Klienteninfo Ausgabe 2 / November 2018

Inhalt:

 

18.11.2018

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Quo vadis DSGVO?

Gastbeitrag von Peter Fasol

 

Seit 25. Mai 2018 ist unsere Welt ein bisschen besser…oder sagen wir vielleicht: anders. Die Datenschutzgrundverordnung hat wohl niemanden unberührt gelassen. Schließlich muss man mittlerweile bei jedem Arztbesuch eine Einverständniserklärung unterzeichnen. Wofür? Nun, das wissen wohl die wenigsten Ordinationsassistentinnen. Denn für die Behandlung per se kann ja wohl nach Art. 6 Abs 1 lit b keine notwendig sein. Für die Weitergabe der Patientendaten an andere Gesundheitsdienstleister, mit denen eine Ärztin oder ein Arzt unter einem Dach zusammenarbeitet, allerdings wohl sicher. Ob diese sehr sensible Datenweitergabe mit einer 0815-Ärztekammer-Einverständniserklärung abgetan ist? Immerhin weiß ich, dass meine Daten weitergeben werden…ich weiß nur nicht an wen…? Aber alle unterschreiben präventiv diesen Zettel. Naja, warten wir mal, wo uns dieser Dokumentationswahnsinn noch hinführen wird.

Die Frage, ob eine Ordination einen Datenschutzbeauftragen braucht, bleibt hingegen unbeantwortet. Die Wiener Ärztekammer hat diese Frage an die Datenschutzbehörde weitergeleitet (frei nach dem Motto „Ich will das nicht, also sag mir bitte, dass ich es nicht machen muss“), diese wiederum schweigt, um keine präjudizierenden Aussagen zu machen. Denn die DSGVO selbst ist hier sehr klar. Also halten wir uns an die Regeln unserer deutschen Nachbarn. Das wird dann schon passen.

Eine Beschäftigungstherapie wurde den Haustechnikern bei „Wiener Wohnen“ – der Hausverwaltung für alle Gemeindebauten der Stadt Wien – durch die DSGVO zuteil. An allen Gegensprechanlagen der ca. 200.000 Gemeindewohnungen müssen die Namen entfernt und durch TOP-Nummern entfernt werden. Warum? Ein Mieter hat sich beschwert. Bleibt zu hoffen, dass dieser Mieter nicht im Telefonbuch steht. Glücklicher Weise ist mein Hausverwalter (noch) nicht mit dem dicken schwarzen Zensurstift ausgerückt. Briefträger, Krankenpfleger und andere Berufsgruppen werden mit TOP 1, TOP 2, TOP 3, TOP 3a, TOP 3g-h usw. sicher in Zukunft noch viel Freude haben.

Die interessanteste Kuriosität lieferte jedoch eine österreichische Interessensvertretung: Diese verlangt von Ihren Funktionären 1.) dass sie Ihre E-Mail nur übertragungsverschlüsselt (weiß ja jeder, was das heißt) empfangen und versenden dürfen und 2.) eine schriftliche Bestätigung, dass niemand – außer dem Funktionär selbst – Zugriff auf das E-Mailkonto hat. Dieser Schutz vor unerlaubtem Zugriff umfasst dezidiert auch potentielle Arbeitgeber des Funktionärs – also Firmenmailadressen. Denn es könnte ja die IT-Abteilung mitlesen. Also nehmen sich die Funktionäre einfache eine kostenlose Mailadresse bei einem der gängigen Suchmaschinenanbieter und hoffen darauf, dass die IT-Abteilung der Interessensvertretung nicht mitliest.

Ein anderer Fall berichtet von einem Mann, dessen PKW im Rahmen eines Verfahrens wegen Steuerhinterziehung des Vorbesitzers von der Justiz erfasst wurde. Die Fahrgestellnummer steht im Urteil, das Urteil ist im Internet öffentlich nachzulesen, das Auto seither deutlich an Wert gemindert. Der OGH meint, es wäre keine Information, die Rückschlüsse auf eine natürliche Person zulässt. Und da stellt sich die Frage, wo jetzt der Unterschied zu einer IP-Adresse ist, die laut mehreren Urteilen als personenbezogenes Datum gilt.

