LfDI-Newsletter Nr. 6 - 2019

Sehr geehrte Leserinnen und Leser, Nutzerinnen und Nutzer,

das Jahr neigt sich dem Ende zu und damit auch der Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) für die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Es war mir eine Ehre und Freude die Arbeiten dieses Gremiums zu koordinieren und zu leiten. Die Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat wie auch in den vergangenen Jahren zahlreiche Früchte getragen. Die Ergebnisse der Herbstkonferenz 2019 in Trier sind in diesem Newsletter noch einmal zusammen gefasst.

Das Jahr 2019 diente jedoch auch der Vernetzung auf europäischer Ebene. Teammitglieder des LfDI hatten die Möglichkeit, in Datenschutzaufsichtsbehörden anderer Mitgliedsstaaten der EU zu hospitieren. In diesem Newsletter möchte ich deren Eindrücke aus Irland, Estland und Österreich mit Ihnen teilen.

Daneben informiere ich Sie über aktuelle Aufsichtsmaßnahmen des LfDI, über die datenschutzrechtlichen Folgen des zu erwartenden Brexit sowie verschiedene Themen des Gesundheitsdatenschutzes, wie z.B. über die datenschutzrechtlichen Pflichten in der Arztpraxis in Bezug auf die Aushändigung von Rezepten.

Mit dem Adventskalender des LfDI wurden im Dezember der Datenschutz, die Informationsfreiheit und die Tätigkeit des LfDI in ein besonderes weihnachtliches Licht gerückt, das hoffentlich für die einen oder anderen Leserinnen und Leser so manche Themen des Datenschutzes erhellt. Es wurden noch nicht alle Türchen geöffnet. Schauen Sie rein, es lohnt sich.

Ich wünsche Ihnen und Ihren Familien ein schönes Weihnachtsfest und erholsame Feiertage, um gestärkt in die nächste Dekade 2020 zu starten, die sicher – wie die vergangene – auch im Zeichen des Datenschutzes, der Privatheit und Freiheit sowie der Informationsfreiheit stehen wird.

Ihr Prof. Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. Ergebnisse der 98. Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

II. Elternthemenabend "Kinder – Digitale Medien – Datenschutz" für die Kita

III. Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

IV. Digitale-Versorgungs-Gesetz vom Deutschen Bundestag verabschiedet

V. Aktuelles zum Brexit

VI. Veröffentlichung des Bußgeldkonzeptes

VII. Hospitationen des LfDI in Europa

1. Estland

2. Irland

3. Österreich 

VIII. Zwangsmaßnahmen bei fehlender Kooperation

IX. Datenschutz in der Arztpraxis: Anforderungen an die Abholung von Rezepten und Bescheinigungen durch Dritte

X. Datenschutz im Ehrenamt

XI. Veranstaltungshinweis: 9. Speyerer Forum zur digitalen Lebenswelt

Datenschutzkonferenz

Ergebnisse der 98. Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Am 6. und 7. November 2019 fand die 98. Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz/DSK) in Trier statt. Wie bereits in der Frühjahrskonferenz konnten auch dort zahlreiche und wichtige Ergebnisse, insbesondere Entschließungen und Beschlüsse für den Datenschutz erzielt werden.

Die Bandbreite der Themen reichte dabei von der Kritik an einer massenhaften automatisierten Erfassung von Kfz-Kennzeichen bis zu Empfehlungen für den datenschutzgerechten Einsatz von Künstlicher Intelligenz für die in Konkretisierung der "Hambacher Erklärung" vom April 2019 ein Positionspapier verabschiedet wurde.

Einen besonderen Schwerpunkt bildete der Gesundheitsbereich. Angesichts der fortschreitenden Digitalisierung des Gesundheitswesens fordert die Datenschutzkonferenz sicherzustellen, dass Patientendaten nach dem Stand der Technik geschützt werden. Auch Gesundheitswebseiten und –Apps müssen die Erwartungen ihrer Nutzerinnen und Nutzer an Vertraulichkeit gewährleisten. Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden in einem "Whitepaper" technische Anforderungen zusammengestellt.

