Datenschutz # Datensicherheit

Diese Richtlinie, die für die Sicherheit der Daten und Systeme durch die EU konzipiert wurde, bezieht das Spektrum des Gesundheitswesens mit ein. "Dienstleister im Gesundheitswesen" umfassen dabei Pflegedienste, Pflegeheime, Tagesförderungen für behinderte Menschen und ähnliche Einrichtungen, die legitime Gesundheitsdienstleistungen im Hoheitsgebiet der EU erbringen.

Obwohl die NIS2-Richtlinie derzeit lediglich eine Richtlinie der EU ist, steht Deutschland vor der Herausforderung, eine eigene Gesetzgebung zu erlassen. Die Uhr tickt, denn die Frist zur Umsetzung endet am 17. Oktober 2024.

Diakonische und caritative Einrichtungen haben also weniger als ein Jahr, um sich auf die neuen gesetzlichen Anforderungen vorzubereiten.

Wie gehen wir bei unseren Kunden vor?

Als externe Datenschutzbeauftragte betreue ich auch Kunden im caritativen Bereich. Dabei berate ich nicht nur im Datenschutz sondern genauso umfangreich in der Datensicherheit. Dadurch ist die NIS2 Richtlinie für unsere Kunden grundsätzlich keine große oder neue Herausforderung.

Der erste Schritt 👣 besteht darin, den erforderlichen Aufwand zu ermitteln und einen umfassenden Maßnahmenplan zu erstellen. In diesem Kontext wird bereits jetzt begonnen, bei Datenschutz-Kunden den notwendigen Aufwand zu evaluieren. Ein wesentlicher Vorteil liegt darin, dass die NIS2-Richtlinie, der BSI-Grundschutz und der Datenschutz viele Überschneidungspunkte aufweisen. Dies bedeutet, dass die bisher getroffenen Datenschutzmaßnahmen gleichzeitig einige Anforderungen der NIS2-Richtlinie und des BSI erfüllen können.

🕑 Die frühzeitige Planung und Umsetzung von Datenschutzmaßnahmen ermöglichen es den diakonischen Einrichtungen, den Übergang zur NIS2 reibungslos zu gestalten. 🔄 Die Synergien zwischen den verschiedenen Vorschriften eröffnen die Möglichkeit, Effizienzgewinne zu erzielen und Ressourcen effektiv zu nutzen. Angesichts der bevorstehenden Frist ist eine proaktive Herangehensweise entscheidend. Konkrete Informationen zur Umsetzung der NIS2 werden noch folgen.

Das Datenschutzrecht (DSGVO) sieht bei einer datenschutzrechtlichen Zusammenarbeit zwei mögliche Wege vor:

1. Auftragsverarbeitung nach Art. 28 DSGVO.

2. Gemeinsame Verantwortung nach Art. 26 DSGVO.

Welcher Vertrag der richtig ist hängt von der Art der Zusammenarbeit und der sich daraus resultierenden Verantwortung ab.

Die neusten Erkenntnisse aus der Rechtsprechung zeigen allerdings, dass vorwiegend von einer gemeinsamen Verantwortung ausgegangen werden sollte. Sowohl das ausleihende als auch das leihende Unternehmen verarbeiten zum Teil unterschiedliche und zum Teil gemeinsame Daten. So werden z.B. Bewerbungsdaten, Mitarbeiterstammdaten oder auch Abrechnungsdaten gemeinsam verarbeitet. Zutrittsdaten oder andere organisatorische Daten werden hingegen vermutlich nur beim leihenden Unternehmen erfasst oder gespeichert. Und genau diese Differenzierungen müssen vertraglich festgehalten und die unterschiedlichen Verantwortlichkeiten geregelt werden. In der Gesamtbetrachtung der rechtlichen Situation geht der Gesetzgeber daher von einer gemeinsamen Verantwortung aus. Die Vertragsinhalte können an die bekannten Verträge zur Auftragsverarbeitung angelehnt werden. Die Aufsichtsbehörde für den Datenschutz in Baden Württemberg stellt auch eine entsprechende Vertragsvorlage zur Verfügung. Unter Umständen hat der Anbieter der Arbeitnehmerüberlassung eine Vertragsvorlage für die Kunden vorbereitet. Es lohnt sich demnach auch dieses Kriterium in einem Anbietervergleich einfließen zu lassen.

