Inhalt:

• Kurznotizen (18.11.2018, mit Ergänzung Mai 2022)
• Smart Home - smarte Helfer oder Doppelagenten? (18.11.2018)
• Österreich: Unübersichtliche Spezialregelungen im Datenschutz für Gesundheitsberufe (16.12.2018)
• Schwachstelle: Reparatur und Entsorgung von IT-Geräten (16.12.2018)
• Bewertungsportale: Vorsicht bei Widerspruch (24.5.2019, mit Ergänzung Mai 2022)
• Der Mixer lauscht, der Staubsaugerroboter sendet Pornos (20.8.2019)
• DSB-Entscheidung "Allergietagesklinik" - Allgemeines (1.10.2019)
• DSB-Entscheidung "Allergietagesklinik" - Praktische Auswirkungen (1.10.2019)
• DSB-Entscheidung "Allergietagesklinik" - Schlussfolgerung (1.10.2019)
• Verzeichnis der Anwendungen (4.11.2019)
• Einverständniserklärung (4.11.2019, mit Ergänzung Mai 2022)
• Videoüberwachung (4.11.2019)
• Smarte Geräte (4.11.2019)
• Kinder und Jugendliche (4.11.2019)
• Personen mit eingeschränkter Geschäftsfähigkeit (4.11.2019)
• Datenschutzerklärung (9.12.2019)
• Inhalt der Datenschutzerklärung (9.12.2019)
• Zweck und Rechtsgrundlage der Verarbeitung (9.12.2019)
• Kategorien der verarbeiteten Daten (9.12.2019)
• Dauer der Verarbeitung (9.12.2019, mit Ergänzung Mai 2022)
• Datenweitergabe (9.12.2019, mit Ergänzung Mai 2022)

 

Einleitung

Vor sich finden Sie die Klienteninformation Nr. 30. Die runde Zahl bietet Anlass zur Rückschau.

Die folgenden Beiträge sind eine Zusammenstellung aus Klienteninformationen der Jahre 2018 und 2019, deren Gültigkeit und Wichtigkeit bis heute ungebrochen ist. In einigen Fällen war eine Ergänzung zweckmäßig, die jeweils am Ende der Orginaltexte eingefügt wurde, um über zwischenzeitlich eingetretene Entwicklungen zu informieren. Die wichtigste Neuerung ist das Urteil des EuGH vom 16. Juli 2020 ("Schrems II") mit dem der EU-US-Privacy-Shield für rechtswidrig erklärt wurde. Grund dafür sind exzessive Zugriffsrechte US-amerikanischer Geheimdienste auf alle Daten, die von Firmen verarbeitet werden, die in den USA eine Niederlassung betreiben. Weil es nach amerikanischem Recht auch nicht möglich ist, solche Zugriffe gerichtlich auf ihre Rechtmäßigeit überprüfen zu lassen, wird durch den Datentransfer die Europäische Menschenrechtskonvention (EMRK) verletzt

In den zurückliegenden Tagen wurde durch die EU-Kommission angekündigt, dass der formale Beschluss von zwei neuen Verordnungen unmittelbar bevorsteht: des "Digital Marketing Act" (DMA) und des "Digital Services Act" (DSA). Sie werden mit Anfang 2023 in Kraft treten. Beide Normen wirken ohne weitere nationale Behandlung direkt auf das Recht der Mitgliedsstaaten und sollen gemeinsam mit der "General Data Protection Regulation" (Datenschutz-Grundverordnung - DSGVO bzw. GDPR) die "Digitale Konstitution" der Europäischen Union bilden. Es ist davon auszugehen, dass sich durch die drei Verordnungen gemeinsam die Rechte der Betroffenen besser durchsetzen lassen, wohingegen bisher oft noch das Recht des (wirtschaftlich) Stärkeren und des technisch Geschickteren gegolten hat.

Über praktische Auswirkungen der neuen Rechtslage wird in den der kommenden Ausgaben der Klienteninformation berichtet werden.

 

Kurznotizen

18.11.2018

Verwendung von Gratis-Mail

Insiderinformationen zufolge hat die Ärztekammer ihren Funktionären die Verwendung von Gratis-Mail untersagt. Unter dieses Verbot fallen z.B. gmail, hotmail, gmx und vergleichbare Plattformen. Grund ist die Speicherung des Mailverkehrs, die in der Regel außerhalb der EU und unverschlüsselt erfolgt, daher hinsichtlich des Datenschutzes keine Rechtssicherheit bietet.

Aus dem gleichen Grund hat die Ärztekammer Wien allen Mitgliedern (d.h. Ärzten) schon vor einiger Zeit von der Verwendung von Gratis-Mail abgeraten.

Whatsapp und andere Messenger

Whatsapp ist ein kommerzielles Produkt von Facebook Inc. Problematisch ist die Verwendung von Whatsapp deshalb, weil das gesamte Telefonverzeichnis jedes Mitgliedes abgesaugt und an Facebook übertragen wird - mit laufenden Updates. Wer Whatsapp beitritt, gibt daher alle seine Kontakte im Klartext preis und trifft Entscheidungen über Dritte, die er in der Regel nicht um Zustimmung gebeten hat.

Anders ist das beim - ebenfalls kostenlosen und gleich leistungsfähigen - Messenger "Signal". Der wird schon seit längerer Zeit auch von Datenschutzexperten als sichere Alternative empfohlen. Die Zahl der Nutzer ist in den letzten Monaten deutlich angestiegen. Vor wenigen Tagen wurde bekannt, dass einer der beiden Urväter von Whatsapp, Brian Acton, 50 Millionen Dollar an die Entwickler von Signal gespendet hat, damit sie die Verschlüsselung weiter perfektionieren können.

Die Ärztekammer Wien hat ihren Mitgliedern die Verwendung von Whatsapp ausdrücklich untersagt, ebenso wie der deutsche Bundesverband für Logopädie e.V.

Grundsätzlich ist die Verwendung von Whatsapp für alle Unternehmer aus der Sicht des Datenschutzes problematisch. Für Träger von Berufsgeheimnissen (Ärzte, Therapeuten, Apotheker, Anwälte, Steuerberate etc.) gilt das in besonderem Maß.

Quellen:

https://www.aekwien.at/datenschutzgrundverordnung/-/asset_publisher/ZMW3wjss2Pe8/content/datenschutzgrundverordnung/4771581 (10.9.2018)
https://derstandard.at/2000090674079/Whatsapp-kuenftig-mit-Werbung-Signal-mit-mehr-Sicherheit (7.11.2018)

 

Ergänzung: Seit dem 16. Juli 2020 ist die Übermittlung personenbezogener Daten von dritten Personen auf Server von Firmen, die in den USA eine Niederlassung haben, zumindest im Geschäftsverkehr de facto durch Urteil des EuGH untersagt ("Schrems II"). "hotmail", "gmx" und "gmail" werden über Rechner von Unternehmen abgewickelt, die vom Verbot des EuGH erfasst sind. Mailaccounts österreichischer Telefonanbieter fallen dann nicht unter das Verbot, wenn die Provider keinen Sitz in den USA haben.

 

 

 

Smart Home - smarte Helfer oder Doppelagenten?

18.11.2018

Alexa, Siri, Cortana & Co sind schon seit Jahren wegen datenschutzrechtlicher Bedenken immer wieder ein Thema in den Medien. Die Ursache ist einfach erklärt: Damit diese "Assistenten" funktionieren, müssen sie ständig lauschen und über das Internet "nach Hause" melden, was sie hören. "Nach Hause" - das sind die Rechenzentralen ihrer Hersteller, ohne die nichts geht. Nur mit deren Unterstützung ist es möglich, dass Fragen beantwortet oder Waren bestellt werden. In einigen Fällen sollen die dienstbeflissenen Helfer auch schon den Polizeinotruf betätigt haben - der Algorithmus hat ein Gespräch falsch interpretiert.

Wo und wie die Verarbeitung der Sprachaufnahmen von Alexa, Siri, Cortana und wie sie alle heißen mögen, erfolgt, ist für den Nutzer nicht feststellbar. Es gibt jedenfalls keine überzeugenden Garantien, dass diese Daten nach europäischen Rechtsvorschriften behandelt werden. Keinesfalls haben die genannten Geräte daher einen Platz in Räumen, in denen sich Menschen über Gesundheitsfragen, Rechtsfälle, Steuerprobleme oder Ähnliches unterhalten. Abgesehen davon, dass damit die gesetzlichen Verschwiegenheitspflichten verletzt werden, ist nämlich nicht auszuschließen, dass die "Helfer" zu "Doppelagenten" werden und ihr Wissen auch an Personen oder Einrichtungen weitergeben, denen man die Informationen aus gutem Grund vorenthalten möchte.