Veröffentlicht wurde weiterhin die Version 2.0 des Standard-Datenschutzmodells.

Darüber hinaus hat die Konferenz einen Erfahrungsbericht über die Anwendung der Datenschutz-Grundverordnung beschlossen, der einen Beitrag zur Erstellung eines Berichts auf europäischer Ebene leisten soll.

Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht, das Verantwortlichen die Möglichkeit gibt, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten.

Den Abschluss des rheinland-pfälzischen Vorsitzes der Datenschutzkonferenz wird der Europäische Datenschutztag am 28. Januar 2020 in Berlin bilden. Dieser wird zu dem Thema "KI zwischen Förderung und Bändigung" stattfinden. Im Rahmen der Veranstaltung wird zudem der Vorsitz für die Datenschutzkonferenz im Jahr 2020 an den Landesbeauftragten des Landes Sachsen übergehen.

Medien/Bildung

Elternthemenabend "Kinder – Digitale Medien – Datenschutz" für die Kita

Der LfDI und die Verbraucherzentrale Rheinland-Pfalz haben in Zusammenarbeit mit dem Verbraucherschutz- sowie dem Bildungsministerium ein neues medienpädagogisches Informationsangebot für die Kita entwickelt.

Verbraucher- und Datenschutz für Klein und Groß

Online-Games, Video-Plattformen oder vernetztes Spielzeug: Kinder nutzen immer früher auch digitale Medien und sollten von klein auf lernen, im Netz auf sicheren Füßen zu stehen. Dies stellt vor allem Eltern, aber auch Erzieherinnen und Erzieher vor die Herausforderung, geeignete Angebote auszuwählen sowie auf einen verantwortlichen Medienkonsum zu achten.

Was sind altersgerechte Inhalte, Nutzungszeiten und Geräteeinstellungen? Wie steht es mit der Datensicherheit bei vernetzten Teddys und Co.? Wo lauern Kostenfallen in Spiele-Apps und Werbung? Diese, aber auch weitere Fragen zum Beispiel zum Datenschutz bei WhatsApp, zur Veröffentlichung von Kinderfotos oder der Nutzung von Ortungs-Apps werden in einem zunehmend digitalen Alltag mit Kindern immer wichtiger.

Informationsangebot für Eltern sowie Erzieherinnen und Erzieher

Geschulte Referentinnen und Referenten können für Elternthemenabende kostenfrei angefragt werden und kommen direkt in die Einrichtung. Um auch komplexe Inhalte verständlich und unterhaltsam zu vermitteln, werden die Teilnehmerinnen und Teilnehmer über interaktive Methoden einbezogen und so ein lebendiger Austausch ermöglicht.

Anfragen für die kostenfreien medienpädagogischen Elternthemenabende "Kinder – Digitale Medien – Datenschutz" des LfDI können auf der Webseite erfolgen.

Gesundheit/Sanktionen

Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Zugleich begrüßt der LfDI die belastbar vorgetragenen Bemühungen des Krankenhauses, Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben.

Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement. 

Der Landesbeauftragte, Prof. Dr. Kugelmann, hebt hervor: "Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen."

Gesundheit

Digitale-Versorgung-Gesetz vom Deutschen Bundestag verabschiedet

Anfang November 2019 hat der Deutsche Bundestag den Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz) verabschiedet. Damit versucht die Bundesregierung der seit Jahren nicht vorankommenden Digitalisierung des deutschen Gesundheitswesens entscheidende Impulse zu geben.

Der Gesetzentwurf führt zu einem grundlegenden Wandel in der bisherigen Gesundheitsversorgung in Deutschland und ist auch aus datenschutzrechtlicher Sicht von besonderer Bedeutung. Mit der Schaffung eines Rechtsanspruchs der gesetzlich Versicherten auf Inanspruchnahme digitaler Gesundheitsanwendungen werden die gesetzlichen Voraussetzungen geschaffen, um z.B. den Einsatz von Medizin-Apps in die Behandlung von Patientinnen und Patienten zu forcieren.

