizinisch geboten sein. Bislang fehlen jedoch die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instruments.

Kein wirksamer Schutz vor Missbrauch

Der Arzt, der den Notfallzugriff nutzt, bekommt lediglich einen Warnhinweis. Anschließend wird er aufgefordert, einen Grund für den Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine Kontrolle dieser Gründe oder eine stichprobenartige Prüfung der Protokolldateien auf Unregelmäßigkeiten und Auffälligkeiten findet jedoch nicht statt. Wer missbräuchlich auf Patientendaten von beispielsweise Prominenten, Kollegen oder Bekannten zugreift, muss daher kaum fürchten, entdeckt zu werden. Dabei ist das Missbrauchspotential hoch: Über den Zugriff erfährt der Nutzer von allen jemals zu dem Patienten im UKE sowie den Tochterunternehmen erfassten Daten. Das kann von der Behandlung eines Unfalls bis zur HIV-Infektion reichen.

6.400 Notfallzugriffe - in einem Monat

Auf Nachfragen des Datenschutzbeauftragten räumte das UKE ein, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Täglich bis zu 290mal. Aktuellere Daten hat der Datenschutzbeauftragte trotz Anforderung bisher nicht erhalten. Die hohen Zugriffszahlen lägen zumeist an „Prozessablaufschwierigkeiten“. Das seien Probleme der Schnittstellen und Systemintegration, die die Ärztinnen und Ärzte über den Notfallzugriff lösen. Allerdings konnten durchschnittlich 45 Notfallzugriffe pro Tag damit nicht erklärt werden, ihre Rechtmäßigkeit blieb offen.

Auf die formelle Beanstandung hin hat das UKE nun drei Wochen Zeit zur schriftlichen Stellungnahme. Für die Umsetzung geeigneter Kontrollmaßnahmen wurde eine dreimonatige Frist gesetzt. Gefordert wird ein regelmäßiger Bericht über Anzahl und Gründe der Notfallzugriffe. Außerdem muss ein Konzept zur Auswertung der Zugriffsprotokolle erstellt und umgesetzt werden. Weiter muss auch eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Ziel muss es insgesamt sein, den Notzugriff in seinen Ausmaßen deutlich einzudämmen und auf seine eigentliche Bestimmung zu begrenzen.

Die Problematik ist lange bekannt

„Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Read More

Seit dem Jahr 2003 bemühe ich mich, Mitarbeitern und Mitarbeitern von kleinen und mittleren Unternehmen und auch angehenden Datenschutzbeauftragten die Funktionsweise von Datenschutz zu vermitteln. Rückblickend würde ich sagen, ich habe mein Publikum mit viel zu viel rechtlicher Materie gequält, obwohl ich genau das nicht tun wollte. Zum Teil muss es trotzdem gelungen sein, denn ich habe zahlreiche positive Kommentare in Erinnerung, die in etwa lauteten: „In vorangegangen Datenschutzschulungen hat ein Anwalt Paragrafen von Powerpoint Folien abgelesen. Das ist ja glücklicherweise bei Ihnen nicht der Fall und jetzt wissen wir, dass Datenschutz gar nicht so schlimm ist, wie wir dachten“.

Nicht mit Paragrafen nerven

Datenschutz ist nicht nur eine technische, sondern ebenso eine rechtliche Angelegenheit. Wenn man über Datenschutz redet, lässt es sich also weder vermeiden, in technische Zusammenhänge einzusteigen, noch in rechtliche. Was die letzteren angeht, suche ich immer noch nach dem Königsweg, auf dem ich diese den Interessierten nahe bringen kann, ohne mit Paragrafen zu nerven.

Individuelle Fragen sammeln

Kürzlich hatte ich eine Schulung übernommen, die für vier Stunden angesetzt war. Knapp ein Viertel der Mitarbeiter einer kleinen, europaweit vernetzten Firma mit technischem Hintergrund wollte sich im Datenschutz fortbilden. Ich hatte im Vorfeld ausführlich mit unserer Ansprechpartnerin telefoniert und eine ganze Reihe Datenschutzfragen gesammelt, die im Unternehmensalltag aufgetaucht waren. Um diese Informationen strickte ich die Präsentation herum; ich verband die praktischen Fragen in loser Reihenfolge mit den theoretischen Hintergründen. Mein neuer Kollege formulierte in stundenlanger Arbeit mehrere Seiten Papier, in denen alles Wissenswerte stand, das auf den Folien keinen Platz fand (neue Besen kehren gut … ich sagte es bereits). Das händigten wir den Teilnehmern mit aus.

Individueller Mehrwert

Das Ergebnis war ein Vormittag, der, soweit für mich erkennbar, das brachte, was im Marketingdeutsch immer so schön als „Mehrwert“ bezeichnet wird. Ich hatte den im letzten Jahr selten gewordenen Eindruck, dass die Teilnehmer (die Teilnehmerinnen waren in deutlicher Unterzahl vertreten) greifbare Ergebnisse und nicht nur einen allgemeinen Überblick mit ein paar praktischen Beispielen mitnahmen. Sie machten es mir allerdings auch einfach. Anders als sonst oft, wenn ich es mit technisch versiertem Publikum zu tun habe, ließen diese sich sofort auf die von mir für diesen Vormittag empfohlene Sicht ein, dass Recht eben immer Interpretationsspielraum bedeute und es nur wenige klare „So-und-nicht-anders-ist-das" Aussagen“ gibt. Auch dann nicht, wenn man über die technisch erforderlichen Sicherungsmaßnahmen redet. Sehr zu meiner Überraschung hinterfragten und interpretierten sie nach bester Juristenmanier die Sachverhalte, die ihnen aus eigener Erfahrung vertraut waren.

Der beste Weg

Dieses Vorgehen ist weit aufwändiger, als einen 08/15 Standardtext zu präsentieren, den man nach Jahren auswendig kann. Es macht aber auch für die Trainerin (wie meine Auftraggeber meine Rolle bisweilen so schön bezeichnen) mehr Spaß, Dinge im Austausch zu entwickeln, als Folien abzuspulen, die man schon tausend Mal abgespult hat. Nebenbei wird – hoffentlich - der Datenschutz aus der Langweiler Ecke geholt.

Read More