70896d6ceab94411bece14f77506b902

Die NIS-2-Richtlinie im Gesundheitswesen

Wed, 10 Dec 2025 14:05:51 GMT

Wer ist betroffen? Welche Konsequenzen ergeben sich hieraus?

Die NIS-2-Richtlinie der Europäischen Union bringt neue Regelungen im Bereich der Cybersicherheit mit sich. Eigentlich hätten die EU-Staaten NIS-2 bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland ist dies mit etwas Verzögerung nun erfolgt: Am 6. Dezember 2025 ist das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft getreten. In diesem Beitrag wird erläutert, welche Einrichtungen im Gesundheitswesen vom neuen Rechtsrahmen betroffen sind und welche Verpflichtungen zur Stärkung der Cybersicherheit sich daraus ergeben.

Die Bedrohung durch Cyberangriffe erreichte im vergangenen Jahr ein noch nie dagewesenes Ausmaß, wie bereits in unserem Bericht zum jährlichen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervorgehoben wurde. Als Reaktion auf diese angespannte Situation wurde durch die EU die NIS-2-Richtlinie verabschiedet, welche die ursprüngliche NIS-Richtlinie von 2016 ablöst. „NIS“ steht übrigens für Netz- und Informationssicherheit. Ziel ist es, ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedsstaaten der EU sicherzustellen. Betroffene Einrichtungen werden dabei zu konkreten Maßnahmen verpflichtet, um dieses Ziel zu erreichen.

Anwendungsbereich im Gesundheitswesen

Der Anwendungsbereich der NIS-2-Umsetzung in Deutschland erstreckt sich auf deutlich mehr Sektoren und Unternehmen als bisher. Im Gesundheitswesen wird der Adressatenkreis damit erheblich erweitert. Grundlage für die Betroffenheit ist das novellierte BSI-Gesetz (BSIG) in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV).

Folgende Kategorien von Einrichtungen im Gesundheitssektor fallen nun unter die NIS-2-Regelungen, sofern sie definierte Schwellenwerte erreichen:

Betreiber kritischer Anlagen nach § 56 Absatz 4 Satz 1 BSIG in Verbindung mit § 6 BSI-KritisV: Krankenhäuser mit einer vollstationären Fallzahl von mindestens 30.000 pro Jahr. Apotheken fallen ebenfalls unter diese Kategorie, sobald sie pro Jahr 4.650.000 Packungen abgegeben haben.
Besonders wichtige Einrichtungen nach § 28 Absatz 1 Nr. 4 BSIG: Ab mindestens 250 Mitarbeiter oder einem Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro.
Wichtige Einrichtungen nach § 28 Absatz 2 Nr. 3 BSIG: Ab mindestens 50 (bis maximal 249) Mitarbeiter oder einem Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro.

Cybersicherheit wird zur Chefsache

Die Geschäftsleitung trägt bei besonders wichtigen und wichtigen Einrichtungen die direkte Verantwortung für die Einhaltung der Cybersicherheitsanforderungen und kann grundsätzlich im Falle von Verstößen persönlich haftbar gemacht werden (§ 38 Absatz 2 BSIG). Dies erfordert eine aktive Auseinandersetzung mit dem Thema, um sicherzustellen, dass die notwendigen Sicherheitsmaßnahmen ordnungsgemäß umgesetzt werden. Zudem müssen IT-Risikomanagementmaßnahmen durch die Geschäftsleitung überwacht werden. Eine bloße Delegation dieser Aufgaben an Mitarbeiter ist dabei nicht vorgesehen. Stattdessen wird Cybersicherheit zur zentralen Führungsaufgabe und somit zur Chefsache erklärt.

Für besonders wichtige als auch wichtige Einrichtungen im pharmazeutischen und medizinischen Bereich ergeben sich unter anderem nachfolgende Pflichten:

Registrierungspflicht nach § 33 BSIG: Nachdem Einrichtungen erstmals oder erneut in den Anwendungsbereich fallen, ist spätestens nach drei Monaten, eine Registrierung bei einer entsprechenden Meldestelle durchzuführen. Wichtige und besonders wichtige Einrichtungen müssen sich innerhalb dieser Frist zunächst beim digitalen Dienst „Mein Unternehmenskonto“ anmelden. Ab dem 06.01.2026 stellt das BSI ein Portal zur Verfügung, bei welchem sodann eine erneute Registrierung erforderlich wird.
Geeignete Risikomanagementmaßnahmen nach § 30 BSIG: Technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen, sollen ergriffen werden, sodass unter anderem die Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen, Komponenten und Prozessen sichergestellt werden kann. Diese Maßnahmen werden ausführlich in § 30 Absatz 2 BSIG benannt. Hierunter fällt beispielsweise ein Backup-Management, Konzepte für Zugriffskontrollen oder Multi-Faktor-Authentifizierung. Die Umsetzung der Maßnahmen sowie dessen Überwachung fällt in den Zuständigkeitsbereich der Geschäftsleitung.
Erweiterte Meldepflichten nach § 32 BSIG: An eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gemeinsam eingerichtete Meldestelle bestehen verschiedene Meldepflichten. So ist beispielsweise ein erheblicher Sicherheitsvorfall nach Kenntniserlangung unverzüglich zu melden, spätestens jedoch nach 24 Stunden. Hierbei soll angegeben werden, ob der Verdacht besteht, dass der Vorfall auf einer rechtwidrigen oder böswilligen Handlung zurückzuführen ist und ob grenzüberschreitende Auswirkungen entstanden sein könnten. Anschließend ist unverzüglich, spätestens innerhalb von 72 Stunden, eine Bestätigung des Vorfalls sowie eine Bewertung des Vorfalls in Bezug auf den Schweregrad und dessen Auswirkungen zu veranlassen. Weiterhin muss nach einem solchen Vorfall eine Schlussmeldung erfolgen.
Unterrichtungspflicht nach § 35 BSIG: Bei einem erheblichen Sicherheitsvorfall kann das Bundesamt anordnen die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten.
Schulungspflichten nach § 38 Absatz 3 BSIG: Die Geschäftsleistung sollte an regelmäßigen Schulungen im Bereich Sicherheit in der Informationstechnik teilnehmen.

Neben der persönlichen Haftung der Geschäftsleitung bei unzureichender Umsetzung des Gesetzes existieren zudem Sanktionen zum Beispiel in Form von Bußgeldern.

Fazit

Mit dem Inkrafttreten der neuen gesetzlichen Vorgaben gelten für Einrichtungen im Gesundheitssektor nun verbindliche Anforderungen an die Cybersicherheit. Es ist grundsätzlich begrüßenswert, dass durch diese Maßnahmen eine stärkere Sensibilisierung für das Thema Cybersicherheit geschaffen wird. Dies trägt dazu bei, das Bewusstsein für potenzielle Risiken zu erhöhen und die Sicherheit zu verbessern. Klar ist jedoch auch, dass die Umsetzung nicht ohne Aufwand erfolgen kann. Angesichts der gesetzlichen Fristen besteht nun die zentrale Herausforderung darin, die geforderten Maßnahmen zeitnah und kontinuierlich umzusetzen.

Letzte Aktualisierung: 10.12.2025 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com

Änderung der Coronavirus-Testverordnung

Wed, 12 Feb 2025 14:28:24 GMT

Verlängerung der Aufbewahrungsfrist

Das Bundesministerium für Gesundheit (BMG) hat mit Verordnung vom 04.12.2024 die Coronavirus-Testverordnung (TestV) bis zum 31.12.2028 verlängert. Mit dieser Änderung wurden auch die Aufbewahrungsfrist nach § 7 Absatz 5 TestV angepasst. Alle Leistungserbringer und sonstigen abrechnenden Stellen nach der TestV müssen die für den Nachweis der korrekten Durchführung und Abrechnung notwendige Auftrags- und Leistungsdokumentation nunmehr bis zum 31.12.2028 unverändert aufbewahren. Diese Pflicht betrifft alle Testungen, die unter die TestV fallen und entsprechend abgerechnet wurden. Hierbei ist zu beachten, dass eine Ausnahme für Testergebnisse und die Meldung positiver Ergebnisse besteht. Diese müssen nach § 7 Absatz 5 Satz 4 TestV nur bis zum 31.12.2023 aufbewahrt werden.

Der Grund für diese Maßnahme sind die fortlaufenden Abrechnungsprüfungen zur Sicherstellung der korrekten Durchführung und Abrechnung von Testleistungen durch die Leistungserbringer. Parallel dazu sind bereits staatsanwaltliche Ermittlungsverfahren gegen Teststellenbetreiber im Gange oder werden eingeleitet. Die Verlängerung der Frist dient damit insbesondere der fortgesetzten intensiven Abrechnungsprüfung durch die Länder sowie der Rückforderung unrechtmäßig ausgezahlter Beträge durch die Kassenärztlichen Vereinigungen. Zudem wird sichergestellt, dass relevante Unterlagen auch für laufende oder zukünftige strafrechtliche Ermittlungen weiterhin verfügbar bleiben.

Fazit

Apotheken sollten daher die vorhandene Auftrags- und Leistungsdokumentation in Zusammenhang mit der TestV bis zum 31.12.2028 aufbewahren.

Letzte Aktualisierung: 20.12.2024 (lip)
Bildnachweise: © jarun011 - www.stock.adobe.com

Elektronischer Rechnungsversand und Datenschutz

Fri, 20 Dec 2024 08:23:18 GMT

Datenschutzkonformes Vorgehen im Gesundheitswesen

Viele Patienten und Kunden wünschen sich, Unterlagen wie Rechnungen bequem per E-Mail zu erhalten. Doch was auf den ersten Blick einfach klingt, kann datenschutzrechtliche Risiken mit sich bringen. Besonders relevant wird dies auch in Zusammenhang mit der ab 2025 eingeführten E-Rechnung. Nachfolgend erhalten Sie einen Überblick über mögliche Gefahren sowie möglichst praktikable Lösungen.

Im Kontext des elektronischen Rechnungsversands ist zunächst zu unterscheiden, um welche Art von Rechnung es sich handelt. In der Regel unproblematisch sind Rechnungen zwischen Unternehmen oder medizinischen und pharmazeutischen Einrichtungen, da diese meist keine besonders sensiblen personenbezogenen Daten beinhalten. Schwieriger wird allerdings die Situationen, wenn die Rechnung sensible personenbezogene Daten, wie Gesundheitsdaten beinhaltet. Beispielsweise ist dies der Fall, wenn eine Arztpraxis eine privatärztliche Rechnung an einen Patienten übermitteln möchte. Auch Apotheken versenden nicht selten Rechnungen an Patienten, die ebenfalls Gesundheitsdaten beinhalten. In derartigen Konstellationen ist ein elektronischer Rechnungsversand nicht ohne weitere Schutzmaßnahmen möglich.

Do’s and Dont’s bei sensiblen Daten

Der nachfolgende Überblick soll darstellen, welche Varianten in der Regel datenschutzkonform genutzt werden können und welche aus Datenschutzsicht problematisch sind, soweit die Rechnung sensible Daten enthält. Der Fokus liegt dabei auf einem datenschutzkonformen Übermittelungsweg, ohne die jeweilige IT-Umgebung genauer zu beleuchten.

Datenschutzrechtlich problematisch sind in der Regel folgende Übermittlungswege:

Klassische E-Mails ohne Ende-zu-Ende-Verschlüsselung oder E-Mails mit unverschlüsseltem Anhang
Telefaxübermittlung

Datenschutzrechtlich unproblematisch sind in der Regel folgende Übermittlungswege:

E-Mail mit einem verschlüsselten Anhang , wobei ein komplexes Passwort zum Öffnen des Anhangs über einen separaten Kommunikationsweg ausgetauscht wird, soweit der E-Mail sonst keine sensiblen Daten zu entnehmen sind.
Nutzung von sicheren Portallösungen , bei der sich der Rechnungsempfänger zunächst einloggen oder anderweitig authentifizieren muss.
Ende-zu-Ende-verschlüsselte E-Mail ; es ist anzumerken, dass diese Variante zwar sicher ist, jedoch im Austausch mit vielen verschiedenen Empfängern eher ungeeignet ist, da ein vorgehender Austausch kryptografischer Schlüssel zwischen Sender und Empfänger erfolgen muss.

Wenn keine dieser Varianten in Betracht kommt, bleibt in vielen Fällen nur der Weg über eine klassische Postsendung oder persönliche Übergabe der Rechnung.

Warum klassischer E-Mail-Versand mit sensiblen Daten problematisch ist

IT-Sicherheitsexperten vergleichen klassische E-Mails nicht selten mit Postkarten. Der Grund liegt darin, dass es mit dem entsprechenden Know-how nicht besonders kompliziert ist, klassische E-Mails zu lesen, abzufangen oder zu verändern. Daneben bestehen weitere Risiken. Wenn etwa ein E-Mail-Konto aufgrund eines erfolgreichen Phishing-Angriffs kompromittiert wurde, können Angreifer den gesamten Inhalt des Postfachs auslesen. Da personenbezogene Daten wie Gesundheitsdaten einen besonders hohen Schutz genießen, ist der klassische E-Mail-Versand ohne zusätzliche Schutzmaßnahmen hierbei nicht ausreichend.

Einwilligung in ein niedrigeres Schutzniveau

Häufig stellt sich die Frage, ob es auch möglich ist, den Rechnungsempfänger zu einer Einwilligung zu bewegen, in der er dem Verzicht auf zusätzliche Schutzmaßnahmen zustimmt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu dieser Fragestellung am 24.11.2021 einen Beschluss gefasst . Darin kommt die DSK zu dem Ergebnis, dass ein Absenken des Schutzniveau allenfalls auf ausdrücklichen Wunsch der betroffenen Person hin möglich ist.

So ist der Verantwortliche gesetzlich dazu verpflichtet, bestimmte technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Diese Sicherheitsvorgaben sind verpflichtend und können nicht von den Beteiligten ausgehandelt oder verändert werden.

In Ausnahmefällen kann der Verantwortliche jedoch auf ausdrücklichen und eigeninitiativen Wunsch einer gut informierten betroffenen Person auf bestimmte Sicherheitsmaßnahmen verzichten. Dies ist nur möglich, wenn die Rechte der betroffenen Person und anderer Personen dabei gewahrt bleiben und der Verzicht gut dokumentiert wird.

Nach dem DSK-Beschluss vom 24.11.2021 bleibt daher kein Raum dafür, dass Verantwortliche standardmäßig auf Basis einer Einwilligung Patienten darum bitten, dem Verzicht auf Schutzmaßnahmen zuzustimmen. Nur in Einzelfällen, wenn die betroffene Person dies wünscht, ist ein solcher Verzicht möglich. Verantwortlichen ist in diesen Fällen anzuraten, diesen Wunsch zu dokumentieren und die betroffene Person über die mit dem Wunsch verbundenen Risiken aufzuklären.

Vorsicht auch bei eingehenden E-Rechnungen

Über die Risiken, die für personenbezogene Daten von Patienten bestehen, können sich auch Gefahren für Einrichtungen ergeben, die E-Rechnungen auf digitalem Wege empfangen. Der Gesetzgeber verpflichtet alle Rechnungsempfänger ab 2025 dazu, E-Rechnungen empfangen zu können. Dies werden viele Einrichtungen durch die Bereitstellung eines elektronischen E-Mail-Postfachs für den Erhalt von E-Rechnungen umsetzen. Die Digitalisierung wird dadurch vorangetrieben, doch entstehen auch zusätzliche Risiken.

Einrichtungen im Gesundheitswesen sollten daher bei eingehenden E-Rechnungen aufmerksam sein. Gefälschte Rechnungen oder E-Mails können Malware wie Trojaner oder Ransomware enthalten.

Neben der Gefahr von Schadsoftware ergibt sich zudem das Risiko, dass E-Rechnungen manipuliert werden. Entweder, weil sich ein Krimineller in die Kommunikation zwischen Rechnungsabsender und -empfänger zwischenschaltet oder weil er sich von Anfang an als vermeintlich vertrauensvoller Rechnungsabsender ausgibt. Die dazu benötigten Hintergrundinformationen lassen sich zum Teil mit Leichtigkeit beschaffen. Ein Blick auf die Webseite der jeweiligen Einrichtung kann dabei durchaus ausreichen.

Um Risiken zu minimieren, sollten E-Rechnungen daher sehr sorgfältig auf Plausibilität geprüft werden. Mit besonderer Aufmerksamkeit sollten dabei geänderte Bankverbindungen betrachtet werden. Weiterhin sollten Sicherheitstools wie Spamfilter und Anti-Malware-Programme eingesetzt und Beschäftigte entsprechend sensibilisiert werden.

Fazit

Der elektronische Rechnungsversand und -empfang bietet im Gesundheitswesen viele Vorteile, birgt jedoch auch datenschutzrechtliche und sicherheitstechnische Risiken. Besonders bei sensiblen Gesundheitsdaten sind sichere Übermittlungswege unverzichtbar.

Einrichtungen im Gesundheitswesen sollten zudem bei eingehenden E-Rechnungen wachsam sein, um Risiken wie Schadsoftware oder Manipulation zu minimieren. Durch sorgfältige Prüfungen, den Einsatz moderner Sicherheitstools und die Schulung von Beschäftigten können diese Herausforderungen gemeistert werden, ohne den Fortschritt der Digitalisierung zu gefährden.

Letzte Aktualisierung: 20.12.2024 (lip)
Bildnachweise: © Khaligo - www.stock.adobe.com

Bewertungsportale im Gesundheitswesen

Wed, 14 Aug 2024 14:08:13 GMT

Datenschutzrechtlichen Risiken Herr werden

Bewertungsportale wie Jameda oder Rezensionen von Google sind im Gesundheitswesen fest etabliert und bieten so manchem eine wertvolle Orientierungshilfe. Doch für medizinische und pharmazeutische Einrichtungen bringen sie auch erhebliche Herausforderungen mit sich. Eine Nichteinhaltung des Datenschutzes in diesem Zusammenhang kann zu empfindlichen Bußgeldern führen, wie ein aktueller Fall in Bayern zeigt. Dort wurde ein Bußgeld in vierstelliger Höhe verhängt. Die Thematik wirft ein Licht auf die schwierige Balance zwischen Transparenz, dem Schutz der eigenen Reputation sowie den Grundsätzen des Datenschutzes und der Schweigepflicht.