Hiergegen ist aus Sicht des Datenschutzes generell nichts einzuwenden, sofern auch künftig die Vertraulichkeit der Heilbehandlung und der in diesem Zusammenhang verarbeiteten Patientendaten verlässlich gewahrt ist. Doch genau dies ist unklar. Zwar sollen die in der Behandlung eingesetzten digitalen Gesundheitsanwendungen nach dem Willen des Gesetzgebers nur dann erstattungsfähig sein, wenn sie in einem vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zu erstellenden Verzeichnis gelistet sind. Damit dies erfolgt, müssen die Anwendungen u.a. den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleisten. Nach welchen Kriterien, in welcher Prüftiefe und mit welcher Aussagekraft dies innerhalb von drei Monaten durch das BfArM geleistet werden kann, bleibt bislang unklar. Die gegenwärtige Diskussion über sog. Analyse- und Tracker-Programme, die in verschiedenen Medizin-Apps integriert sind und teilweise sehr sensible Gesundheitsangaben der Nutzer an externe Stellen außerhalb der Gesundheitsversorgung wie z.B. facebook weitergegeben haben, zeigen, dass hier Handlungsbedarf besteht. Nicht zuletzt aus diesem Grund hat die 98. Datenschutzkonferenz auf ihrer Sitzung in Trier im November 2019 hierzu eine Entschließung verabschiedet und u.a. den Gesetzgeber aufgefordert, den Schutz der Vertraulichkeit von Gesundheitsdaten mit der Einführung der digitalen Gesundheitsanwendungen in die Regelversorgung sicherzustellen.

Darüber hinaus enthält das Digitale-Versorgung-Gesetz noch weitere aus der Sicht des Datenschutzes klärungsbedürftige Elemente wie z.B. die Rolle der gesetzlichen Krankenkassen im Zusammenhang mit der Genehmigung digitaler Gesundheitsanwendungen im Rahmen der Behandlung oder der Nutzung von Patientendaten zum Zwecke der Entwicklung digitaler Innovationen.

Internationales

Aktuelles zum Brexit

Der Brexit wurde mittlerweile schon zum dritten Mal verschoben mit dem (vorläufig) endgültigen Austrittsdatum spätestens am 31. Januar 2020. Das Ergebnis der Neuwahl des britischen Unterhauses am 12. Dezember 2019 macht einen Austritt wahrscheinlicher.

Auswirkungen eines Austritts auf die Anwendung des Datenschutzrechts

Im Falle eines geregelten Austritts Großbritanniens aus der Europäischen Union (EU) bliebe datenschutzrechtlich nach dem derzeit vorliegenden Text des Austrittsabkommens (EU-Amtsblatt 2019/C 384 I/01) während eines Übergangszeitraums bis Ende 2020 (Art. 126 Abkommen) erst einmal alles beim Alten, mit der Option auf einmalige Verlängerung des Übergangszeitraums um ein oder zwei weitere Jahre (Art. 132 Abkommen). Während des Übergangszeitraums würde Großbritannien nicht als Drittland im Sinne von Kapitel V DS-GVO gelten, so dass Verantwortliche oder Auftragsverarbeiter in der EU, die personenbezogenen Daten in den Inselstaat übermitteln, die einschlägigen Vorschriften nicht anwenden müssten. Was nach dem Übergangszeitraum sein wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne von Kapitel V DS-GVO. Möglich aber keineswegs sicher wäre dann der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DS-GVO durch die EU-Kommission, welches das bequemste rechtliche Datentransferinstrument für die hiesigen datenexportierenden Stellen wäre.

Im Falle eines ungeregelten Austritts Großbritanniens aus der EU (sog. "No-Deal-Brexit") würde das Land unmittelbar zum Drittland und die einschlägigen Vorschriften der Datenschutz-Grundverordnung, insbesondere Kapitel V sowie die Vorschriften z.B. zu ergänzenden Informations- und Auskunftspflichten, wären anzuwenden.

Für weitere Informationen siehe die Empfehlungen der Aufsichtsbehörden vom 12. Februar 2019 und vom 30. März 2019 sowie die Brexit-Themenbox.