Nachtrag 22.11.2018: Die Tageszeitung "Kurier" (Futurezone) hat heute einen Beitrag veröffentlicht, wie man die Tonaufnahmen bei Alexa und Google Assistent nachträglich löschen kann:
https://futurezone.at/produkte/amazon-speichert-alle-unterhaltungen-mit-alexa-so-loescht-man-sie/400330968

Auch das "Smart Home" öffnet in der Regel unbekannten Fremden die Hintertür des Hauses. Die bequeme Fernsteuerung der Heizung über das Smartphone beispielsweise ist so konzipiert, dass sie über einen Server gesteuert wird, der sich in der Regel beim Heizungshersteller befindet. Der weiss dann Bescheid, wann jemand zu Hause ist, wann Heißwasser gebraucht wird usw. Damit die Steuerung funktioniert muss man als zuerst eine App des Herstellers aufs Smartphone laden, die Sicherheit seines eigenen Netzwerkes zurückfahren und einen eigenen Port am Router seines Netzes freigeben. Niemand kann garantieren, dass über diesen Port nur Informationen über den Betriebszustand der Heizung ausgetauscht werden. Gar nicht schwierig wäre es beispielsweise auch, dass sich ungebetene Gäste mit allen möglichen Endgeräten, die man betreibt, verbinden - mit der Alarmanlage, der Überwachungskamera im Büro etc.

Sinngemäß gelten die gleichen Vorbehalte auch für Sicherheitslösungen, deren Anbieter versprechen, man könne mit ihrer Anwendung über einen einzigen Klick am Smartphone das Haus einbruchssicher absperren. Leicht könnte hier der Bock zum Gärtner werden. Manch einer, der Fernzugang zur Steuerung des Systems hat - und das muss nicht immer nur der Wartungstechniker sein - könnte da in Versuchung geraten.

Wer Firmenräume mit Lösungen ausstattet, die über reine Alarmzentralen mit Melde-Sensoren hinausgehen, muss sich der Konsequenzen für die Sicherheit seines Unternehmens und seiner Unternehmensdaten klar sein.

Vorsicht geboten ist auch bei Trackern, die z.B. als Notfallsender für mobile Senioren, Kindertelefone mit GPS-Modul oder Ähnliches angeboten werden. Über Amazon sind sie genauso zu beschaffen, wie etwa über renommierte Sanitätshäuser. Die Geräte werden im Fernen Osten hergestellt. Damit man ihre Funktionen nutzen kann (z.B. die Darstellung des Bewegungsprofils einer Person auf einem PC oder Smartphone) müssen sie laufend Standortdaten an einen Server senden. Wo dieser Server steht, wer ihn betreibt und welche Rechtsvorschriften gelten, ist, wie unsere Recherche ergeben hat, auch den Verkäufern der Geräte nicht bekannt. Einige glauben irrtümlich, dass es sich dabei um den Telefonanbieter handelt, dessen SIM-Karte der Kunde im Gerät verwendet. Selbst die Nachfrage beim jeweiligen Importeur der Waren in der EU hinterlässt Zweifel, ob dort das technisch-juristische Problem der Anwendung vollständig erkannt wurde, denn die Antworten auf die Frage nach der Datenspeicherung fallen unklar bis ausweichend aus. Wenngleich die Verkäufer keine rechtliche Verantwortung für allfällige Datenschutzverstöße tragen, sollten Vertreter von Gesundheitsberufen diese - durchaus hilfreichen - Geräte ihren Patienten nur dann empfehlen, wenn sie sich auch von ihrer Unbedenklichkeit in datenschutzrechtlicher Hinsicht restlos überzeugt haben. Ideato steht bei Bedarf gerne für Unterstützung zur Verfügung.

Quellen:

https://www.externedatenschutzbeauftragte.de/blog/Amazon-Echo-Datenschutz-zeichnet-Alexa-alle-Gespraeche-auf (16.11.2018)

https://help.orf.at/stories/2894579/
(16.11.2018)

https://www.fairtek.eu/
(18.11.2018)

http://www.pushphone.de/
(18.11.2018)

 

Österreich: Unübersichtliche Spezialregelungen im Datenschutz für Gesundheitsberufe

16.12.2018

Bereits in der Ausgabe 2 der Ideato-Information wurde kritisch dazu Stellung bezogen: Mit dem 1. Abschnitt des Dritten Hauptstückes des 2. Materien-Datenschutz-Anpassungsgesetz BGBl I 37/2018 hat der Nationalrat für Österreich neben kaum erwähnenswerten sprachlichen Anpassungen an die DSGVO auch zahlreiche neue Sonderbestimmungen eingeführt. Sie betreffen die Befugnisse von Behörden genauso, wie die Arbeit von Ärzten, Therapeuten oder Apothekern. In vielen Fällen wurden auch Ausnahmen von zentralen Errungenschaften des Datenschutzes geschaffen, die man, bei kritischer Betrachtung auch als Aushöhlung der DSGVO in ihrem Kernbereich interpretieren kann.

Konkret werden im genannten Teil des Gesetzes meistens

• die Verpflichtung zur Information Betroffener über die bevorstehende bzw. unter Verwendung von Fremddaten bereits vorgenommene Datenverarbeitung (Art. 13. und 14 DSGVO),
• das Recht auf Einschränkung der Verarbeitung (Art. 18) und
• das Widerspruchsrecht Betroffener (Art. 21) außer Kraft gesetzt. Damit ist de facto auch das Recht auf Löschung beseitigt oder wenigstens sehr eingeschränkt.
• Darüber hinaus wurde in mehreren Fällen geregelt, dass für Forschungsvorhaben auch das Auskunftsrecht und der Recht auf Berichtigung der Daten unter bestimmten Umständen aufgehoben wird (Art. 15 und 16 DSGVO).

Nachdem der Originaltext des 2. Materien-Datenschutz-Anpassungsgesetzes sehr komplex ist und vielfach aus schwer lesbaren Verweisen besteht, soll hier als Serviceleistung eine verkürzte Darstellung des Abschnittes "Gesundheit" in tabellarischer Form erfolgen (Hier klicken zur Tabelle). Die darin enthaltenen Angaben haben nicht die Tiefe einer Rechtsauskunft. Sie können aber dazu dienen, sich einen raschen Überblick zu verschaffen, ob jemand in seiner beruflichen Rolle nicht nur von der DSGVO, sondern auch von den Spezialbestimmungen des Gesetzgebers in Österreich betroffen ist. In Zweifelsfällen hilft Ideato gerne weiter.

 

 

 

Schwachstelle: Reparatur und Entsorgung von IT-Geräten

16.12.2018

Jedes IT-Gerät haucht irgendwann sein Leben aus. Manche können vorübergehend wiederbelebt werden. Unabhäng davon, welche der beiden Möglichkeiten eintritt, müssen die Geräte an Dritte zur Reparatur oder zur Entsorgung übergeben werden.

Wurden auf einem Gerät personenbezogene Daten verarbeitet (erfasst, gespeichert, gedruckt), wird der Datenbestand oder wenigstens Teile davon bei Reparatur oder Entsorgung auch für unberechtigte Personen direkt zugänglich. Damit entsteht ein Datenschutzleck, das besonders dann kritisch ist, wenn es sich um sensible Daten, etwa um Gesundheitsdaten handelt.

Besonders problematisch sind in dieser Hinsicht alte Drucker. Sie alle haben einen kleinen, aber sehr merkfähigen Rechner eingebaut, der sämliche Druckaufträge (d.h. auch die Inhalte der Ausdrucke) speichert. Einen Drucker daher einfach zum Elektroschrott zu geben, ist daher zwar hinsichtlich des Umweltschutzes korrekt, kann aber bezüglich des Datenschutzes einen gravierenden Verstoß darstellen. Der einzige bekannte Ausweg ist die Entfernung des verbauten Rechners und seine mechanische Zerstörung, bevor alle Teile zum Elektroschrott wandern.

