Mittwoch, 24. August 2016

Ein Blick in die eigenen Behandlungsunterlagen

Meist bekommt man als Patient durchaus Einsicht in die Unterlagen über die eigene Behandlung. Aber falls es doch einmal Konflikte gibt: Welche Spielregeln gelten dann eigentlich?


Funktion von Behandlungsunterlagen


Behandlungsunterlagen dienen dem Patienten wie dem Arzt. Der Arzt braucht sie als Gedankenstütze. Manchmal benötigt er sie auch, um Vorwürfe wegen falscher Behandlung abzuwehren. Der Patient wiederum will die Unterlagen vorlegen, wenn er einen anderen Arzt aufsucht. Vielleicht möchte er sich aber auch nur informieren, was gesundheitlich eigentlich mit ihm los ist. Dann können Behandlungsunterlagen eine hoch spannende Lektüre sein.

Bild Nachweis: Fotolia_115646552

Regelungen zu ihrem Inhalt


Was in Behandlungsunterlagen eines Arztes stehen muss, ist gesetzlich geregelt. Enthalten sein müssen sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse. So legt es § 630f des Bürgerlichen Gesetzbuchs (BGB) fest.
Aus der Sicht eines medizinischen Laien mag die Formulierung etwas schwammig wirken. Aus der Sicht eines medizinischen Fachmanns sieht das schon anders aus. Außerdem hat die etwas weite Formulierung einen wesentlichen Vorteil: Neue fachliche Erkenntnisse dazu, was in Behandlungsunterlagen hinein gehört, lassen sich recht schnell umsetzen. Das Gesetz muss dazu nicht geändert werden.

Diagnosen, Befunde, Therapien


Das Gesetz nennt konkrete Beispiele dafür, was auf jeden Fall in die Unterlagen hinein gehört, nämlich

die Anamnese (also die medizinische Vorgeschichte des Patienten),
ferner Diagnosen,
Untersuchungen,
Untersuchungsergebnisse,
Befunde,
Therapien und ihre Wirkungen,
Eingriffe und ihre Wirkungen,
Einwilligungen und Aufklärungen.

Besonders wichtig für den Patienten: Arzt-briefe sind auf jeden Fall in die Patientenakte aufzunehmen.

Rechtsanspruch auf Einblick


Oft ist die Rede davon, dem Patienten werde Einblick in die Behandlungsunterlagen „gewährt“. Manche verstehen dies so, dass der Arzt den Einblick sozusagen Gnaden halber und nach seinem Ermessen bewilligen kann – oder eben auch nicht. Das trifft jedoch nicht zu. Vielmehr hat der Patient einen gesetzlichen Anspruch auf Einblick in die Behandlungsunterlagen, die ihn selbst betreffen. So regelt es ausdrücklich § 630g BGB.

Anspruch auf Kopien


Häufig wird es so sein, dass ein Patient die Unterlagen nicht versteht. Viele Begriffe sind nur Fachleuten klar. Und selbst ein Fachmann braucht Zeit, um den Inhalt von Unterlagen richtig zu interpretieren. Oft wollen Patienten deshalb Kopien ihrer Behandlungsakte. Auch dieser Anspruch ist gesetzlich inzwischen klar festgelegt (siehe § 630g Absatz 2 BGB: „Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen.“).

Kostenpflicht für Kopien


Genauso klar ist allerdings auch geregelt, dass der Patient die Kosten hierfür tragen muss. Man sollte sie nicht unterschätzen. Denn selbstverständlich gehören dazu nicht nur die eigentlichen Kopierkosten, sondern auch die Kosten für das Personal, das Ko-pien anfertigt. Glück hat ein Patient, dessen Patientenakte elektronisch geführt ist. Das Übertragen der Daten auf einen elektronischen Datenträger verursacht kaum irgend-welche Kosten.