Lassen wir uns also überraschen, welche DSGVO-Stilblüten uns noch unterhalten werden.

 


Ing. Mag. (FH) Peter Fasol ist Unternehmensberater und IT-Dienstleister in Wien (http://www.vision3.at)

 

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Kurznotizen

Verwendung von Gratis-Mail

Insiderinformationen zufolge hat die Ärztekammer ihren Funktionären die Verwendung von Gratis-Mail untersagt. Unter dieses Verbot fallen z.B. gmail, hotmail, gmx und vergleichbare Plattformen. Grund ist die Speicherung des Mailverkehrs, die in der Regel außerhalb der EU unverschlüsselt erfolgt und daher hinsichtlich des Datenschutzes keine Rechtssicherheit bietet.

Aus dem gleichen Grund hat die Ärztekammer Wien allen Mitgliedern (d.h. Ärzten) schon vor einiger Zeit von der Verwendung von Gratis-Mail abgeraten.

Whatsapp und andere Messenger

Whatsapp ist ein kommerzielles Produkt von Facebook Inc. Problematisch ist die Verwendung von Whatsapp deshalb, weil das gesamte Telefonverzeichnis jedes Mitgliedes abgesaugt und an Facebook übertragen wird - mit laufenden Updates. Wer Whatsapp beitritt, gibt daher alle seine Kontakte im Klartext preis und trifft Entscheidungen über Dritte, die er in der Regel nicht um Zustimmung gebeten hat.

Anders ist das beim - ebenfalls kostenlosen und gleich leistungsfähigen - Messenger "Signal". Der wird schon seit längerer Zeit auch von Datenschutzexperten als sichere Alternative empfohlen. Die Zahl der Nutzer ist in den letzten Monaten deutlich angestiegen. Vor wenigen Tagen wurde bekannt, dass einer der beiden Urväter von Whatsapp, Brian Acton, 50 Millionen Dollar an die Entwickler von Signal gespendet hat, damit sie die Verschlüsselung weiter perfektionieren können.

Die Ärztekammer Wien hat ihren Mitgliedern die Verwendung von Whatsapp ausdrücklich untersagt, ebenso wie der deutsche Bundesverband für Logopädie e.V.

Grundsätzlich ist die Verwendung von Whatsapp für alle Unternehmer aus der Sicht des Datenschutzes problematisch. Für Träger von Berufsgeheimnissen (Ärzte, Therapeuten, Apotheker, Anwälte, Steuerberate etc.) gilt das in besonderem Maß.

Quellen:

https://www.aekwien.at/datenschutzgrundverordnung/-/asset_publisher/ZMW3wjss2Pe8/content/datenschutzgrundverordnung/4771581 (10.9.2018)

https://derstandard.at/2000090674079/Whatsapp-kuenftig-mit-Werbung-Signal-mit-mehr-Sicherheit (7.11.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Facebook: Fanpages für Unternehmen - ein Risiko?

Um das Ergebnis der nachfolgenden Überlegungen vorwegzunehmen: Unternehmen, die Fanpages auf Facebook betreiben, gehen aus datenschutzrechtlicher Sicht ein hohes Risiko ein. Die Wahrscheinlichkeit, dass angezeigte Firmen von den Gerichten zur Verantwortung gezogen werden, ist sehr hoch - trotz der Anpassung der Datenschutzbestimmungen durch Facebook Ireland am 11. September 2018. Doch nun zu den Fakten:

Im Juni 2018 entschied der Europäische Gerichtshof in der Rechtssache C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH) dass Unternehmen eine Mitverantwortung für den Datenschutz haben, wenn sie Fanpages auf Facebook betreiben. Damals entstand in Deutschland und in Österreich unter Fachleuten eine Debatte, ob diese Entscheidung, die auf Basis der Rechtslage vor dem 25.5.2018, also vor Inkrafttreten der DSGVO getroffen wurde, auch für die Zukunft gelten würde. Und ganz grundsätzlich stellt sich die Frage, ob die Gerichtsentscheidung über die Feststellung der Mitverantwortung des Fanpage-Betreibers hinaus Aussagen zulässt, ob und unter welchen Bedingungen der Betrieb von Fanpages auch derzeit rechtlich zulässig ist. Eine genaue Analyse der Urteilsbegründung ist daher angezeigt.