Datenschutzkonferenz/Rechtsdurchsetzung

Veröffentlichung des Bußgeldkonzeptes 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) legt ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung durch Unternehmen vor. Das Konzept gestaltet im Wesentlichen die Vorgaben des Art. 83 der Datenschutz-Grundverordnung aus und ist auf Fortentwicklung angelegt. Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.

Nach Art. 70 Abs. 1 lit. k der Datenschutz-Grundverordnung ist eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern. Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich. Bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat, bietet das Konzept die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden.

Mit der Veröffentlichung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Weitere Informationen:

Konzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Zumessung von Geldbußen bei Verstößen gegen die DS-GVO

LfDI/Kooperationen

Hospitationen des LfDI in Europa

1. Eindrücke aus Estland

Im Rahmen des Hospitationsprogramms beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz besuchte der Leiter des Bereichs Gesundheit und Soziales, Herr Michael Heusel-Weiss, im August 2019 die Datenschutz-Kontrollbehörde in Estland. Die Wahl der estnischen Partnerbehörde fiel dabei nicht zufällig aus: Angesichts des hohen Digitalisierungsgrads der estnischen Gesellschaft und der gegenwärtigen entschlossenen Anstrengungen in Deutschland, die digitale Medizin und Gesundheitsversorgung endlich voranzubringen, versprach ein Aufenthalt im europäischen Musterland der Digitalisierung wertvolle Erkenntnisse.

Die Erwartungen wurden nicht enttäuscht. In einem aufwändigen und thematisch abwechslungsreichen Programm wurden Herrn Heusel-Weiss die Organisation und Arbeitsweise der estnischen Partnerbehörde umfassend dargestellt. Einzelne Elemente der Digitalisierung in Estland konnten über Besuche im e-Estonia showroom, bei der Stadtverwaltung Tallinn, bei der e-Health-Behörde und an der Universität Tallinn vor Ort nachvollzogen werden.

Bei der estnischen Datenschutzaufsicht befassen sich gegenwärtig 19 Mitarbeiter sowohl mit datenschutzrechtlichen Fragestellungen als auch Anliegen der Informationsfreiheit. Die zu 100% papierlos arbeitende Behörde ist bereits aufgrund gesetzlicher Vorgaben zwingend an der Gestaltung und Ausführung von Datenverarbeitungsprozessen zu beteiligen, sofern staatliche Stellen involviert sind. Die datenschutzkonforme Ausgestaltung der einzelnen Verfahren ist so sichergestellt. Im privaten Bereich bestehen ebenfalls Aufsichts- und Gestaltungsbefugnisse, allerdings ist das Tätigwerden nicht rechtlich vorgegeben. Im Zuge der Datenschutz-Grundverordnung veröffentlichte die Behörde etliche Orientierungshilfen und Handlungsempfehlungen.

Herzstück der estnischen Digitalisierung ist eine mit der staatlichen Unabhängigkeit 1991 aufgebaute technische Infrastruktur, die sog. X-Road. Über diese laufen sämtliche Datenverarbeitungen mit staatlicher Beteiligung. Es gelten dabei hohe Sicherheits- und Transparenz-Anforderungen. Alle Dienstleistungen der Verwaltung sind elektronisch verfügbar und werden von der Bevölkerung in weitem Maße genutzt. Die Entwicklung digitaler Anwendungen im Gesundheitssektor ist sehr dynamisch, wobei aus der Sicht der Aufsichtsbehörde hier eine engere datenschutzrechtliche Begleitung angestrebt wird.