Ansprüche der Erben und Angehörigen


Etwas schwierig wird es, wenn ein Patient verstorben ist. Relativ häufig wollen dann Angehörige wissen, wie es eigentlich zum Tod kam. Fragen dazu sind allerdings oft vergeblich. Das gilt sogar dann, wenn eine enge familiäre Beziehung besteht und beispielsweise die Ehefrau fragt, warum ihr Mann gestorben ist.
Der Grund: Die ärztliche Schweigepflicht gilt auch nach dem Tod weiter, und der Gesetzgeber wollte sie nicht zu sehr aushöhlen. Das Gesetz lässt deshalb den Anspruch auf Einsicht in die Behandlungsunterlagen nicht einfach pauschal auf die Erben oder auf nahe Angehörige übergehen. Vielmehr heißt es in § 630g Absatz 3 BGB, dass die Erben „zur Wahrnehmung vermögensrechtlicher Interessen“ Einblick in Behandlungsunterlagen nehmen dürfen.
Das praktisch wichtigste Beispiel hierfür: Die Lebensversicherung will nicht zahlen, weil sie die Umstände des Todes für unklar hält. Dann kann es für den Erben Gold wert sein, wenn er mithilfe der Behandlungsunterlagen nachweisen kann, dass die Versicherung sehr wohl zahlen muss.

Erst reden, dann zum Gesetz greifen


Insgesamt hat der Gesetzgeber die Rechte der Patienten in den letzten Jahren gestärkt. Grenzen haben diese Rechte allerdings nach wie vor. Suchen Sie deshalb immer zunächst das Gespräch mit dem Arzt, der Sie behandelt hat. Greifen Sie erst dann zum Gesetz, wenn sonst wirklich kein vernünftiges Ergebnis zu erzielen ist.

Montag, 22. August 2016

eAkte-Datenschutz: Nutzung von Bildern von Mitarbeitern geht nur mit gesonderter Einwilligung

Unter "eAkte-Datenschutz" gehen wir auf uns aktuell vorliegende Datenschutz-Fälle bei unseren Datenschutz-Kunden ein. "eAkte" deshalb, weil wir unsere Datenschutz-Kunden und deren Fälle in unserem digitalen Büro 4.0 in elektronischen Akten verwalten. Die Veröffentlichung der Praxisfälle erfolgt selbstverständlich anonymisiert.


Dieses Mal geht es um die Frage "Kann eine Einwilligung für Mitarbeiterfotos auch in einer Klausel im Arbeitsvertrag geregelt werden oder benötigt man dafür ein separates Einwilligungs-Formular?"


Im Rahmen einer Erst-Beratung eines mittelständischen Datenschutz-Kunden (Datenschutzkonzept Phase A+B) fiel uns folgende Formulierung im Arbeitsvertrag zum Thema Mitarbeiter-Fotos und -Videos auf:

"Soweit der Arbeitnehmer in Verkaufsunterlagen  [...] des Arbeitgebers auf der Homepage oder in Messepräsentationen abgebildet ist, [...] erklärt der Arbeitnehmer sein Einverständnis zur unentgeltlichen Nutzung des Bildes / des Videos [...]. Das Recht zur Nutzung endet 5 Jahre nach Ende des Anstellungsverhältnisses zwischen dem Arbeitnehmer und dem Arbeitgeber."

Fraglich für uns erschien daran:

  1. Kann eine solch umfassende Regelung einer Einwilligung in die Nutzung von Mitarbeiterfotos /-Videos überhaupt "versteckt" in einem Arbeitsvertrag erfolgen?
  2. Ein Nutzungsrecht von 5 Jahren nach Ausscheiden des Mitarbeiters ist unüblich lang.


