DSK zu zentralen Personenkennziffern

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sich zur Verwendung von zentralen Personenkennziffern zur verwaltungsübergreifenden Identifikation von Bürgern im Rahmen der geplanten Modernisierung der Registerlandschaft in Deutschland positioniert.
Die DSK lehnt eine zentrale Personenkennziffer ab. Ihrer Ansicht nach beinhaltet dies erhebliche datenschutzrechtliche Risiken und verfassungsrechtliche Bedenken.
Das Bundesverfassungsgericht hat sich bereits 1969 mit diesem Thema auseinandergesetzt und festgestellt: “Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren.
In der Wertordnung des Grundgesetzes ist die Menschenwürde der oberste Wert… Damit gewährt das Grundgesetz dem einzelnen Bürger einen unantastbaren Bereich privater Lebensgestaltung, der der Einwirkung der öffentlichen Gewalt entzogen ist… Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen… Ein solches Eindringen in den Persönlichkeitsbereich durch eine umfassende Einsichtnahme in die persönlichen Verhältnisse seiner Bürger ist dem Staat auch deshalb versagt, weil dem Einzelnen um der freien und selbstverantwortlichen Entfaltung seiner Persönlichkeit willen ein ‚Innenraum‘ verbleiben muß, in dem er ‚sich selbst besitzt‘ und ‚in den er sich zurückziehen kann, zu dem die Umwelt keinen Zutritt hat, in dem man in Ruhe gelassen wird und ein Recht auf Einsamkeit genießt‘…In diesen Bereich kann der Staat unter Umständen bereits durch eine – wenn auch bewertungsneutrale – Einsichtnahme eingreifen, die die freie Entfaltung der Persönlichkeit durch den psychischen Druck öffentlicher Anteilnahme zu hemmen vermag…“
Dementsprechend schwierig wird es sein, die zentrale Personenkennziffer durchzusetzen.

 

Datenleck im Gesundheitswesen

Eine Recherche des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica ergab, dass weltweit ca. 16 Millionen Patienten-Datensätze in rund 50 Ländern im Internet zu finden sind.
Es handelt sich um Daten von US-Amerikanern und mehr als 13.000 Datensätze von deutschen Patienten. Es geht um Aufnahmen aus Brustkrebsscreenings, Röntgenaufnahmen, Magnetresonanztomographien (MRT), die mit den personenbezogenen Daten der Patienten, der Angabe zum Zeitpunkt der Untersuchung und dem Namen des behandelnden Arztes beschriftet sind.
Die Ursache für diese Datenpanne sind in der IT der medizinischen Geräte (z.B. Picture Archiving and Communication System – PACS) , aber auch im Umgang des medizinischen Personals mit den Daten (Verwendung von unzureichend gesicherten, internetfähigen Rechnern) zu finden.

 

Das Bundesarbeitsgericht zum Einsichtnahme-Recht des Betriebsrates

Leider ist ungeklärt, ob der Betriebsrat (BR) eines Unternehmens als eigenständige Verantwortliche Stelle oder als Teil einer Verantwortlichen Stelle (des Unternehmens) gilt.
Im verhandelten Fall war die Frage, ob der Betriebsrat Bruttoentgeltlisten der Arbeitnehmer einsehen darf. Der Arbeitgeber, die Geschäftsführung einer Klinik hatte dem BR die Liste in anonymisierter Form vorgelegt. Der BR verlangte, um seinen Aufgaben gerecht zu werden, eine Bruttoentgeltliste mit Klarnamen. Es sei nicht anders festzustellen, ob der Arbeitgeber die Vergütungsgrundsätze einhält.
Das Gericht gab dem BR recht. Es definierte zunächst den Begriff „Verarbeitung“ nach Art.4 (2) DSGVO. Durch die Gewährung der Einsicht in die Bruttoentgeltliste durch den Arbeitgeber liege eine Verarbeitung vor. Dabei spiele es keine Rolle, ob der BR als Dritter oder als Empfänger gelte (Art. 4 (9) DSGVO).
„Der Begriff der Verarbeitung bezeichnet nach Art. 4 Nr. 2 DS-GVO u.a. jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“, also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DS-GVO folgt – kein Dritter sein muss. Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DS-GVO ist.“
Das Gericht ist der Ansicht, dass diese Datenverarbeitung eine eigenständige Rechtsgrundlage erfordert. Der BR habe, egal in welcher Rolle man ihn sieht, den Datenschutz umzusetzen. Die Gewährung des Einblicks in die Bruttoentgeltliste finde ihre Zulässigkeit in § 26 Abs. 1 Satz 1 BDSG. Der BR hat nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG (Betriebsverfassungs-Gesetz) das Recht zur Einsichtnahme.

 

MICROSOFT OFFICE 365 – wie geht das datenschutzkonform?

Wie bereits berichtet, hielt MICROSOFT Office 365 der datenschutzrechtlichen Überprüfung, die das Niederländische Ministerium für Justiz und Sicherheit in Auftrag gab, nicht stand. Es wurde festgestellt, dass der Einsatz von Office 365 nicht den geltenden Datenschutz-Gesetzen entspricht.
Nach Verhandlungen und einer erneuten Prüfung der Version Office 365 ProPlus 1905, kam man zu der Einschätzung, dass deren Verwendung zulässig ist. Als unzulässig wurden die mobilen Anwendungen und Web-Zugänge für Office eingestuft.
Der Grund dafür sind die vielfältigen Funktions- und Diagnose-Daten, die die Anwendung Microsoft zur Verfügung stellt. Nach der ersten Prüfung hat Microsoft der Diagnose-Daten bereits stark eingeschränkt. Problem bei der Verwendung dieser Daten ist und bleibt die Frage nach der gemeinsamen Verantwortung für die Datenverarbeitung, da hier Microsoft nicht als Auftragsverarbeiter anzusehen ist. Dieses Problem ist ungelöst, einen Vertrag zur gemeinsamen Verantwortlichkeit gibt es nicht.
Auch die Möglichkeit der einer Übermittlung der Daten an die Server von Microsoft in den USA steht nach wie vor im Raum. Microsoft ist Privacy-Shield-zertifiziert, der Vertrag mit Microsoft bietet Standardklauseln dazu, aber der Eu-GH beschäftigt sich gerade mit der Übermittlung von personenbezogenen Daten an Drittländer. Solange kein Urteil gesprochen wurde, sind Datenübermittlungen an Microsoft rechtskonform möglich. Abschließende Rechtssicherheit ist trotz entsprechender Einstellungen in der Anwendung wie unten dargestellt, nicht zu erreichen.
Intersoft Consulting gibt Empfehlungen für den DSGVO-konformen Betrieb von Office 365 unter:

Bundesrat stimmt Anpassungen der nationalen Gesetze an DSGVO zu

Den im Juni vom Bundestag verabschiedeten Gesetzesänderungen hat der Bundesrat an 20.09. zugestimmt.
Die wichtigsten Änderungen:
Datenschutzbeauftragter
Unternehmen müssen nun erst dann einen DSB bestellen, wenn mindestens 20 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Auskunftsrecht
Um kleine Betriebe zu entlasten, wurde der Anspruch auf Auskunft, wenn die Kommunikation mit der Betroffenen Person „ausschließlich oder überwiegend“ in analoger Form von statten geht und das Interesse auf Auskunft als gering anzusehen ist, ausgesetzt, sofern die Daten vom Unternehmen weiter genutzt werden und der Erhebungszweck nach wie vor besteht.
Einwilligung von Beschäftigten
Darf in Zukunft per E-Mail erfolgen.