Patientenerfahrungen als Qualitätsindikator

Bewertungsportale im Gesundheitswesen bieten Patienten und Kunden eine offen zugängliche Plattform, um ihre Erfahrungen mit medizinischen oder pharmazeutischen Einrichtungen zu teilen und sich vor einem Besuch umfassend zu informieren. Eine Umfrage der Bertelsmann Stiftung zum Thema Arztbewertungen ergab, dass 60% der Nutzer sich aufgrund der Informationen auf Bewertungsportalen für einen Arzt entschieden haben. Patienten- und Kundenerfahrungen stellen inzwischen nicht nur ein Qualitätsmerkmal dar, sondern können sogar positiven wie auch negativen Einfluss auf das Image der jeweiligen Einrichtung haben.

Bewertungen auf Onlineportalen sind in der Regel durch die subjektive Sicht des Nutzers geprägt. Hinzu kommt, dass negative Erfahrungen tendenziell öfter publik gemacht werden. Für positive Bewertungen ist es meist erforderlich, aktiv auf die Möglichkeit der Bewertung hinzuweisen oder um einen entsprechenden Beitrag zu bitten.

Datenschutzkonformer Umgang mit Bewertungen

Die Bayerische Datenschutzbehörde verhängte kürzlich eine vierstellige Geldstrafe gegen einen Arzt, der auf eine negative Bewertung eines Patienten auf einem Online-Bewertungsportal reagiert hatte. Der Grund für die Strafe war, dass der Arzt in seinem Gegenkommentar sensible personenbezogene Daten des Patienten, darunter Diagnosen und Behandlungsergebnisse, öffentlich preisgegeben hatte.

Auch in unserer Beratungspraxis sind vergleichbare Fälle nicht unüblich. Meist enden diese ohne Bußgeld oder können bestenfalls noch korrigiert werden. In vielen Fällen erfolgt eine Beratungsanfrage unserer Mandanten jedoch auch vor Absetzen einer Antwort auf eine Rezension, sodass Fehler vermieden werden können.

Bei negativen Bewertungen können auch Grenzen erreicht werden, die nicht hingenommen werden müssen. Dies ist vor allem dann der Fall, wenn es sich um unwahre, ehrverletzende oder geschäftsschädigende Bewertungen handelt. In einem solchen Fall stehen weitere Optionen offen. Allen voran die Löschung der jeweiligen Bewertung. Allerdings sollten auch in solchen Fällen, entsprechende Reaktionen mit Bedacht erfolgen.

Hintergrund der Bußgeldverhängung

Die Strafe basiert auf mehreren Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Gesundheitsdaten, wie Diagnosen und Behandlungsergebnisse, sind nach Art. 9 Abs. 1 DSGVO eine besondere Kategorie personenbezogener Daten. Diese Daten sind besonders sensibel und bedürfen daher auch einem besonderen Schutz.

Durch die Reaktion des Arztes im Onlineportal erfolgte eine Veröffentlichung sensibler Daten über den betroffenen Patienten. Eine solche Verarbeitung ist nach Art. 9 Abs. 2 DSGVO jedoch nur unter bestimmten Voraussetzungen rechtmäßig. Der Patient willigte weder zu einer solchen Veröffentlichung seiner Gesundheitsdaten ein, noch lag eine andere Rechtsgrundlage vor.

Ein weiteres entscheidendes Element ist die Schweigepflicht, die nicht nur Ärzte und Apotheker, sondern auch deren Personal bindet. Diese Schweigepflicht schützt das Vertrauensverhältnis zwischen Arzt und Patient bzw. Apotheker und Kunde und stellt sicher, dass sensible Informationen nicht ohne ausdrückliche Einwilligung des Patienten oder sonstige Offenbarungsbefugnisse offengelegt werden. Im vorliegenden Fall in Bayern waren weder gesetzliche Offenbarungsbefugnisse gegeben, noch lag dem Arzt eine entsprechende Schweigepflichtentbindung vor.

Das beleuchtete Bußgeldverfahren in Bayern stellt keine Ausnahme dar. So wurde bereits zum dritten Mal im Jahr 2023 ein datenschutzbehördliches Vorgehen im Gesundheitswesen durch Veröffentlichung sensibler Gesundheitsdaten auf Bewertungsportalen eingeleitet. Der Fall in Bayern kostete den Verursacher ein vierstelliges Bußgeld, also mindestens 1000 Euro. Genauere Angaben zur Bußgeldhöhe sind nicht bekannt.

Handlungsempfehlungen

Die Vorfälle verdeutlichen, wie wichtig es für Arztpraxen und Apotheken ist, sich an die datenschutzrechtlichen und berufsrechtlichen Vorgaben zu halten, insbesondere beim Umgang mit negativen Online-Bewertungen. Auch wenn der Wunsch verständlich ist, auf Kritik zu reagieren, sollte dies nur gefiltert und unter Berücksichtigung der nachfolgenden Aspekte erfolgen.

Folgende Handlungsmaßnahmen sind bei Antworten auf negative Bewertungen empfehlenswert:r Folge haben.

Sachlich reagieren: Antworten Sie auf negative Bewertungen stets sachlich und vermeiden Sie emotional aufgeladene Antworten. Konzentrieren Sie sich auf eine allgemeine Darstellung Ihrer Sichtweise und bieten Sie gegebenenfalls ein persönliches Gespräch an.
Keine personenbezogenen Daten nennen: Personenbezogene Daten des Verfassers der Bewertung dürfen unter keinen Umständen in die Antwort auf etwaige negative Bewertungen integriert werden. Andernfalls kann dies zu einem bußgeldbewehrten Datenschutzverstoß führen.
Information des Teams: Stellen Sie sicher, dass alle Mitarbeiter, die potenziell mit Online-Bewertungen in Kontakt kommen, wissen, wie sie damit umgehen müssen.
Festlegung einer Verantwortlichkeit: Daneben kann sich die Festlegung einer verantwortlichen Person empfehlen. Diese Person kann dann die gängigen Bewertungsportale proaktiv durchsehen, sodass neue Bewertungen schnell erkannt werden. Teilweise besteht auch die Möglichkeit einer automatisierten E-Mail-Benachrichtigung bei neuen Bewertungen.

Fazit

Das konsequente Einleiten von Verfahren durch Datenschutzbehörden zeigt, dass der Umgang mit Bewertungen im Gesundheitswesen sensibel und professionell erfolgen muss. Zudem verdeutlicht die Höhe des verhängtes Bußgeldes in Bayern, wie schwer Datenschutzbehörden eine Verletzung des Datenschutzes in diesem Bereich einschätzen. Zur Vermeidung solcher Bußgelder bieten datenschutzrechtliche Vorgaben und die berufsrechtliche Schweigepflicht klare Leitlinien, die zum Schutz der Patienten und zur Wahrung des Vertrauensverhältnisses strikt eingehalten werden sollten.

Sollten Sie hierzu Fragen haben, gerade in konkreten Fällen, beraten wir Sie gerne zum datenschutzkonformen Umgang mit Bewertungen.

Letzte Aktualisierung: 15.08.2024 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com

Cyberkriminalität im Gesundheitswesen

Wed, 31 Jul 2024 12:38:27 GMT

Eine wachsende Bedrohung

Die Digitalisierung schreitet im Gesundheitswesen unaufhaltsam voran. Während analoge Prozesse zunehmend der Vergangenheit angehören, profitieren medizinische und pharmazeutische Einrichtungen von der Beschleunigung und Verbesserung ihrer Prozesse durch digitale Lösungen. Doch diese Entwicklung bringt auch erhebliche Risiken mit sich. Cyberangriffe im Bereich des Gesundheitswesens sind mittlerweile an der Tagesordnung. Doch wie gravierend ist diese Gefahr tatsächlich und wie können sich medizinische und pharmazeutische Einrichtungen wirksam schützen? Pressemitteilungen über erfolgreiche Cyberattacken auf Krankenhäuser und Arztpraxen verdeutlichen die Dringlichkeit, sich intensiver mit diesem Thema auseinanderzusetzen.

Bedrohungslage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte vor kurzem den Lagebericht der IT-Sicherheit in Deutschland für das Jahr 2023 . Insgesamt wird von einer angespannten bis kritischen IT-Sicherheitslage ausgegangen. Das Bundeslagebild im Bereich Cyberkriminalität des Bundeskriminalamts zeichnete ein ähnliches Bild. So ist eine steigende Tendenz sowohl in qualitativer als auch quantitativer Hinsicht zu erkennen.

Die Hauptbedrohungen

Im Berichtszeitraum vom 01.06.2022 bis 30.06.2023 stellte Ransomware die größte Bedrohung dar. Bei Ransomware-Angriffen werden Daten verschlüsselt, wodurch berechtigte Nutzer keinen Zugriff mehr auf bestimmte Informationen haben. Cyberkriminelle setzen dabei auf Malware-Spam oder infizierte Links auf schadcodebehafteten Servern und nutzen Schwachstellen in Softwareprodukten aus. Diese Angriffe sind oft mit Lösegeldforderungen verbunden, wobei die Täter drohen, sensible Daten zu veröffentlichen oder zu verkaufen, falls die Zahlung ausbleibt.

Einrichtungen im Gesundheitswesen sind zunehmend betroffen. Bereits im Dezember 2021 wurde die CompuGroup Medical AG (CGM) Opfer eines solchen Angriffs, wie wir im AID 04/2021 berichteten. Ein weiterer Ransomware-Angriff im Dezember 2023 auf eine Hospitalvereinigung führte dazu, dass mehrere Krankenhäuser nur noch eingeschränkt auf den Intensivstationen und in den radiologischen Abteilungen arbeiten konnten.

Besonders besorgniserregend ist, dass Angreifer die Schadsoftware ständig weiterentwickeln, wodurch neue Versionen entstehen, die von bestehenden Schutzmechanismen oft noch nicht erkannt werden. Dies erhöht die Bedrohung für die Datensicherheit erheblich.

Weiterhin stellen Angriffe durch sog. Phishing oder DDoS-Attacken für Kriminelle auch ein gängiges Mittel dar, um Betroffene zu schädigen. Phishing ist eine betrügerische Methode, bei der Angreifer versuchen, durch gefälschte E-Mails oder Webseiten an sensible Informationen wie Passwörter oder Kreditkartendaten zu gelangen. Sie geben sich als vertrauenswürdige Institutionen aus, um medizinisches Personal oder Patienten zu täuschen und so an kritische Daten zu gelangen. Eine DDoS-Attacke (Distributed Denial of Service) ist ein Cyberangriff, bei dem zahlreiche Systeme gleichzeitig eine Zielwebseite oder einen Onlinedienst mit einer Flut von Anfragen überlasten, um deren Erreichbarkeit und Funktionalität zu stören oder komplett lahmzulegen.

Die meisten Bedrohungen können schwerwiegende Folgen für den Betrieb von Einrichtungen im Gesundheitswesen haben, da es zu erheblichen Verzögerungen in der Patienten- und Kundenversorgung führen kann. Darüber hinaus existiert jedoch noch eine Vielzahl anderer Angriffswege.

Präventive Maßnahmen immer wichtiger

Cyberangriffe können zwar nicht gänzlich ausgeschlossen werden, jedoch kann die Gefahr eines großen Schadens infolge eines Angriffes durch entsprechende Maßnahmen verringert werden. So kann das Ergreifen bestimmter technischer und organisatorischer Maßnahmen eine deutliche Schadensminimierung zur Folge haben.

Folgende Maßnahmen sind unter anderem empfehlenswert:

Schulung der Mitarbeiter: Eine Sensibilisierung aller Mitarbeiter ist unerlässlich. Hierbei empfiehlt sich eine regelmäßige Unterweisung, um auf neue Angriffsformen reagieren zu können.
Regelmäßige Sicherheitsupdates: Um Infektionen, die auf der Ausnutzung einer Schwachstelle beruhen, zu vermeiden, sollten regelmäßig Sicherheitsupdates durchgeführt werden.
Implementierung einer aktuellen Firewall und Antivirensoftware: Antivirensoftware entdeckt Schadsoftware und entfernt diese. Eine fachmännisch eingerichtete Firewall, die vor unbefugten Netzzugriffen schützt, sollte ebenso implementiert werden.
Backups: Sollte eine Verschlüsselung durch Ransomware erfolgt sein, sorgen Backups dafür, dass alle Daten verfügbar sind und die betroffene Einrichtung nicht vollständig lahmgelegt wird. Allerdings sollte es sich um Backups handeln, die auch einen ausreichenden Ransomware-Schutz bieten, damit die Backups nicht selbst verschlüsselt werden.
Verwendung eines starken Passwortschutzes: Ein Passwort mit mindestens zwölf oder mehr Zeichen sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten. Bei verschiedenen Accounts sollten unterschiedliche Passwörter verwendet werden. Wenn möglich, ist eine Zwei-Faktor-Authentifizierung ratsam.
Verwendung von Passkey: Optional zu einem starken Passwort kann auch ein sog. Passkey, also ein passwortloses Anmelden mittels Fingerabdrucks oder Gesichtsscan, verwendet werden.
Notfallplan für den Ernstfall: Es sollten Maßnahmen für den Fall eines erfolgreichen Cyberangriffes erarbeitet werden. Für die wichtigsten Ansprechpartner sollten die Kontaktdaten analog gespeichert sein.

Fazit

Die weltweite Verfügbarkeit des Internets eröffnet immense Chancen, birgt jedoch auch erhebliche Risiken durch die Möglichkeit, kriminelle Aktivitäten global durchzuführen. Im Gesundheitswesen stellt die sich ständig weiterentwickelnde Schadsoftware sowie die zunehmende Vernetzung krimineller Akteure eine erhebliche Bedrohung dar. So zeigt die aktuelle Kriminalstatistik auf, dass gerade Straftaten, die aus dem Ausland verübt werden, zugenommen haben. Insbesondere medizinische und pharmazeutische Einrichtungen, die mit hochsensiblen Daten arbeiten, stehen vor der Herausforderung, effektive Präventionsmaßnahmen zu implementieren.

Um diesen Bedrohungen wirksam zu begegnen, ist es wichtig, bei Datenschutz und IT-Sicherheit kontinuierlich am Ball zu bleiben. Regelmäßige Schulung der Beschäftigten sind dabei unerlässlich.

Letzte Aktualisierung: 31.07.2024 (lip)
Bildnachweise: © Rawf8 - www.stock.adobe.com

Aus TMG wird DDG und aus TTDSG wird TDDDG

Sat, 01 Jun 2024 08:31:14 GMT

Gesetzesänderungen bei den Pflichtinformationen auf Webseiten

Klingt verwirrend? Wir bringen Licht ins Dunkel! Auf einigen Webseiten finden sich Hinweise auf das Telemediengesetz (TMG) sowie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Eine bevorstehende Gesetzesänderung kann unter Umständen ein Handeln in der Praxis erfordern. Doch welche konkreten Neuerungen haben stattgefunden? Welche Angaben auf Webseiten sind zukünftig zu ändern?

Aus TMG wird DDG

Der Digital Services Act (DSA) stellt eine europäische Verordnung dar und bezweckt einen europaweit einheitlichen Rechtsrahmen für digitale Dienste, wie Onlineplattformen und Suchmaschinen. Auf nationaler Ebene wurde das Digitale-Dienste-Gesetz (DDG) geschaffen, das den DSA der EU ergänzt. Das DDG soll zukünftig das Telemediengesetz (TMG) ablösen.

Zwar wurde das DDG bereits im Bundestag zugestimmt und im Bundesrat gebilligt, dennoch fehlt die Unterschrift des Bundespräsidenten und die offizielle Verkündung, sodass bislang noch das TMG gilt.

Aus TTDSG wird TDDDG

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist Ende 2021 in Kraft getreten. Hierbei wurde unter anderem die Rechtslage bezüglich des Einsatzes von Cookies und eingebundenen Drittdiensten auf Webseiten geregelt. So geht § 25 TTDSG grundsätzlich von einem Einwilligungserfordernis aus. Diese Regelung gilt, wie andere Inhalte des TTDSG, auch weiterhin. Lediglich das Wort „Telemedien“ wird gegen „digitale Dienste“ ausgetauscht, sodass aus dem TTDSG das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) wird.

Was ist zu beachten?

Die beiden Gesetzesänderungen erfordern unter Umständen Handlungsbedarf:

Änderung der Begrifflichkeit: „Telemedien“ ist durch „Digitale Dienste“ zu ersetzen. Daher sollte die gesamte Webseite sowie bestehende Datenschutzerklärungen, in Bezug auf die geänderte Begrifflichkeit, überprüft und ggf. angepasst werden.
Änderung der Gesetzesbezeichnung: TMG wird zu DDG und TTDSG wird zu TDDDG. Auch eine Kontrolle und ggf. Anpassung in Bezug auf die alte Gesetzesbezeichnung sollte vorgenommen werden.
§ 5 TMG wird zu § 5 DDG: Im Impressum einiger Verantwortlicher ist bislang die allgemeine Informationspflicht nach § 5 TMG zu lesen. Ab Inkrafttreten des DDG müsste dies zukünftig zu § 5 DDG geändert werden. Ratsam kann es sein von der Zitierung der Norm gänzlich abzusehen. Die Angabe der Norm ist nämlich nicht verpflichtend. So können Verantwortliche bereits vor Inkrafttreten des DDG tätig werden.
§ 25 TTDSG wird zu § 25 TDDDG: Bei Verweisen der Homepage auf das TTDSG, wie dies beispielsweise bei einem Cookie-Consent-Tool vorkommen könnte, sollte ebenfalls die Gesetzesbezeichnung aktualisiert werden.

Relevanz korrekter Angaben auf gewerblichen Internetseiten

Korrekte und aktuelle Pflichtinformationen sollten Verantwortliche ernst nehmen. So besteht naturgemäß bei Internetseiten eine weltweite Verfügbarkeit. Entsprechend groß ist das Risiko, dass Mängel in den Pflichtinformationen eine offene Flanke bieten. Infrage kommen unter anderem berechtigte und unberechtigte Abmahnungen, behördliche Kontrollen oder Ansprüche der Internetnutzer. Erst jüngst erfolgte eine größere Abmahnwelle, die später als rechtsmissbräuchlich eingestuft wurde (LG München I, Urt. v. 30.03.23, Az. 4 O 13063/22). Auch das Bayerische Landesamt für Datenschutzaufsicht (LDA) führte kürzlich eine anlasslose Kontrolle von 350 Webseiten durch.

Schließlich sollten Anbieter von Webseiten bedenken, dass primär sie selbst für die Korrektheit der eigenen Internetseiten verantwortlich sind. Aus diesem Grund kann nicht davon ausgegangen werden, dass jeder Dienstleister, auch wenn dieser die Webseite hauptsächlich verwaltet, die Änderungen automatisch umsetzt. Eine entsprechende Nachfrage sollte daher nicht als entbehrlich angesehen werden.