Folgende Risiken sahen wir insbesondere für diesen Kunden:

  • Arbeitsrechtlicher Ärger mit ausscheidenden und ausgeschiedenen Mitarbeitern.
  • Teures Werbematerial wie Videos oder Prospekte muss vorzeitig aus dem Marketing genommen werden.

eAkte-Datenschutz - Einwilligung in die Nutzung von Mitarbeiterfotos und -Videos


Da es sich hier um rechtliche Fragen handelte, die auch den Bereich des Arbeitsrechts berühren, fragten wir unseren auf IT-Recht, Datenschutz und Arbeitsrecht spezialisierten Rechtsexperten an. Dessen Antwort bestätigte unsere Befürchtungen:

"Sehr geehrter Herr Ströbele,

das Bundesarbeitsgericht hat mit Urteil vom 19. Februar 2015 teilweise Klarheit geschaffen, wann und in welchem Umfang der Arbeitgeber Bilder seiner Mitarbeiter auf Firmenunterlagen, in Filmen und im Internet benutzen darf.

Voraussetzung ist zunächst eine ausdrückliche gesonderte Einwilligung. Die Einwilligung formularmäßig durch eine Klausel im Arbeitsvertrag dürfte unwirksam sein. Es ist daher zu empfehlen, eine gesonderte Vereinbarung abzuschließen.

Ein Recht des Arbeitnehmers, die Einwilligung zu widerrufen, besteht in der Regel erst dann, wenn das Arbeitsverhältnis beendet ist und auch dann nur, wenn die Weiterbenutzung danach einen erheblichen Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt. Das war im entschiedenen Fall des Bundesarbeitsgerichtes nicht der Fall. Dort waren Arbeitsvorgänge im Unternehmen auf einem Videofilm festgehalten und Kunden zur Verfügung gestellt worden. Der betroffene klagende Arbeitnehmer war dabei nur in Hintergrund zu sehen.

Verwendet man die Bilder aber individualisierter, indem man den Mitarbeiter zum Beispiel ausdrücklich im Internet vorstellt, ist der Arbeitnehmer berechtigt, nach Beendigung des Arbeitsverhältnisses seine Einwilligung zur Verwendung der Bilder zu widerrufen. Dann muss es schon auf Seiten des Arbeitgebers erhebliche Gründe geben, dass er dieses Bild wenigstens noch zeitweilig weiter nutzen kann. Das kann der Fall sein, wenn er die Bilder auch auf Druckprodukten oder in produzierten Videos verwendet, die nicht unerhebliche Kosten verursacht haben. Bei Druckprodukten wird man dann von einer so genannten „Aufbrauchfrist" ausgehen können.

Wie lange der Arbeitgeber nach der Beendigung des Arbeitsverhältnisses die Bilder noch benutzen kann, hat das Bundesarbeitsgericht nicht entschieden. Das hängt auch von der Intensität der Darstellung und der Nutzung ab. Als Faustregel muss davon ausgegangen werden, dass eine Benutzung über die Dauer von zwei Jahren hinaus eher nicht zulässig ist. Und das Beibehalten einer Darstellung eines Mitarbeiters im Internet mit Foto konkret als vorhandener Mitarbeiter wird sicherlich schon unmittelbar nach Beendigung des Arbeitsverhältnisses unzulässig sein."

Unserem Datenschutz-Kunden haben wir daher empfohlen, mit den Arbeitnehmern eine gesonderte Einwilligung zur Nutzung von Mitarbeiterfotos und -Videos neben dem eigentlichen Arbeitsvertrag abzuschließen. Ein entsprechendes Formular haben wir mit dem Kunden erarbeitet. Die Nutzungsdauer nach dem Ausscheiden haben wir an die Erfordernisse angepasst.


Falls Sie in Ihrem Unternehmen Unterstützung benötigen im Bereich Datenschutz, sind wir auch Ihnen gerne behilflich. Fordern Sie uns!

Ihr yourIT-Datenschutz-Team


Bidnachweis: 229H_©_Ryan_McGuire_gratisography_com

Freitag, 19. August 2016

Einfaches Schlüsselmanagement:

Der Schlüssel für mehr Datenschutz
Nicht die E-Mail-Verschlüsselung an sich ist kompliziert. Sondern der richtige Umgang mit digitalen Schlüsseln, die eingerichtet werden müssen. Das Projekt Volksverschlüsselung will dabei helfen.