In Randzahl (Rz) 15 weist der Gerichtshof auf den entscheidungsrelevanten Umstand hin, dass Facebook selbst personenbezogene Daten von Besuchern der eingerichteten Fanpages auswertet. Dabei nimmt Facebook auf die Wünsche der Betreiber der Fanpages insofern Rücksicht, als diese die Struktur und die Granularität der Auswertungen innerhalb vorgegebener Grenzen beeinflussen können. Wobei die Betreiber der Fanpages nicht die Datensammlung selbst steuern, sondern daraus einen Vorteil ziehen, dass sie Wünsche für jene Auswertung anmelden können, die ihnen später von Facebook zur Verfügung gestellt wird.

Technisch ermöglicht wird die Auswertung der personenbezogenen Daten über Cookies, die von Facebook im Endgerät des Besuchers der Fanpage gespeichert werden. Der Gerichtshof hält – immer noch in Rz 15 – fest, dass im entscheidungsrelevanten Zeitraum weder Facebook selbst noch die Betreiber der Fanpage „auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen haben“. Ab dem Inkrafttreten der DSGVO schreibt Art. 13 den Verantwortlichen die Informationspflicht gegenüber den Betroffenen (also jenen natürlichen Personen, deren Daten verarbeitet werden) vor Beginn der Datenverarbeitung vor.

Unangenehm ist auch, dass Facebook selbst dann seine Cookies bei Nutzern von Seiten speichert, wenn diese selbst keinen Facebook-Account besitzen. Wer also z.B. bei Google ein Suchergebnis anklickt, das sich auf einer Facebook-Seite befindet, wird mit einem Cookie "beschenkt" - ob ihm das bewusst ist, oder nicht.

Nun könnte man die Ansicht vertreten, dass das Problem aus der Welt geschafft wäre, sobald die Besucher einer Fanpage ihre Zustimmung zur Verarbeitung ihrer Daten erteilt haben. Ein Besucher, der eine Facebook-Fanpage besucht, erhält derzeit (11.11.2018) am oberen Bildschirmrand folgenden Hinweis:

„Wir verwenden Cookies, um Inhalte zu personalisieren, Werbeanzeigen maßzuschneidern und zu messen sowie die Sicherheit unserer Nutzer zu erhöhen. Wenn du auf unsere Website klickst oder hier navigierst, stimmst du der Erfassung von Informationen durch Cookies auf und außerhalb von Facebook zu. Weitere Informationen zu unseren Cookies und dazu, wie du die Kontrolle darüber behältst, findest du hier: Cookie-Richtlinie.“

Kurz gesagt unterstellt Facebook als Anbieter einer Dienstleistung (das ist die Veröffentlichung der Seite), dass Besucher einer Seite eine uneingeschränkte Zustimmung zur Nutzung ihrer Daten durch konkludente Handlung erteilen, frei nach dem Motto, „Wer surft, stimmt zu.“ Gegen diese Auffassung lassen sich auf der Basis der geltenden Datenschutzbestimmungen zwei Argumente vorbringen:

  1. Zustimmungen sind nur gültig, wenn sie freiwillig und in informierter Weise erteilt werden. Dazu definiert Art. 4 Pkt. 11 der DSGVO:

    „Einwilligung“ der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

    Was die Formulierung von Facebook bedeutet, wonach der Besucher der Seite „[...] der Erfassung von Informationen durch Cookies auf und außerhalb von Facebook [...]“ zustimmt, vermag allenfalls der technisch versierte Internet-Nutzer zu erahnen. Solches Wissen dem Durchschnittsbesucher zu unterstellen, muss als wirklichkeitsfremd qualifiziert werden.