Update (14.05.2024)

Das DDG ist nun seit dem 14.05.2024 in Kraft getreten. Somit sollten die oben ausgeführten Handlungsempfehlungen umgesetzt werden.

Letzte Aktualisierung: 01.06.2024 (lip)
Bildnachweise: © pixelkorn - www.stock.adobe.com

Einlösen von E-Rezepten mittels CardLink

Fri, 17 May 2024 08:31:01 GMT

Große Kritik der ABDA zum CardLink-Verfahren

Die Einführung des E-Rezeptes mit seinen verschiedenen Einlöse-Optionen soll Praxisabläufe effizienter gestalten. Hierdurch soll vor allem Zeit gespart werden, welche wiederum in die Patientenversorgung fließen kann, so die Gematik. Nun soll ein weiteres Verfahren geschaffen werden, bei dem E-Rezepte zügiger eingelöst werden können, das sog. CardLink-Verfahren. Doch ist das CardLink-Verfahren verglichen zu den bereits existierenden Alternativen als sicher einzustufen? Gibt es datenschutzrechtliche Bedenken, die dem Einsatz von CardLink entgegenstehen?

Das E-Rezept ist seit dem 01.01.2024 für verschreibungspflichtige Medikamente verpflichtend eingeführt worden. Somit wurde das rosafarbene Rezept digitalisiert. Ursprünglich sollte das E-Rezept von Patientinnen und Patienten über drei Wege eingelöst werden können:

Elektronische Gesundheitskarte (eGK): Die Einlösung des E-Rezeptes erfolgt durch das Einstecken der eGK in das Kartenterminal der Apotheke.
E-Rezept-App: Mittels der E-Rezept-App der Gematik oder der Krankenkassen können die E-Rezepte durch den Versicherten online verwaltet werden. Medikamente können dabei direkt über die App bei der Apotheke bestellt werden.
Papierausdruck: Schließlich besteht die Möglichkeit das E-Rezept in der Arztpraxis ausdrucken zu lassen und anschließend in der Apotheke einzulösen, indem der Rezeptcode gescannt wird.

Seit März diesen Jahres ist nun jedoch ein weiteres Verfahren möglich, das sog. eHealth-CardLink bzw. CardLink. Die Einführung dieses Verfahrens wurde in der Gesellschafterversammlung der Gematik am 14.03.2024 beschlossen.

Wie funktioniert CardLink?

CardLink stellt ein Verfahren dar, das von Apotheken und Versandapotheken genutzt werden kann. Durch Heranhalten der eGK an ein NFC-kompatibles Smartphone des Versicherten wird eine Verbindung mit dem Konnektor eines Leistungserbringers hergestellt, welcher den Zugang zur Telematikinfrastruktur (TI) ermöglicht. Durch das CardLink-Verfahren ist daher grundsätzlich kein Besuch in einer Apotheke vor Ort erforderlich. Es besteht damit eine Ähnlichkeit zur Nutzung der E-Rezept-App.

Anders als bei der E-Rezept-App, gibt es jedoch keine CardLink-App, in der sämtliche Apotheken für Versicherte wählbar sind. Vielmehr lässt sich das CardLink-Verfahren nur in spezielle Apps einbinden. Attraktiv ist CardLink daher besonders für große Versandapotheken, die über eigene Apps und eine entsprechende Infrastruktur verfügen. Gleichwohl ist CardLink natürlich für alle Apotheken grundsätzlich nutzbar.

Sicherheitsbedenken zu CardLink

Die Präsidentin der Bundesvereinigung Deutscher Apothekerverbände e.V. (ABDA) , Gabriele Overwiening, findet für die geplante Einführung klare Worte. Mit einer E-Mail vom 18.03.2024 warnte sie die Mitglieder des Gesundheitsausschusses des Bundestages vor der Einführung des CardLink-Verfahrens.

Die Lage rund um die E-Rezept-Einführung sei infolge technischer Ausfälle ohnehin angespannt. In der derzeitigen fragilen Phase einen vierten Einlöseweg einzuführen, der den ungeprüften Smartphone-Apps von Drittanbietern direkten Zugang zur TI gewährt, sei fahrlässig, so Overwiening. Hierdurch würde Inhabern der Apps erlaubt, medizinische Dat en ohne wesentliche Anforderungen und Zulassungen, zu verarbeiten. Overwiening beklagt zudem, dass bei CardLink mehr als 20 Sicherheitsbedenken bis zuletzt nicht ausgeräumt wurden, wodurch die Arzneimittelversorgung angreifbar sei. Bei den bereits existierenden Einlöse-Optionen seien hingegen strengste Sicherheitsmaßnahmen erfüllt worden, bevor eine flächendeckende Nutzung im Versorgungsalltag zugelassen wurde.

Auch der Landesapothekerverband Niedersachen (LAV) wies auf Sicherheitslücken und eine Gefährdung des Patientenschutzes beim CardLink-Verfahren hin.

BMG setzt Verfahren im Alleingang durch

Bemerkenswert ist, dass das BMG die Entscheidung über die Einführung von CardLink nur infolge der 51-prozentigen Stimmenmehrheit in der Gesellschafterversammlung der Gematik durchsetzen konnte. Alle anderen Gesellschafter, darunter die gesetzlichen und privaten Krankenkassen sowie die Vertretergesellschaften der Leistungserbringer (KBV, BÄK, DKG, KZBV, BZÄK und DAV) stimmten dagegen. Die Gegenstimmen kamen vor allem aufgrund der bestehenden Sicherheitsbedenken zustande. Laut ABDA forderten die Kontrollorgane des Datenschutzes, der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI), zwischenzeitlich sogar den Stopp von CardLink.

Vorläufiges Fazit

Derzeit befindet sich das CardLink-Verfahren bereits im Einsatz. Aus der datenschutzrechtlichen Perspektive sind die mehr als 20 gemeldeten Sicherheitsbedenken höchst bedenklich. Gleichzeitig ist davon auszugehen, dass diese wohl bis heute nicht vollständig ausgeräumt wurden. Da bislang keine öffentlichen Informationen zu den konkreten Bedenken vorliegen, ist eine zuverlässige Risikoeinschätzung beim Einsatz von CardLink kaum möglich. Fakt ist jedoch, dass nicht unerhebliche Bedenken bestehen, die sämtliche Gesellschafter, mit Ausnahme des BMG, dazu veranlasst hat, ihr Veto gegen CardLink einzulegen.

Nicht selten stehen Verantwortliche bei dem Einsatz neuer Verfahren vor der Frage der datenschutzrechtlichen Zulässigkeit, ohne dabei sämtliche rechtlichen und technischen Aspekte vollständig überblicken zu können. Aus diesem Grund wird im Datenschutz häufig an die Zuverlässigkeit von Diensten und Anbietern angeknüpft. Indikatoren für eine positive Zuverlässigkeit können bspw. Datenschutz- oder Informationssicherheitszertifikate sein. Bekannt gewordene Sicherheitsvorfälle oder ernsthafte Sicherheitsbedenken stellen dagegen ein negatives Indiz dar.

Weitere Informationen zum Thema elektronische Gesundheitskarte finden Sie unter dem folgendem Link: https://www.datenschutz.org/elektronische-gesundheitskarte/

Letzte Aktualisierung: 12.09.2024 (lip)

Bildnachweise: © Bernd - www.stock.adobe.com

Arbeitszeiterfassung und Datenschutz

Tue, 30 Apr 2024 16:23:44 GMT

Was ist zu beachten?

Die Reformierung des Arbeitszeitgesetzes wird seit geraumer Zeit diskutiert. Ein Referentenentwurf des Bundesministeriums für Arbeit und Soziales vom März 2023 verschrieb sich unter anderem der Verpflichtung zur digitalen Zeiterfassung. Dennoch wurde dies bisher (noch) nicht umgesetzt, wodurch die bisherige Gesetzeslage gilt. Doch welche Verpflichtungen zum Thema Arbeitszeiterfassung treffen einen Arbeitgeber derzeit? Gibt es dazu datenschutzrechtliche Aspekte, die bei der Arbeitszeiterfassung zu beachten sind?

Der Europäischen Gerichtshof (EuGH) hat im Mai 2019 entschieden, dass alle Arbeitgeber durch die Mitgliedstaaten der EU verpflichtet werden sollen ein verlässliches System zur Arbeitszeiterfassung einzurichten, mit dem die täglich geleistete Arbeitszeit der Beschäftigten gemessen werden kann (EuGH, Urteil. v. 14.05.2019 Az. C-55/18 [ECLI:EU:C:2019:402], CCOO gg. Deutsche Bank SAE).

Dieses Urteil musste sodann vom Bundesarbeitsgericht (BAG) im sog. Stechuhr-Urteil vom September 2022 zur Auslegung der einschlägigen deutschen Vorschrift, § 3 Abs. 2 Nr. 1 Arbeitsschutzgesetz (ArbSchG), herangezogen werden (BAG, Beschl. v. 13.09.2022 - 1 ABR 22/21). Hieraus leitete das BAG die Verpflichtung zur Zeiterfassung aus dieser bereits bestehenden Vorschrift ab. Somit folgt für alle Arbeitgeber bereits jetzt die Pflicht zur Zeiterfassung.

Im März 2023 wurde ein Referentenentwurf des Bundesministeriums für Arbeit und Soziales veröffentlicht, der eine Konkretisierung des Arbeitszeitgesetzes (ArZG) beinhaltet. Insbesondere sollte die Verpflichtung zur Zeiterfassung in digitaler Form ab einer bestimmten Arbeitnehmeranzahl verpflichtend eingeführt werden. Allerdings wurde diese geplante Reform bislang noch nicht umgesetzt, sodass – Stand jetzt – die Zeiterfassung in digitaler oder analoger Form erfolgen kann.

Datenschutzrechtliche Aspekte der Arbeitszeiterfassung

Der EuGH hat bereits im Jahr 2013 festgestellt, dass aufgezeichnete Arbeitsdaten mit Angaben der Uhrzeit, wann die Arbeit aufgenommen, pausiert oder beendet wird, personenbezogene Daten sind (EuGH, Urt. v. 30.05.2013 - C 342/12 [ECLI:EU:C:2013:355]). Dies gilt so auch nach Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO).

Jede Verarbeitung personenbezogener Daten, wie die Aufzeichnung der Arbeitszeit, bedarf einer Rechtsgrundlage. Da die Erfassung der Arbeitszeit insbesondere nach der unionskonformen Auslegung des § 3 Abs. 2 Nr. 1 ArbSchG eine Pflicht für den Arbeitgeber darstellt, lässt sich dies auf Art. 6 UAbs. 1 Buchst. c) DSGVO stützen. Diese Norm erlaubt Datenverarbeitungen, wenn sie auf einer gesetzlichen Verpflichtung beruhen, was vorliegend der Fall ist. Somit besteht auch keine Notwendigkeit für die Einholung einer Einwilligung durch die Beschäftigten zur Erfassung der Arbeitszeit.

Für eine datenschutzkonforme Erfassung der Arbeitszeiten ergeben sich daneben insbesondere die folgenden Aspekte:

Auftragsverarbeitungsvertrag bei Dienstleistern: Mit Dienstleistern, die die Arbeitszeiterfassung als Service anbieten, sollte geprüft werden, ob die Voraussetzungen für den Abschluss eines Auftragsverarbeitungsvertrag vorliegen. Dies dürfte in vielen Fällen erforderlich sein.
Berücksichtigung im Rahmen des Verarbeitungsverzeichnis: Die Arbeitszeiterfassung stellt meist eine Verarbeitungstätigkeit dar, welche im Verarbeitungsverzeichnis berücksichtigt werden sollte, sofern dieses verpflichtend zu führen ist.
Restriktiver Zugang zu Beschäftigtendaten: Beschäftigtendaten, worunter auch die Arbeitszeitfassung fällt, sollten nur für einen ausgewählten und möglichst restriktiv gehaltenen Personenkreis zugänglich sein.
Schutzziele des Datenschutzes müssen beachtet werden: Aspekte, wie die Vertraulichkeit, Verfügbarkeit und Integrität der Daten zur Arbeitszeiterfassung sollten berücksichtigt und stets gewahrt werden. Hierbei kommt eine Vielzahl von Maßnahmen in Betracht. Gerade bei Dienstleistern, die die Arbeitszeiterfassung im Rahmen einer Auftragsverarbeitung anbieten, sollten sich Verantwortliche zunächst ein Schutzkonzept vorlegen lassen.
Einbeziehung des Datenschutzbeauftragten: Bei Vorhaben, wie die Umsetzung der Reglungen zur Arbeitszeiterfassung, sollte der betriebliche Datenschutzbeauftragte rechtzeitig miteinbezogen werden.
Berücksichtigung im Löschkonzept: Auch personenbezogene Daten im Rahmen der Arbeitszeiterfassung müssen im Rahmen des Löschkonzeptes berücksichtigt werden. Der derzeitige Referentenentwurf sieht eine Aufbewahrungspflicht von mindestens zwei Jahren vor. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg empfiehlt in seinem Ratgeber Beschäftigtendatenschutz einen Aufbewahrungszeitraum von zwei bis drei Jahren.

Zusammenfassung

Infolge des BAG-Urteils besteht für jeden Arbeitgeber die Pflicht zur Arbeitszeiterfassung seiner Beschäftigten, wobei leitende Angestellte hiervon ausgenommen sind. Dies kann – bis jetzt – digital oder analog erfolgen. Die Verarbeitung der Beschäftigtendaten ist nach Art. 6 UAbs. 1 Buchst. c) DSGVO rechtmäßig, sodass es keiner separaten Einwilligung der Beschäftigten bedarf. Weiterhin ist zu beachten, dass nach wie vor auch die Überstunden der Beschäftigten weiterhin aufzuzeichnen sind. Schließlich müssen im Rahmen der Arbeitszeiterfassung auch einige datenschutzrechtliche Aspekte berücksichtigt werden.

Letzte Aktualisierung: 30.04.2024 (lip)

Bildnachweise: © tongpatong - www.stock.adobe.com

Das gute alte Faxgerät

Tue, 30 Apr 2024 16:23:39 GMT

Besteht noch Hoffnung für den Datenschutz?

In den letzten Jahren wurde eine Kommunikation mittels Fax von einzelnen Datenschutzbehörden moniert. Dennoch, rund 80% der deutschen Unternehmen nutzen Faxgeräte. Auch im Gesundheitswesen erachten viele Einrichtungen das Faxgerät als unerlässlich. Der Faktor Zeit und die Praktikabilität stehen hierbei oft im Vordergrund. Doch kann eine solche Übermittlung aus datenschutzrechtlicher Sicht überhaupt noch als sicher eingestuft werden? Welche Handhabung wird bei der Nutzung des Faxes im Gesundheitswesen allgemein empfohlen?

Der Thüringer Landesdatenschutzbeauftragte (TLfDI) befasste sich jüngst in einer Pressemitteilung mit der Datenübermittlung per Telefax. Die Frage der Datenschutzkonformität dieses Kommunikationsweges ist jedoch gewiss nicht neu. Bereits 2021 nahm die Bremer Landesdatenschutzbeauftragte für den Datenschutz, Frau Dr. Imke Sommer, hierzu Stellung und beleuchtete die Risiken durch die technologische Weiterentwicklung des Faxgerätes. Wir berichteten hierzu bereits.

Damals, wie heute wird die Übermittlung per Telefax von vielen Datenschutzbehörden grundsätzlich als unsicherer Übermittlungsweg eingestuft. So auch der TLfDI , der die Faxnutzung nur in Ausnahmefällen für vertretbar hält. Auf der Homepage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit wird zudem empfohlen zeitnah alternative Kommunikationsmittel zum Fax zu implementieren. Ähnlich wird dies vom Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen gesehen, der den Fax-Versand für vergleichbar risikoreich hält, wie den unverschlüsselten E-Mail-Verkehr.

Doch weshalb gilt die Übermittlung per Fax als unsicher?

Risiken der Faxnutzung

Der Versand an einen falschen Empfänger durch die Eingabe einer fehlerhaften oder veralteten Faxnummer stellt ein in der Praxis häufig vorkommendes Risiko dar. Faxe werden inzwischen überwiegend durch sog. Paketvermittlungen übertragen. Hierbei werden Daten paketweise in unterschiedlichen Formen über das Internet transportiert. Während des Übermittlungsweges besteht an verschiedenen Stellen die Gefahr, dass auf die Faxe unberechtigt Zugriff genommen wird. Nicht selten kommen die übermittelten Pakete auch nur unvollständig an, sodass das Fax nicht vollständig wiedergegeben wird oder sogar ganze Seiten fehlen.

Bei klassischen Faxgeräten und Multifunktionsgeräten werden empfangene Faxe direkt ausgedruckt. Hierbei besteht ebenfalls die Gefahr einer unbefugten Kenntnisnahme durch Dritte.

Daneben werden Faxe oft auch rein elektronisch empfangen. Dabei werden eingehende Faxe in eine E-Mail umgewandelt und der Empfänger erhält sodann das Fax als E-Mail-Anhang in sein E-Mail-Postfach. Gerade in diesen Fällen existieren dieselben Risiken, die sich auch beim klassischen E-Mail-Versand ohne echte Ende-zu-Ende-Verschlüsselung ergeben. Sollte sich beispielsweise ein Cyberkrimineller Zugang zum E-Mail-Konto verschaffen, so könnte er sämtliche dort gespeicherten E-Mails einsehen.

Empfehlungen für eine datenschutzkonforme Kommunikation

Trotz der bestehenden Risiken ist das Faxgerät in den meisten medizinischen und pharmazeutischen Einrichtungen nach wie vor regelmäßig in Benutzung. Zu beachten ist weiterhin, dass beim Faxen im Gesundheitswesen meist besondere Kategorien von personenbezogenen Daten, meist Gesundheitsdaten, verarbeitet werden. Dies macht im Gegensatz zu weniger sensiblen Daten ein höheres Schutzniveau erforderlich. Im Gesundheitswesen muss demnach ein strengerer Maßstab angelegt werden als in vielen anderen Branchen.

