Schlagwort-Archive: DSGVO

Stellungnahme des Bundesdatenschutzbeauftragten zu einem Datenschutzverstoß der Telematik-Infrastruktur

Dem Bundesdatenschutzbeauftragten (BfDI) wurde von Hinweisgebern gemeldet, dass es im Zusammenspiel von elektronischen Gesundheitskarten und den Konnektoren der Telematik-Infrastruktur zu Datenschutzverstößen gekommen sein soll. Dazu haben den BfDI viele Fragen erreicht, von denen die häufigsten auf der Homepage des BfDI beantwortet werden.

Zu folgenden Problembereichen wird vom BfDI Stellung genommen:

Zu der Frage Liegt ein Datenschutzverstoß vor? stellt der BfDI fest: Bei den gespeicherten Seriennummern der eGK-Zertifikate von gesperrten elektronischen Gesundheitskarten handelt es sich um personenbezogene Daten. Die Speicherung dieser Daten erfolgte ohne Rechtsgrund und ist somit unzulässig. Zudem ermöglicht allein die Speicherung im Konnektor einen (unbefugten) Zugang der Nutzenden beziehungsweise der von ihnen beauftragten Administratoren zu den gespeicherten Seriennummern der eGK-Zertifikate gesperrter Gesundheitskarten. Auf diese Weise wird die Möglichkeit eröffnet, dass diese Daten an Dritte weitergegeben werden können. Somit liegt eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO vor.“

Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen

Einer gesetzlich krankenversicherte Klägerin wurde vom Oberlandesgericht (OLG) Düsseldorf ein Schmerzensgeld i. H. v. 2.000 € zuerkannt, da ihre Krankenkasse die von ihr erbetenen Unterlagen – ohne die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren – versehentlich an die E-Mail-Adresse eines unbeteiligten Dritten gesandt hatte. Oberlandesgericht Düsseldorf: Anspruch eines Versicherten auf ein Schmerzensgeld in Höhe von 2.000 € wegen des unverschlüsselten Fehlversands medizinischer Unterlagen weiterlesen

Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten

Cyberkriminelle erpressen eine finnische Psychotherapie-Firma mit gestohlenen Patientendaten. Als diese nicht zahlt, erpressen die Angreifer einfach die Patienten selbst. Diese Meldung der Süddeutschen Zeitung vom 29.10.2020 machte drastisch aufmerksam auf ein Problem, das für die Betroffenen existenzbedrohend werden kann: Der Diebstahl von Gesundheits- und Behandlungsdaten.

Was war passiert? Die Frankfurter Allgemeine Zeitung fasst in einem Beitrag vom 28.10.2020 zusammen: Am 21. Oktober interließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren…“ Finnland: Bussgeld von 608.000 € verhängt wg. gravierender Mängel bei der Verarbeitung von Gesundheits- und Behandlungsdaten weiterlesen

Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist…

dann werden unzulässige Zugriffe erleichtert. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) aufmerksam. Unter der Überschrift „Wenn der Expartner die Patientenakte ‚filzt‘“ wird über einen illegalen Zugriff von Krankenhauspersonal auf Patient*innen-Akten informiert. Wenn in einem Krankenhaus der Zugriff auf Patientendaten ungenügend geregelt ist… weiterlesen

Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie…

dann kann eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde helfen. Darauf macht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.13 – ab S. 150) aufmerksam.

Gemäß Art. 15 Abs. 3 DSGVO muss das Krankenhaus (beziehungsweise Klinikum oder der behandelnde Arzt) dem betroffenen Patienten auf Anforderung eine (kostenfreie) Kopie seiner personenbezogenen (Gesundheits-)Daten aushändigen. Stellt der/die betroffene Patient/in den Antrag auf eine Kopie seiner/ihrer verarbeiteten Daten elektronisch, so ist die Kopie in einem gängigen elektronischen Format zur Verfügung zu stellen . Wenn ein Krankenhaus sagt: Eine Kopie der Gesundheits- und Behandlungsdaten gibt’s nie… weiterlesen

Arbeitsgericht Dresden: 1.500 € Schadenersatz für unerlaubte Weitergabe von Gesundheitsdaten an Ausländerbehörde und Bundesagentur für Arbeit

Hat ein Betroffener Anspruch auf Schadens nach Art. 82 DSGVO, wenn seine Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden (in diesem Fall: an die Ausländerbehörde und die Bundesagentur für Arbeit) unerlaubt weitergegeben werden? Zu dieser Frage hat das Arbeitsgericht Dresden mit Urteil vom 26.08.2020 (Aktenzeichen: 13 Ca 1046/20) Stellung genommen. Arbeitsgericht Dresden: 1.500 € Schadenersatz für unerlaubte Weitergabe von Gesundheitsdaten an Ausländerbehörde und Bundesagentur für Arbeit weiterlesen

Corona-Pandemie: Darf der Arbeitgeber den Impfstatus abfragen?

