Inhalt:

• Fortbildungspflicht für Verantwortliche von Datenverarbeitungen?
• Wiedergänger
• Welche Daten darf ich verarbeiten?

 

 

Fortbildungspflicht für Verantwortliche von Datenverarbeitungen?

Die Rechtsprechung quer durch Europa ist mittlerweile eindeutig: Die Beauftragung eines Dienstleisters für IT-Angelegenheiten entbindet den Verantwortlichen einer Datenverarbeitung nicht von seinen Pflichten. Wer also - insbesondere als Unternehmer - eine Datenverarbeitung betreibt (dazu genügt schon ein einzelner PC oder sogar ein Karteikasten!) und dort mit personenbezogenen Daten arbeitet, ist für deren Sicherheit verantwortlich. Gerade bei umfangreichen Systemen ist es für die Verantwortlichen oft nicht mehr einfach, zu erkennen, ob sie im Bereich der Datensicherheit Nachholbedarf haben. Dazu kommt, dass Unternehmer ihre IT-Angelegenheiten oft zu spezialisierten Firmen auslagern. Welche Auswirkungen hat das auf ihre Verantwortung?

Ein spektakulärer Fall mit Millionen Betroffenen, wo die Gerichte die Rechtsmeinung von der unteilbaren Pflicht des Verantwortlichen vertreten haben, betrifft die österreichische GIS, die von allen Bewohnern im Land die Meldedaten besaß und die Rundfunkgebühren einhob. Durch den Fehler eines technischen Dienstleisters war es einem Kriminellen in den Niederlanden möglich, sämtliche Daten zu entwenden, wofür er auch eine mehrjährige Haftstrafe bekam. Im Schadenersatzverfahren argumentierte der ORF bisher als Eigentümer der früheren GIS, dass nicht das Rundfunkunternehmen, sondern der beauftragte technische Dienstleister jenen Fehler begangen habe, der letztlich die kriminelle Tat ermöglicht hatte.

Die Verwaltung der Stadtgemeinde Baden hatte einen ähnlichen Vorfall: Wieder wurden durch den Fehler eines IT-Unternehmens persönliche Daten von mehr als 30.000 Bewohnern frei zugänglich.

In Rom und Umgebung wurden durch einen Hackerangriff die Daten von Gesundheitseinrichtungen der Regionsverwaltung von Latium entwendet. Das beauftragte IT-Unternehmen hatte schwere Versäumnisse begangen.

In allen Fällen entschieden die Datenschutzbehörden und die Gerichte, dass den Betroffenen Schadenersatz zusteht, weil sich die Verantwortlichen der Datenverarbeitung zuwenig darum gekümmert haben, ob ihre Auftragnehmer sorgfältig arbeiten. Die Causa GIS wird allerdings noch beim Verwaltungsgerichtshof behandelt.

Welche Schlüsse können aus den Entscheidungen gezogen werden? Abhängig von ihrer technischen Vorbildung müssen sich Unternehmer um die Sicherheit ihrer Daten kümmern, auch wenn sie die operativen Tätigkeiten an spezielle Dienstleister auslagern. Eine wenigstens allgemeine Kenntnis der technischen Zusammenhänge und ihrer Auswirkung auf die Datensicherheit verlangen die Datenschutzbehörden und die Gerichte von den Verantwortlichen der Datenverarbeitung jedenfalls:

1. Sie müssen sich wenigstens so weit (fort)bilden, dass sie annähernd beurteilen können, ob im eigenen Betrieb die notwendigen Maßnahmen zum Datenschutz gesetzt und die Gesetze eingehalten werden. Dazu ist es notwendig, sich mit den Dingen ernsthaft auseinanderzusetzen, zu versuchen, sie zu verstehen und Fragen zu stellen.
2. Sie müssen laufend auch ausgelagerte Arbeiten beobachten (lassen) und hinsichtlich der Einhaltung der Gesetze kritisch hinterfragen.

Fortbildung in IT-Belangen ist daher für jeden, der für eine Datenverarbeitung Verantwortung trägt, unerläßlich. Auch als technisch nicht vorgebildete Person sollte man wenigstens die gängigen Schlagworte sowie ihre technische und ihre juristische Bedeutung kennen. Der angenehme Nebeneffekt: Bei der Vergabe von Aufträgen an IT-Unternehmen kann man die Qualität der angebotenen Leistung besser abschätzen und vielleicht sogar Datenschutzprobleme mit Hilfe des Auftragnehmers beseitigen, bevor sie akut werden. Ideato bereitet für das Jahr 2025 Informationsveranstaltungen zu diesem Thema vor: Technik und Datenschutzrecht für vielbeschäftigte Laien.