Mobiltelefone mit all ihren Einstellungen, die z.B. einen Zugriff auf Datenbestände in einem Unternehmen erlauben oder Kontaktdaten mit Firmenkunden gespeichert haben, dürfen ebenfalls nicht einfach entsorgt werden. Jedenfalls ist sicherzustellen, das alle Speicher verlässlich gelöscht wurden, bevor das Altgerät z.B. im Rahmen von Wohltätigkeitsaktionen gespendet wird (Ö3 - Wundertüte u. dgl.).

Desktop-PCs sind selbst dann nicht harmlos, wenn sie die Files nicht direkt im Gerät, sondern auf externen Laufwerken - z.B. am Firmenserver - speichern. Es werden nämlich die Usernamen und die Passworte für alle Anwendungen sowie die Zugangsdaten zu den Servern direkt im PC hinterlegt und stehen jedem Interessierten, z.B. dem Servicetechniker oder einem neugierigen Praktikanten des Service-Betriebes im Anlassfall zur Verfügung. Man könnte die Situation am besten damit vergleichen, dass man einem Unbekannten seine Wohnungsschlüssel wortlos in die Hand drückt und hofft, dass er sie nicht für einen Einbruch verwendet. Verschlüsselte Festplatten können, müssen aber nicht das Problem beseitigen. Hier kommt es darauf an, ob auch die Systempartition verschlüsselt wurde, oder nicht.

Daten speichert in der Regel auch jedes Navigationsgerät. Ob es sich dabei um personenbezogene Daten, um pseudonymisierte Daten oder um Daten handelt, die in datenschutzrechtlicher Hinsicht unbedenklich sind, muss im Einzelfall festgestellt werden. Am einfachsten ist in der Regel der Umgang mit Navigationsgeräten, die nicht fest mit dem Fahrzeug verbunden sind. Die verfügen oft sogar über Einstellungen, mit denen man die gespeicherten Daten einfach löschen kann.

Weitaus schwieriger gestaltet sich das Problem bei den Navigationsgeräten, die mit der gesamten Fahrzeugelektronik verbunden und Teil des Kontroll- und Steuerungssystems sind. Hier lohnt es sich, Informationen darüber einzuholen, ob die Geräte Fahrtdaten aufzeichnen und wie man sie allenfalls löschen kann, bevor man das Fahrzeug verkauft. Jedenfalls sollte man seine "Favoriten", also die Liste der häufig angefahrenen Ziele, rückstandslos entfernen. Nachdem das Gerät nämlich im Fahrzeug verbleibt und der Vorbesitzer aus den Papieren ersichtlich ist, handelt es sich bei allen gespeicherten Fahrten, Adressen etc. um personenbezogene Daten, die der ehemalige Eigentümer des Fahrzeuges als Verantwortlicher vielleicht sogar schützen muss (z.B. Adressen von Patienten).

Wer das geschilderte Datenschutzproblem sauber lösen will, muss also entweder selbst für die Löschung von Daten sorgen oder alle Speichermedien aus einem Gerät entfernen, das er aus der Hand gibt, oder mit dem Reparaturbetrieb oder dem Entsorger einen Vertrag abschließen, worin die datenschutzrechtlich korrekte Behandlung der übernommenen Geräte schriftlich garantiert wird. Insbesondere für die Träger von Berufsgeheimnissen (öffentliche Stellen, Ärzte, Anwälte, Therapeuten, Steuerberater etc.) ist diese Vorgangsweise zu empfehlen.

 

 

Bewertungsportale: Vorsicht bei Widerspruch!

24.5.2019

Fachspezifische Internetportale - z.B. für die Vermittlung von Hotelzimmern, aber auch für Dienstleistungberufe, darunter auch Ärzte, Therapeuten u.dgl. - ermöglichen es, positive wie negative Kritiken zu veröffentlichen. Für die Kritisierten ist es ärgerlich, dass nicht alle Kritiken sachlich sind und zudem immer wieder aus völlig unrealistischen Erwartungshaltungen heraus verfasst werden. Seriöse Bewertungsportale räumen daher den Kritisierten die Möglichkeit ein, zu den Kritiken Stellung zu nehmen.

Der Verteidung gegen ungerechtfertigte Kritik sind aber sehr enge Grenzen gesetzt, wie der Berliner Datenschutzbeauftragte festhielt. Im Rahmen der Replik gegenüber den Plattform-Betreibern dürfen ohne Erlaubnis der Betroffenen keine personenbezogenen Daten bekanntgegeben werden, die nicht vom Kritiker selbst ohnehin schon preisgegeben wurden.

Besonders unangenehm ist dies für Gesundheitsberufe, die einer besonderen Verschwiegenheitsverpflichtung unterliegen. Im Anlassfall hatte sich ein Arzt gegenüber den Betreibern einer Plattform gegen unzutreffende und unsachliche Kritik verteidigt und dabei zum Beweis oder zur Erklärung auch Details aus der Krankenakte des Kritikers angeführt. Damit hat er gegen das Datenschutzrecht und gegen seine Verschwiegenheitsverpflichtung verstoßen, ungeachtet des Umstandes, dass es ihm anders vielleicht gar nicht möglich gewesen wäre, sich zu rechtfertigen.

Dass unter solchen Umständen eine öffentlichkeitswirksame Gegendarstellung schwierig ist, liegt auf der Hand. Eine "Waffengleichheit" zwischen dem Kritiker und dem Kritisierten müssten jedoch die Gesetzgeber herbeiführen.

Quelle:

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2018-Web.pdf (22.5.2019)

 

Ergänzung: Mit Entscheidung vom 2.2.2022 hat der Oberste Gerichtshof in Österreich im Zusammenhang mit der Bewertungsplattform "Lernsieg" entschieden, dass der Schutz der Meinungsfreiheit jedenfalls höher anzusetzen ist, als die reale Gefahr, dass auf einer Bewertungsplattform Falschnachrichten verbreitet werden (OGH | 6 Ob 129/21w). Damit wurden die Rechte von Personen, die grundlos und unberechtigt negativ bewertet werden, noch weiter eingeschränkt. Möglicherweise wird die EU-Verordnung "Digital Services Act" (DSA), die ab 2023 als Grundrechtskatalog für die digitale Welt in der EU in Kraft treten soll, diesbezüglich eine Verbesserung bringen. Selbstgewählter Anspruch der EU-Kommission ist es jedenfalls, dass in der digitalen Welt alles das untersagt sein soll, was auch in der analogen Welt unzulässig ist. Die Verabschiedung des DSA kann grundsätzlich bereits als gesichert angenommen werden.

 

 

 

Der Mixer lauscht, der Staubsaugerroboter sendet Pornos

20.08.2019

"Monsieur Cuisine Connect" von Lidl verbindet sich mit dem WLAN seines Besitzers und hat im Innern eine "Wanze". Kaum jemand hätte vermutet, dass ein Mixer ein Mikrophon enthält - tut er aber, wie französische Sicherheitsexperten aufdeckten. Sie konnten unter Ausnützung von Sicherheitslücken mit dem Mixer sogar Video-Spiele spielen.

Auf Anfrage hat sich Lidl auf den Standpunkt zurückgezogen, dass das Mikrophon nicht aktiviert sei. Ob, wann und durch wen es aktiviert werden kann und ob der Benutzer das merkt, ist freilich nicht kommuniziert worden. Jedenfalls könnte das zumindest bei Softwareupdates passieren, die vorgenommen werden. Und natürlich könnte sich auch jedes "Script-Kid" aus der Nachbarwohnung mit dem Mixer verbinden und mithören.

Wer einen Staubsauger-Roboter besitzt, ist noch schlimmer dran. Die Geräte hängen im WLAN ihres Besitzers und können vom Smartphone aus gestartet und programmiert werden. Alle Daten sind jedoch auf einem unbekannten Server gespeichert. Dessen Besitzer verfügt dann zumindest über die Pläne der Wohnungen, weiß, wo die Sessel und der Eiskasten stehen, ob es in der Wohnung sauber oder schmutzig zugeht und kann sich somit ein gutes Bild über die Eigentumsverhältnisse verschaffen. Zu allem Überfluss verfügen die meisten Staubsaugerroboter - aus gutem Grund - auch über eine Kamera zur Positionsfindung. Davon, dass die aufgenommenen Bilder auch nach außen übertragen werden, muss man ausgehen.

Genau so, wie das Mikrophon des Mixers aus der Nebenwohnung angezapft werden kann, ist es möglich, die Bilder des Staubsaugers abzugreifen. Und dann ist es fast unerheblich, ob "nur" Schlafzimmerszenen übertragen oder damit vielleicht sogar weitere Straftaten vorbereitet werden.