In diesem Beitrag wollen wir einen Blick auf dieses wichtige Thema werfen und den Unternehmen und Datenschutzbeauftragten zeigen, welche Maßnahmen Sie ergreifen sollten, um die Mitarbeiterdaten zu schützen.

Sobald die Mitarbeiter ihre dienstlichen Smartphones 📱 mit dem Fahrzeug verbinden erhalten auch Werkstatt und Hersteller die Kundendaten z.B. Telefonnummern, Anruflisten, Nachrichten. In den wenigsten Datenschutzhinweisen wurde dieser Umstand berücksichtigt. Ich behaupte mal, die meisten Unternehmen haben dazu keine Einwilligung der Kunden vorliegen. Zugegeben, dieses Vorgehen ist wenig praxisnah. Dennoch müssen die datenschutzrechtlichen Vorgaben der DSGVO und BDSG berücksichtigt werden. Eine entsprechende Rechtsgrundlage für die Offenlegung der Daten ist erforderlich.

Da die Hersteller der Fahrzeuge bisher kaum den Schutz der Daten in der Entwicklung der Autos berücksichtigen bzw. bewusst diese Daten für eigene Zwecke nutzen, müssen die Unternehmen als Fahrzeugnutzer diesen Missstand beheben. 😕

Im Vorfeld sollten die Hersteller dahingehend umfangreich geprüft werden. Die Unternehmen, als Fahrzeugnutzer, sind verpflichtet die Kunden transparent über eine mögliche Datenübertragung an Werstätten und Hersteller zu informieren.

Wie sollten Unternehmen und Datenschutzbeauftragte vorgehen?

1. Fahrzeughersteller sollten genausten unter die 🔎 genommen werden. Weniger ist mehr. Vielleicht reichen einfache Firmenfahrzeuge ohne viele Infotainmentsystem aus.

2. Es sollten Regelungen im Umgang mit Firmenfahrzeugen getroffen werden. Mitarbeiter dürfen die Daten des Smartphones nicht mit dem Fahrzeug synchronisieren. Vor dem Besuch der Werkstatt sollten Daten im Fahrzeug gelöscht werden z.B. Anruflisten, Telefonnummern.
Die Mitarbeiter müssen wissen welche Infotainmentsysteme von ihnen genutzt werden dürfen und welche nicht.

Für eine bessere Übersicht haben wir die wichtigsten Prüfpunkte in der folgenden Checkliste zusammengefasst.

Grundsätzlich ist jede Datenschutzverletzung (auch „Datenpanne“ genannt) meldepflichtig. Ausnahmen von dieser Regel gibt es nur für Datenpannen, die voraussichtlich kein Risiko für die Betroffenen (z.B. Kunden oder Mitarbeiter) bedeuten. Um das zu prüfen, muss demnach eine Risikoabschätzung durchgeführt werden. Organisationen mit einem/einer Datenschutzbeauftragten können sich für die Risikoabschätzung auf die Expertise des/der Beauftragten verlassen. Übrige Organisationen sind gut beraten vorsorglich jede Datenschutzverletzung zu melden.

Was ist eine Datenschutzverletzung?

Datenschutzverletzungen sind sehr vielfältig. Fälschlicherweise werden häufig nur die typischen "Hackerangriffe" als Datenschutzpanne gesehen. Das Datenschutzrecht legt bei der Beurteilung einer Datenpanne die Maßstäbe allerdings viel strenger an. So ist bereits der Verlust eines Speichermediums mit personenbezogenen Daten (z.B. Kundenlisten) eine Datenschutzverletzung. Oder auch die Unachtsamkeit im Büro, so dass Anzeigen auf dem Monitor durch Besucher eingesehen werden können, wird als Datenschutzverletzung gewertet.