Quellen:

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10002052
(10.4.2024)

GIS: Gestohlene Meldedaten
https://www.derstandard.at/story/3000000232194/gestohlene-meldedaten-orf-schaltet-hoechstgericht-ein
(12.8.2024)

Schadenersatzforderungen gegen GIS
https://www.derstandard.at/story/3000000236385/millionenfacher-datendiebstahl-bei-gis-anwaelte-fordern-fuer-betroffene-je-1000-euro
(16.9.2024)

Kostspielige Datenlecks
https://www.derstandard.at/story/3000000237439/stadt-baden-wegen-datenlecks-zu-schadenersatz-verdonnert
(23.9.2024)

 

 

Wiedergänger

Im Jahr 2019 verhängte die österreichische Datenschutzbehörde (DSB) eine saftige Strafe gegen die "Allergietagesklinik" wegen zahlreicher Verstöße gegen die DSGVO und das Datenschutzgesetz (DSG). Besonderes Aufsehen erregte über Österreich hinaus die logische Entscheidung der DSB, dass gesetzlich garantierte Schutzmaßnahmen für sensible Daten nicht durch Einholung einer Zustimmung der Betroffenen unterlaufen werden dürfen. Der gesetzlich garantierte Mindesschutz ist unbedingt einzuhalten. Die DSB geht dabei so weit, dass sie schon die Einholung der Zustimmung bei den Betroffenen zum Unterlaufen des Datenschutzes als Verstoß wertet, weil die Verantwortlichen der Datenverarbeitung gesetzlich verpflichtet sind, für sensible personenbezogene Daten (Art. 9 und 10 DSGVO) den jeweils besten Schutz zu gewährleisten - gemessen am jeweiligen Stand der Technik.

Überraschend ist, dass noch fünf Jahre später manche Einrichtungen bzw. ihre Verantwortlichen keinerlei Notiz von dieser wichtigen Entscheidung genommen haben. So findet man auch aktuell noch medizinische Einrichtungen, die mit exakt dem gleichen Wortlaut, wie seinerzeit die "Allergietagesklinik" die Zustimmung ihrer Patienten zum Versand von Befunden per ungesichertem Mail einholen.

Nach ständiger Rechtsprechung stellen Mails aufgrund ihrer technischen Charakteristik grundsätzlich eine unsichere Übertragungsform dar. Der Versand personenbezogener medizinischer Informationen per unverschlüsseltem Mail ist daher unzulässig. Von der Möglichkeit, Mails zu verschlüsseln, wird generell kaum mehr Gebrauch gemacht, weil diese Übertragungsform beim Sender und beim Empfänger einen relativ hohen Aufwand verursacht. Durchgesetzt hingegen hat sich die Möglichkeit, z.B. Befunde o.dgl. in eine gesicherte Cloud hochzuladen, von wo sie der Empfänger mittels eines Links durch Eingabe seiner UserID und eines Passwortes einfach über seinen gewöhnlichen Web-Browser gesichert abholen kann.

Beim Betrieb dieser Cloud sind u.a. ein paar Rahmenbedingungen zu beachten, zum Beispiel:

Der entsprechende Server sollte sich in der EU befinden und von einem europäischen Unternehmen betrieben werden, das womöglich keine Niederlassungen in den USA betreibt. Der Provider muss mit dem Verantwortlichen der Datenverarbeitung einen Auftragsverarbeitervertrag abschließen, mit dem die Vertraulichkeit der in der Cloud gespeicherten Daten sichergestellt wird. Alle Zugriffe auf die Daten müssen protokolliert werden, um unerlaubte Datenabflüsse schnell zu erkennen. Und letztlich müssen die Hard- und die Software des Servers ständig auf dem neuesten Stand gehalten werden, um einen unbefugten Zugriff auf die Daten möglichst zu erschweren.

Die Nutzung einer gesicherten Cloud verursacht lediglich überschaubaren Aufwand und ist - bei einigermaßen vorhandenem technischen Verständnis - sogar für Kleinunternehmen problemlos machbar, weil qualitativ sehr gute Software sogar als Open Source/Freeware zur Verfügung steht. Selbstverständlich kann man auch IT-Unternehmen mit der Einrichtung, dem Betrieb und der Wartung einer Cloud beauftragen.