Es gibt im oberen Preissegment Staubsauger-Roboter, die ein hohes Maß an Komfort, aber auch entsprechende Sicherheit vor Mißbrauch bieten. Vor dem Kauf smarter Haushaltsgeräte, gleich welcher Art, sollte man sich jedenfalls von Fachleuten beraten lassen, ob man damit nicht auch unerwünschte Spione in seine vier Wände holt.

Geräte, bei denen die Gefahr unbemerkter Übertragung von Ton oder Bild an unbefugte Dritte nicht ausgeschlossen werden kann, sollten keinesfalls in Ordinationen, Praxen oder Büros verwendet werden, deren Betreiber einer gesetzlichen Verschwiegenheitspflicht unterliegen. Insbesondere gilt das für Webcams und Produkte wie "Siri", "Alexa" & Co, deren Aufgabe es ist, in den Räumen zu lauschen und abgehörte Gespräche in alle Welt zu übertragen.

Quellen:

https://derstandard.at/2000104995073/Thermomix-Klon-bei-Lidl-Sicherheitsdesaster-mit-WLAN-Anbindung (17.6.2019)

https://kurier.at/genuss/thermomix-von-lidl-verstecktes-mikrofon-im-kuechengeraet/400528588 (20.6.2019)

 

 

DSB-Entscheidung "Allergietagesklinik" - Allgemeines

01.10.2019

Eine - mittlerweile rechtskräftige - Entscheidung der österreichischen Datenschutzbehörde (DSB) hat auch im Ausland Aufsehen erregt. Besondere Aufmerksamkeit sollte man ab sofort folgenden Aspekten schenken:

• Information der Betroffenen gem. Art 13 und 14 DSGVO
• Einverständniserklärungen und Übermittlung sensibler Daten
• Durchführung einer Datenschutz-Folgeabschätzung
• Nominierung eines Datenschutzbeauftragten

Bei der Wahrnehmung der Informationspflicht (Art 13 und 14 DSGVO) muss der Verantwortliche gegenüber dem Betroffenen klar unterscheidbar machen, welche Daten er direkt bei ihm selbst erhält und welche er hingegen aus anderen Quellen (z. B. öffentliche Verzeichnisse, Daten von Krankenkassen, Daten anderer Ärzte etc.) verarbeitet. Für beide Kategorien hat er zu erläutern, um welche Daten es sich handelt, wie und wie lange sie verarbeitet werden, welche Rechtsgrundlagen für die Verarbeitung bestehen und welche Rechte die Betroffenen haben.

Die Verantwortlichen einer Datenverarbeitung dürfen sich nicht per Einwilligungserklärung der Betroffenen ihrer Verantwortung entledigen. Konkret hat eine Klinik u.a. die Zustimmung der Patienten für den Versand von Gesundheitsdaten mittels unverschlüsselter Mails eingeholt. Das sieht die Behörde als unzulässig, weil die gesetzlich geschützten Rechte Betroffener nicht frei vereinbar sind oder "durch die Hintertür" aufgeweicht werden dürfen.

Der Verantwortliche hat die Aufgabe, die Notwendigkeit einer Datenschutzfolgeabschätzung selbständig zu prüfen. Die Rechtsmeinung einer Berufsvertretung (z.B. Kammer) ist für die Erfüllung der Verpflichtung nicht ausschlaggebend.

Wenn 17 Ärzte, verschiedene Therapeuten, Bürokräfte und Verwaltungspersonal Gesundheitsdienstleistungen erbringen, Blutanalysen durchführen, Medikamente verordnen, ausgeben usw., ist die formelle Bestellung eines Datenschutzbeauftragten verpflichtend. Dieser Punkt ist speziell für Österreich interessant, wo über die Bestellung eines Datenschutzbeauftragten der Verantwortliche selbst entscheiden muss. Dabei sind die allgemeinen Kriterien der DSGVO und der vorangestellten Erwägungsgründe zu beachten. In Deutschland ist die Zahl der Mitarbeiter eines Betriebes das Entscheidungskriterium.

Wie mündlich berichtet wurde, hat die Datenschutzbehörde im konkreten Fall eine empfindlich hohe Strafe für die zahlreichen Verstöße, die in der Entscheidung aufgelistet wurden, festgesetzt.

 

 

DSB-Entscheidung "Allergietagesklinik" - Praktische Auswirkungen

01.10.2019

Jeder Unternehmer und jedes Unternehmen - insbesondere im Gesundheitsbereich - tut gut daran, seine Prozesse und seine schriftlichen Dokumentationen nochmals genau zu überprüfen. Allenfalls notwendige Korrekturen sollten so rasch wie möglich erfolgen, um Strafen in respektabler Höhe zu vermeiden. Dies betrifft vornehmlich folgende Bereiche:

Informationspflicht:

Art. 13 und 14 der DSGVO beschreiben, welche Information ein Verantwortlicher dem Betroffenen über die Datenverarbeitung geben muss und legen auch den Zeitpunkt dafür fest. Dieser Pflicht ist so zu entsprechen, dass die Art und die Verwendung der Daten detailliert angeführt wird. Allgemeine, "wolkige" Beschreibungen, aus denen kaum Informationen abgeleitet werden können, reichen nicht.

Für bestimmte Berufsgruppen gibt es allerdings in Österreich - europarechtlich umstrittene - gesetzliche Erleichterungen, denn sie wurden von der Erfüllung der Informationspflicht durch das "2. Materien-Datenschutzanpassungsgesetz", BGBl I 37/2018 ausgenommen. Welche Gesundheitsberufe u.a. dieses Privileg bis auf weiteres in Anspruch nehmen dürfen, kann man auch im Anhang zur "Klienteninfo 3/2018" nachlesen, wo Ideato bereits im vergangenen Jahr eine Tabelle als praktisches Hilfsmittel zur Verfügung gestellt hat.

Einwilligungserklärungen:

Einwilligungserklärungen, die den Betroffenen abverlangt werden, dürfen nur solche Tatbestände erfassen, die gem. DSGVO oder gem. Datenschutzgesetz (DSG) ausdrücklich frei vereinbar sind. Das betrifft im Wesentlichen lediglich die Rechtsgrundlage einer Verarbeitung, also die Frage, ob - wenn andere Rechtsgrundlagen nicht gegeben sind - mit Zustimmung des Betroffenen trotzdem eine Verarbeitung stattfinden kann.

Datenübermittlung:

Die bisweilen geübte Praxis von Verantwortlichen, sich beliebige Vorgangsweisen der Datenverarbeitung per Zustimmung durch die Betroffenen genehmigen zu lassen, ist dann unzulässig, wenn die DSGVO oder das DSG etwas Anderes vorsehen. Dies betrifft besonders die Sicherheit der Übertragung sensibler personenbezogener Daten (Art. 9 und 10 DSGVO). Der Versand mit einfachen, unverschlüsselten Mails ist nicht zulässig, und zwar auch dann, wenn die Betroffenen vorab ihre Zustimmung dazu gegeben haben (schon die Einholung der Zustimmung ist rechtswidrig!).

Diese Entscheidung betrifft zwar zunächst den Datenverkehr, der vom Verantwortlichen ausgeht, also den Versand von ihm z.B. zu einem Auftragsverarbeiter, einem Kooperationspartner oder zum Betroffenen selbst. In zweiter Linie wird aber auch die Frage zu stellen sein, ob der Verantwortliche nicht technische Möglichkeiten bereitstellen muss, um von sich aus zu gewährleisten, dass personenbezogene Daten in geschützter Weise an ihn übermittelt werden können. Will nämlich ein Betroffener seine Daten geschützt an einen Arzt, Therapeuten oder an eine Klinik schicken, ist dazu eine erhöhte Kooperation des Absenders und des Adressaten erforderlich. In gar nicht so wenigen Fällen scheitert der geschützte Versand an der technischen Kompetenz der Beteiligten. Es wäre daher die Entwicklung einer Spruchpraxis denkbar, die institutionellen Empfängern von Daten gem. Art 9 oder 10 DSGVO abverlangt, dass sie Werkzeuge zum geschützten Versand bereitzustellen haben, deren Benutzung keinerlei Vorkenntnisse verlangt und keine zusätzlichen Installationsvorgänge am Gerät des (nicht-institutionellen) Absenders erforderlich macht.