Daher empfehlen sich insbesondere die nachfolgenden Punkte:

Nutzung alternativer Kommunikationsmittel: Für an die Telematikinfrastruktur (TI) angebundene Einrichtungen ist hier besonders der Übermittlungsdienst KIM (Kommunikation im Medizinwesen) zu nennen. Aber auch wer keine KIM-Nutzungsmöglichkeit hat, kann etwa E-Mails versenden, wenn entsprechende Verschlüsselungsverfahren umgesetzt sind oder auf sichere Portallösungen zurückgreifen.
Nutzung des Faxes nur für risikoarme Übermittlungen: Risikoarme Übermittlungen stellen beispielsweise Fax-Bestellungen ohne Patientenbezug dar.
Zu- und Abgangskontrolle: Falls doch gefaxt werden muss, sollte vorab eine Rufnummerkontrolle, etwa in Form des 4-Augenprinzips durchgeführt werden. Beachtung finden sollte dabei auch, dass sich die Faxnummern auch ändern können, sodass auch die Aktualität der Rufnummer sichergestellt werden sollte. Je nach Empfänger empfiehlt sich zudem eine Ankündigung der Faxsendung.
Verwendung eines Faxdeckblatts: Ein vorangestelltes Deckblatt, welches den Absender, die Seitenanzahl sowie die Bitte, ein ggf. fehlgeleitetes Fax beim Absender umgehend anzuzeigen oder zu vernichten wäre zu empfehlen. Auch dies kann eine sinnvolle Maßnahme darstellen, falls doch noch auf das Fax zurückgegriffen werden muss.
Restriktive Handhabung des Faxes: Wie bereits dargestellt, sollte das Telefax besonders bei der Übermittelung sensibler Informationen gar nicht verwendet werden. In besonderen Notsituationen ist eine Nutzung dennoch anerkannt. In diesen besonderen Notfällen sollte stets eine Abwägung getroffen werden. Diese sollte zunächst auf den individuellen Einzelfall abgestimmt sein. Außerdem sollte dabei die Sensibilität der zu übermittelnden Daten und die medizinische oder pharmazeutische Dringlichkeit der Übermittlung berücksichtigt werden. Nur bei fehlenden alternativen Übermittlungswegen und bei einem Überwiegen der Dringlichkeit, sollte der Einsatz des Faxes bei sensiblen Daten erwogen werden.

Unter Berücksichtigung obiger Ausführungen besteht wohl abgesehen von wenigen Ausnahmefällen keine Hoffnung auf ein datenschutzkonformes Faxen. Dies gilt jedenfalls dann, wenn das Fax auch Patientendaten oder ähnlich sensible Informationen beinhalten soll.

Letzte Aktualisierung: 30.04.2024 (lip)

Bildnachweise: © Artinun - www.stock.adobe.com

4.000 Euro Schadensersatz gegen einen Psychotherapeuten

Sat, 31 Dec 2022 12:05:05 GMT

Urteil des Amtsgerichts Pforzheim

Bereits am 25.03.2020 hat das Amtsgericht Pforzheim dem Kläger einen Schadensersatzanspruch von 4.000 Euro aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) zugesprochen (Az. 13 C 160/19). Im zugrundeliegenden Fall, übermittelte der beklagte Psychotherapeut Aufzeichnungen eines Sitzungsprotokolls mit dem Kläger an einen Rechtsanwalt. Die Ehefrau des Klägers befand sich beim Beklagten in psychotherapeutischer Behandlung und gab im Laufe der Behandlungszeit sehr persönliche Informationen zu ihrem Ehemann preis. Sie berichtete von „ungewöhnlichen Verhaltensauffälligkeiten“ sowie „Drogen- und Alkoholkonsum“ ihres Ehemannes. Diese prekären Informationen erfasste der behandelnde Therapeut im Rahmen der Behandlungsdokumentation in der Akte seiner Patientin. Für einen (besseren) Behandlungserfolg bei seiner Patientin, versprach sich der Therapeut von einem persönlichen Gespräch zwischen ihm und dem Kläger sehr viel, woraufhin dieser in der Praxis erschienen war. In der daraus resultierenden Dokumentation erstellte der Therapeut ein Persönlichkeits- bzw. Verhaltensprofil des Ehemannes, welches er der Patientenakte der Ehefrau zuordnete.

In weiterer Folge trennte sich das Ehepaar, woraufhin es zu einer gerichtlichen Auseinandersetzung der Eheleute kam, in der der Umgang für die gemeinsamen Kinder geregelt werden sollte. Der Anwalt der Ehefrau, wandte sich im Zuge des Verfahrens und im Interesse seiner Mandantin, an den beklagten Psychotherapeuten, welcher dann die voranstehend beschriebenen Aufzeichnungen über den Ehemann der Patientin an den Rechtsbeistand übermittelte. Da die Dokumentation des Therapeuten im Verfahren eingeführt wurde, waren die sensiblen Daten allen Prozessbeteiligten offenbart worden. Dieser Umstand führte dann zur Einreichung einer Klage auf Schadensersatzanspruch gegenüber dem Therapeuten, welcher durch das AG Pforzheim stattgegeben wurde. Das Gericht sprach daraufhin dem Kläger einen Schadensersatz in Höhe der genannten 4.000 Euro zu, da der Psychotherapeut „entgegen Artikel 9 Abs. 1 DS-GVO Gesundheitsdaten des Klägers“ verarbeitet hatte. Mit dem Begriff der Verarbeitung ist hier nicht die reine Erhebung bzw. Speicherung seitens des Beklagten gemeint, sondern die Übermittlung respektive Offenbarung der Gesundheitsdaten gegenüber unberechtigten Drittpersonen.

Ferner hat das Gericht bei seiner Entscheidung berücksichtigt, dass der Kläger, also der Ehemann der Patientin, selbst kein Patient beim Beklagten war. Außerdem stellte das Gericht fest, dass die Angaben der Ehefrau und den daraus resultierenden Aufzeichnungen des Therapeuten weder auf eine Gefährdung des gesundheitlichen Wohls der Ehefrau noch derer der Kinder hindeuten. Das Gericht begründete die Bemessung des Schadenersatzes nicht nur mit der Tatsache, dass es sich um besonders schützenswerte Daten nach Art. 9 Abs. 1 DS-GVO handelte, sondern auch damit, dass die Höhe „erforderlich sei, um die Abschreckungs- und Genugtuungsfunktion zu gewährleisten.“

Konsequenzen einer unerlaubten Weitergabe personenbezogener Daten

Es kann festgehalten werden, dass eine unerlaubte Weitergabe von personenbezogenen Daten, insbesondere von jenen, die zu den besonderen Kategorien von Daten nach Art. 9 Abs. 1 DS-GVO zählen (wie etwa Gesundheitsdaten), merkliche Konsequenzen nach sich ziehen kann. Der vorliegende Fall stellt dies eindrucksvoll unter Beweis. Zudem wird klar, dass bei entsprechend schwerwiegenden Verstößen durchaus Schadensersatz in erheblichem Umfang zum Tragen kommen kann. Und dies auch bei personell eher kleineren Einrichtungen, wie hier, einer psychotherapeutischen Einzelpraxis.

Im Gesundheitswesen muss zudem stets das Berufsrecht berücksichtigt werden. Inhaber und Angestellte von Apotheken und Arztpraxen unterliegen neben den Regelungen zum Datenschutz auch der Schweigepflicht. Verstöße hiergegen können insbesondere auch Grundlage von § 203 Strafgesetzbuch (StGB) belangt werden. Daher lautet die klare Empfehlung im Umgang mit sensiblen (Gesundheits-) Daten, vor Übermittlung oder Offenbarung Dritten gegenüber zu prüfen, auf welcher Rechtsgrundlage dies geschehen kann oder darf.

Patientenakten bei Auskunftsersuchen stets überprüfen

Schließlich sei darauf hingewiesen, dass besonders bei der Erteilung von Auskunftsersuchen in medizinischen Einrichtungen eine vorhergehende Überprüfung der betreffenden Akten wichtig ist. Dies gilt umso mehr, soweit es Akten oder Unterlagen betrifft, die die Rechte von weiteren betroffenen Personen berühren können. In solchen Fällen sollte stets geprüft werden, ob sich die Rechtmäßigkeit der Erteilung des Auskunftsersuchens auch auf Informationen bezieht, die Dritte und nicht nur den selbst Patienten betreffen. Welche Konsequenzen das Unterlassen einer Prüfung mit sich ziehen kann, zeigt das Urteil des Amtsgerichts Pforzheim.

Letzte Aktualisierung: 01.01.2023 (dap)

Bildnachweise: © Microgen - www.stock.adobe.com

Fälschung von Impfnachweisen

Tue, 18 Jan 2022 08:03:43 GMT

Durch die immer strenger werdenden Auflagen für Ungeimpfte in der Coronavirus-Pandemie ist in vielen Bereichen des öffentlichen Lebens eine Teilnahme ohne einen 3G-Nachweis nur sehr eingeschränkt möglich. Aktuell wird dies durch noch strengere Regelungen zusätzlich verschärft. In der Folge zeichnet sich innerhalb der letzten Wochen und Monate eine erschreckend hohe Zahl missbräuchlich genutzter oder gefälschter Impfdokumente ab.

Während Arztpraxen in der Regel genau wissen, welcher Patient eine Impfung erhalten hat, ist dies für Apotheken oft nur schwer nachvollziehbar. Dennoch stellen Apotheken jeden Tag unzählige digitale Impfzertifikate aus. Dabei wird eine Überprüfung des gelben Impfpasses oder einer vergleichbaren Bescheinigung auf deren Echtheit und Korrektheit vorgenommen. Häufig stellt sich jedoch die Frage, wie sich die Beschäftigten einer Apotheke verhalten müssen, wenn sie feststellen, dass es sich um einen gefälschten Impfnachweis handelt.

§ 277 Strafgesetzbuch

Einigkeit besteht darüber, dass in einem solchen Fall die Ausstellung eines Impfnachweises verweigert werden sollte. Fraglich ist jedoch, ob in solchen Fällen auch gleichzeitig die Polizei oder andere Behörden verständigt werden können oder müssen.

Während bis vor einiger Zeit noch Unklarheit darüber bestand, ob im Falle eines gefälschten Impfnachweises überhaupt eine Strafbarkeit besteht, hat der Gesetzgeber Ende November nachgebessert. So wurde § 277 Strafgesetzbuch dahingehend neu gefasst, dass nunmehr auch das Fälschen von Impfnachweisen unter Strafe gestellt wird. Das sogenannte unbefugte Ausstellen von Gesundheitszeugnissen wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

§ 203 Strafgesetzbuch

Die mit der Gesetzesänderung verbundene Klarstellung ist zwar begrüßenswert, jedoch verhilft sie nur bedingt bei der Frage, ob sich Beschäftigte von Apotheken, die gefälschte Impfnachweise zur Anzeige bringen, möglicherweise selbst einem rechtlichen Risiko aussetzen. Dieses könnte zum Beispiel in einem Verstoß gegen den Datenschutz oder die Schweigepflicht liegen. Gerade letzteres könnte nämlich selbst einen Verstoß gegen § 203 Strafgesetzbuch bedeuten.

Die juristischen Auffassungen zu dieser Thematik fallen wenig überraschend sehr unterschiedlich aus. Einigkeit besteht insofern, dass für Beschäftigte von Apotheken keine Pflicht zur Erstattung einer Anzeige besteht. Die Thematik ist jedoch kompliziert und kann nicht immer pauschal beantwortet werden, da es wie so oft, meistens auf den Einzelfall und die damit zusammenhängenden Umstände ankommt.

Für den Fall, dass Beschäftigte von Apotheken entsprechende Vorfälle zur Anzeige bringen, und sich im Nachhinein herausstellt, dass dies ohne rechtliche Grundlage erfolgt ist, dürften die damit verbundenen Konsequenzen jedoch überschaubar sein. So ist es hinreichend wahrscheinlich, dass ein mögliches strafrechtliches Verfahren eingestellt wird. Dennoch können entsprechende Verfahren auch durch andere Behörden als die Staatsanwaltschaften initiiert werden und damit trotzdem viel Zeit und möglicherweise auch Geld in Anspruch nehmen. Die Entscheidung, ob das jeweilige Risiko eingegangen wird, muss hier jede Apotheke für sich treffen.

Letzte Aktualisierung: 18.01.2022 (jer)

Bildnachweise: © Ralf Geithe - www.stock.adobe.com

Informationspflichten bei digitalen COVID-Zertifikaten

Wed, 08 Sep 2021 19:02:15 GMT

Datenschutzrechtliche Informationspflichten bei COVID-Zertifikaten

Sobald personenbezogene Daten verarbeitet werden, müssen Verantwortliche grundsätzlich über den Rahmen der entsprechenden Datenverarbeitung informieren. Die gesetzliche Grundlage hierzu ergibt sich aus den Artikeln 12 ff. Datenschutz-Grundverordnung. Diese gesetzliche Pflicht gilt einerseits, soweit Daten direkt bei der betroffenen Person erhoben werden und andererseits, soweit Daten nicht direkt bei der betroffenen Person erhoben werden.

Die Umsetzung dieser Informationspflichten gilt selbstverständlich auch für Apotheken oder Arztpraxen, welche beispielsweise personenbezogene Daten im Rahmen der Erstellung von Impf- oder Testzertifikaten verarbeiten. In diesem Zusammenhang hat auch die Bundesvereinigung Deutscher Apothekerverbände e.V. (ABDA) ihre Handlungshilfe zur Erstellung von COVID-Zertifikaten durch Apotheken entsprechend aktualisiert. Demnach sollten Apotheken nunmehr zusätzlich zu den eigenen Informationspflichten auch diejenigen des Robert-Koch-Institutes (RKI) erfüllen.

Hierzu hat das RKI als verantwortliche Stelle für die Erstellung der COVID-Zertifikate Informationspflichten sowohl in deutscher als auch in englischer Sprache publiziert. Diese sind unter anderem auch im geschützten Mitgliederbereich der ABDA oder im Apothekenportal des Deutschen Apothekerverbandes e.V. verfügbar.

Nach Angaben des Bundesgesundheitsministeriums ist es dabei zwingend notwendig, zusätzlich zu den individuellen Informationspflichten der Apotheke oder der Arztpraxis, auch diejenigen des RKI derart transparent zugänglich zu machen, dass Apothekenkunden oder Patienten zumindest die Möglichkeit haben, die entsprechenden Informationen vor Erstellung des jeweiligen Zertifikates einzusehen.

Letzte Aktualisierung: 13.07.2021 (jer)

Bildnachweise: © curtbauer - www.stock.adobe.com

Datenschutzkonformität beim Einsatz von Telefaxen

Tue, 13 Jul 2021 07:03:02 GMT

Datenschutzkonforme Faxkommunikation

Bei dem Versand personenbezogener Daten im Gesundheitswesen mit Hilfe von Faxgeräten ist besondere Vorsicht geboten. Vor kurzem gewann die damit verbundene Debatte zur Datenschutzkonformität beim Einsatz von Telefaxen wieder etwas Schwung. Aus diesem Grund sollen nachfolgend einige Positionen im Hinblick auf eine datenschutzkonforme Faxkommunikation dargestellt werden.

Nach Auffassung der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit Imke Sommer ist die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 Datenschutz-Grundverordnung, wie zum Beispiel Gesundheitsdaten, durch Telefax-Dienste unzulässig. Dies begründet die Bremer Datenschutzbehörde damit, dass ein Telefax noch vor einigen Jahren als relativ sichere Methode gegolten habe, um auch sensible personenbezogene Daten zu übertragen. Diese Situation habe sich aber grundlegend geändert. Denn sowohl bei den Endgeräten als auch den Transportwegen habe es weitreichende Änderungen gegeben.

Bisher seien beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt worden. Dies sei heute aufgrund technischer Änderungen in den Telefonnetzen nicht mehr so. Daten würden paketweise in Netzen transportiert, die auf Internet-Technologie beruhen. Zudem könne nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist würden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten, so Sommer.

Aufgrund dieser Umstände habe ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, welche oftmals mit der offen einsehbaren Postkarte verglichen werde, so Sommer. Fax-Dienste enthielten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie seien daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet. Für den Versand solcher Daten müssten daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder - im Zweifel - auch die herkömmliche Post genutzt werden.

Schutzbedürftigkeit des Betroffenen

Diese Auffassung wurde auch mittlerweile im Rahmen einer Gerichtsentscheidung des Oberverwaltungsgerichts Lüneburg vom 22.07.2020 bestätigt. So führt das Gericht aus, dass der Verantwortliche bei der Übermittlung von personenbezogenen Daten per Fax zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen Sicherungsvorkehrungen treffen muss. Welches Schutzniveau dabei einzuhalten ist, richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potenziellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand (OVG Lüneburg Beschluss vom 22.07.2020 – 11 LA 104/19). Hierzu ist anzumerken, dass im Falle der Übermittlung von Gesundheitsdaten grundsätzlich von einer hohen Schutzbedürftigkeit ausgegangen werden sollte.

Telematikinfrasturktur

Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Stefan Brink führt in einer an Arztpraxen gerichteten Veröffentlichung aus "Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen." Die baden-württembergische Aufsichtsbehörde für den Datenschutz hat sich zwar noch nicht zur Datensicherheit bei der Übermittlung von Telefaxen geäußert, jedoch ist davon auszugehen, dass mittelfristig ähnliche Auffassungen, wie die der Bremer Aufsichtsbehörde für den Datenschutz vertreten werden.

Ungeachtet der vorstehenden Ausführungen spielt der Einsatz des Telefaxes nach wie vor im Gesundheitswesen eine herausragende Rolle. Wie lange dies noch der Fall sein wird, bleibt spannend. Datenschutzkonforme Alternativen gibt es bereits einige, jedoch nur wenige, welche im Alltag einer Arztpraxis oder Apotheke auch als praxistauglich empfunden werden. Dies könnte sich jedoch ändern, sobald der Dienst KIM (Kommunikation im Medizinwesen) der gematik GmbH im Rahmen der Telematikinfrastruktur von den wesentlichen Akteuren des Gesundheitswesens flächendeckend bekannt ist und entsprechend genutzt wird.

Letzte Aktualisierung: 08.07.2021 (jer)

Bildnachweise: © tascha rassadornyindee/EyeEm - www.stock.adobe.com

Die neue Coronavirus-Testverordnung (TestV)

Thu, 08 Jul 2021 12:53:51 GMT

Am 01.07.2021 ist die neue Coronavirus-Testverordnung (TestV) des Bundesministeriums für Gesundheit in Kraft getreten, welche gerade auch für Apotheken, die Coronavirus-Testungen durchführen, einige Änderungen mit sich bringt. Damit im Rahmen der neuen TestV auch eine möglichst datenschutzkonforme Prozessgestaltung erreicht werden kann, ist es wichtig, die essenziellsten Regelungen der neuen TestV zu kennen.