Beispiele aus meiner praktischen Tätigkeit:

• Verlust eines USB-Sticks mit zahlreichen Dokumenten und Kundenlisten
  
• Serverdefekt von 3 Tagen. Nicht Erreichbarkeit der Daten.
  
• Einbruch in einen Dienstwagen und Diebstahl des Laptops.
  
• Vergessene Löschung von Berechtigungen im Buchhaltungssystem eines bereits ausgeschiedenen Mitarbeiters.
  
• Verlust von Patientenakten beim Postversand.
  
• Vergessene Ausdrucke im Gemeinschaftsdrucker über Nacht.
  
• Fehlendes Update am Server.
  
• Nutzung von Systemen mit Sicherheitslücken.
  
• Hackerangriff auf privates E-Mail Konto, welches widerrechtlich zum Teil beruflich genutzt wurde.
  

Natürlich führen deratige Vorfälle nicht pauschal zu einer Datenschutzverletzung. Grundsätzlich ist immer eine Einzelfallbetrachtung erforderlich. Diese Beispiele aus unserem Berateralltag sollen die Vielfältigkeit der Datenschutzverletzungen aufzeigen.

Welche Schritte müssen ergriffen werden?

Sobald eine Datenschutzverletzung in Sinne der DSGVO vorliegt sind Verantwortliche verpflichtet die Verletzung der zuständigen Behörde innerhalb einer Frist von maximal 72 Stunden anzuzeigen.
Neben der Anzeigepflicht, gegenüber der Behörde, gilt es noch weitere Gegenmaßnahmen zu ergreifen und Dokumentationen anzufertigen, bei denen der/die Datenschutzbeauftragte ebenfalls beratend unterstützen kann.

Dennoch stellen sich die Verantwortlichen die Frage, ob die Meldung einer Datenpanne ein Bußgeld nach sich ziehen kann. Derartige Unsicherheiten führen, meinen Erfahrungen nach, häufig dazu, dass Verantwortliche Datenpannen bewusst nicht melden.

Einen wichtigen Hinweis möchte ich Ihnen vorweg geben. Die Unterlassung einer Meldung an die Behörde ist keine gute Idee. Aufgrund der umfangreichen Vernetzung der Mitarbeiter wird eine Datenpanne früher oder später bekannt. Eine unterlassene Meldung an die Behörde ist definitiv ein bußgeldbehafteter Verstoß gegen den Datenschutz.

Mit der Frage, ob eine fristgemäße Meldung dennoch mit einem Bußgeld bestraft werden kann, hat sich 2019 bereits die Aufsichtsbehörde Thüringen beschäftigt. In der Pressemeldung vom 23.08.2019 verweist die Behörde auf den § 43 Abs. 5 BDSG. Darin wurde schon vor vielen Jahren rechtlich geregelt, dass die Meldung nicht ohne Weiteres für ein Bußgeld herangezogen werden darf.

Nicht auszuschließen ist allerdings, dass die Behörde die gemeldete Datenschutzverletzung zum Anlass einer Kontrolle nimmt. Auch dazu sei gesagt, dass meine bisherigen Erfahrungen gezeigt haben, dass eine vernünftige Zusammenarbeit mit der Behörde in erster Linie als Amtsunterstützung gesehen werden kann. Jeder Hinweis der Behörde sollte als Anlass zur Verbesserung gesehen werden, um größere Schäden (ggf. Schadenersatzansprüche) oder Bußgeldverfahren zu vermeiden.

Bei Meldungen zu Datenschutzverletzungen können Sie sich auf unsere Unterstützung und Erfahrung verlassen.