Datenschutz-Folgenabschätzung und Datenschutzbeauftragter:

Jeder Verantwortliche muss genau prüfen, ob für seine Verarbeitungen eine Datenschutz-Folgenabschätzung und/oder die Benennung eines Datenschutzbeauftragten erforderlich ist. Sich dabei auf die Empfehlungen der Kammern allein zu verlassen, reicht nach Ansicht der DSB keinesfalls aus.

Bezeichnet ein Verantwortlicher eine (natürliche oder juristische) Person ausdrücklich als Datenschutzbeauftragten, z.B. in Einwilligungserklärungen, auf der Homepage etc., dann muss diese Person gegenüber der Datenschutzbehörde auch offiziell mit dieser Funktion bekanntgegeben werden (Art. 37 Abs. 7: "Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.")

 

 

DSB-Entscheidung "Allergietagesklinik" - Schlussfolgerung

01.10.2019

Für manche Unternehmen - insbesondere im Gesundheitsbereich - bedeutet die Entscheidung, dass die bisher getroffenen Maßnahmen zum Datenschutz zeitnah überarbeitet werden müssen:

• Die Unternehmensprozesse und das Verzeichnis der Verarbeitungen sind kritisch zu hinterfragen, ob nicht die Menge der verarbeiteten personenbezogenen Daten oder die Dauer der Verarbeitung (10 Jahre nach dem Ärztegesetz) oder das mit einem allfälligen Bruch der Verschwiegenheit verbundene Risiko für die Rechte und Freiheiten natürlicher Personen die Benennung eines Datenschutzbeauftragten und die Durchführung einer Datenschutzfolgenabschätzung verlangen.
• Die Übermittlung der personenbezogener Daten (insbesondere Daten nach Art. 9 und 10 DSGVO) ist technisch so zu gestalten, dass zumindest die vom Verantwortlichen aktiv versandten Daten nach dem Stand der Technik abgesichert sind. Ob auch Möglichkeiten bereitgestellt werden müssen, dass technisch wenig erfahrene Nutzer ihre Daten auf gesicherten Wegen an den Verantwortlichen übermitteln, wäre zu diskutieren.
• Bei der Wahrnehmung der Informationspflicht gem. Art. 13 und 14 DSGVO ist besondere Sorgfalt geboten. Für Österreich besteht allerdings bei der Umsetzung der DSB-Entscheidung die Schwierigkeit, dass das "2. Materien-Datenschutz-Anpassungsgesetz" (BGBl I 37/2018) zahlreiche Berufe aufzählt, die von der Informationspflicht der Art. 13 und 14 der DSGVO ausgenommen sind. Ein Überblick findet sich im Anhang zur Klienteninfo Nr. 3 v. Dezember 2018

Quellen:

https://www.ris.bka.gv.at/JudikaturEntscheidung.wxe?Abfrage=Dsk&Dokumentnummer=DSBT_20181116_DSB_D213_692_0001_DSB_2018_00 (13.3.2019)

https://www.dsb.gv.at/documents/22758/112500/Leitlinien+zur+Datenschutz-Folgenabschaetzung-wp248-rev-01_de.pdf/2246301e-ffbb-4a03-bf23-797fee89174e (2017)

https://lesen.lexisnexis.at/news/datenschutz-einwilligung-in-aspekte-der-datensicherheit/jusit/aktuelles/2019/12/lnat_news_027018.html (21.3.2019)

https://www.dataprotect.at/2019/04/16/datensicherheitsma%C3%9Fnahmen-sind-nicht-disponibel/ (15.4.2019)

https://blog.pwclegal.at/datenschutz-im-gesundheitswesen/ (22.3,2019)

https://www.xing.com/communities/posts/datenschutzbehoerde-in-oesterreich-einwilligung-in-unverschluesselten-versand-von-personenbezogenen-daten-1016250221 (24.4.2019)

https://www.mll-news.com/datenschutzbehoerde-oesterreich-einwilligung-in-den-unverschluesselten-versand-von-patientendaten-ist-unwirksam/ (31.5.2019)

https://www.datenschutzagentur.com/die-allergieambulanz-entscheidung (abgerufen 24.9.2019)

https://www.anwalt.de/rechtstipps/oesterr-dsb-einwilligung-in-unverschluesselten-versand-von-personenbezogenen-daten-unwirksam_154754.html (24.4.2019)

https://www.datenschutzbeauftragter-info.de/unverschluesselter-versand-von-gesundheitsdaten-per-einwilligung-moeglich/ (29.9.2019)

 

 

Verzeichnis der Anwendungen

4.11.2019

Das Verzeichnis der Anwendungen eines Unternehmens ist mit der geschriebenen Verfassung eines Staates vergleichbar. Jedes Unternehmen muss ein derartiges Verzeichnis führen, aus dem die Eckdaten der verschiedenen IT-Prozesse ersichtlich sind. Nicht alle Unternehmen erfüllen diese Verpflichtung. Das ist nicht nur ein Mangel bei der Erfüllung gesetzlicher Pflichten. Die Firmen berauben sich damit selbst eines wichtigen Hilfsmittels zur Steuerung ihrer Unternehmensprozesse.

Erstellung des Verzeichnisses

Um die Erstellung des "Verzeichnis der Anwendungen" kommt man nicht herum, wenn man sich an das Gesetz hält. Es gibt aber Musterblätter verschiedener Organisationen (z.B. WKO) als Hilfe. Sie alle listen die wichtigsten Angaben auf, die man von einer Datenverarbeitung erheben muss. Die große Chance, die sich dabei ergibt, ist eine umfassende Darstellung der meisten Prozesse eines Unternehmens sowie der beteiligten Akteure und ihrer Aufgaben. In vielen Fällen hat sich die Erstellung einer Skizze bewährt, in der die Verarbeitungen, die eingesetzte Hard- und Software und die damit befassten Mitarbeiter auf unterschiedlichen Ebenen dargestellt werden. Davon lassen sich dann einfach die Angaben für das Ausfüllen der vorgeschriebenen Tabelle ableiten.

Neben der Einhaltung der gesetzlichen Verpflichtung hat die übersichtliche Darstellung noch einen weiteren, wichtigen Vorteil: Die meisten Unternehmensprozesse werden auf ihre Zweckmäßigkeit geprüft. Die Chancen, die sich damit abseits der Überlegungen zum Datenschutz aus wirtschaftlicher Sicht bieten, brauchen kaum näher erläutert zu werden.

 

 

Einverständniserklärung

4.11.2019

Wie schon in der Klienteninfo vom Oktober 2019 ausführlich berichtet, hat die Datenschutzbehörde in Wien (DSB) europaweite Aufmerksamkeit mit einer im Grunde logischen Entscheidung erregt: Die Verantwortlichen dürfen das Risiko für die Sicherheit personenbezogener Daten nicht auf die Betroffenen abwälzen, indem sie deren Zustimmung zu einer Unterschreitung der gesetzlich vorgesehenen Sicherheitsstandards einholen.

Anlassfall war die Versendung von Gesundheitsdaten mittels offenen Mails. Schon allein die Aufforderung an Betroffene, ein solches Einverständnis zu erteilen, ist nach Ansicht der DSB ein Rechtsbruch.

Das bedeutet u.a.:

Einverständniserklärungen von Betroffenen dürfen nur für Sachverhalte eingeholt werden, die in der DSGVO (bzw. im DSG für Österreich) vorgesehen sind. Andere Einverständniserklärungen sind hochproblematisch.

Einverständniserklärungen benötigt ein Verantwortlicher aber dann, wenn er ansonsten keine Rechtsgrundlage für die Datenverarbeitung geltend machen kann. Die gibt es aber in der Mehrzahl der Fälle ohnehin!

Lösung für Einverständniserklärungen und Information

Die DSGVO sieht Einverständniserklärungen für die Fälle vor, wo zwischen dem Verantwortlichen einer Datenverarbeitung (z.B. einem Unternehmen) und einem Betroffenen keine engere Beziehung besteht, die eine Verarbeitung personenbezogener Daten rechtfertigt. Will etwa ein Unternehmen an Besucher seines Messestandes nachträglich Newsletter verschicken und dafür während der Messe die eMail-Adressen sammeln, ist eine ausdrückliche (schriftliche) Zustimmung der Messebesucher nötig. Für die Verarbeitung personenbezogener Daten zu bestehenden Kundenverbindungen ist hingegen kein Einverständnis erforderlich, wohl aber die Information gem. Art. 13 und 14 DSGVO über Art und Quelle, Umfang und Dauer der Datenverarbeitung sowie über die Rechte der Betroffenen. In Österreich sind zahlreiche Gesundheitsberufe von dieser Informationspflicht ausgenommen.