Auftrags - und Leistungsdokumentation

Die TestV sieht einige Änderungen in Bezug auf die Durchführung und Abrechnungen von Coronavirus-Testungen vor. Ziel dabei ist unter anderem eine effektivere Nachprüfung der Abrechnung durch Teststellenbetreiber. Vor diesem Hintergrund ist in

§ 7 Absatz 5 TestV festgelegt, dass Leistungserbringer die nachfolgend aufgelisteten Angaben zu den getesteten Personen lokal zu dokumentieren haben (Auftrags- und Leistungsdokumentation):

• Nachweis der Beauftragung,

• Öffnungszeiten des Leistungserbringers je Tag und die Anzahl der Tests durchführenden  Personen je Tag,

• Nachweise zur Abrechnung von Sachkosten (Kaufverträge, Rechnungen, Bezugsnachweise)

sowie (aus datenschutzrechtlicher Sicht besonders interessant) einzeln und personenbezogen für jede Testung:  

• Vor- und Nachname,  

• Geburtsdatum,  

• Anschrift,  

• Art der Leistung und Testgrund,  

• Datum und Uhrzeit der Testung,  

• Ergebnis der Testung,  

• Mitteilungsweg an die getestete Person,  

• schriftliche oder elektronische Bestätigung der getesteten Person oder ihres gesetzlichen  Vertreters über die Durchführung des Tests,

• individuelle Test-ID des verwendeten Antigen-Tests und

• im Falle eines positiven Testergebnisses, ein Nachweis der Meldung an das zuständige Gesundheitsamt.

Abrechnung

Die im Vergleich zur bisherigen TestV eher schwammig gehaltene Auftrags- und Leistungsdokumentation wurde damit nunmehr deutlich konkretisiert. Es besteht zudem eine Aufbewahrungspflicht dieser Auftrags- und Leistungsdokumentation bis zum 31.12.2024, welche sich ebenfalls aus § 7 Absatz 5 TestV ergibt. Die beschriebene Dokumentation soll lokal durch den jeweiligen Leistungserbringer erfolgen. Die Abrechnung gegenüber der Kassenärztlichen Vereinigung soll dabei nach wie vor ohne Personenbezug erfolgen. Jedoch haben die Kassenärztlichen Vereinigungen den Auftrag, die Plausibilität der Abrechnungen stichprobenartig oder bei konkreten Anlässen zu prüfen. In diesem Zusammenhang besteht nach § 7a Absatz 2 TestV auch die Möglichkeit, Auskünfte über die Auftrags- und Leistungsdokumentation einzuholen.

Sicherheitsvorkehrungen

Unabhängig von den Änderungen der TestV sei an dieser Stelle darauf hingewiesen, dass der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung vom 25.05.2021 darauf hingewiesen hat, dass Testzentren ihre Sicherheitsvorkehrungen bei der Datenverarbeitung dringend überprüfen sollten. Zwar richtet sich diese Pressemitteilung allgemein an Testzentren, es lassen sich daraus jedoch relevante Informationen gerade auch für Apotheken ableiten. In diesem Zusammenhang sollte insbesondere beachtet werden:

• Wenn Testergebnisse über das Internet bereitgestellt werden, müssen sie besonders gut vor unbefugtem Zugriff geschützt werden. Der Zugang zu personenbezogenen Daten der einzelnen Testergebnisse darf für Dritte nicht einfach zu erraten sein. Da es sich bei Ergebnismitteilungen von Testungen um Gesundheitsdaten handelt, ist eine „klassische“ E-Mail, der das Testergebnis ungeschützt angehängt ist, nicht geeignet, ein datenschutzkonformes Vorgehen abzubilden.

• Es dürfen insbesondere keine leicht erratbaren Passwörter genutzt werden. Die Passwörter sind auf einem gesonderten sicheren Weg den betroffenen Personen zu übermitteln.

• Beim Versand von E-Mails und SMS gilt: Die Versender von Benachrichtigungs-E-Mails haben keine Rechtsgrundlage dafür, zu protokollieren, wann welcher Empfänger die E-Mails liest oder auf welchen Link klickt; auch dies ist grundsätzlich zu unterlassen.  

• Die Daten müssen wirksam verschlüsselt und auch für gegebenenfalls eingesetzte Auftragsverarbeiter unzugänglich gespeichert werden.

• Es dürfen keine unnötigen Daten abgefragt werden.

• Die Testergebnisse dürfen ohne besondere Rechtsgrundlage, nur an die betroffene Person übermittelt und nicht zu anderen Zwecken genutzt werden. Wenn ein Testergebnis an die Corona-Warn-App oder eine andere Applikation zur Kontaktnachverfolgung übermittelt werden soll, benötigt das Testzentrum hierfür eine separate und auf den jeweiligen Zweck beschränkte ausdrückliche Einwilligung des Betroffenen (Artikel 9 Absatz 2 Buchstabe a DS-GVO), die sämtliche Anforderungen an die Freiwilligkeit und Widerruflichkeit von Einwilligungen erfüllen muss.

• Im Falle positiver Testergebnisse dürfen Apotheken personenbezogene Daten dem zuständigen Gesundheitsamt übermitteln. Aber auch bei dieser Übermittlung sind technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere der Gesundheitsdaten, einzuhalten.

• Auch die übrigen in Testzentren verarbeiteten personenbezogenen Daten dürfen ohne Rechtsgrundlage nicht Dritten übermittelt und nicht zu anderen Zwecken genutzt werden. Es darf auch nicht Dritten oder Dienstleistern (etwa durch Tracking) ermöglicht werden, personenbezogene Daten zu anderen Zwecken zu nutzen (z. B. für Werbung).

• Die Übermittlung von Nutzungsdaten oder Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste ist grundsätzlich nur mit Einwilligung der betroffenen Person erlaubt. Es ist davon auszugehen, dass es im Rahmen von Coronatests kaum möglich sein wird, eine solche Einwilligung rechtskonform einzuholen. Daher sollte die Weitergabe von Nutzungsdaten oder Testergebnissen an Tracking-, Statistik-, Analytics- und Werbe-Dienste grundsätzlich unterlassen werden.

• Ein Drittstaatentransfer von Gesundheitsdaten an Empfänger außerhalb der Europäischen Union ist nicht ohne weiteres möglich. Anbieter und Auftragsverarbeiter sollten darauf verzichten.

• Es sind Auftragsverarbeitungsverträge nach Art. 28 DS-GVO zu schließen, aus denen sich die Verantwortlichkeiten klar ergeben, soweit entsprechende Dienstleister in das Testangebot einbezogen sind, etwa im Rahmen der Bereitstellung einer Online-Terminvergabe.

• Nicht mehr benötigte Daten müssen unverzüglich gelöscht werden.

• Auch Apotheken sollten die Voraussetzungen einer Datenschutz-Folgenabschätzung prüfen,  soweit die Testungen nicht nur gelegentlich durchgeführt werden.

• Betreiber der Testzentren müssen jederzeit nachweisen können, dass sie die DS-GVO  einhalten (Rechenschaftspflicht nach Artikel 5 Absatz 2 DS-GVO).

Darüber hinaus müssen betroffenen Personen an die neue TestV angepasste, transparente und nachvollziehbare Datenschutzinformationen proaktiv bereitgestellt werden.

Letzte Aktualisierung: 08.07.2021 (jer)

Bildnachweise: © tilialucida - www.stock.adobe.com

Stellungnahme des BfDI zum digitalen Impfpass in Deutschland

Mon, 07 Jun 2021 13:29:25 GMT

Digitalisierung

Der Prozess der Digitalisierung schreitet auch in Zeiten der Pandemie voran. Es gibt in dieser Hinsicht viele Dinge, die beachtet werden sollten, damit der digitale Prozess reibungslos und gesetzeskonform betrieben bzw. genutzt werden kann. In einem Interview gegenüber dem Handelsblatt vom 25.05.2021, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, zum Stand der Digitalisierung in Deutschland, darunter auch zu (geplanten) Neuerungen im Gesundheitswesen, Stellung bezogen.

Corona-Pandemie

Auf die Einstiegsfrage, ob der Datenschutz die Bekämpfung der Corona-Pandemie behindere, betonte Kelber als einen zentralen Grundsatz, dass „Datenschutz und Gesundheitsschutz nur gleichzeitig funktionieren“, und das eine ohne das andere nicht zu erreichen ist. Im Laufe des Gesprächs kam auch die Realisierung des digitalen Impfasses in Deutschland auf. Bei der Planung und Verwirklichung eines Projektes von nationaler Reichweite, bei dem eine sehr große Menge an Personen betroffen ist und im gleichen Zuge besondere und äußerst sensible Kategorien von Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet werden sollen, wünscht sich der BfDI mehr Weitsicht seitens der Bundesregierung: „Die Bundesregierung ist eigentlich dazu verpflichtet, uns frühzeitig zu beteiligen.“ Er finde es „unverständlich“ und „äußerst misslich, wenn die Behörde mit Expertise nicht zu einem frühen Zeitpunkt angesprochen wird“.

Digitaler Impfausweise

Mit Skepsis begegnet Ulrich Kelber vor allem dem Zeitplan, den unter anderem auch der Bundesgesundheitsminister Jens Spahn (CDU), verfolgt, da dieser eine Verfügbarkeit des digitalen Impfausweises bis Ende Juni dieses Jahres vorsieht. Ob dies unter Betrachtungspunkten des Datenschutzes als realistisch angesehen werden könne, verwies Kelber darauf, dass er hierzu zum Zeitpunkt des Interviews keine verbindliche Aussage geben könne, da ihm nicht alle Informationen der Konzeption vorliegen. Kelber und seine Behörde haben fundamentale Fragestellungen formuliert, die sich unter Datenschutzgesichtspunkten stellen: „Welche Daten werden wo verarbeitet?“ oder „Wie ist die Programmierung erfolgt“ oder auch „Wie sieht das Datenmodell aus?“ Ferner führte er aus: „Grundsätzlich ist der Datenschutz nicht der entscheidende zeitkritische Faktor, wenn die Technik von Beginn an richtig aufgesetzt wird. Nachbesserungen seien zum Teil auch im laufenden Betrieb möglich. Er müsse sich aber an Recht und Gesetz halten. „Würde ich jetzt auf eine technische Lösung stoßen, die völlig unverhältnismäßig das Recht auf informationelle Selbstbestimmung einschränkt, müsste ich ein Stoppsignal geben“. Dieses Risiko seien das Gesundheitsministerium und das Robert-Koch-Institut (RKI) „bewusst“ eingegangen“.

Natürlich dürfen aber jene Menschen, die unterwegs auf dem Weg ins Kino oder Restaurant sind und keinen Zugang zu einem Smartphone haben, nicht vergessen werden. „Sowohl der nationale als auch der europäische Impfausweis müssen diskriminierungsfrei sein“, betonte Kelber, für den neben der digitalen Version eine Papiervariante unabdingbar ist. Bei der digitalen Lösung sieht er es insbesondere als wichtig an, dass so wenig Daten wie möglich beim Abfragenden verfügbar sind, was auch dem Grundsatz der Datensparsamkeit nach § 3 a BDSG Rechnung tragen würde, der vorsieht, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden. Dies geht auch mit der Problemstellung einher, dass die Daten unbefugten Dritten gegenüber nicht verfügbar sein dürfen, weshalb der BfDI fordert, dass das „System so gemacht sein muss, dass keine Datenbestände entstehen […]“.

Zusammenfassend hält Kelber fest, dass „Datenschutz am Anfang zu berücksichtigen billiger ist und schneller geht, als am Ende darauf zu stoßen, dass bei der Entwicklung an einer Stelle falsch abgebogen wurde.“

Letzte Aktualisierung: 04.06.2020 (jer)

Bildnachweise: © Bihlmayer Fotografie - www.stock.adobe.com

Windows 10 Support Ende

Fri, 04 Jun 2021 11:06:07 GMT

Microsoft beendet Support für zahlreiche Windows 10-Versionen

Windows 10 wird weltweit auf den meisten Computern als Betriebssystem eingesetzt. Laut einer Marktstatistik von Statista erzielte das Betriebssystem im September 2020 einen Marktanteil von rund 77 Prozent, gemessen an dem weltweiten Aufruf von Internetseiten. Damit das Windows-System dauerhaft auf einem aktuellen Stand ist, gibt Hersteller Microsoft in der Regel zweimal jährlich eine neue Windows 10-Version heraus. Diese neuen Versionen werden jedoch nur rund eineinhalb Jahre lang unterstützt und im Anschluss nicht mehr auf dem aktuellen Stand gehalten. In diesem Jahr lief daher der Support für gleich zwei Windows 10-Versionen aus.

In Folge der Coronavirus-Pandemie hat Microsoft bereits die Support-Zeiträume für ältere Versionen von Windows 10 verlängert. Doch bekanntlich hat alles ein Ende. Betroffen sind derzeit vor allem Privatnutzer von Windows 10 1809 und Windows 10 1803. Ebenso sind auch Nutzer von Windows 10 1903 betroffen, die aktuell einen besonders hohen Anteil an Windows 10-Nutzern ausmachen. Demnach ist davon rund jeder zehnte Windows 10-Nutzer betroffen.

Für die Sicherheit des Betriebssystems ist es wichtig, dieses immer möglichst aktuell zu halten, denn immer wieder werden neue Sicherheitslücken bekannt. Wenn diese durch Softwareupdates nicht mehr geschlossen werden, kann dies für den Nutzer verheerende Folgen haben. Besonders relevant wird die Thematik in Netzwerkumgebungen mit besonders sensitiven Daten. Bestehende Sicherheitslücken stellen hier ein besonders hohes Risiko dar. Sollte Unsicherheit bestehen, ob ein System möglicherweise schon aus dem Support gefallen ist, sollte dies mit dem einrichtungsinternen Ansprechpartner oder dem jeweiligen Dienstleister für IT besprochen werden.

Die nachfolgende Übersicht zu den jeweiligen Zeitpunkten für das Serviceende der verschiedenen Windows 10-Versionen kann dabei eine Hilfestellung geben.

Letzte Aktualisierung: 15.02.2021 (jer)

Bildnachweise: © Pixel-Shot - www.stock.adobe.com

Die neue IT-Sicherheitsrichtlinie für Arztpraxen

Mon, 26 Apr 2021 09:20:09 GMT

Die neue IT-Sicherheitsrichtlinie für Arztpraxen

Um den Schutz von IT-Systemen in Arztpraxen noch besser zu gewährleisten, ist zum 01. Januar 2021 die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit (IT- Sicherheitsrichtlinie) der Kassenärztlichen Bundesvereinigung (KBV) in Kraft getreten. Die IT- Sicherheitsrichtlinie wurde damit nach einer länger andauernden Prozedur schließlich am 16. Dezember 2020 durch die Vertreterversammlung der KBV beschlossen.

Der gesetzliche Auftrag zur Erstellung der Richtlinie ergab sich bereits im Dezember 2019 im Rahmen des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz). Der darin neu geschaffene § 75b SGB V legt fest, dass sich die maßgeblichen Vereinigungen, Kammern und Verbände, im Einvernehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. Juni 2020 auf eine gemeinsame IT-Sicherheitsrichtlinie verständigen. Da man sich jedoch innerhalb der Frist nicht über die konkreten Inhalte der IT- Sicherheitsrichtlinie einig wurde, zog sich die finale Entscheidungsphase bis zum Dezember 2020.

Die IT-Sicherheitsrichtlinie richtet sich grundsätzlich an alle Vertragsärzte und Vertragspsychotherapeuten. Die konkret umzusetzenden Maßnahmen ergeben sich in Abhängigkeit von der Größe beziehungsweise Anzahl der Beschäftigten der jeweiligen Praxis. So gilt ein Großteil der umzusetzenden Maßnahmen für sämtliche Praxen. Weitere Anforderungen ergeben sich für mittlere Praxen sowie für große Praxen. Überdies können sich auch spezielle Anforderungen aus dem Betrieb medizinischer Großgeräte ergeben.

Praxistypen

Die verschiedenen Praxistypen im Sinne der IT- Sicherheitsrichtlinie ergeben sich dabei wie folgt:

Praxis: Bis zu fünf Personen, die ständig mit der Datenverarbeitung betraut sind.
Mittlere Praxis: Es sind 6 bis 20 Personen ständig mit der Datenverarbeitung betraut.
Große Praxis: Es sind mehr als 20 Personen ständig mit der Datenverarbeitung betraut oder es handelt sich um eine Praxis, bei der die Datenverarbeitung über den üblichen Umfang hinausgeht (zum Beispiel bei einem Labor oder einem Groß-MVZ mit krankenhausähnlichen Strukturen).
Medizinische Großgeräte: Zum Beispiel Röntgengeräte, CT, MRT, PET, Linearbeschleuniger, Herzkatheter-Messplätze, Dialysegeräte, Gammakameras, Herz- Lungen-Maschinen.

Kernbereiche der Umsetzungsmaßnahmen

Ein Teil der in den Anlagen zur IT-Sicherheitsrichtlinie festgelegten Maßnahmen gilt bereits recht kurzfristig ab dem 01. April 2021. Für andere Maßnahmen ergeben sich etwas längere Umsetzungszeiten, sodass diese Maßnahmen ab dem 01. Januar 2022 verbindlich werden. Bei einigen Maßnahmen ergeben sich auch davon abweichende Umsetzungsfristen.

Inhaltlich betreffen die Umsetzungsmaßnahmen insbesondere zwei Kernbereiche. Dabei handelt es sich um:

Software: Rechner-Programme, mobile Apps und Internetanwendungen sowie
Hardware: Endgeräte und IT-Systeme

Im Rahmen der Umsetzung der IT- Sicherheitsrichtlinie empfiehlt es sich, die erforderlichen Maßnahmen aufzulisten und Stück für Stück durchzugehen und den Umsetzungsstand zu dokumentieren. Dabei kann insbesondere die von der KBV geschaffene Online-Plattform eine wertvolle Hilfe bieten. Hier finden sich neben verschiedenen Mustervorlagen auch konkrete Praxis- und Auslegungshinweise. Bei einigen Maßnahmen werden Praxen jedoch auch auf die Hilfe der IT- und EDV-Betreuung angewiesen sein, welche in den meisten Fällen durch externe Dienstleister übernommen wird. Eine interdisziplinäre Besprechung kann dabei sehr aufschlussreich sein und eine sinnvolle Aufgabenverteilung im Rahmen der Umsetzung der IT-Sicherheitsrichtlinie bewirken.

Im Ergebnis ist die Etablierung der IT- Sicherheitsrichtlinie für medizinische Einrichtungen sehr zu begrüßen. Auch wenn sich die Vorfreude bei einigen Ärztinnen und Ärzten aufgrund der knappen zeitlichen Umsetzung sowie der damit verbundenen Aufwände in Grenzen halten sollte, so verfügen Praxen damit allerdings über verlässliche Standards zur konkreten Umsetzung von IT-Sicherheitsmaßnahmen. Im Übrigen könnten sich daraus auch hilfreiche Ableitungen und Orientierungshilfen für andere im Gesundheitswesen tätige Einrichtungen, zum Beispiel Apotheken, ergeben.

