Sensible personenbezogene Daten waren frei zugänglich
Eine Datenpanne im Zusammenhang mit Ergebnissen von Corona-Tests machten im März 2021 verschiedene Medien publik. Wir möchten Ihnen kurz zusammenfassen, was passiert ist und warum der Schutz von Gesundheitsdaten im Datenschutz eine wichtige Rolle spielt.
Testergebnisse standen frei zugänglich im Netz
Was war passiert? Medienberichten zufolge war in verschiedenen Testzentren in Deutschland eine Software eingesetzt worden, die für die Nutzung von Terminvergaben und dem Abruf von Testergebnissen durch den Getesteten genutzt wird. Die Software eines österreichischen Unternehmens wies allerdings verschiedene Sicherheitslücken auf.
Unter anderem soll es nach Berichten möglich gewesen sein, auf diverse personenbezogene Daten von Getesteten und deren Testergebnisse zurück zu greifen. Name, Anschrift, E-Mail-Adressen, Telefonnummern, Testzeitpunkt und Ergebnis waren demnach auch ohne Passwort im Netz zugänglich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde informiert. Es wird nun geprüft, ob die Betroffenen informiert werden müssen.
Personenbezogene Daten und Ergebnisse änderbar
Darüber hinaus konnten laut der Berichte ebenso Daten geändert und angepasst werden. Unklar ist, wie viel Schaden für die Betroffenen durch diese Lücke in der IT-Sicherheit entstanden ist. Laut Hersteller wurden diese Lücken durch ein Update in der Software verursacht und mittlerweile behoben.
An diesem Beispiel kann man erkennen, welche Rollen eine durchdachte IT-Sicherheit gekoppelt mit den nötigen technischen und organisatorischen Maßnahmen im Datenschutz auch bei schnell erstellten Lösungen in Ausnahmesituationen spielen. Kleinste Sicherheitslücken können unbemerkt zu einer Datenpanne mit nicht überschaubarem Ausmaß führen.
Gesundheitsdaten sind besonders sensibel
Wer mit personenbezogenen Daten arbeitet, der muss die gesetzlichen Vorgaben im Datenschutz einhalten, welche unter anderem in der Datenschutzgrundverordnung (DS-GVO) festgelegt sind. Was sind personenbezogene Daten?
Kurz gesagt ist alles, was theoretisch einen Rückschluss auf eine natürliche Person zulässt, in dem Begriff der personenbezogenen Daten zu finden. Dazu gehören u.a. Namen, Adressen, E-Mail-Adressen aber auch Telefonnummern und IP-Adressen. Gesundheitsdaten gehören zu den besonderen Arten von personenbezogenen Daten nach DS-GVO – das bedeutet, dass diese besonders zu schützen sind, da Sie über das normale Maß hinaus sensibel zu behandeln sind. Zu dieser Art von Daten gehören unter anderem auch ethnische Herkunft, sexuelle Orientierung und religiöse Überzeugung.
Die Verarbeitung von personenbezogenen Daten ist nach dem Grundsatz des Datenschutzes grundsätzlich verboten, es sei denn es liegen eine Rechtsnorm, eine Einwilligung des Betroffenen o.ä. vor, die diese notwendig macht oder ermöglicht.
Weiterführende Informationen zur Verarbeitung von personenbezogenen Daten finden Sie hier:
Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
Schutz personenbezogener Daten nach DS-GVO
Der richtige Umgang mit Gesundheitsdaten nach DS-GVO
Organisationen, Schulen, Praxen, Kanzleien und Unternehmen in NRW, die mit diesen besonderen Arten von personenbezogenen Daten arbeiten, müssen entsprechende Vorkehrungen und Abläufe in Ihren Strukturen etablieren, um die Unversehrtheit des Betroffenen zu gewährleisten.