Grundlage für die E-Mail-Verschlüsselung schaffen


Das Bundesministerium des Innern begrüßt den Start der sogenannten Volksverschlüsselung, so war es im Sommer 2016 zu lesen. Deutschland sei auf dem Weg zum Verschlüsselungsstandort Nr. 1. Es lohnt sich also, die Volksverschlüsselung kennenzulernen, wenn Sie sie noch nicht kennen (www.volks-verschluesselung.de). Dabei werden Sie jedoch feststellen, dass die Volksverschlüsselung gar nicht selbst verschlüsselt.

Was aber macht sie dann? Die Volksverschlüsselung ist eine Software, die die not-wendigen digitalen Schlüssel erzeugt und die E-Mail-Programme der Benutzer konfiguriert. Für die eigentliche Verschlüsselung brauchen die meisten Nutzer kein neues Programm, da die meisten E-Mail-Programme von Haus aus verschlüsseln können, wenn Schlüssel vorhanden sind. Somit können selbst unerfahrene Nutzer verschlüsselte E-Mails verschicken, so die Projektbeschreibung.

Bildnachweis: Fotolia #90394392


Hilfe bei der Schlüsselverwaltung


Verschlüsselungslösungen für E-Mails gibt es reichlich, darunter auch viele kostenlose. Die Gründe, warum viele Nutzer die E-Mail-Verschlüsselung häufig nicht einsetzen, liegen woanders: 64 Prozent der von dem Digitalverband Bitkom befragten Nutzer sagen, dass sie sich damit nicht auskennen. Kompliziert ist dabei nicht etwa das Verschlüsseln selbst. Das klappt auf Knopfdruck und lässt sich sogar automatisieren.

Schwierigkeiten bereitet den Nutzern vielmehr, die E-Mail-Verschlüsselung einzurichten. Wahrscheinlich werden Sie zustimmen, dass es nicht einfach auf der Hand liegt, wie man an einen digitalen Schlüssel zur Verschlüsselung kommt, wie man ihn mit seinem E-Mail-Programm verknüpft und wie man den Kommunikationspartnern seinen öffentlichen Schlüssel bekannt gibt, während der private Schlüssel dauerhaft vertraulich bleiben muss. Unterstützung ist hier wirklich sinnvoll.


Das Ziel: Mehr Sicherheit bei E-Mails


Eine Lösung wie die Volksverschlüsselung kann in Zukunft helfen, auch wenn Sie privat verschlüsselt per E-Mail kommunizieren wollen. Bisher profitieren aber erst Windows-Nutzer von der Volksverschlüsselung, wenn sie über E-Mail-Programme wie Outlook oder Thunderbird kommunizieren. In weiteren Schritten sind Versionen für andere Betriebssysteme wie Mac OS X, Linux, iOS und Android geplant.

Die Volksverschlüsselung muss noch erweitert werden. Aber sie zeigt bereits: Ist das Problem des Schlüsselmanagements erst einmal gelöst, gibt es keinen Grund mehr, den Aufwand zu scheuen. Dann wird E-Mail endlich sicherer.

Mittwoch, 17. August 2016

Auf dem Weg zum Digital Workspace

Digitalisierung gilt als einer der wichtigsten Trends in der deutschen Wirtschaft. Aus dem Arbeitsplatz soll ein Digital Workspace werden. Das hat auch Folgen für den Datenschutz.