Gleichwohl sei darauf hingewiesen, dass es sich bei den in der derzeitigen IT-Sicherheitsrichtlinie genannten Anforderungen um Mindest- anforderungen handelt. Die Richtlinie wird in regelmäßigen Abständen überprüft und ggf. überarbeitet. Aus diesem Grund sollten Praxen die für sie geltenden Anordnungen der IT- Sicherheitsrichtlinie stets im Blick behalten.

Letzte Aktualisierung: 26.04.2021 (jer)

Bildnachweise: © Olivier Le Moal - www.stock.adobe.com

Lauschende Lautsprecher

Mon, 29 Mar 2021 11:32:14 GMT

Lauschende Lautsprecher

Sprachassistenten wie Siri, Alexa oder Google Assistent sind heutzutage in aller Munde. Inzwischen gehören sie zu den größten Smart Home Trends und faszinieren durch ihre einfache Bedienung auch immer mehr Technikneulinge. Laut einer Studie der Postbank nutzt sogar mittlerweile fast die Hälfte der Deutschen solche Sprachassistenten über Smart Speaker oder Smartphones. Bei richtiger Anwendung können solche sprachgesteuerten Systeme den Alltag erleichtern und gleichzeitig für ein hohes Maß an Entertainment sorgen. Der Nutzer spricht ein Kommando - und das Gerät führt es aus. Dies streckt sich von einfachen Aufgaben wie dem Abspielen eines Lieds oder dem Programmieren der Erinnerungsfunktion bis hin zum Steuern externer Gerätschaften.

So hilfreich Sprachassistenten auch sein mögen, wissen viele Nutzer oft nicht, was deren Einsatz für die eigenen Daten bedeutet. Denn damit Sprachassistenten genutzt und bedient werden können, ist es erforderlich, dass diese den jeweiligen Sprachbefehl des Nutzers zunächst aufzeichnen. So weit so gut. Im Weiteren ist es jedoch nicht ausgeschlossen, dass der zwischengespeicherte Sprachbefehl auch an den Hersteller übermittelt wird. Nach den Angaben einiger Hersteller dient dies der Analyse und Fehlerbehebung des jeweiligen Sprachassistenten. Die Weiterleitung solcher Aufzeichnungen erfolgt dabei in den meisten Fällen ohne Wissen des Nutzers. Wenig überraschend schilderten in einem Mitte des Jahres erschienen Investigativ-Format drei ehemalige Beschäftigte von Firmen wie Apple und Amazon über eine Vielzahl intimer Momente, die die durch die Sprachassistenten aufgenommen wurden. So berichteten die ehemaligen Mitarbeiter von abgelauschten Gesprächen mit medizinischem Personal, Geschäftsbesprechungen und aufgezeichneten Streits oder sogar sexuellen Handlungen.

Dem noch nicht genug, ist es mittlerweile bei den meisten Sprachassistenten möglich, diese durch ein spezielles Schlüsselwort zu aktiveren, etwa "Ok, Google" oder "Hey Siri". Nach erfolgreicher Aktivierung kann der jeweilige Smart Speaker, dann denn nachfolgenden Befehl ausführen, ohne, dass der Sprachassistent vorab durch eine spezielle Taste aktiviert wurde. Damit der Sprachassistent allerdings mittels gezielter Ansprache aktiv werden kann, muss dieser zunächst permanent die Umgebungsgeräusche abhören und filtern, ob das entscheidende Schlüsselwort gefallen ist. Selbstverständlich sind dabei Fehler nicht ausgeschlossen. Eine Forschergruppe der Ruhr-Universität Bochum und des Bochumer Max-Planck-Institutes für Sicherheit und Privatsphäre hat nun über 23 Tage insgesamt elf Smart Speaker der bekanntesten Hersteller untersucht. Dabei wurden diese insgesamt rund 915 Mal fehlerhaft ausgelöst. Dabei konnten bedeutende Unterschiede zwischen den Herstellern beobachtet werden. So aktivierte sich das System von Amazon deutlich häufiger als die Systeme von Google, Apple und der Telekom. Ursache für die Fehler waren in den meisten Fällen ähnlich klingende Worte.

Amazon versicherte auf Anfrage des Investigativ-Formates, dass sich die Spracherkennung und Technologie stetig verbessern würden. Das Unternehmen betonte, dass nur kleinere Auszüge von rund einem Prozent der Alexa-Anfragen manuell bearbeitet würden und lediglich eine limitierte Anzahl von Mitarbeitern Zugriff auf die persönlichen Daten haben.

Eingriff in die Privatsphäre

Der Hamburger Datenschutzbeauftragte Johannes Caspar verlangte daher nicht grundlos, dass die Unternehmen die Verbraucher im datenschutzrechtlichen Sinne aufhellen, indem sie ihnen das mit der Nutzung von Smart Speakern verbundene Risiko für die eigene Privatsphäre aufzeigen. Laut Caspar könnte eine solche Möglichkeit der Aufklärung beispielweise durch das Anbringen von Hinweisen auf der Verpackung erfolgen. Gleichzeitig betonte er aber, dass die Systeme mit der Zeit an Sicherheit gewinnen werden und unbeabsichtigte Aktivierungen seltener werden.

Der Einsatz und die Nutzung von Smart Speakern sollte demnach gut abgewogen werden. Jedenfalls in medizinischen und pharmazeutischen Einrichtungen sollte diese Abwägung sehr genau erfolgen. Sehr unglücklich wäre ein Szenario, in dem ein Smart Speaker möglicherweise ein vertrauliches Arzt-Patienten-Gespräch im Rahmen der Sprechstunde aufzeichnet. In Bereichen in denen höchste Vertraulichkeit gilt, sollte daher auf entsprechende Gerätschaften nach Möglichkeit verzichtet werden. Gerade bei Smartphones bietet sich zudem die Möglichkeit an, die automatische Spracherkennung auszuschalten. So werden gegebenenfalls nur solche Gespräche aufgezeichnet, die nach einer gezielten Aktivierung erfolgen. Der negative Effekt von unbeabsichtigten Aufzeichnungen kann dadurch bereits sehr zuverlässig vermieden werden.

Zur Klarstellung soll abschließend noch einmal darauf hingewiesen werden, dass eine versehentliche Aufzeichnung, etwa eines vertraulichen Patientengespräches und die damit verbundene Übermittlung des Gespräches an den Hersteller in den meisten Fällen einen bußgeldbewährten Verstoß darstellt. In diesem Sinne "Hey Siri, setze den Schlusspunkt."

Letzte Aktualisierung: 25.01.2021 (jer)

Bildnachweise: © beeboys - www.stock.adobe.com

Ende des EU-US Privacy Shield

Wed, 18 Nov 2020 10:17:27 GMT

Ende des Privacy Shield

Viele Unternehmen, darunter auch pharmazeutische und medizinische Einrichtungen, stützen sich für ihren Datentransfer über den großen Teich auf den sogenannten EU-US Privacy Shield (EU-US Datenschutzschild). Dabei handelt es sich um eine informelle Absprache im Datenschutzrecht zwischen der Europäischen Union (EU) und den USA.

Jedoch hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 die Rechtsgrundlage, also den EU-US Privacy Shield gekippt. Bislang ermöglichte der EU-US Privacy Shield vielen Unternehmen innerhalb der EU, personenbezogen Daten von Kunden, Beschäftigten oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Unternehmen selbst war damit nicht notwendig.

Hintergrund

Hintergrund der Entscheidung des EuGH war hauptsächlich, dass sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen lässt. Aus diesem Grund sah der EuGH keine Möglichkeit ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU definierten sogenannten Standardvertragsklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln darf können als alternative Rechtsgrundlage nur bedingt helfen. In Bezug auf die EuGH-Entscheidung vom 16. Juli 2020 gilt es zunächst festzuhalten, dass es keinerlei „Gnadenfrist“ gibt, um die EuGH-Entscheidung entsprechend umzusetzen. Darauf haben sich die Aufsichtsbehörden der EU-Länder geeinigt. Der Bundesdatenschutzbeauftragte, Professor Ulrich Kelber, spricht von einer Umstellung der Praktiken „ohne Verzögerung“. Das Urteil des EuGH verlangt von Verantwortlichen eine umgehende und ausnahmslose Überprüfung sämtlicher Datenübertragungen zu Unternehmen in den USA. Hierbei geht es vor allem um elektronische Dienste, etwa Cloud-Anbieter oder Software-Dienstleister. Im Einzelfall sollte genau geprüft werden, ob der Datenempfänger in den USA für die übermittelten Daten hinreichen- de Garantien für ein angemessenes Schutzniveau bieten kann. Ist dies nicht der Fall, da entweder nationale Rechte dies nicht ermöglichen oder keine zusätzlichen Schutzmaßnahmen getroffen werden können, so ist die Übertragung von personenbezogenen Daten umgehend einzustellen beziehungsweise zu beenden.

Standardvertragsklauseln

Neben dem EU-US Privacy Shield bilden die bereits erwähnten Standardvertragsklauseln weiterhin eine mögliche Grundlage für den Datentransfer. „Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände des Datentransfers von Fall zu Fall betrachtet werden.“, so Professor Ulrich Kelber weiter. Das müsse auch für die Übermittlung in andere Länder gelten.

Man sollte sich aber als Unternehmen nicht nur mit den rechtlichen Rahmenbedingungen für den unmittelbaren Datentransfer mit einem im Drittland niedergelassenen Unternehmen beschäftigten, sondern darüber hinaus, auch die geschlossenen Auftragsverarbeitungsverträge dahingehend überprüfen, ob der Vertragspartner oder gegebenenfalls das mit der Datenverarbeitung beauftragte Subunternehmen in den USA oder in anderen Drittstaaten ansässig sind. Liegt ein solcher Fall konkret vor, so sollte man sich mit dem Vertragspartner in Verbindung setzen, um etwaige Vertragsanpassungen vorzunehmen. Allgemein gilt es zu beachten, dass der Datenexporteur (z. B. ein Unternehmen in Deutschland) und der Datenimporteur (z. B. der Vertragspartner in den USA) gegenüber den Betroffenen gemeinsam in der Haftung stehen. Häufig liegt das grundlegende Problem für den Datentransfer jedoch nicht beim Exporteur der Daten, also nicht beim hiesigen Verantwortlichen.

Die Standardvertragsklauseln haben aber nicht nur das übergeordnete Ziel der Angleichung des Schutzniveaus in Drittländern an jenes des EU-Wirtschaftsraums, wenn es um den Transfer personenbezogener Daten geht, sondern sollen auch sicherstellen, dass wichtige Grundsätze der Datenschutz-Grundverordnung, etwa Zweckbindung, Transparenz, oder Vertraulichkeit der Datenverarbeitung eingehalten werden. Kann trotz Schließung der Standardvertragsklauseln und der Einführung weiterer Schutzmaßnahmen, wie z. B. Vertragsänderungen bzw. -ergänzungen oder zusätzliche Verschlüsselungen im elektronischen Verkehr, kein angemessenes Datenschutzniveau garantiert werden, so besteht die Informationspflicht der zuständigen Aufsichtsbehörde vor der geplanten Datenübermittlung in die USA oder ein anderes Drittland.

Es lässt sich sagen, dass ein Unternehmen all jene Datentransfers, welche eine Übertragung von personenbezogenen Daten in die USA oder ein anderes Drittland betreffen, auf deren datenschutzrechtliche Konformität überprüfen sollte und gegebenenfalls vertragliche Anpassungen, die Einstellung der Datenverarbeitung oder Aktualisierungen von Geschäftsbeziehungen in Betracht ziehen sollte. Gibt es vertragliche Partner, welche Ihren Sitz in einem Drittstaat haben, so sollte mit diesen zeitnah in Kontakt getreten werden, um etwaige Gegenmaßnahmen frühzeitig und effektiv planen und umsetzen zu können.

Folgen der Entscheidung

Die Folgen der EuGH-Entscheidung zeigen große Auswirkungen unter anderem bei der Nutzung von außereuropäischen Tracking-Tools, wie Google Analytics. Die Datenschutzerklärungen von Webseiten, die diese Tool nutzen, verweisen hier häufig noch auf das EU-US Privacy Shield. Jedoch ist deren Einsatz kaum mehr datenschutzkonform möglich. Daher haben die deutschen Aufsichtsbehörden bereits eine bundesweite, flächendeckende Überprüfung von eingesetzten Online-Tracking-Technologien angekündigt. Bei pharmazeutischen und medizinischen Einrichtungen kann eine entsprechende Datenübermittlung auf Grundlage des EU-US Privacy Shield zwar nicht ausgeschlossen werden, jedoch dürfte diese in der Regel nicht bei Datenverarbeitungen vorliegen, die in unmittelbarem Zusammenhang mit der Beratung und Behandlung von Patienten oder der Abgabe von Arznei- oder Hilfsmitteln zusammenhängen. Gleichwohl ist es durchaus denkbar, dass Apotheken oder Arztpraxen eine Webseite mit Google Analytics betreiben. Eine entsprechende Überprüfung sollte in jedem Fall durchgeführt werden.

Vertiefende Informationen zu diesem Thema:

Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 25.08.2020: Was jetzt in Sachen internationaler Datentransfer?

Abrufbar im Internet unter:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

Beschäftigtendatenschutz in Zeiten der Corona-Krise

Tue, 31 Mar 2020 08:07:09 GMT

Beschäftigtendatenschutz in Zeiten der Corona-Krise

Die derzeitige Ausnahmesituation durch den Corona-Virus stellt auch den Beschäftigtendatenschutz vor neue Hürden. Dabei steht vor allem die Frage im Vordergrund, inwieweit Arbeitgeber Daten von Beschäftigten verarbeiten können, wenn der Verdacht einer Infektion durch den COVID-19 besteht. Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, werden in den meisten Fällen Bezüge zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DS-GVO) besonders geschützt sind. Andererseits besteht seitens des Arbeitgebers eine Fürsorgepflicht, den Gesundheitsschutz der Gesamtheit der Beschäftigten sicherzustellen.

Stellungnahme des BfDI

Diesbezüglich nahm der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber Stellung, indem er klarstellte, dass sich der Datenschutz und die Infektionsbekämpfung nicht im Wege stehe. Außerdem verwies er darauf, dass sich Arbeitgeber ihrer besonderen Verantwortung durch den sensiblen Inhalt der Gesundheitsdaten ihrer Mitarbeiter bewusst werden müssen. Eine verhältnismäßige Herangehensweise des Arbeitgebers, ob Daten erhoben werden, sowie ein vertraulicher Umgang mit den erhaltenen Informationen, seien dabei unverzichtbar.

Datenschutzrechtlich legitimierte Maßnahmen

Folgende Maßnahmen, die mit einer Datenerhebung und Verarbeitung von Gesundheitsdaten der Beschäftigten verbunden sind, können zur Eindämmung der Corona-Pandemie als datenschutzrechtlich legitim betrachtet werden:

• Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.

• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

• Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

• Freiwillige Selbstauskunfts- oder Fragebögen zu Aufenthaltsort und Symptomen.

• Freiwillige Fiebermessung entweder durch den Beschäftigten selbst oder einen (Betriebs-) Arzt.

Grundsatz der Verhältnismäßigkeit

Wie bereits aufgezeigt, können in dem beschriebenen Rahmen die (Gesundheits-) Daten von Beschäftigten weitestgehend datenschutzkonform verarbeitet werden. Stets zu beachten ist dabei der Grundsatz der Verhältnismäßigkeit. Im gegenwärtigen Kontext also vor allem die Frage, ob die jeweilige Datenverarbeitung erforderlich, geeignet sowie im Wesentlichen auch angemessen ist. Dies gilt insbesondere dann, wenn es um die Veröffentlichung von Informationen über nachweislich infizierte oder unter Infektionsverdacht stehende Personen geht. Grundsätzlich sollte in solchen Fällen äußerst restriktiv vorgegangen werden, da die Nennung des konkreten Namens eines am Virus erkrankten Beschäftigten oder eines Verdachtsfalls zu einer enormen Stigmatisierung führen kann. Was in der Theorie recht einfach klingt, kann praktisch durchaus herausfordernd sein. Etwa wenn sich ein nach längerer Zeit wieder erscheinender Patient einer Arztpraxis nach der fehlenden MFA an der Anmeldung erkundigt, welche sonst immer für die Patientenaufnahme zuständig ist. Sollte die nun vertretende Kollegin der MFA den Patienten mit dem Hinweis „die Frau Müller befindet sich gerade in Quarantäne“ auf den aktuellen Stand bringen, dann wäre diese Information aus Sicht des Datenschutzes wohl nicht erforderlich und daher problematisch.

Datenschutzunerhebliche Maßnahmen

Idealerweise sollten Arbeitgeber schwerpunktmäßig datenschutzunerhebliche Maßnahmen ergreifen, die ebenfalls geeignet sind, das Infektionsrisiko für Beschäftigte zu minimieren. Entsprechende Maßnahmen könnten sein:

• Umsetzung von Hygienevorschriften,

• Ermöglichung von Telearbeit (Home-Office),

• die Einteilung von unabhängig arbeitenden Schicht-Teams (insbesondere in Apotheken),

• Informations- und Aufklärungsmaßnahmen, welche sich insbesondere an den Empfehlungen des RKI orientieren sowie

• die Bereitstellung persönlicher Schutzausrüstung (soweit vorhanden).

Letzte Aktualisierung: 28.03.2020 (ls)

Datenschutz und Home-Office

Thu, 26 Mar 2020 12:59:16 GMT

Datenschutz und Home-Office

Im Zuge der derzeitigen Ereignisse bedingt durch das Covid-19 setzen viele Arbeitgeber auf eine Beschäftigung im Home-Office. Hierdurch soll eine rasante Verbreitung des Virus eingedämmt werden, da Arbeitnehmer weder durch den Weg zur Arbeit noch durch die enge Zusammenarbeit mit anderen Menschen aus dem Unternehmen einem Ansteckungsrisiko ausgesetzt sind. Auch in Apotheken nahm die Arbeit im Home-Office, unter anderem aufgrund der bundesweiten Kita-und Schulschließungen nach einer Umfrage der Deutschen Apotheker Zeitung zu. In medizinischen Einrichtungen dürfte dies ähnlich sein.