Mehr Informationen unter:

https://www.aki.ee/en

2. Eindrücke aus Irland

Vom 30. September bis zum 4. Oktober 2019 hospitierte ein Mitarbeiter des LfDI, Dr. Philipp Richter, Referent im Bereich Medien und Europa, bei der irischen Datenschutzaufsichtsbehörde, der "Data Protection Commission" (DPC). Die amtierende Behördenleiterin ist seit 2014 Helen Dixon. Sie befindet sich seit diesem Jahr in ihrer zweiten Amtszeit. Die DPC ist für ganz Irland zuständig. In Irland leben aktuell etwa 4,7 Mio. Menschen, also nicht einmal eine Millon mehr als in Rheinland-Pfalz. Allerdings erstreckt sich die Zuständigkeit der DPC nicht nur auf den gesamten öffentlichen und den gesamten privaten Sektor Irlands. Der private Sektor umfasst zusätzlich einige der wichtigsten und umstrittensten Verantwortlichen in der EU und weltweit. In Irland befinden sich die europäischen Hauptsitze von Google, Facebook (inkl. WhatsApp und Instagram), Apple und vieler anderer Internetgrößen.

Aus diesem Grund sind auch die Augen der EU-Datenschutzlandschaft intensiv auf die DPC gerichtet. Der Erwartungsdruck ist hoch und die DPC ist sich dieser Erwartungen sehr bewusst.

Die DPC wurde, um ihrer Aufgabe gerecht zu werden, seit dem Geltungsbeginn der Datenschutz-Grundverordnung sowohl personell als auch finanziell deutlich gestärkt und beschäftigt an drei Standorten in und um Dublin etwa 150 Mitarbeiter und hat ihr Personal damit im Vergleich zu "Vor-DS-GVO-Zeiten" etwa verdreifacht. Die anderen europäischen Aufsichtsbehörden verbinden damit die Erwartung, dass die laufenden Verfahren gegen mit ihrem europäischen Hauptsitz in Irland ansässigen, großen Internet-Unternehmen durch die hierbei federführende irische Aufsichtsbehörde zeitnah angegangen werden. Trotz allen Verständnisses für die Komplexität und den Umfang dieser Verfahren sind doch baldige konkrete Ergebnisse wünschenswert. Im Rahmen der Hospitation wurde Herr Dr. Richter herzlich empfangen und erhielt im Laufe der Woche spannende Einblicke in die wesentlichen Abteilungen der DPC und deren Arbeitsabläufe. Das Vorgehen gegen die Internetgroßkonzerne wie Google, Facebook und Apple wird nach Darstellung von Mitarbeitern der DPC äußerst sorgfältig vorbereitet und betrieben. Als Gründe hierfür wurden ein kompliziertes irisches Verfahrensrecht sowie das hohe Prozessrisiko genannt. Bereits durchgeführte Bußgeldverfahren, wie z.B. das Bußgeld der CNIL gegen Google, werden im Hinblick auf eigene Verfahren äußerst aufmerksam beobachtet.

Die wichtigste Erkenntnis aus der Hospitation war, dass die irische Datenschutzaufsicht abseits der "Tech-Giants" strukturell vor vergleichbaren Herausforderungen steht wie die deutschen Aufsichtsbehörden auch. Viele betroffene Personen wenden sich mit Beschwerden an die DPC und viele Verantwortliche aus allen Sektoren wünschen sich Leitlinien und Hinweise für größere Rechtssicherheit. Auskunftsbegehren der betroffenen Personen und Fragen zur Veröffentlichung von Fotos im Internet spielen eine ebenso zentrale Rolle wie in Deutschland. Die DPC versucht, diesen Herausforderungen durch eine Verbindung effizienter Beschwerdebearbeitung und strategischer Öffentlichkeitsarbeit zu begegnen. Gleichzeitig wirkt die DPC äußerst aktiv in den EU-Gremien mit, um die einheitliche Auslegung und Anwendung der Verordnung voranzubringen.

Insgesamt gewann Herr Dr. Richter den Eindruck einer modernen und aktiven Aufsichtsbehörde, die sich ihrer zentralen Rolle für den EU-Datenschutz durchaus bewusst und auch bereit ist, diese Rolle anzunehmen. Ob und in welcher konkreten Form dies geschieht, werden die folgenden Jahre zeigen.

Mehr Informationen unter:

https://www.dataprotection.ie/

3. Eindrücke aus Österreich

Ein weiterer Mitarbeiter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Uli Mack, Referent im Bereich der Informationsfreiheit und Rechtsdurchsetzung, hospitierte im Zeitraum vom 21. bis 25. Oktober 2019 bei der Datenschutzbehörde der Republik Österreich. Das Ziel der Hospitation war der fachliche Austausch über die Struktur, Organisation sowie die Arbeitsabläufe in der jeweils anderen Behörde.