Fast alles soll digital werden


Bereits jedes vierte Unternehmen setzt auf digitalen Schriftverkehr, 40 Prozent wollen in Zukunft vermehrt auf digitale Kommunikation umstellen, so eine repräsentative Umfrage von Bitkom Research. Die Digitalisierung verändert aber nicht nur die Kommunikation. Auch die Produkte und Märkte ändern sich. Vier von zehn Unternehmen haben infolge der Digitalisierung bereits neue Produkte oder Dienste auf den Markt gebracht und 57 Prozent bestehende Angebote angepasst.
In den einzelnen Bereichen eines Unternehmens ist die Digitalisierung unterschiedlich stark ausgeprägt. Spitzenreiter ist die Produktion und Projektabwicklung, die in 74 Prozent der Unternehmen stark digitalisiert ist (mindestens zu 50 Prozent). Die Abteilungen Personal/Human Resources und Buchhaltung/Finanzen/Controlling sind jeweils in 66 Prozent der Unternehmen stark digitalisiert. Im Ranking folgen dahinter Marketing (62 Prozent), Einkauf (54 Prozent), Logistik (53 Prozent) sowie Forschung und Produktentwicklung (30 Prozent).

Bildnachweis: Fotolia #86081051


Kaum eine Tätigkeit wird davon nicht betroffen sein


Noch setzen acht von zehn deutschen Unternehmen häufig das Faxgerät zur internen oder externen Kommunikation ein, 40 Prozent nutzen bereits Online- oder Videokonferenzen, 15 Prozent Soziale Netzwerke. Der klassische Büroarbeitsplatz verändert sich zunehmend. Etwa jeder zweite Mitarbeiter sitzt an einem Computer-Arbeitsplatz, jeder Dritte nutzt für die Arbeit ein Mobilgerät mit Internetzugang wie Tablet-PC oder Smartphone.
Die Möglichkeit, an jedem Ort auf das Internet zuzugreifen, verändert die Arbeitswelt, so der Bitkom-Verband. Dank Smartphone, Tablet-Computer und Laptop ist man nicht mehr auf einen Büroarbeitsplatz angewiesen, sondern kann von unterwegs oder aus dem Home Office arbeiten. Der Arbeitsplatz wird zum Digital Workspace. Diese Veränderungen haben Auswirkungen darauf, wie wir arbeiten, wie wir Daten nutzen und schützen müssen.
So führt die Nutzung mobiler Geräte vermehrt dazu, dass Daten im Internet, in einer Cloud gespeichert werden, da so der Zugriff auf die Daten flexibel ist. Die Flexibilität erkauft man sich aber mit steigenden Gefahren für Datensicherheit und Datenschutz. Die digitalen Risiken werden nämlich unterschätzt: 86 Prozent der Top-Manager sehen in der Digitalisierung eher Chance als Risiko für ihr Unternehmen. Zehn Prozent sehen eher eine Gefahr und nur vier Prozent meinen, die Digitalisierung habe keinen Einfluss auf ihr Unternehmen.


Der Weg hin zum Digital Workspace ist doppelt gefährlich


Bei den zahlreichen Projekten zur Digitalisierung und der offensichtlichen Umstellung auf eine zunehmend digitale Kommunikation darf aber eines nicht vergessen werden: Es gibt nicht nur die Datenrisiken beim Digital Workspace, bei den Smartphones, Tablets und Clouds. Auch die ganz klassischen Arbeitsgeräte und Arbeitsplätze tragen Risiken für personenbezogene Daten in sich und können zu Datenpannen führen. Die Aktenordner im Papiermüll sind nur ein Beispiel dafür.
Wenn es also um Datenschutz im digitalen Zeitalter geht, sollten Unternehmen immer auch daran denken, dass wir erst auf dem Weg hin zum Digital Workspace sind. Es ist gut möglich, dass es den komplett digitalen Arbeitsplatz nur in Einzelfällen geben wird. Deshalb müssen alle Maßnahmen zum Schutz personenbezogener Daten immer die klassische UND die digitale Arbeitswelt umfassen. Sonst werden die klassischen Datenrisiken übersehen – und damit zu einer wachsenden Gefahr.