Wo immer möglich, sollte man bei der Verarbeitung personenbezogener Daten besser andere Rechtsgrundlagen heranziehen und auf Einverständniserklärungen verzichten. Das Einverständnis kann der Betroffene jederzeit ohne Angabe von Gründen zurückziehen.

Davon unabhängig hat in Österreich das Ärztegesetz jedoch immer schon vorgeschrieben, dass Ärzte nur mit Zustimmung des Patienten andere Ärzte, in deren Behandlung der Kranke steht, über den Gesundheitszustand informieren dürfen (ÄrzteG 1998, BGBl. I Nr. 169/1998 § 51 Abs. 2 Zi 2). Diese Vorschrift ist noch immer in Kraft, im Gesamtzusammenhang mit der aktuellen Rechtsordnung und ihren österreichischen Ausnahmeregelungen jedoch logisch schwer erklärbar.

 

Ergänzung: In der DSGVO ist genau beschrieben, welche Qualität Einverständniserklärungen aufweisen müssen (Erwägung Nr. 32 und Art. 4 Zi. 11): Sie müssen freiwillig, in informierter Weise und unmissverständlich erfolgen. Nach übereinstimmender Ansicht von Fachleuten ist besonders dann, wenn Betroffene einer Vorgangsweise zustimmen, mit denen ihre Rechte eingeschränkt werden, vom Verantwortlichen einer Datenverarbeitung glaubhaft zu machen, dass der Betroffene auch die Auswirkungen seiner Zustimmung verstanden hat. Mit dem einfachen Setzen eines Häkchens in einem Webformular wird dieses Erfordernis vermutlich nicht immer erfüllt sein. Je schwerwiegender der Rechtsverzicht des Betroffenen zu bewerten ist, desto aufwändiger wird die vorherige Aufklärung ausfallen müssen.

 

 

 

Videoüberwachung

4.11.2019

Die Datenschutzbehörde in Österreich erläßt einen Großteil ihrer Entscheidungen im Zusammenhang mit Video-Überwachungen. Fotos und Videos sind gem. DSGVO Art. 4 Z 16 biometrische Daten und fallen nach Art. 9 Abs 1 unter den Begriff "Besondere Kategorien personenbezogener Daten" (Sensible Daten). Die Anfertigung von Fotos und Videos sowie ihre Verarbeitung muss also nach strengen Maßstäben erfolgen und ist mit dem Handling von Gesundheitsdaten vergleichbar. Eine österreichische Spezialität ist, dass der besondere Persönlichkeitsschutz auch für private Datenverarbeitungen gilt, wenn Fotos oder Videos systematisch im öffentlichen Raum angefertigt werden. Die häufigsten Sanktionen der DSB in Österreich werden im Zusammenhang mit Video-Überwachungen verhängt, die nicht rechtskonform sind. Dazu zählt etwa die zu ausgedehnte Erfassung des öffentlichen Raumes, die mangelnde Kennzeichnung des erfassten Bereiches oder eine Überschreitung der zulässigen Aufbewahrungsfrist von üblicherweise 3 Tagen.

Video-Überwachung rechtskonform

Die Video-Überwachung öffentlich zugänglicher Räume ist nur zur KONKRETEN Gefahrenabwehr und zur Beweisführung zulässig. Grundsätzlich ist immer zu prüfen, ob sich der Zweck auch durch "gelindere Maßnahmen" erreichen läßt. Wer bereits Opfer eines kriminellen Aktes (z.B. Einbruch, Raub, Diebstahl) war, hat bei der Angabe der Rechtsgrundlage für die Verarbeitung "bessere Karten".

Die Überwachung ist jedenfalls in das "Verzeichnis der Verarbeitungen" aufzunehmen.

Während in Österreich aufgrund der "Whitelist" der DSB gem. Art. 35 DSGVO nur in Ausnahmsfällen eine Datenschutz-Folgenabschätzung für Video-Überwachungen erforderlich ist, läßt sich das für Deutschland lediglich anhand des konkreten Falles festlegen. Die Beurteilung ist nämlich u.a. auch davon abhängig, ob Kinder betroffen sind. Kinderärzte oder Praxen, in denen häufig Kinder verkehren, sind anders zu beurteilen, als Geschäftsräume von Juwelieren.

Die räumliche Ausdehnung des überwachten Bereiches ist so klein wie möglich zu halten.

Durch eine leicht sichtbare Information ist die überwachte Zone, der Rechtsgrund, der Verantwortliche, die Speicherdauer und die Rechte der Betroffenen bekanntzumachen.

Hinsichtlich der erlaubten Dauer der Speicherung kann allgemein von 3 Tagen ausgegangen werden. Es empfiehlt sich, eine automatische Datenlöschung zu verwenden und deren Programmierung zu dokumentieren.

 

 

Smarte Geräte

4.11.2019

Smarte Geräte sind in der überwiegenden Zahl der Fälle nicht rechtskonform. Darüber haben wir in den Klienteninformationen schon mehrfach berichtet. Neu ist, dass sogar ein hochrangiger Google-Mitarbeiter gegenüber der BBC auf die Gefahren hinweist, die mit der Verwendung von "Alexa" verbunden sind. Und die Tageszeitung "Der Standard" berichtet in der Online-Ausgabe v. 20.10.2019 darüber, dass Amazons " Cloud Cam" kürzlich einigen Amazon-Mitarbeitern einen unterhaltsamen Tag bescherte, weil der smarte Helfer nichtsahnende Nutzer beim Sex filmte und die Daten wie vorgesehen bei Amazon ablegte.

In Geschäftsräumen ist daher die Verwendung smarter Geräte, die Daten weltweit übertragen (und das tun sie in der überwiegenden Zahl der Fälle) hoch problematisch. Oft weisen die Hersteller bereits darauf hin, dass sie sich den Zugriff auf alle Daten vorbehalten, die mittels der Geräte erfasst werden (Google behauptet sogar, „Eigentümer“ dieser Daten zu sein!). Aber selbst wenn solche Hinweise nicht publiziert werden, ist es in der Regel schwer bis unmöglich, herauszufinden, auf welchen Servern die Daten gelagert werden und zu welchen Bedingungen die Verarbeitung erfolgt. Dass sie sich außerhalb des direkten Zugriffs des Nutzers befinden, ist gesichertes Wissen. Ein rechtskonformer Betrieb ist unter diesen Umständen nicht möglich.

Erwähnt werden muss auch, dass viele "smarte" Helfer (z.B. Leuchtmittel, die per App gesteuert werden können) so konstruiert sind, dass Hacker mehr oder weniger einfach in das gesamte Netzwerk des Betreibers eindringen und es für ihre Zwecke (z.B. zur massenweisen Versendung von Spams) nutzen können. Die Konsequenzen für den Besitzer können bis zum Schadenersatz gegenüber Dritten gehen.

Das im privaten Bereich immer wieder vorgebrachte "Argument", dass sich fremde "Agenten" und Hacker kaum für einzelne, alltägliche Menschen interessieren und Skepsis daher übertrieben wäre, geht an der Problemstellung vorbei. Selbst wenn man nämlich Amazon, Google, Apple, Facebook und den Regierungen aller Staaten des Globus vertraut, sollte sich der Nutzer die Frage stellen, ob die Datenübertragung z.B. vom smarten Mixer oder von der Kamera des Staubsaugers in das eigene Heimnetz gesichert erfolgt. Ist das nämlich nicht der Fall, können auch Neugierige aus Nachbarwohnungen mitschauen, mithören und wahrscheinlich sogar in die Gerätesteuerung eingreifen. Je nach den örtlichen Gegebenheiten ist dann die Zahl der Mitwisser nicht mehr begrenzbar.

Quelle:
https://www.derstandard.at/story/2000110114002/googles-hardware-chef-warnt-seine-gaeste-vor-smarten-lautsprechern (20.10.2019)
https://orf.at/#/stories/3141551/ (21.10.2019)

Verwendung von smarten Helfern

Um es gleich vorweg zu sagen: Ein gleichwertiger, rechtskonformer Ersatz für "Alexa", "Siri" und dgl. ist am Markt nicht verfügbar. In Geschäftsräumen, Praxen, Ordinationen etc. ist die Verwendung verboten - ohne wenn und aber. Auch im privaten Umfeld ist die heimliche Aufzeichnung von Gesprächen - und das ist die „bestimmungsgemäße Verwendung“ aller genannten Geräte – ein schwerer Gesetzesverstoß.