Der Austausch ermöglichte beiden Seiten einen interessanten Einblick. Es zeigten sich hierdurch viele Gemeinsamkeiten zwischen den Aufsichtsbehörden: So bestehen beispielsweise ähnliche Arbeitsabläufe hinsichtlich der Zusammenarbeit bei grenzüberschreitenden Sachverhalten, deren Ursache auf den einheitlichen Rechtsrahmen durch die unionsweite Geltung der Datenschutz-Grundverordnung zurückzuführen ist. Die Beteiligten stellten jedoch auch größere Unterschiede zwischen den Tätigkeitsbereichen der Behörden fest: So ist der Landesbeauftragte für den Datenschutz Rheinland-Pfalz zugleich Informationsfreiheitsbeauftragter. Da in Österreich kein Informationsfreiheitsgesetz in Kraft ist, besitzt die Österreichische Datenschutzbehörde keine vergleichbare Zuständigkeit.

Die Hospitation ermöglichte sowohl dem Hospitanten als auch der österreichischen Datenschutzbehörde einen erkenntnisreichen "Blick über den Tellerrand" und förderte die grenzüberschreitende Zusammenarbeit zwischen den Behörden.

Mehr Informationen unter:

https://www.dsb.gv.at/

Rechtsdurchsetzung

Zwangsmaßnahmen bei fehlender Kooperation

Befasst sich der LfDI mit einem mutmaßlichen Datenschutzverstoß, so erfolgt im Regelfall zunächst eine Sachverhaltsaufklärung durch ein Informationsersuchen an den Verantwortlichen. Verantwortliche und Auftragsverarbeiter sind grundsätzlich verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen zu arbeiten.

Es ist festzustellen, dass eine nicht unerhebliche Zahl von Verantwortlichen schlicht versucht, das Verfahren auszusitzen, d.h. keinerlei Reaktion zeigt. Um den Anliegen der Beschwerdeführer dennoch gerecht werden zu können, ist der LfDI auf die angefragten Informationen angewiesen. Daher werden bei beharrlicher Kooperationsverweigerung nunmehr verstärkt Zwangsgelder festgesetzt und auch beigetrieben.

Die Höhe des Zwangsgeldes richtet sich nach dem mutmaßlichen Datenschutzverstoß und der damit verbundenen Bedeutung der angefragten Informationen. Bisher wurden Zwangsgelder zwischen 500,00 € und 5.000,00 € für die Nichterfüllung von Informationsersuchen festgesetzt. Ein Zwangsgeld von 5.000,00 € wurde bereits in einem Verfahren zur Videoüberwachung in einem Nachtclub gerichtlich mit weiter führenden Erwägungen bestätigt.

Das Zwangsgeld ist auch ein Mittel, um Anordnungen durchzusetzen, sollte sich bei einer Kontrolle herausstellen, dass eine solche nicht bzw. nicht ordnungsgemäß umgesetzt wurde.

Gesundheit

Datenschutz in der Arztpraxis: Anforderungen an die Abholung von Rezepten und Bescheinigungen durch Dritte

Im Praxisalltag muss häufig die Frage entschieden werden, ob ärztliche Verordnungen oder Bescheinigungen auch anderen Personen als dem Patienten selbst ausgehändigt werden dürfen. Hintergrund kann z.B. eine akute Erkrankung sein, aufgrund derer nicht der Patient selbst, sondern eine von ihm beauftragte Person eine Krankschreibung oder Folgerezepte abholen soll. Sowohl nach den Vorgaben des Datenschutzrechts als auch des Standesrechts ist eine derartige Aushändigung nur zulässig, wenn die Ärzte hierzu entweder gesetzlich befugt sind oder der Patient in eine solche Verfahrensweise eingewilligt hat. Regelmäßig kommt es auf das Einverständnis der betroffenen Patienten an. Dabei sollte in der Praxis folgendermaßen differenziert werden:

Ist der Praxis positiv bekannt, dass ein Patient eine bestimmte Person mit der Abholung beauftragt hat, steht einer Übergabe der Rezepte und Bescheinigungen in einem verschlossenen Umschlag nichts entgegen, wenn die Beauftragung einmalig seitens des Patienten schriftlich gegenüber der Arztpraxis erklärt wurde. Sofern das bislang noch nicht erfolgt ist, sollte zumindest bis zu dessen Nachholung der Umstand der von dem Patienten gewünschten Abholung einschließlich der Identität der beauftragten Person dokumentiert werden. In Ausnahmefällen (z.B. bei persönlich bekannten Personen und langjähriger Übung) kann die Praxisleitung eigenverantwortlich festlegen, auf eine Nachholung zu verzichten. Jede einzelne Aushändigung sollte dokumentiert werden.

In allen anderen Fällen darf eine Aushändigung von Rezepten oder Bescheinigungen erst nach Vorlage geeigneter Nachweise wie z.B. einer von dem Patienten unterzeichneten eindeutigen Einwilligungserklärung erfolgen. Nur ausnahmsweise, wenn eine Verweigerung der Aushändigung zu gesundheitlichen Beeinträchtigungen bei dem Patienten führen könnte, sollte zumindest eine telefonische Bestätigung der Beauftragung bei dem Patienten eingeholt werden. Darüber hinaus gelten auch hier die o.g. Dokumentationsanforderungen.

Eine ausführliche Beschreibung der Anforderungen finden Sie auf der Website der Initiative "Mit Sicherheit gut behandelt".

Leben Digital/Vereine

Datenschutz im Ehrenamt

Der LfDI beteiligte sich auch im November wieder an der Fachtagung für Ehrenamtliche, der Leitstelle Ehrenamt und Bürgerbeteiligung der Staatskanzlei. Die Veranstaltung fand dieses Mal am 09. November 2019 in Kaiserslautern statt. In zwei Workshops mit jeweils ca. 20 Ehrenamtlichen erläuterte eine Referentin des LfDI die Grundlagen des Datenschutzrechts und gab spezifische Praxishinweise für Vereine. Die Fragen der Teilnehmenden zeigten, dass nach wie vor große Unsicherheiten im Umgang mit dem Datenschutzrecht bestehen. Insbesondere die Veröffentlichung von Fotografien, die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und die Bestellpflicht für einen Datenschutzbeauftragten sind nach wie vor "Dauerbrenner".

Der LfDI beantwortet diese und viele weitere Fragen in seinem Online-Informationsangebot für Vereine.

Veranstaltungen

Veranstaltungshinweis: 9. Speyerer Forum zur digitalen Lebenswelt

Auch im Jahr 2020 wird erneut das – mittlerweile – 9. Speyerer Forum zur digitalen Lebenswelt in Speyer stattfinden. Dieses wird unter wissenschaftlicher Leitung von Prof. Dr. H. Hill, Deutsche Universität für Verwaltungswissenschaften Speyer, Dr. S. Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Prof. Dr. M. Martini, Deutsche Universität für Verwaltungswissenschaften Speyer sowie Prof. Dr. D. Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz am 6. und 7 Februar 2020 an der Deutschen Universität für Verwaltungswissenschaften Speyer veranstaltet.

Die Veranstaltungsreihe widmet sich der übergreifenden Frage: "Wie wollen wir im digitalen Zeitalter leben?". Dazu wird im Jahr 2020 das Thema "Regulierung Künstlicher Intelligenz in der Europäischen Union zwischen Recht und Ethik" durch interessante Vorträge aus dem Bereich der Wissenschaft, Politik und Praxis behandelt. Im Mittelpunkt wird die Frage stehen: "Welchen Einfluss nimmt Künstliche Intelligenz aktuell auf unseren Alltag – und wie kann die Rechtsordnung zu einer gelungenen Integration in unsere Lebenswelt beitragen?"

Weitere Informationen zur Anmeldung sowie zu dem Programm finden sie hier.