Schätzen Sie digitale Gefahren richtig ein? Testen Sie sich!


Frage: Die größten Risiken für die vertrauliche Kommunikation liegen im Internet. Stimmt das?


a. Ja, denn die klassische Kommunikation wird bei Weitem nicht so stark angegriffen.

b. Nein, jede Kommunikation muss geschützt werden, auch die klassischen Formen.

Lösung: Die Antwort b. ist richtig. Tatsächlich ist es sogar so, dass bestimmte Schutz-verfahren wie Verschlüsselung für papiergebundene Verfahren gar nicht verfügbar sind. Je nach Kommunikationsverfahren gibt es andere Risiken. Die Vertraulichkeit muss aber immer geschützt werden.


Frage: Die Digitalisierung bedroht den Datenschutz. Stimmen Sie dem zu?


a. Nein, nicht die Digitalisierung, sondern unzureichender Schutz und unvorsichtige Handlungen bedrohen die Daten, auch am klassischen Arbeitsplatz.

b. Ja, denn mit dem Internet kommen ganz neue Gefahren auf uns zu.

Lösung: Die Antwort a. ist richtig. Das Internet bringt zwar neue Datenrisiken mit sich, doch auch die klassischen Arbeitsverfahren können personenbezogene Daten in Gefahr bringen und Datenpannen verursachen. Der Schutzbedarf der Daten muss immer erfüllt werden, ganz gleich, ob am digitalen oder am klassischen Arbeitsplatz.

Montag, 15. August 2016

Data Breach Notification: wichtig wegen unserer Kundendaten

Wer häufig mit Kundendaten zu tun hat, sollte diese Frage beantworten können: Was muss ich tun, wenn die Daten möglicherweise in die falschen Hände geraten sind? Typisches Beispiel: Ein Datenträger mit Kundendaten geht verloren.
Typische Ausgangslage: ein Datenträger ist verschwunden!


Data Breach Notification ist sicher kein schöner Begriff, und viele verstehen ihn schlicht nicht. Aber ehrlich gesagt – ist „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (so die Überschrift von § 42a Bundesdatenschutzgesetz) besser? Beides meint dieselbe Situation: Daten etwa von Kunden sind möglicherweise in die Hände von Unbefugten geraten. Das kann beispielsweise der Fall sein, wenn ein Laptop mit Kundendaten irgendwo liegen bleibt oder ein USB-Stick mit Daten nicht mehr zu finden ist.
Dann stellt sich die Frage, ob eine Datenschutzverletzung (Data Breach) vorliegt, über die eine Mitteilung (Notification) notwendig ist – an wen auch immer.

Bild Nachweis: Fotolia_5409265_XS


Mögliche Folge: Benachrichtigungspflichten


Schon seit einigen Jahren sieht das Bundesdatenschutzgesetz vor, dass in solchen Situationen unter bestimmten Voraussetzungen sowohl die Datenschutzaufsichtsbehörde wie auch die Betroffenen selbst benachrichtigt werden müssen. Die Einzelheiten sind kompliziert, aber damit muss sich der „Normalarbeitnehmer“ im Unternehmen nicht herumschlagen. Für ihn genügt es zunächst einmal, zu wissen, dass es eine solche Benachrichtigungspflicht je nach Situation geben kann.


Wichtig: rasche Information der Vorgesetzten bei Pannen!


Wichtig deshalb: Wenn ein Datenträger mit Kundendaten einfach nicht mehr zu finden ist, auf keinen Fall den Kopf in den Sand stecken! Das macht im Ernstfall alles nur schlimmer. Informieren Sie vielmehr zügig Ihre Vorgesetzten. Diese werden dann in aller Regel den internen Datenschutzbeauftragten einschalten. Dann lässt sich gemeinsam überlegen, was zu tun ist, um zusätzlichen Schaden zu vermeiden.