Es gibt aber auch andere "smarte" Helfer, z.B. Hausüberwachungen, die sich vom Smartphone steuern lassen. Wenn es um den Einsatz in Geschäftsräumen geht, muss man vorab genau analysieren, ob personenbezogene Daten gewonnen werden, wie sie übertragen werden, wo die Verarbeitung erfolgt, wie lange die Daten gespeichert werden und wer der Verantwortliche der Datenverarbeitung ist (besondere Vorsicht beim Einsatz v. Kameras!) Bei der Konfiguration der Anlage müssen die Einstellungen so gewählt werden, das Anforderungen der DSGVO berücksichtigt sind. Im Zweifelsfall ist es besser, auf Bequemlichkeit zu verzichten und auf den Datenschutz zu achten.

Beim Einsatz smarter Schließanlagen, die von Dienstleistern angeboten werden, gibt man in der Praxis den Generalschlüssel zu seinem Objekt in fremde Hände. Darüber sollte man nachdenken, bevor man einen solchen Schritt setzt. Der Einsatz von bloßen Alarmmeldern, die mit einer Zentrale verbunden sind, ist dagegen meistens ein Gewinn an Sicherheit und in der Regel aus Sicht des Datenschutzes unproblematisch.

Dass ein Küchengerät mit einem Mikrophon ausgestattet ist, ohne dass der ahnungslose Besitzer das erfährt, wird man zunächst nicht vermuten - es kommt aber trotzdem vor. Als Anhalt sollte daher dienen, dass man allen Geräten, die sich mit dem eigenen Netzwerk z.B. über WLAN verbinden, sehr viel Aufmerksamkeit schenken muss. Viele Hersteller lieben es, unbemerkt ihren Kunden "nahe zu sein".

 

 

Kinder und Jugendliche

4.11.2019

Kinder werden durch die DSGVO bei der Inanspruchnahme von „Diensten der Informationsgesellschaft“ besonders geschützt. Grundsätzlich gilt der Schutz bis zum vollendeten 16. Lebensjahr. Die Mitgliedsstaaten der EU dürfen jedoch diese Grenzen durch Gesetz herabsetzen. In Österreich geschieht das mit dem Datenschutzgesetz (DSG), das das vollendete 14. Lebensjahr festlegt. Für Deutschland ist keine eigene Altersgrenze geregelt, daher gilt der Kinderschutz bis zum 16. Lebensjahr.

Für die Anbieter von „Diensten der Informationsgesellschaft“ sind zwei Aufgaben zu lösen:

Es muss vorab analysiert werden, ob der jeweilige Nutzer rechtsgültige Verpflichtungen übernehmen muss, wenn er einen Dienst nutzt.

Der Anbieter muss sicherstellen, dass Personen, die sich als Nutzer registrieren und zu bestimmten Dingen verpflichten, die gesetzliche Altersgrenze erreicht haben UND über das notwendige Urteilsvermögen verfügen, um die Tragweite ihrer Verpflichtung einzusehen.

Quelle:
https://ds-gvo.gesundheitsdatenschutz.org/html/einwilligung_06.php (21.10.2019)

Schutz von Kindern und Jugendlichen

Der Kinder- und Jugendschutz der DSGVO spielt insbesondere dann eine Rolle, wenn (zumindest anfänglich) kein Geld fließt. Dies ist etwa dann der Fall, wenn der Nutzer eines Angebotes dem Anbieter kostenlos Rechte einräumt. Dazu zählen z.B.: Urheberrechte an Fotos, die der Nutzer hochlädt; das Recht zur Analyse von Bewegungsdaten, die vom Smartphone generiert werden; u.v.m.

Speziell US-amerikanische Anbieter versuchen über ihre Allgemeinen Geschäftsbedingungen das Problem zu lösen, indem sie festlegen, dass Nutzer unterhalb eines bestimmten Alterslimits ausgeschlossen sind. Im Streitfall wird dieser Lösungsversuch vor Gericht kaum anerkannt werden, wenn die Einhaltung der Altersgrenze nicht geprüft wird.

Erste Aufgabe des Anbieters ist also die einigermaßen gesicherte Feststellung des Geburtsdatums des Nutzers. Bei Onlineanmeldungen könnte das über die Sozialversicherungsnummer geschehen, deren Plausibilität mit einem Algorithmus geprüft werden kann. Sie zu fälschen ist zwar nicht unmöglich, erfordert aber Wissen, viel Aufwand und Energie.

Bei der online Anmeldung eines Nutzers, der die Altersgrenze noch nicht erreicht hat, könnte man ein zweistufiges Verfahren wählen und im zweiten Schritt den Erziehungsberechtigten einbinden.

Die Zusendung von Ausweiskopien zu verlangen, wäre denkbar. Das darf jedoch nur über gesicherte Portale geschehen und keinesfalls per unverschlüsseltem Mail.

Wirkliche Sicherheit über die Einhaltung der Altersgrenze wird jedoch nur die persönliche Anmeldung mit Ausweisleistung bieten.

 

 

Personen mit eingeschränkter Geschäftsfähigkeit

4.11.2019

Abgesehen von Kindern unter der gesetzlich vorgegebenen Altersgrenze gibt es Menschen, die aufgrund ihrer gesundheitlichen Lage selbständig keine oder nur bestimmte Rechtsgeschäfte abschließen können.

U.a. kommt das Problem bei Arztbesuchen, bei Therapien oder bei der Besorgung von Medikamenten in der Apotheke zum Tragen. Erwachsenenvertreter - früher waren es Sachwalter - erkundigen sich nach Diagnosen, nach Rezepten, nach dem Behandlungserfolg etc. Solche Auskünfte berühren neben der Verschwiegenheitsverpflichtung auch den Datenschutz.

Informationen über den Betroffenen dürfen nur an ihn selbst und/oder den offiziellen Vertreter erteilt werden. Praktisch bedeutet das, dass bei der Überprüfung der Legitimierung der jeweiligen Personen etwas mehr Aufwand erforderlich ist.

Mögliche Vorgangsweise bei Personen mit eingeschränkter Geschäftsfähigkeit

Die DSGVO verlangt, dass sich Betroffene bei Ausübung ihrer Rechte gegenüber den Verantwortlichen einer Datenverarbeitung identifizieren, sofern sie nicht ohnehin bekannt sind. Das gilt auch für Erwachsenenvertreter, die für eine andere Person tätig werden. Erwachsenenvertreter müssen im Österreichischen Zentralen Vertretungsverzeichnis eingetragen sein, damit ihre Bestellung gültig ist. Dort wird auch festgehalten, für welche Angelegenheiten einer vertretenen Person sie sprechen können.

Im Interesse einer korrekten Abwicklung von Rechtsgeschäften, Auskunftsersuchen etc. ist es notwendig, dass sich Verantwortliche den Auszug aus dem Vertretungsverzeichnis zeigen lassen und ggfs. sogar eine Kopie zu Dokumentationszwecken aufbewahren. Zu beachten ist, dass solche Kopien als "sensible Daten" anzusehen sind, die einem besonderen Schutz unterliegen.

 

 

Datenschutzerklärung

9.12.2019

Das Problem der Datenschutzerklärung betrifft alle Leute, die Kunden, Klienten oder Patienten haben. Und wer zusätzlich noch eine Website betreibt, den betrifft das doppelt. Grund genug also, sich ein wenig genauer mit ausgewählten Details der Datenschutzerklärung zu beschäftigen.

Die Datenschutzerklärung ist die Erfüllung der Informationspflicht des Verantwortlichen gegenüber den Betroffenen gem. Art. 13 und 14 DSGVO. Er muss erklären, welche Daten er zu welchem Zweck verarbeitet, weshalb das zulässig ist, wie lange er sie verarbeitet und allenfalls wer in seinem Auftrag ebenfalls mit den Daten zu tun hat. Außerdem muss der Betroffene auf seine Rechte hingewiesen werden, die ihm nach Art. 15 DSGVO zustehen. Die Informationspflicht besteht „zum Zeitpunkt der Erhebung“ der Daten, also noch BEVOR die Verarbeitung einsetzt!