  2. Kopplungsverbot: Die Freiwilligkeit einer Zustimmung zur Datenverarbeitung ist gem. Art. 7 Abs 4 DSGVO folgendermaßen zu beurteilen:

    „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Man muss also die Frage stellen, ob die Veröffentlichung der Seite nur möglich ist, wenn Facebook Cookies setzt. Ist also die Personifizierung der Inhalte oder das „Maßschneidern“(???) der Werbeanzeigen nowendig? Wird die Sicherheit der Nutzer durch Auswertung von Cookies erhöht?

Technisch gesehen ist die Sicherheit der Nutzer das schwächste Argument für den Betreiber einer Seite, der persönliche Daten sammelt. Im Gegenteil: Je weniger personenbezogene Daten verarbeitet werden, desto mehr Sicherheit bietet eine Seite.

Genauerer Überlegungen bedürfen die Argumente der „Personifizierung der Inhalte“ bzw. das „Maßschneidern“ von Werbeanzeigen. In diesen beiden Punkten scheint es tatsächlich unter bestimmten Umständen denkbar, dass die Glaubhaftmachung der Notwendigkeit oder wenigstens der Zulässigkeit gelingen könnte, soferne es möglich ist, sie als Voraussetzung für die Erbringung der Dienstleistung darzustellen. Allerdings ist es höchst unsicher, ob ein Gericht dieser Argumentation folgt.

Am 11. September 2018 hat Facebook Ireland ein "Update for Page admins in the EU and the EEA" publiziert, in dem umfangreiche Prozesse für Administratoren von Fanpages beschrieben werden, die nach Ansicht von Facebook eine DSGVO-konforme Handhabung erlauben. Wie ernst die Behauptung der Rechtskonformität genommen werden kann, wird erst die Zukunft zeigen, insbesondere sobald wegweisende Gerichtsurteile vorliegen.

Dass es äußerst schwer fällt, auf die Publizität zu verzichten, die Facebook nun einmal bietet, zeigt der Umstand, dass selbst die EU-Kommission nicht davon abgeht, Buttons an ihren Meldungen anzubringen, mit denen diese Meldungen auf Facebook geteilt werden können.

Fazit: Der Betrieb von Fanpages auf Facebook kann derzeit aus der Perspektive des Datenschutzrechtes nicht empfohlen werden. Die österreichische Datenschutzbehörde hat aus dem Urteil des EuGH ausdrücklich für die Zukunft den Schluss gezogen, dass eine Mitverantwortung des Betreibers einer Fanpage gemeinsam mit Facebook für die Einhaltung des Datenschutzes besteht; dies hat sie in ihrem Newsletter 3/2018 verlautbart. Aufgrund verschiedener Umstände ist davon auszugehen, dass sich die Gerichte in der gesamten EU künftig an diese Beurteilung halten werden.

Quellen:

https://www.dsb.gv.at/documents/22758/115212/Newsletter_03_2018-neu.pdf/5e68f197-bfad-443e-869f-696866cd7667

http://curia.europa.eu/juris/celex.jsf?celex=62016CJ0210&lang1=de&type=TXT&ancre=

https://orf.at/stories/3065062/ (16.10.2018) BVT verwendete WhatsApp

https://derstandard.at/2000090052191/Datenschuetzer-Facebook-verwertet-immer-mehr-Nutzerdaten (16.11.2018)

https://orf.at/stories/3068222/ (18.10.2018) Kriminelle Attacke - 30 Mio Profile bei Facebook gehackt

https://ec.europa.eu/commission/news/code-practice-fight-online-disinformation-2018-oct-16_de (Beispiel für Nachrichten der EU-Kommission, die über Facebook, Twitter etc. geteilt werden können)

https://www.dataprotect.at/2018/09/10/datenschutzkonferenz-zu-facebook-fanpages-und-gemeinsamer-verantwortlichkeit/ (16.11.2018)

https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea (16.11.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Smart Home - smarte Helfer oder Doppelagenten?