Meist maßvolle Reaktion der Datenschutzaufsicht


Die Aufsichtsbehörden für den Datenschutz reagieren bei frühzeitigen Meldungen, die nichts verschleiern, durchweg mit viel Augenmaß. Nur in ganz besonderen Extremfällen kommt es dazu, dass betroffene Kunden beispielsweise über Zeitungsanzeigen informiert werden müssen. Das hat es in Einzelfällen bei Kliniken gegeben, wenn sehr sensible Daten betroffen waren und nicht einmal ungefähr festzustellen war, um die Daten welcher Patienten es dabei ging. Im Normalfall akzeptieren es die Aufsichtsbehörden, wenn das Unternehmen selbst die konkret betroffenen Kunden individuell informiert.


Kunden oft verständnisvoller als gedacht


Kunden reagieren auf eine solche individuelle Benachrichtigung meistens sehr sachlich, manchmal sogar dankbar. Zu verärgerten Reaktionen kommt es normalerweise nur, wenn betroffene Kunden erst aus den Medien erfahren, dass etwas mit ihren Daten passiert sein könnte. Deshalb ist es wichtig, dass das Unternehmen die Situation möglichst von Anfang an selbst in der Hand hat. Dazu sind rasche interne Informationen notwendig, die man dann in geeigneter Form bei der Kommunikation mit betroffenen Kunden verwenden kann.


Künftig verschärfte Rechtslage


Nach der augenblicklichen Rechtslage müssen die Kunden und die zuständige Auf-sichtsbehörde nur informiert werden, wenn es um besonders sensible Daten geht. Bei-spiele hierfür sind etwa Daten, die der ärztlichen Schweigepflicht unterliegen, oder Daten zu Bank- und Kreditkartenkonten. Diese Einschränkung hat für die Praxis im Unternehmen allerdings eine eher geringe Bedeutung.
Zum einen lässt sich nicht immer leicht entscheiden, ob zumindest einzelne besonders sensible Daten betroffen sein könnten. Diese Einschätzung müssen Fachleute treffen. Zum anderen wird die Datenschutz-Grundverordnung der EU ab Mai 2018 hier eine neue Rechtslage bringen. Ab dann kommt es nicht mehr darauf an, ob es um besonders sensible Daten geht. Vielmehr sind dann Datenschutzverletzungen hinsichtlich aller Arten von Daten zu melden. Darauf sollte man sich schon jetzt einstellen.


Vorbeugende Maßnahmen nicht vergessen!


Am besten wäre es natürlich, wenn Datenschutzverletzungen erst gar nicht vorkommen. Vielleicht nehmen Sie diesen Beitrag zum Anlass, einen genaueren Blick auf Ihren Schreibtisch zu werfen. Liegen dort Datenträger ungesichert offen herum? Und wie sieht es eigentlich mit der Passwortsicherung für den Laptop und das Smartphone aus? Wenige Handgriffe können dafür sorgen, dass es erst gar nicht zu Problemen kommt.

Freitag, 12. August 2016

Internet of Things: Nicht die Dinge, sondern Sie selbst sind betroffen

Kennen Sie das Internet der Dinge? Ob ja oder nein: In jedem Fall wird das Internet der Dinge bald Sie kennen – und zwar besser, als Ihnen lieb sein dürfte.


Das Internet ist überall


Was haben Spielzeuge, Fitness-Tracker, Autos und Kühlschränke gemeinsam? Scheinbar nicht viel. In Wirklichkeit aber bilden sie eine Gemeinschaft: Sie gehören zum sogenannten Internet of Things, kurz IoT. Viele Geräte sind inzwischen mit dem Internet verbunden oder werden es bald sein, im Büro, im Haus, in der Garage. Ob man daheim, unterwegs oder in der Arbeit ist: Das Internet kommt überall mit.