Zahlreiche Gesundheitsberufe in Österreich sind durch das 2. Materien-Datenschutzanpassungsgesetz von der Erfüllung der Informationspflicht gem. Art. 13 und 14 ausgenommen worden. Unter Fachleuten ist das eine höchst umstrittene Aufweichung der DSGVO, sie wird möglicherweise seitens des EuGH aufgehoben. Bis dahin aber gilt die Ausnahme. Dazu hat Ideato bereits vor längerer Zeit HIER eine Tabelle veröffentlicht, aus der man rasch erkennen kann, welche Berufe allenfalls von der Pflicht zur Erstinformation in Österreich befreit sind.

 

 

Inhalt der Datenschutzerklärung

9.12.2019

Grundsätzlich benötigt man Datenschutzerklärungen für zwei völlig getrennte Bereiche: einmal für die Kunden, Klienten oder Patienten; die zweite Erklärung ist für die Besucher der eigenen Website bestimmt (so es eine gibt). Gegenüber ihren Patienten können sich z.B. Ärzte und andere Gesundheitsberufe in Österreich (nicht in Deutschland!) derzeit auf die Ausnahmebestimmungen des 2. Materien-Datenschutzanpassungsgesetzes berufen. Sie haben bei der Aufnahme von Patientendaten keine Informationspflicht nach der DSGVO. Wenn der Arzt allerdings eine Website betreibt, unterliegt er dabei uneingeschränkt den gesetzlichen Verpflichtungen. Er muss also für die Website eine umfassende Datenschutzerklärung veröffentlichen.

Die Datenschutzerklärung muss zahlreiche Details zur Datenverarbeitung offenlegen (s.o.). Dazu gibt es viele gute Muster und Vorlagen der verschiedenen Berufsgruppenvertretungen. Auch Ideato unterstützt gerne bei der Abfassung einer Datenschutzerklärung. Vier Punkte, die sich in der Praxis als heikel erwiesen haben, werden nachfolgend zum besseren Verständnis speziell erläutert:

Zweck und Rechtsgrundlage der Verarbeitung:

Die bisherigen Entscheidungen der Datenschutzbehörden und der Gerichte verlangen dazu sehr konkrete Angaben. Wer Daten der Besucher seiner Website für Marketingzwecke erhebt, und „cookies“ setzt, kann grundsätzlich ein „berechtigtes Interesse“ für sich in Anspruch nehmen. Schwammige Angaben über den Verarbeitungszweck, wie etwa „Zur Optimierung des Surferlebnisses auf unseren Webseiten“, werden aber mit Sicherheit beanstandet. Auch muss die Möglichkeit angeboten werden, dass der Nutzer für jeden einzelnen „cookie“ und den mit ihm verbundenen Zweck eine gesonderte Entscheidung trifft. Manche Seiten deutscher Anbieter haben diese Aufgabe bereits vorbildlich gelöst.

Zum Thema „cookies“ gibt es ein höchst unterhaltsames YouTube-Video, das die wichtigsten Anforderungen perfekt beschreibt. Selbst wenn man am Inhalt nur mäßig interessiert ist, sollte man es sich ansehen – des Vergnügens wegen.

Für Personen, mit denen eine Geschäftsbeziehung besteht (Kunden, Klienten, Patienten) ist der Zweck und die Rechtgrundlage der Datenverarbeitung in der Regel leicht beschreibbar, weil er sich ohnehin aus sachlichen Notwendigkeiten ergibt. Die Zusendung von Newsletters erfordert allerdings eine vorherige Zustimmung des Betroffenen, die er jederzeit rückgängig machen kann.

Kategorien der verarbeiteten Daten:

Bei Geschäftsbeziehungen sind dies in der Regel z.B. Name, Adresse, Telefonnummer, Bankverbindung, Mailadresse etc. Bei Websites sind es alle Daten, die mittels der cookies erhoben und ausgewertet werden. Dazu gehört in der Regel auch die IP-Adresse des Gerätes, von dem aus die Seite aufgerufen wird. IP-Adressen werden vom Gesetz genauso wie Sozialversicherungsnummern als personenbezogene Daten behandelt und müssen daher in der Datenschutzerklärung angeführt werden.

Dauer der Verarbeitung:

Die Dauer der Verarbeitung (also die Dauer der Aufbewahung der Daten) soll so kurz wie möglich gehalten werden. Oft wird man mit wenigen Monaten bis zu einigen Jahren (Steuerrecht) auskommen. In Österreich ist aber grundsätzlich eine bis zu 30jährige Aufbewahrungsdauer für Unterlagen begründbar, denn gem. §§ 1478 und 1489 ABGB (Allgemeines Bürgerliches Gesetzbuch) kann man drei Jahre lang Schadenersatz fordern, sobald man den Schädiger und den Schaden kennt. Diese Möglichkeit besteht bis zu 30 Jahren. Wer also bspw. nach 27 Jahren einen Schaden feststellt und seinen Schädiger namhaft machen kann, hat noch 3 Jahre Zeit, Schadenersatz zu verlangen. Vorallem im Gesundheitsbereich sowie für Bau- und Immobilienunternehmen ist das wichtig. Jedenfalls ist es gerechtfertigt, dass der Verantwortliche Unterlagen aufbewahrt, die er im Fall der Fälle vor Gericht als Beweise vorlegen kann. Die Ärztekammer Wien empfiehlt deshalb sogar die Aufbewahrung über 30 Jahre, auch wenn das Ärztegesetz lediglich 10 Jahre vorschreibt.

Wie lange Analysedaten von Webseiten aufbewahrt werden dürfen, ist im Einzelfall zu beurteilen. Länger als ein paar Monate wird es wohl nicht sein. Ob man in Erfahrung bringen kann, welche Daten wie lange bei Google und bei Facebook verarbeitet werden, ist unsicher. Allerdings übernimmt der Verantwortliche einer Website nach einer Entscheidung des EuGH eine juristische Mitverantwortung dafür und muss die Besucher seiner Website ausreichend informieren – sofern er Google-Analytics oder Facebook einbindet.

 

Ergänzung: Seit dem Urteil des EuGH v. 16.7.2020 ("Schrems") ist die Einbindung von Google-Analytics auf europäischen Websites unzulässig. Bei Einbindung oder Verwendung von Facebook ist zumindest ein zweistufiges Verfahren für die Aktivierung durch den Benutzer vorgeschrieben und jedenfalls eine ausführliche Information darüber, dass der Benutzer auf wichtige Grundrechte verzichtet.

 

Datenweitergabe:

Selbst Unternehmer, die bei der Auftragsbearbeitung keine Daten weitergeben, betreiben in der Regel Datenaustausch: Steuerberater, Buchhaltung und Bank erhalten Rechnungsdaten. Die Information an die Patienten oder Klienten könnte z.B. lauten: „Abrechnungsdaten werden regelmäßig an den Steuerberater XYZ und die FFF-Bank übermittelt.“ Ärzte in Österreich müssen die Zustimmung ihrer Patienten einholen, wenn sie deren Gesundheitsdaten an andere Ärzte übermitteln, bei denen die jeweilige Person ebenfalls in Behandlung steht (Ärztegesetz!).

Wer in seine Website Analysecode von Google oder einen „Like-Button“ von Facebook einbaut, gibt damit Daten der Besucher seiner Seite an die beiden Unternehmen weiter. Um herauszufinden, was Google und Facebook „absaugen“ muss man deren Allgemeine Geschäftsbedingungen sehr genau studieren. Jedenfalls muss der Verantwortliche einer Website ausreichende Angaben machen, was Google und Facebook tun. In der Praxis verweisen manche Verantwortliche einer Website einfach mittels eines Links auf die Datenschutzerklärungen von Google oder Facebook. Es gibt zwar keine Behördenentscheidungen zur Frage, ob solche Verweise als ausreichend gelten. Bis auf Weiteres kann man jedoch davon ausgehen.

In jedem Fall gilt seit einem Urteil des EuGH vom Oktober 2019, dass der Nutzer einer Website aktiv zustimmen muss, BEVOR seine Daten an Google und Facebook weitergeleitet werden. Bei der technischen Realisierung ist das eine Herausforderung, denn die Nutzerdaten werden schon weitergeleitet, wenn jemand die betreffende Seite erstmals aufruft. Es sollte also VOR der Frontpage noch eine Informationsseite vorgeschaltet werden, die auf die Einbindung von Google oder Facebook hinweist und eine Entscheidung der Nutzer im Sinne eines "opt-in" ermöglicht.

 

Ergänzung: Siehe Ergänzung oben. Die Einbindung von Webseiten von Unternehmen, die einen Sitz in den USA haben, ist seit "Schrems II" de facto rechtswidrig.