Grundsätzlich gilt im Umgang mit personenbezogenen Daten, dass beispielsweise folgende Schritte eingeführt, regelmäßig geprüft und angepasst werden:
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
- Einführen von technischen und organisatorischen Maßnahmen (TOM)
- Einhaltung der Betroffenenrechte und der Informationspflichten für Betroffene
- Prüfung der Abläufe auf Notwendigkeit von Verträgen zur Auftragsdatenverarbeitung (ADV-Verträge)
Wenn darüber hinaus zum Beispiel mit Gesundheitsdaten gearbeitet wird, dann muss noch einmal ein besonderes Augenmerk auf diese Abläufe gelegt werden. Die Verarbeitung von besonderen personenbezogenen Daten ist untersagt. Eine Ausnahme hierzu gilt nur, wenn der Betroffene ausdrücklich eingewilligt hat, die Verarbeitung erforderlich ist (Rechtsnorm) oder zum Schutz lebenswichtiger Interessen.
Gesundheitsdaten werden in fast jedem Unternehmen verarbeitet
Liest man „Gesundheitsdaten“, so wird vielen erst einmal der Gedanke kommen, dass solche sensiblen Daten nicht in der eigenen Organisation verarbeitet werden. Gesundheitsdaten siedelt man gedanklich meist im Bereich des Gesundheitswesens an.
Tatsächlich verarbeiten wir aber täglich mehr besondere personenbezogene Daten, als uns bewusst wird. Ein klassisches Beispiel ist die Krankmeldung, die unter Umständen schon einmal den Posteingang und die Verteilung an die Personalabteilung durchläuft, welche auf die Vorgaben der DS-GVO hin geprüft werden müssen. Hier werden bereits personenbezogene Daten der besonderen Art verarbeitet. Bei einer Weiterleitung per Fax oder E-Mail an die entsprechende Stelle zur Bearbeitung (ev. auch externe Personalbuchhaltung etc.) muss darüber hinaus eine verschlüsselte Verarbeitung sichergestellt werden.
Bei einem Arbeitsplan sollte beispielsweise dann auch auf eine Angabe „krank“ oder ähnliches verzichtet werden. Ein solcher sollte möglichst anonymisiert und nur mit den Angaben „anwesend“ oder „abwesend“ gekennzeichnet werden (Gleiches gilt im Übrigen auch für Abwesenheit wegen Kuraufenthalten oder Mutterschutz).
Risikoanalyse und Datenschutzfolgenabschätzung
Bei der Arbeit mit besonderen personenbezogenen Daten sollte also auch eine noch größere Vorsicht geboten sein. Sinnvoll ist hierbei eine Risikoanalyse, die das Risiko für den Betroffenen bei der Datenverarbeitung bewerten soll und ggf. darauffolgend eine Datenschutzfolgenabschätzung.
Dies gilt auch dann, wenn keine besonders sensiblen Daten verarbeitet werden, aber die Verarbeitung an sich ein Risiko für den Betroffenen darstellt.
Definiert ist diese Vorgehensweise unter anderem im Artikel 35 Abs. 1 der DS-GVO:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. […]“
Der externe Datenschutzbeauftragte (DSB) als Fachmann
Weiter heißt es in der DS-GVO Art. 35 Abs. 2:
„Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
Der Datenschutzbeauftragte sollte also in jedem Fall dann befragt werden, wenn er aus den gesetzlichen Vorgaben heraus berufen werden muss. Aber auch darüber hinaus macht es Sinn, dass ein (externer) Datenschutzbeauftragter den Datenschutz in regelmäßigen Abständen bewertet und mögliche Anreize zur weiteren Vorgehensweise gibt.
Beratend kann der externe DSB bei der Datenschutz-Erstberatung, beim Datenschutz-Audit und bei projektbezogenem Datenschutz hinzugezogen werden. Unser Team aus Datenschutz, IT-Sicherheit und Steuerrecht bietet Ihnen darüber hinaus auch Hilfe bei der Umsetzung der GoBD-Vorgaben und im Bereich IT-Audit und Mitarbeiterschulungen an. Mit unserem Website-Scan helfen wir Ihnen, die Vorgaben im Datenschutz auch auf Ihrer Homepage umzusetzen.
Wir betreuen Unternehmen, Schulen, Praxen und Kanzleien im Großraum Köln, Bonn, Düsseldorf, Gummersbach, Siegburg, Siegen und ganz NRW. Nehmen Sie Kontakt zu uns auf, wir setzen uns gerne mit Ihnen in Verbindung.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.