Bild Nachweis: pexels-nature-laptop-outside-macbook


Das Internet hat Beine bekommen. Das wissen Unternehmen und Nutzer durch die beliebten Smartphones und Tablets. Nun haben aber auch andere Geräte einen Internetzugang, die früher nie mit dem Internet in Verbindung gebracht wurden: Uhren am Handgelenk, Kaffee-Automaten, die Heizung, Glühbirnen, Autoradios oder die Rollos am Bürofenster.

IoT ist ein Datenschutz-Problem


So mancher freut sich auf das Internet der Dinge, wenn der Firmen- oder Privatwagen mit dem Parkplatz kommuniziert und so automatisch eine freie Lücke findet oder wenn der Kaffee-Automat die Kaffee-Lieferung oder den Wartungsdienst bestellt. Aber viele machen sich auch Sorgen: Laut Umfragen bestehen die größten Bedenken, wenn es um den Schutz personenbezogener Daten geht.
Vielleicht sind Sie jetzt überrascht, was vernetzte Dinge im Internet mit personen-bezogenen Daten zu tun haben. Leider sehr viel. Denn die Dinge sind meist eng mit ihren Nutzern verknüpft. Das kann nicht nur der Fall sein, wenn sich die Smartwatch am Handgelenk befindet. Viele der vernetzten Geräte haben integrierte Sensoren und Funkschnittstellen. Sie können so den Nutzer vermessen oder andere Geräte des Nutzers erreichen.

Geräte-Tracking = Nutzer-Tracking


Zu den Informationen, die die Geräte austauschen und ins Internet übertragen, gehört oftmals auch der Standort des Geräts, der aber mit dem Standort des Nutzers identisch oder sehr ähnlich sein kann. Gelingt es also, ein Gerät einem Nutzer zuzuordnen, wird aus dem scheinbar harmlosen Orten von Dingen das Orten von Personen. Die Betroffenen sind sich aber häufig gar nicht bewusst, dass ihre Bewegungsprofile an den App-Anbieter oder den Gerätehersteller gesendet werden könnten.

„Dass zum Beispiel Jalousien, Beleuchtung, die Waschmaschine oder auch Hauskameras vernetzt, per Smartphone gesteuert und Abläufe programmiert werden können, ist für die meisten Menschen Neuland. Daher ist es umso wichtiger, dass technisch innovative Angebote wie Smart-Home-Systeme von vornherein so konzipiert werden, dass Verbraucherinnen und Verbraucher sich auf die Sicherheit und den Schutz ihrer Daten verlassen können müssen“, so der Rheinland-Pfälzer Verbraucherschutzminister Robbers. Da das bisher nicht der Fall ist, müssen wir alle als Nutzer genau auf unsere Daten achten, gerade im Internet der Dinge.

Donnerstag, 11. August 2016

Hessischer Datenschutzbeauftragter veröffentlicht 44. Tätigkeitsbericht 2015

Der Hessische Landes-Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch hat am Montag, 11. Juli 2016 seinen Tätigkeitsbericht 2015 zum Datenschutz vorgelegt.


Schwerpunkthemen, die Ronellenfitsch in seinem Bericht anspricht, sind u.a.:

  • EU-Datenschutzgrundverordnung
  • Umgang mit kostenlosen digitalen Haushaltsbüchern (Datenhaltung in der Cloud)
  • Erforderlichkeit von neuen Instrumentarien nach dem Wegfall des Safe-Harbor-Abkommens
  • Einsatz von Body-Cams, Dashcams
  • datenschutzgerechte, elektronische Antragstellung durch Einsatz des neuen Personalausweises über die integrierte eID-Funktion
  • E-Post-Brief der Deutschen Post AG
  • Videoüberwachung
  • Smart-TV
  • Auskunfteien und Bedingungen zum Umgang mit Daten
  • Einwilligungerklärungen


Der Bericht kann auf der Website des Hessischen Landesdatenschutzbeauftragten www.datenschutz.hessen.de/taetigkeitsberichte.htm heruntergeladen werden und wird von uns zur Lektüre empfohlen.