Im Hinblick auf den Datenschutz sollten bei der Beschäftigung im Home-Office einige Aspekte beachtet werden. Dies gilt insbesondere dann, wenn Gegenstand der Arbeit im Home-Office die Verarbeitung von Gesundheitsdaten ist. Ein besonderes Augenmerk sollte daher auf die Ergreifung notwendiger technisch-organisatorischer Maßnahmen gelegt werden.

Organisatorische Maßnahmen

Entsprechende Maßnahmen können zum Teil recht einfach umgesetzt werden, etwa indem Computer, Tablets oder Smartphones mittels Bildschirmschoner und Passwortschutz gegen unbefugte Einsicht oder unbefugten Zugriff durch Unberechtigte geschützt werden. Insbesondere der Passwortschutz sollte sich dabei automatisch nach einer möglichst kurzen Zeit aktivieren. Zudem sollte das jeweilige gerät bei Verlassen des Arbeitsplatzes immer auch manuell gesperrt werden.

Des Weiteren sollte das Drucken von Dokumenten mit sensiblen Inhalten möglichst vermieden werden. Sollte das Drucken von Dokumenten dennoch erforderlich sein, sollte sichergestellt werden, dass die jeweiligen Dokumente unter Verschluss sind. Dies ist dann der Fall, wenn sie für Dritte nicht ohne Weiteres zugänglich sind, da die Dokumente in einem abschließbaren Schrank, Tresor oder unter vergleichbaren Sicherheitsvorkehrungen aufbewahrt werden. Wie in jeder Apotheke oder Arztpraxis sollte bei einer Vernichtung sensibler Dokumente darauf geachtet werden, dass eine konforme Datenvernichtung, zum Beispiel durch einen Aktenvernichter der Sicherheitsstufe P-4 (gem. DIN 66399) erfolgt.

Technische Maßnahmen

Idealerweise sollte darauf geachtet werden, dass lediglich die durch den Arbeitgeber bereitgestellte Hard- und Software genutzt wird, sodass betriebliche Daten nicht auf privaten Gerätschaften verarbeitet werden. Die Nutzung privater Medien für dienstliche Zwecke ist datenschutzrechtlich nicht unproblematisch.

Aufgrund dessen, dass derzeit sehr viele Arbeitgeber ihren Beschäftigten mobiles Arbeiten bzw. Telearbeit ermöglichen, besteht aktuell eine immens hohe Nachfrage an Soft – und Hardwarebedarf für das Arbeiten im Home-Office. So bieten bereits einige Elektronikfachhändler gezielte „Home-Office Pakete“ zum Verkauf an. Diese beinhalten Laptop, Drucker und zusätzliches Zubehör zu besonderen Kondiktionen in einem Gesamtpaket.

Insbesondere bei dem Einsatz neuer Gerätschaften sollte darauf geachtet werden, dass IT bezogene Basis-Schutzmaßnahmen umgesetzt werden. Dies betrifft z.B. Maßnahmen, wie den Einsatz einer Firewall, sowie die Nutzung eines Antivirenprogramms. Auch sollte eine sinnvolle Backupstrategie im Home-Office nicht vernachlässigt werden.

Sofern automatisierte Datensicherungskonzepte auf die Schnelle nicht umsetzbar sind, empfiehlt sich vorläufig die Datensicherung auf einem verschlüsselten Datenträger, z.B. einem USB-Stick. Für den Fall, dass ein Fernzugriff zur Betriebsstätte besteht, sollte auch hier auf eine gesicherte Datenübertragung geachtet werden. Ferner empfiehlt sich natürlich auch die Festplattenverschlüsselung für Gerätschaften, die im Home-Office genutzt werden.

Datenpannen

Nicht zuletzt sollte sichergestellt werden, dass Beschäftigte mögliche Datenpannen an die verantwortlichen Stellen übermitteln. Eine Datenpanne liegt insbesondere dann vor, wenn die Annahme besteht, dass die Datensicherheit, insbesondere die Vertraulichkeit von Daten, gefährdet sein kann. Eine Datenpanne liegt auch bei jedem Sachverhalt vor, bei dem die Annahme besteht, dass Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten haben oder hatten.

Letzte Aktualisierung: 26.03.2020 (ls)

Cyberkriminalität und COVID-19-Pandemie

Mon, 23 Mar 2020 10:02:48 GMT

Cyberkriminalität und COVID-19-Pandemie

Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor Cyberkriminalität durch bewusstes Ausnutzen der gegenwärtigen Corona-Krise. Bei der neusten Angriffsvariante wurde eine Landkarte auf einer manipulierten Website zur Verfügung gestellt, auf der eine Ausbreitung des Covid-19-Virus in Echtzeit zu sehen sein soll. Sobald man auf die vermeintliche Karte klickt werden sofort Schadprogramme installiert.

Gefälschte Nachrichten

Auch abgewandelte Varianten durch E-Mails oder Anrufe sind denkbar. So warnt auch die schweizerische Melde- und Analysestelle Informationssicherung vor gefälschten Nachrichten, in denen Empfänger im Wege der Datenerhebung einen Anhang öffnen sollen. Hierbei wird der gefälschte Absender „Bundesamt für Gesundheit“ verwendet, wodurch die derzeitige Ausnahmesituation im Hinblick auf die COVID-19-Pandemie schamlos ausgenutzt wird. Bei einem Öffnen des Anhangs wird eine Schadsoftware auf dem jeweiligen Rechner installiert. Dies führt im weiteren Verlauf dazu, dass personenbezogene Daten und Passwörter durch den Angreifer abgegriffen werden können.

Unsere Empfehlung

Aufgrund der herausragenden Wichtigkeit von pharmazeutischen und medizinischen Einrichtungen – nicht nur in der aktuellen Situation – empfehlen wir, unbekannte Websites oder Links unter keinen Umständen zu öffnen. Seien Sie in Anbetracht der gegenwärtigen Situation besonders sensibel, insbesondere in Bezug auf E-Mails und Telefonanrufe. Informieren Sie in diesem Zusammenhang auch Ihre Teammitglieder.

Letzte Aktualisierung: 23.03.2020 (ls)

Bußgeld gegen Internetanbieter 1&1

Thu, 12 Mar 2020 10:14:14 GMT

Bußgeld gegen Internetdienstanbieter 1&1

Im Dezember 2019 verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Bußgeld über 9,55 Mio. Euro gegen den Telekommunikationsdienstleister 1&1 Telecommunication SE (1&1) in Montabaur. Grund hierfür waren nicht hinreichende technische und organisatorische Maßnahmen bei 1&1 im Bereich der Identfizierung von Anrufern der telefonischen Kundenbetreuung. Art. 32 DS-GVO gibt vor, dass datenschutzrechtliche Verantwortliche mittels geeigneter technischer und organisatorischer Maßnahmen ein am Schutzbedarf der verarbeitenden Daten ausgerichtetes Sicherheitsniveau sicherstellen müssen. Maßgeblich ist hierbei immer das Risiko für die Rechte und Freiheiten von natürlichen Personen in Bezug auf die konkret verarbeiteten Daten. Bei 1&1 wurden die Kunden zur Authentifizierung am Telefon gebeten, ihren Namen sowie ihr Geburtsdatum anzugeben, um zunächst identifiziert zu werden und anschließend in der Kundensoftware gefunden werden zu können. Der BfDI befand diese Authentifizierungsmethode als „zu einfach zu knacken“. So könne es für unberechtigte Personen möglich sein, mit verhältnismäßig wenig Aufwand, sämtliche Daten eines Kunden abzufragen. Laut BfDI „stellt diese schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand dar“.

Hochsensible Gesundheitsdaten

Auch in Apotheken und Arztpraxen werden eine Vielzahl an Kunden- bzw. Patientendaten verarbeitet. Im Gegensatz zu 1&1 liegt hier allerdings der Schwerpunkt in der Verarbeitung besonders sensibler Gesundheitsdaten. Nicht grundlos wurden diese vom Gesetzgeber als besondere Kategorien von Daten gemäß Art. 9 DS-GVO eingestuft. Jene Gesundheitsdaten bedürfen daher einem ganz besonders hohen Schutz. Um dieses Schutzniveau gewährleisten zu können, sollten gerade auch bei der Entgegennahme von Telefonaten Maßnahmen definiert werden, die geeignet sind, um einen Anrufer eindeutig identifizieren zu können. In anderen Worten: Wenn die Abfrage von Name und Geburtsdatum bei einem Anbieter für Telekommunikationsdienstleistungen für „zu einfach“ befunden wird, dann gilt dies für Einrichtungen mit einem hochsensiblen (Gesundheits-) Datenbestand allemal. Aus diesem Grund sollten Apotheken und Arztpraxen klar definieren, welche konkreten Maßnahmen ergriffen werden, um eine Identifizierung des Anrufers sicherzustellen. Die jeweiligen Maßnahmen sollten selbstverständlich auch mit dem Team besprochen und idealerweise schriftlich festgelegt werden. Dies gilt natürlich nur für diejenigen Fälle, in welchen auch etwaige personenbezogene Abfragen durch den Anrufer beabsichtigt sind. Sofern sich etwa ein Kunde über die allgemeinen Öffnungszeiten der Apotheke erkundigt, spielt die zugrundeliegende Thematik nur eine untergeordnete Rolle.

Möglichkeiten der Identifizierung

Es stellt sich die Frage, mit welchen Maßnahmen eine zuverlässige Anruferidentifizierung umgesetzt werden kann. Dabei kommen grundsätzlich mehrere Maßnahmen in Betracht. So können etwa kombinierte Abfragen mehrerer Informationen eine möglichst eindeutige Identifizierung ermöglichen. Selbstverständlich sollten entsprechende Kombinationen der Abfragen deutlich über das Abfrageniveau von Name und Geburtsdatum hinausgehen. Immer häufiger werden mit Anrufern vorab auch spezielle Code- oder Passwörter vereinbart, die geeignet sind, die Identität – ähnlich wie bei einer PIN-Anfrage – verhältnismäßig zuverlässig festzustellen. Dies wird im Übrigen mittlerweile auch durch 1&1 praktiziert. Bestehen nach Beantwortung der genannten Sicherheitsfragen oder auch während des Gespräches dennoch ernstzunehmende Zweifel an der Identität des Anrufers, so sollten keine personenbezogenen Informationen herausgegeben und auf persönliches Erscheinen oder eine alternative Authentifizierungsmethode bestanden werden. Der Fall 1&1 zeigt, wie sensibel das Telefon als Kommunikationsmittel zu sehen ist und wie hoch die damit einhergehenden Anforderungen sind. Daher sollten in jeder medizinischen oder pharmazeutischen Einrichtung klare und vor allem zuverlässige Regeln zur Identifizierung von Anrufern definiert werden.

Letzte Aktualisierung: 12.03.2020 (ls)

Mehr Sicherheit im E-Mailverkehr durch Verschlüsselung

Wed, 11 Mar 2020 10:55:01 GMT

Mehr Sicherheit im E-Mailverkehr durch Verschlüsselung

Die DS-GVO stellt erhöhte Anforderungen an die IT-Sicherheit. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erläutert daher in einem aktuellen Beitrag, welche technischen und organisatorischen Maßnahmen bei dem Versand einer E-Mail beachtet werden sollten. Zunächst wird darauf hingewiesen, dass bei einer datenschutzrechtlichen Beurteilung sowohl die Inhaltsdaten einer E-Mail als auch deren sog. Metadaten, z. B. Empfänger oder Betreffzeile, zu betrachten sind, da diese Daten personenbezogene Daten beinhalten können. Bei der Übermittlung von E-Mails wird zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene unterschieden.

Technisch-organisatorische Maßnahmen

Die zu beachtenden technisch-organisatorischen Maßnahmen werden vom LDI NRW wie folgt zusammengefasst:

Die Kommunikation per E-Mail bedarf mindestens der Transportverschlüsselung, die von namhaften europäischen Providern standardmäßig angeboten werden.
Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf und dem Risiko, können Abweichungen von der Richtlinie statthaft sein.
Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.
Bei einer Transportverschlüsselung sollten die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sein. Bei besonders sensiblen Daten ist eine alleinige Transportverschlüsselung nicht immer ausreichend. Hier empfehlen wir zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende- Verschlüsselung einzurichten. Sofern diese nicht möglich ist, können alternative Übertragungswege zum Einsatz kommen, etwa ein elektronischer Austausch über eine gesicherte Verbindung, passwortgeschützte Dateien oder ein postalischer Versand.

Verschlüsselungsmethoden

Nach aktuellem Stand der Technik sind insbesondere zwei Verschlüsselungsmethoden zu empfehlen, die eine Ende-zu-Ende-Verschlüsselung umsetzen können. Dabei handelt es sich zum einen um eine PGP-Verschlüsselung (PGP kommt aus dem englischen und steht für „Pretty Good Privacy“, zu Deutsch „ziemlich gute Privatsphäre“) und zum anderen um eine Verschlüsselung mittels S/MIME (Secure / Multipurpose Internet Mail Extensions). Beide Möglichkeiten der Verschlüsselung lassen sich in die meisten Mail-Clients problemlos einbinden. Neben der Möglichkeit Mails zu verschlüsseln, besteht dabei zudem die Möglichkeit, E-Mails digital zu signieren. Bei digitalen Signaturen liegen die Vorteile unter anderem darin, dass im Rahmen jeder versendeten E-Mail eine Authentizierung durch den Absender möglich ist. Dies erfolgt mittels der in jeder E-Mail angehängten digitalen Signatur. Daneben kann der Empfänger zudem an der digitalen Signatur der empfangenen E-Mail erkennen, ob etwaige Manipulationen stattgefunden haben. Ähnlich wie in der „analogen Welt“ ein geöffneter Umschlag zu erkennen ist

Anwendung im Praxis- und Apothekenalltag

Praktisch gesehen bieten die Varianten PGP oder S/MIME für Arztpraxen und Apotheken nur einen beschränken Nutzen. Im Kontakt mit Kunden oder Patienten sind die beschriebenen Verschlüsselungsvarianten kaum umsetzbar, da die Verbreitung entsprechender Verschlüsselungsverfahren aktuell immer noch sehr gering ist, insbesondere bei Privatpersonen. Auf der anderen Seite bieten sich jedoch durchaus auch Vorteile. So kann es zum Beispiel im Rahmen von E-Mail-Korrespondenzen, die permanent bestehen, durchaus eine erhebliche Verbesserung der Sicherheit bedeuten, wenn diese fortan verschlüsselt durchgeführt wird. Man denke an dieser Stelle an zwei Apotheken in einem Filialverbund, die intern miteinander kommunizieren, oder an die E-Mail-Korrespondenz mit dem Steuerbüro. Dabei sind Absender und Empfänger stets dieselben Personen oder agieren in einem eingrenzbaren und konstanten Personenbereich. Wenn das der Fall ist, dann lässt sich auch eine entsprechende Verschlüsselung durch PGP oder S/MIME mit verhältnismäßig geringem Aufwand sehr gut umsetzten.

Letzte Aktualisierung: 11.03.2020 (ls)

Personenbezogenes Webtracking nur mit Einwilligung

Tue, 10 Mar 2020 08:51:00 GMT

Personenbezogenes Webtracking nur mit Einwilligung

Datenschutzrechtliche Vorgaben gelten nicht nur in der eigenen Einrichtung vor Ort, sondern auch für den Auftritt im Internet. In diesem Zusammenhang entschied der Europäische Gerichtshof (EuGH) Anfang Oktober, dass das Setzen von Cookies, die nicht zwangsläufig erforderlich sind, einer expliziten Einwilligungserklärung des jeweiligen Nutzers bedarf. Bei Cookies handelt es sich um kleine Textbausteine im Internet, die es dem jeweiligen Server der Seite ermöglichen, Besucher wiederzuerkennen. Dabei werden von Nutzern oft auch Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen, wie z. B. einem Onlineshop, gespeichert. Viele Webseiten nutzen Cookies, um so ihren Besuchern ein besseres und schnelleres Surferlebnis bieten zu können.

Nunmehr ist also für das Setzen solcher Cookies, eine aktive Einwilligungserklärung des Nutzers erforderlich. Dies gilt insbesondere dann, wenn sog. Dritt-Dienste, wie z. B. Google Analytics, durch Webseitenbetreiber genutzt werden. Hierbei werden die Daten nicht nur durch den Anbieter der Webseite, sondern oft auch durch den jeweiligen Dritt-Anbieter für eigene Zwecke genutzt.

Nach Ansicht des EuGH ist es in diesem Zusammenhang auch unerheblich, ob ein konkreter Personenbezug gegeben ist oder nicht. Insoweit gelten diese Grundsätze auch dann, wenn es sich nicht um personenbezogene Daten handelt.

Datenschutzrechtliche Änderungen

Häufig wird bei dem Besuch einer Internetseite ein sog. Cookie-Banner eingeblendet, bei dem man meist nur auf „OK“ klicken kann, und somit hinnehmen muss, dass Cookies gespeichert werden. Auch diese Banner sind aktuell nicht mehr ausreichend. Gleiches gilt, wenn in einem entsprechenden Cookie-Banner bereits ein voreingestelltes Ankreuzkästchen vorhanden ist. Ist die Vorauswahl durch den Seitenbetreiber vorgegeben, so handelt es sich nicht mehr um das für eine Einwilligungserklärung erforderliche aktive Nutzerverhalten.

Eine wirksame Methode eine rechtskonforme Einwilligungserklärung eines Webseitennutzers einzuholen, bietet das sog. Opt-in-Zustimmungsverfahren. Dabei kann der Nutzer seine Einwilligung selbstständig erteilen, indem er z.B. ein nicht bereits voreingestelltes Ankreuzkästchen aktiv anklickt. Ferner weist der EuGH in seinem Urteil darauf hin, dass dem Nutzer durch den Webseitenbetreiber Informationen beispielsweise zu der Funktionsdauer oder der Zugriffsmöglichkeit für Dritte des entsprechenden Cookies gemacht zugänglich werden müssen.

Umsetzung in der Apotheke/Arztpraxis

In der Praxis ist es selten, dass Arztpraxen oder Apotheken alleine für die Pflege und Wartung der eigenen Webseite verantwortlich sind. Meistens bedienen sich diese Einrichtungen der Hilfe eines spezialisierten Anbieters. Trotz dessen sind im Regelfall Arztpraxen oder Apotheken datenschutzrechtlich verantwortlich für die eigene Webseite und deren Rechtskonformität. Aus diesem Grund sollten sich Arztpraxen und Apotheken zunächst an ihren jeweiligen Anbieter wenden und abklären, dass der eigene Internetauftritt den rechtlichen Anforderungen entspricht.

