DSGVO / BLOG

DSGVO.CARE / BLOG

DSGVO.CARE / Blog

Der einfühlsamste, etwas humoristische und alles Wichtige auf den Punkt bringende DSGVO-Blog in diesem Universum.


Flupps da geht mal schnell die Krankengeschichte des HIV-Patienten an eine falsche Person. Keiner hats gesehen, alles wird sofort vernichtet (vielleicht) und der Arbeitsalltag geht weiter. Laut Deutschlands Aufsichtsbehörden sind Datenpannen wie diese im Gesundheitswesen flächendeckend verbreitet. Verantwortlich dafür ist nach - Einschätzung der Aufsichtsbehörden - ACHTUNG; nicht das Coronavirus, sondern - und das ist für uns alle jetzt eine große Überraschung - menschliches Versagen. Die Standard-Therapie in so einem Fall, scheint für die Aufsichtsbehörden ein alles andere als homöopathisches Bußgeld zu sein ;)

WhatsApp ist grundsätzlich heikel, warum, denke ich, müssen wir hier nicht noch mal erläutern. Wenn ich jetzt noch eine WhatsApp-Gruppe einrichte und in dieser die Krankenstandsmeldungen einzelner Mitarbeiter poste, wirds richtig spannend - vor allem, wenn sich in dieser Gruppe sozusagen "Kraut & Rüben" an Mitarbeitern befinden. Handelt es sich bei einer Krankenstandsmeldung ohne Diganose wie man vielleicht intuitiv annehmen könnte um Artikel 9 (sensible) Daten? Eher nicht. Wenn man jedoch neben Daten welche die Arbeitsunfähigkeit betreffen (dies lässt sich natürlich argumentieren) auch noch die Sozialversicherungsnummer munter mit teilt, stellt sich die Frage, auf welcher Rechtsgrundlage dies den geschieht?

So eine Patientenverwechslung ist für sich genommen schon mal etwas äußerst unangenehmes, wenn dann - so wie in der Mainzer Universitätsklinik - gleich mehrere Defizite im Bereich der DSGVO-Compliance festgestellt werden, wird es gleich noch sehr viel unangenehmer und vor allem entsprechend teuer. Aufgrund der hoch-sensiblen Art der involvierten Daten im medizinischen Kontext wurde nämlich von der zuständigen Aufsichtsbehörde ein Bußgeld in Höhe von 105.000€ verhängt. Im Vergleich zum Umsatz, könnte man sagen mit einem blauen Auge davon gekommen. So soll das Bußgeld nicht nur als Strafe für den konkreten Verantwortlichen dienen, sondern gleichzeitig auch allgemeine Signalwirkung haben.

Achtung an alle die noch Ordnerweise Daten in Papierform aufbewahren. Haben Sie von diesen Daten Backups? Wie schützen Sie diese Unterlagen vor Umwelteinflüssen? Auch hier greift die DSGVO und somit wird der Verlust von schriftlichen Aufzeichnungen zu einem Data Breach. Diese Erfahrung musste vor Kurzem ein Pharmaunternehmen in Großbritannien machen gegen welches ein Bußgeld in Höhe von 320.000€ verhängt wurde - Der Grund, ein Wasserschaden.

Supplements sind im Trend und Teil des eigenen Lifestyles. Doch offenbart der Käufer dieser Produkte - lediglich durch den Einkauf - sensible personenbezogenen Daten? Supplements sowie auch mehr und mehr Medikamente gehen heute mehr und mehr über den Online-Ladentisch. Mit der Frage, ob es sich hierbei um Gesundheitsdaten handeln könnte welche besonderen Schutz und Einwilligungen notwendig machen würden, hat sich vor Kurzem das OLG Naumburg beschäftigt. Unser Fazit: Es kann sich nicht grundsätzlich um Gesundheitsrelevante Daten handeln. So muss der Käufer von Produkt X, nicht automatisch auch der Konsument sein - somit fehlt schlicht der Gesundheitsrelevante Personenbezug.

Ein medizinisches Ambulatorium ohne Datenschutzbeauftragten oder Datenschutzfolgeabschätzung + weiterer kleiner Mängel ist der DSB 50.000€ wert. Die Argumentation, wonach die Rechtslage in diesen Punkten nicht eindeutig war, wertet die DSB als vorwerfbaren Rechtsirrtum, ein teurer "Irrtum"!

16 Millionen Datensätze von Patienten - öffentlich im Internet zugänglich! Größtenteils zwar US-Bürger aber auch Ihre Daten könnte betroffen sein, wenn Sie in letzter Zeit mal ein MRT- oder Röntgenbild benötigten. Besonders heikel, weil es sich hier um so genannte Artikel 9 Daten, welche besonders sensibel zu handhaben sind, handelt. Schuld sind zumeist schlecht gesicherte Bild-Archivierungs-Server.

In Österreich wird neugewählt - Ibizza sei Dank - und auch in Deutschland schicken sich drei Landtage an die Sitze neu zu vergeben. Die CDU und auch die Grünen nutzen für Ihren Wahlkampf eine App womit Stimmungsbilder bei Hausbesuchen getrackt werden. Alles im Sinne der Effizienzsteigerung der eigenen Fußtruppen natürlich. Da es sich bei politischer Gesinnung klassisch um besonders sensible (Artikel 9) Daten handelt. Wäre hier zumindest eine Einwilligung notwendig welche jedoch nicht eingeholt wird. Anonymisierung ist natürlich eine Möglichkeit um den Personenbezug aufzulösen, jedoch sollte man darauf achten, dass auch Geolocalisations-Daten unter Umständen dazu genutzt werden können diesen Bezug wieder herzustellen...