Diese Frage wird derzeit in vielen Betrieben und Verwaltungen kontrovers diskutiert. Der Anlass: Die Konferenz der Gesundheitsminister des Bundes und der Länder hat am 22.09.2021 beschlossen hat, dass Nicht-Geimpfte bei einer Corona-Quarantäne spätestens ab dem 1. November keine Entschädigung mehr erhalten sollen. Entschädigungen nach § 56 Abs. 5 Infektionsschutzgesetz (IfSG) sind zunächst vom jeweiligen Unternehmen bzw. der jeweiligen Beschäftigungs-Behörde auszuzahlen. Sie werden dann auf Antrag von der zuständigen Landesbehörde erstattet.

Aus guten Gründen ist es Arbeitgebern nicht gestattet, Informationen über die medizinischen Ursachen von Arbeitsunfähigkeit zu erfragen und zu verarbeiten.

Ist das bei der Verabeitung des Impfstatus auch so?

Einige Datenschutz-Aufsichtbehörden haben sich zu dieser Frage positioniert: Corona-Pandemie: Darf der Arbeitgeber den Impfstatus abfragen? weiterlesen

Urteil des Landesarbeitsgerichts Baden-Württemberg zum Beschäftigtendatenschutz beim betrieblichen Eingliederungsmanagement

Betriebliches Eingliederungsmanagement (bEM) – was ist das?

Ein Blick in § 167 Abs. 2 SGB IX gibt Antworten:

  • Sind Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig“, besteht für diese Beschäftigten der Anspruch auf die Klärung der Frage, „wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann (betriebliches Eingliederungsmanagement)“.
  • Zu diesem Zweck „klärt der Arbeitgeber mit der zuständigen Interessenvertretung“, d.h. Betriebsrat oder Personalrat, „bei schwerbehinderten Menschen außerdem mit der Schwerbehindertenvertretung“, welche betrieblichen Möglichkeiten dafür zur Verfügung stehen.
  • Alles das nur „mit Zustimmung und Beteiligung der betroffenen Person… Beschäftigte können zusätzlich eine Vertrauensperson eigener Wahl hinzuziehen… Die betroffene Person oder ihr gesetzlicher Vertreter ist zuvor auf die Ziele des betrieblichen Eingliederungsmanagements sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten hinzuweisen.“
  • Weiter ist geregelt, dass erstens „soweit erforderlich… der Werks- oder Betriebsarzt hinzugezogen“ wird und zweitens, wenn Leistungen zur Teilhabe oder begleitende Hilfen im Arbeitsleben in Betracht“ kommen, der Arbeitgeber die Rehabilitationsträger oder bei schwerbehinderten Beschäftigten das Integrationsamt“ hinzuzieht.
  • Betriebs- bzw. Personalräte, bei schwerbehinderten Menschen außerdem die Schwerbehindertenvertretung, „wachen darüber, dass der Arbeitgeber die ihm nach dieser Vorschrift obliegenden Verpflichtungen erfüllt“.

Insgesamt ein umfangreiches Regelwerk, das dazu beitragen soll, betriebliche Ursachen für die Entwicklung von Krankheit und Arbeitsunfähigkeit zu erkennen und zu minimieren und Beschäftigte vor krankheitsbedingter Kündigung zu schützen. Urteil des Landesarbeitsgerichts Baden-Württemberg zum Beschäftigtendatenschutz beim betrieblichen Eingliederungsmanagement weiterlesen

CDU-Gesundheitspolitiker Tino Sorge (MdB) macht Front gegen „Datenschutz in seiner antiquierten Absolutheit“

Der Gesundheitsexperte der Unions-Bundestagsfraktion, Tino Sorge (CDU), hat eine Abkehr von den strengen Datenschutzregeln im Gesundheitsbereich gefordert. ‚Datenschutz und Gesundheitsschutz müssen in ein neues und pragmatisches Verhältnis zueinander gestellt werden‘, sagte Sorge… ‚Dazu muss auch der Mut zählen, sich vom Datenschutz in seiner antiquierten Absolutheit zu verabschieden.‘“ Mit diesen Sätzen beginnt ein Beitrag im Handelsblatt vom 10.08.2021. Im weiteren Verlauf des Beitrags wird Sorge erneut zitiert mit den Aussagen: „CDU-Politiker Sorge verwies indes auf den Sachverständigenrat Gesundheit (SVR). Dieser habe jüngst ‚in seltener Deutlichkeit auf den Punkt gebracht‘, dass die alten Prinzipien der Datensparsamkeit und der Zweckbindung ‚vollkommen überholt‘ seien. ‚Es sind heutzutage eben nicht nur Ärzte, sondern auch Daten, die Leben retten‘“, so der Wirtschaftsanwalt, Unternehmensjurist und Nicht-Mediziner Sorge. CDU-Gesundheitspolitiker Tino Sorge (MdB) macht Front gegen „Datenschutz in seiner antiquierten Absolutheit“ weiterlesen

Schmerzensgeld i. H. v. 10.000 € aufgrund unzulässiger Weitergabe von Gesundheitsdaten

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 . Das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Das Urteil ist bislang nicht frei im Internet veröffentlicht. Klageanlass und Entscheidungsgründe des Gerichts werden in einem Bericht auf Datenschutzticker.de dargestellt.