Letzte Aktualisierung: 10.03.2020 (ls)

Bonpflicht und Datenschutz in der Apotheke

Thu, 05 Mar 2020 12:51:25 GMT

Bonpflicht und Datenschutz in der Apotheke – Was ist zu beachten?

Das neue Jahr brachte viele Neuerungen und Herausforderungen mit sich, denen sich insbesondere auch Apotheken zu stellen haben. Während in medizinischen Einrichtungen, wie Arztpraxen und MVZ, die sog. Belegausgabepflicht eine nur untergeordnete Rolle spielt, sind gerade Apotheken davon stark betroffen.

Kurz erklärt: Seit dem 01.01.2020 muss bei jedem aufzeichnungspflichtigen Geschäftsvorfall auf Grundlage des § 146a Absatz 2 Abgabenordnung ein Beleg über diesen ausgestellt werden. Zudem muss der jeweilige Beleg den am Geschäftsvorfall Beteiligten – im Regelfall dem Kunden – in unmittelbaren zeitlichen Zusammenhang zur Verfügung gestellt werden. Damit möchte der Staat vor allem dem Steuerbetrug an der Ladenkasse vorbeugen.

Datenschutzrechtliche Aspekte

Vor diesem Hintergrund stellen sich auch Fragen zur Bonpflicht im Kontext des Datenschutzes. Hierzu muss zunächst ausgeführt werden, dass es gerade in Apotheken üblich ist, dass Kunden, die in der Kundendatei ihrer Apotheke gespeichert sind, ein personalisierter Beleg ausgestellt wird. In solchen Fällen ließe sich stets ein Einkauf in der Apotheke einem konkreten Kunden der Apotheken zuordnen, da regelmäßig auch die Adressdaten des jeweiligen Kunden mit auf dem Kassenbon vermerkt sind.

Aus diesem Grund war bereits im pharmazeutischen Umfeld zu lesen, dass es empfehlenswert sei, keine personalisierten Bons mehr zu erstellen. Das würde bedeuten, dass weder Namens- noch Adressdaten der Kunden auf den Kassenbeleg gedruckt werden. Viele Kunden wünschen dies allerdings explizit. Daher werden viele Apotheken, unabhängig davon, ob der Kunde seine Daten nun auf dem Kassenbon benötigt oder nicht, sich aus Gründen der Kundenbindung, nicht darauf einlassen, die einschlägigen Kundendaten auf dem Kassenbon zu vermerken.

Wer trägt die Verantwortung?

Letztlich ist aus Sicht des Datenschutzes vor allem die Frage interessant, wie mit der sich zwangsläufig ergebenden Flut von personalisierten und nicht personalisierten Kassenbons umzugehen ist. Zunächst ist dabei festzustellen, dass der Kunde, sofern er den Beleg von der Apotheke erhalten hat, grundsätzlich selbst dafür verantwortlich ist. Wirft der Kunde den Beleg daher auf dem Weg nach Hause auf den Gehweg, so wird der Apotheke in diesem Zusammenhang kein Vorwurf gemacht werden können.

Anders gestaltet sich die Situation, wenn die Apotheke, möglicherweise aus Kundenorientiertheit, dem Kunden, der seinen Kassenzettel nicht möchte, anbietet, die Entsorgung dessen zu übernehmen. Ist dies der Fall, ist die Apotheke hier in der Pflicht, eine datenschutzkonforme Vernichtung zuverlässig durchzuführen. Hierfür bieten sich etwa ein Aktenvernichter mit mindestens der Sicherheitsstufe P-4 (gem. DIN 66399 und Schutz- klasse 3) oder eine Vernichtung durch einen entsprechenden externen Dienstleister an. Sofern ein externer Dienstleister in Anspruch genommen wird, sollten dieselben Standards gelten, wie bei einer internen Vernichtung. Zudem kommen weitere datenschutzrechtliche Vorgaben zum Umgang mit externen Dienstleistern in Betracht.

Unter gewissen Umständen endet jedoch die Verantwortung der Apotheke auch dann nicht, wenn der Kunde den Kassenbon an sich nimmt. Etwa in Fällen, in denen der Kunde den Beleg anschließend im Wirkungskreis der Apotheke hinterlässt. Dies wäre gegeben, wenn der Kunde den Beleg in einen Mülleimer der Apotheke oder auf den Boden der Offizin wirft. In diesen Fällen ist die Apotheke grundsätzlich in der Verantwortung eine konforme Vernichtung zu veranlassen. Dies gilt insbesondere auch dann, wenn sich die Apotheke spezieller Auffangbehältnisse bedient, die gerade dafür vorgesehen sind, um die Kassenbons der Kunden zu sammeln. Insofern müsste gerade bei solchen Vorhaben sichergestellt werden, dass ein entsprechender Zugriffsschutz besteht, sodass eine unbefugte Entnahme verhindert werden kann.

Grundsätzlich bleibt festzuhalten, dass in der Offizin eine erhöhte Aufmerksamkeit etwaigen auf dem Boden liegenden oder am HV-Tisch zurückgebliebenen Kassenbons entgegengebracht werden sollte. Abschließend wird empfohlen, dass sofern keine sorgfältige Kontrolle gewährleistet werden kann, grundsätzlich sämtliche Belege datenschutzkonform vernichtet werden sollten. Im Zweifel lieber einen Kassenzettel zu viel als einen zu wenig.

Zusätzlicher Tipp: Entgegen dem Vorschlag einiger Mandanten, raten wir von einer Sammlung sämtlicher Kassenbons mit einer anschließenden Verbringung zu den Abgeordnetenbüros nach Berlin, zumindest aus Gründen des Datenschutzes eher ab.

Letze Aktualisierung: 03.03.2020 (ls)

Das Team der DeltaMed Süd beim Ludwigsburger Firmenlauf

Tue, 03 Mar 2020 19:02:19 GMT

Das Team der DeltaMed Süd beim Ludwigsburger Firmenlauf

Am 26.06.2018 hieß es für das Team der DeltaMed Süd GmbH & Co. KG “Alles geben“. Das 7-köpfige Team trat insgesamt in zwei Disziplinen an. So konnte man sich bei der Anmeldung zwischen Laufen und Walken entscheiden. Trotz 38 Grad im Schatten, kamen alle Teilnehmer unversehrt ins Ziel. Der Rundkurs um den Monrepos-See, bot eine Distanz von 3,5 km. Das DeltaMed Süd-Team erreichte in der Gruppenauswertung Platz 460. Auch an diesem Tag stand der Spaßfaktor sowie der Teamgedanke im Vordergrund. Nach wohlverdienter Pause und kalten Getränken, ließen alle den Abend mit einem leckeren Essen ausklingen.

Letze Aktualisierung: 23.07.2019 (ls)

Unternehmensspende über 2.000 Euro

Mon, 04 Feb 2019 12:50:51 GMT

Die DeltaMed Süd untersützt die Ökumenische Hospizinitiative im Landkreis Ludwigsburg e. V. mit dem Ambulanten Kinder- und Jugendhospizdienst sowie der Kinder- und Jugendtrauer. Im Mittelpunkt steht dabei das Projekt "Hospiz macht Schule".

Den Tagen mehr Leben geben

Die Ökumenische Hospizinitiative im Landkreis Ludwigsburg e. V. mit dem Ambulanten Kinder- und Jugendhospizdienst sowie Kinder- und Jugendtrauer gibt dem Sterben ein Zuhause und lebt von Spenden, die die Umsetzung von verschiedenen Projekten ermöglichen. Sterbende Kinder, die sich in der letzten Lebensphase befinden, stehen im Mittelpunkt der Hospizarbeit und brauchen Unterstützung. Doch auch Eltern und Geschwister benötigen Unterstützung, Aufmerksamkeit und Fürsorge, da sie oftmals genauso oder sogar mehr leiden als ihre Geliebten selbst. Die Hospizarbeit stellt durch die Projekte, die sie realisiert, den Menschen in seiner letzten Lebensphase in den Mittelpunkt und begleitet Familien mit unheilbar erkrankten Kindern, in deren Leben das Sterben, der Tod und die Trauer Realität sind und das bereits ab dem Zeitpunkt der Diagnosestellung.

Die DeltaMed Süd ist ein Bildungs- und Beratungsunternehmen im Gesundheitswesen mit Sitz in Ludwigsburg und bietet ein breites Leistungsspektrum an Fort-, Aus- und Weiterbildungen an. Ihre Kernkompetenzen liegen dabei in den Bereichen Praxismanagement, Qualitätsmanagement, Betriebswirtschaft sowie Datenschutz und Kommunikation. Darüber hinaus bietet die DeltaMed Süd individuelle Beratungskonzepte an, die speziell auf die Bedürfnisse von Arztpraxen, Kliniken, Apotheken, Pharmaunternehmen oder Verbänden zugeschnitten sind.

Unternehmensspende über 2.000 Euro

Auf der betriebsinternen Weihnachtstagung am 17.12.2018 stellte der Geschäftsführer, Andreas Schaupp, einige Spendenprojekte auf regionaler und überregionaler Ebene den Mitarbeitern der Firma vor. Die Mitarbeiter des Familienunternehmens entschieden sich dabei mit großer Mehrheit für die Unterstützung des Ambulanten Kinder- und Jugendhospizdienstes in Ludwigsburg. Der Spendenscheck wurde am 14.01.2019 durch Lisa-Maria und Daniel Schaupp an die Geschäftsstellenleitung Sabine Horn und Micheal Friedmann übergeben.

Die Tätigkeit in der Kinder- und Jugendhospizarbeit setzt besondere Fähigkeiten in fachlicher und emotionaler Hinsicht voraus. Daneben ist der Ludwigsburger Kinder- und Jugendhospizdienst jedoch auch stark auf finanzielle Unterstützungen von außerhalb angewiesen.

Mit einer Unternehmensspende über 2.000 Euro beteiligt sich die DeltaMed Süd sowohl am Projekt „Hospiz macht Schule“, als auch am Notfallfonds. Dieser Fonds unterstützt Familien in finanzieller Not ohne bürokratische Hürden. Ein Teil der Spende steht zur freien Verwendung und wird für verschiedene Bereiche bedarfsorientiert eingesetzt. Die Spende soll den Tagen mehr Leben schenken und Menschen in Not unterstützen und den Hinterbliebenen Kraft schenken.

„Hospiz macht Schule“

Die Projektwoche „ Hospiz macht Schule “ hat sich in den letzten 10 Jahren an vielen Orten etabliert. Kinder der 3. und 4. Klasse arbeiten an fünf aufeinander folgenden Tagen Themen zu Krankheit, Sterben, Tod, Trauer und Trost auf. Seit Herbst 2017 nimmt das Projekt auch im Landkreis Ludwigsburg einen wichtigen Platz in den Schulen ein. Die sensiblen Themen werden unter der Betreuung von ehrenamtlichen und hauptberuflichen Mitarbeiterinnen und Mitarbeiter des Ambulanten Kinder- und Jugendhospizdienstes erarbeitet. Am zweiten Projekttag ist ein Arzt vor Ort, der den Fragen der Kinder Rede und Antwort steht. Am letzten Tag präsentieren die Schülerinnen und Schüler ihren Eltern die Projektergebnisse und sensibilisieren sich selbst und ihre Angehörigen zu diesen Themen. Selbstverständlich gibt es schönere Themen, doch gerade weil so viele Menschen einen Bogen darum machen, sollten Kinder stark und kompetent mit diesen sensiblen Themen umgehen können.

Siehe auch auf der Webseite des Ambulanten Kinderhospizdienstes Ludwigsburg „ Unternehmensspende über 2.000 Euro “.

Letze Aktualisierung: 03.10.2019 (ds)

70896d6ceab94411bece14f77506b902

Die NIS-2-Richtlinie im Gesundheitswesen

Anwendungsbereich im Gesundheitswesen

Cybersicherheit wird zur Chefsache

Fazit

Letzte Aktualisierung: 10.12.2025 (lip) Bildnachweise: © JPEG - www.stock.adobe.com

Änderung der Coronavirus-Testverordnung

Fazit

Letzte Aktualisierung: 20.12.2024 (lip) Bildnachweise: © jarun011 - www.stock.adobe.com

Elektronischer Rechnungsversand und Datenschutz

Do’s and Dont’s bei sensiblen Daten

Warum klassischer E-Mail-Versand mit sensiblen Daten problematisch ist

Einwilligung in ein niedrigeres Schutzniveau

Vorsicht auch bei eingehenden E-Rechnungen

Fazit

Letzte Aktualisierung: 20.12.2024 (lip) Bildnachweise: © Khaligo - www.stock.adobe.com

Bewertungsportale im Gesundheitswesen

Patientenerfahrungen als Qualitätsindikator

Datenschutzkonformer Umgang mit Bewertungen

Hintergrund der Bußgeldverhängung

Handlungsempfehlungen

Fazit

Letzte Aktualisierung: 15.08.2024 (lip) Bildnachweise: © JPEG - www.stock.adobe.com

Cyberkriminalität im Gesundheitswesen

Bedrohungslage

Die Hauptbedrohungen

Präventive Maßnahmen immer wichtiger

Fazit

Letzte Aktualisierung: 31.07.2024 (lip) Bildnachweise: © Rawf8 - www.stock.adobe.com

Aus TMG wird DDG und aus TTDSG wird TDDDG

Aus TMG wird DDG

Aus TTDSG wird TDDDG

Was ist zu beachten?

Relevanz korrekter Angaben auf gewerblichen Internetseiten

Update (14.05.2024)

Letzte Aktualisierung: 01.06.2024 (lip) Bildnachweise: © pixelkorn - www.stock.adobe.com

Einlösen von E-Rezepten mittels CardLink

Wie funktioniert CardLink?

Sicherheitsbedenken zu CardLink

BMG setzt Verfahren im Alleingang durch

Vorläufiges Fazit

Letzte Aktualisierung: 12.09.2024 (lip) Bildnachweise: © Bernd - www.stock.adobe.com

Arbeitszeiterfassung und Datenschutz

Datenschutzrechtliche Aspekte der Arbeitszeiterfassung

Zusammenfassung

Letzte Aktualisierung: 30.04.2024 (lip) Bildnachweise: © tongpatong - www.stock.adobe.com

Das gute alte Faxgerät

Risiken der Faxnutzung

Empfehlungen für eine datenschutzkonforme Kommunikation

Letzte Aktualisierung: 30.04.2024 (lip) Bildnachweise: © Artinun - www.stock.adobe.com

4.000 Euro Schadensersatz gegen einen Psychotherapeuten

Urteil des Amtsgerichts Pforzheim

Konsequenzen einer unerlaubten Weitergabe personenbezogener Daten

Patientenakten bei Auskunftsersuchen stets überprüfen

Letzte Aktualisierung: 01.01.2023 (dap) Bildnachweise: © Microgen - www.stock.adobe.com

Fälschung von Impfnachweisen

§ 277 Strafgesetzbuch

§ 203 Strafgesetzbuch

Letzte Aktualisierung: 18.01.2022 (jer) Bildnachweise: © Ralf Geithe - www.stock.adobe.com

Informationspflichten bei digitalen COVID-Zertifikaten

Datenschutzrechtliche Informationspflichten bei COVID-Zertifikaten

Letzte Aktualisierung: 13.07.2021 (jer) Bildnachweise: © curtbauer - www.stock.adobe.com

Datenschutzkonformität beim Einsatz von Telefaxen

Datenschutzkonforme Faxkommunikation

Schutzbedürftigkeit des Betroffenen

Telematikinfrasturktur

Letzte Aktualisierung: 08.07.2021 (jer) Bildnachweise: © tascha rassadornyindee/EyeEm - www.stock.adobe.com

Die neue Coronavirus-Testverordnung (TestV)

Auftrags - und Leistungsdokumentation

Abrechnung

Sicherheitsvorkehrungen

Letzte Aktualisierung: 08.07.2021 (jer) Bildnachweise: © tilialucida - www.stock.adobe.com

Stellungnahme des BfDI zum digitalen Impfpass in Deutschland

Digitalisierung

Corona-Pandemie

Digitaler Impfausweise

Letzte Aktualisierung: 04.06.2020 (jer) Bildnachweise: © Bihlmayer Fotografie - www.stock.adobe.com

Windows 10 Support Ende

Microsoft beendet Support für zahlreiche Windows 10-Versionen

Letzte Aktualisierung: 15.02.2021 (jer) Bildnachweise: © Pixel-Shot - www.stock.adobe.com

Letzte Aktualisierung: 10.12.2025 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com

Letzte Aktualisierung: 20.12.2024 (lip)
Bildnachweise: © jarun011 - www.stock.adobe.com

Letzte Aktualisierung: 20.12.2024 (lip)
Bildnachweise: © Khaligo - www.stock.adobe.com

Letzte Aktualisierung: 15.08.2024 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com

Letzte Aktualisierung: 31.07.2024 (lip)
Bildnachweise: © Rawf8 - www.stock.adobe.com

Letzte Aktualisierung: 01.06.2024 (lip)
Bildnachweise: © pixelkorn - www.stock.adobe.com

Letzte Aktualisierung: 12.09.2024 (lip)

Bildnachweise: © Bernd - www.stock.adobe.com

Letzte Aktualisierung: 30.04.2024 (lip)

Bildnachweise: © tongpatong - www.stock.adobe.com

Letzte Aktualisierung: 30.04.2024 (lip)

Bildnachweise: © Artinun - www.stock.adobe.com

Letzte Aktualisierung: 01.01.2023 (dap)

Bildnachweise: © Microgen - www.stock.adobe.com

Letzte Aktualisierung: 18.01.2022 (jer)

Bildnachweise: © Ralf Geithe - www.stock.adobe.com

Letzte Aktualisierung: 13.07.2021 (jer)

Bildnachweise: © curtbauer - www.stock.adobe.com

Letzte Aktualisierung: 08.07.2021 (jer)

Bildnachweise: © tascha rassadornyindee/EyeEm - www.stock.adobe.com

Letzte Aktualisierung: 08.07.2021 (jer)

Bildnachweise: © tilialucida - www.stock.adobe.com

Letzte Aktualisierung: 04.06.2020 (jer)

Bildnachweise: © Bihlmayer Fotografie - www.stock.adobe.com

Letzte Aktualisierung: 15.02.2021 (jer)

Bildnachweise: © Pixel-Shot - www.stock.adobe.com

Letzte Aktualisierung: 26.04.2021 (jer)

Bildnachweise: © Olivier Le Moal - www.stock.adobe.com

Letzte Aktualisierung: 25.01.2021 (jer)

Bildnachweise: © beeboys - www.stock.adobe.com

Letzte Aktualisierung: 11.11.2020 (jer)

Bildnachweise: © kras99 - www.stock.adobe.com