Es ist ratsam, dass Unternehmen, die im Rahmen ihres Geschäftsverkehrs regelmäßig personenbezogene Daten übermitteln bzw. sogar Dokumente versenden, die der strengen Vertraulichkeit unterliegen (z.B. Anwaltskanzleien, Steuerberater, Ärzte, Therapeuten etc.) zur Vermeidung von Strafen und Schadenersatzforderungen den Datenaustausch mit ihren Klienten bzw. Patienten an die Vorgaben der Gesetze und der ständigen Rechtsprechung der Gerichte anpassen.

Quellen:

https://www.ideato.at/templates/masterbootstrap/news/20191001_ideato-news.html
(1.10.2019)

 

 

Welche Daten darf ich verarbeiten?

Die DSGVO verlangt im Artikel 6, dass Daten nur unter einigen taxativ aufgezählten Umständen verarbeitet werden dürfen. Dazu zählen u.a. auch die Einwilligung des Betroffenen und das "berechtigte Interesse" des Verantwortlichen einer Datenverarbeitung. Weil es sich bei Letzterem um einen unscharfen Begriff handelt, lohnt es sich, genauer zu erforschen, wann der Verantwortliche einer Datenverarbeitung berechtigtes Interesse geltend machen kann.

Leitlinie für die Zulässigkeit von Datenverarbeitungen auf Basis eines berechtigten Interesses ist der Schutz der Rechte und Freiheiten natürlicher Personen (Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern). Berechtigtes Interesse ist gem. DSGVO jedenfalls zur Betrugsvorbeugung anwendbar. In vielen anderen Fällen ist jedoch eine Abwägung vorzunehmen, die sich grob an folgenden Fragen orientiert:

• Welches Ziel soll mit der Datenverarbeitung erreicht werden?
• Lässt sich dieses Ziel auch anders erreichen?
• Kann der Betroffene vernünftigerweise erwarten, dass zur Zielerreichung seine Daten verarbeitet werden?
• Steht das beabsichtige Ziel in einem angemessenen Verhältnis zu den Auswirkungen auf den Betroffenen?

Nachdem es sich beim "berechtigen Interesse" um ein Thema großer Relevanz handelt, wird derzeit von der Europäischen Datenschutzbehörde eine praxisorientierte Leitlinie ausgearbeitet, die künftig für die Beurteilung herangezogen werden kann.

Ebenso wie die "Einwilligung" des Betroffenen erlischt das "berechtigte Interesse" des Datenverarbeiters, sobald ein Betroffener Widerspruch gegen die Verarbeitung seiner Daten erhebt (soferne keine zwingenden Gründe dagegen vorgebracht werden können). Daher muss ab diesem Moment die Verarbeitung seiner Daten - das betrifft auch die Speicherung - eingestellt werden. Inwieweit vorhandene Daten zu löschen sind, hängt von den Umständen ab. Bei vorangegangenen Vertragsverhältnissen (z. B. zwischen Verkäufer und Kunde od. zw. Arzt und Patient) ist das so zu verstehen, dass keine neuen Verarbeitungstätigkeiten begonnen werden dürfen. Die gesetzlichen Dokumentationspflichten sind vom Widerruf nicht berührt. Gerade bei Ärzten ist die Aufbewahrungsdauer von Patienten- und Behandlungsdaten gesetzlich geregelt und mit 10 Jahren (§ 51 Abs. 3 österr. Ärztegesetz) ausnehmend lang. Wenn man auch noch mögliche Schadenersatzdiskussionen nach behaupteten Behandlungsfehlern oder Folgeschäden nach Betriebsunfällen in Betracht zieht, kommt sogar die "absolute Verjährungsfrist" gem. ABGB von 30 Jahren als Aufbewahrungsdauer in Betracht. Darauf sollte in der Datenschutzerklärung auch hingewiesen werden.

Quellen:

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10011138
(2.10.2024)

https://www.dr-datenschutz.de/was-ist-eigentlich-dieses-berechtigte-interesse/
(14.5.2024)

https://www.datenschutzstelle.li/datenschutz/themen-z/berechtigtes-interesse-gem-art-6-abs-1-bst-f-dsgvo
(15.10.2024)

https://www.dr-datenschutz.de/der-widerspruch-als-dsgvo-betroffenenrecht-im-datenschutz/
(15.10.2024)