Alexa, Siri, Cortana & Co sind schon seit Jahren wegen datenschutzrechtlicher Bedenken immer wieder ein Thema in den Medien. Die Ursache ist einfach erklärt: Damit diese "Assistenten" funktionieren, müssen sie ständig lauschen und über das Internet "nach Hause" melden, was sie hören. "Nach Hause" - das sind die Rechenzentralen ihrer Hersteller, ohne die nichts geht. Nur mit deren Unterstützung ist es möglich, dass Fragen beantwortet oder Waren bestellt werden. In einigen Fällen sollen die dienstbeflissenen Helfer auch schon den Polizeinotruf betätigt haben - der Algorithmus hat ein Gespräch falsch interpretiert.

Wo und wie die Verarbeitung der Sprachaufnahmen von Alexa, Siri, Cortana und wie sie alle heißen mögen, erfolgt, ist für den Nutzer nicht feststellbar. Es gibt jedenfalls keine überzeugenden Garantien, dass diese Daten nach europäischen Rechtsvorschriften behandelt werden. Keinesfalls haben die genannten Geräte daher einen Platz in Räumen, in denen sich Menschen über Gesundheitsfragen, Rechtsfälle, Steuerprobleme oder Ähnliches unterhalten. Abgesehen davon, dass damit die gesetzlichen Verschwiegenheitspflichten verletzt werden, ist nämlich nicht auszuschließen, dass die "Helfer" zu "Doppelagenten" werden und ihr Wissen auch an Personen oder Einrichtungen weitergeben, denen man die Informationen aus gutem Grund vorenthalten möchte.

Nachtrag 22.11.2018: Die Tageszeitung "Kurier" (Futurezone) hat heute einen Beitrag veröffentlicht, wie man die Tonaufnahmen bei Alexa und Google Assistent nachträglich löschen kann:
https://futurezone.at/produkte/amazon-speichert-alle-unterhaltungen-mit-alexa-so-loescht-man-sie/400330968

Auch das "Smart Home" öffnet in der Regel unbekannten Fremden die Hintertür des Hauses. Die bequeme Fernsteuerung der Heizung über das Smartphone beispielsweise ist so konzipiert, dass sie über einen Server gesteuert wird, der sich in der Regel beim Heizungshersteller befindet. Der weiss dann Bescheid, wann jemand zu Hause ist, wann Heißwasser gebraucht wird usw. Damit die Steuerung funktioniert muss man als zuerst eine App des Herstellers aufs Smartphone laden, die Sicherheit seines eigenen Netzwerkes zurückfahren und einen eigenen Port am Router seines Netzes freigeben. Niemand kann garantieren, dass über diesen Port nur Informationen über den Betriebszustand der Heizung ausgetauscht werden. Gar nicht schwierig wäre es beispielsweise auch, dass sich ungebetene Gäste mit allen möglichen Endgeräten, die man betreibt, verbinden - mit der Alarmanlage, der Überwachungskamera im Büro etc.

Sinngemäß gelten die gleichen Vorbehalte auch für Sicherheitslösungen, deren Anbieter versprechen, man könne mit ihrer Anwendung über einen einzigen Klick am Smartphone das Haus einbruchssicher absperren. Leicht könnte hier der Bock zum Gärtner werden. Manch einer, der Fernzugang zur Steuerung des Systems hat - und das muss nicht immer nur der Wartungstechniker sein - könnte da in Versuchung geraten.

Wer Firmenräume mit Lösungen ausstattet, die über reine Alarmzentralen mit Melde-Sensoren hinausgehen, muss sich der Konsequenzen für die Sicherheit seines Unternehmens und seiner Unternehmensdaten klar sein.

Vorsicht geboten ist auch bei Trackern, die z.B. als Notfallsender für mobile Senioren, Kindertelefone mit GPS-Modul oder Ähnliches angeboten werden. Über Amazon sind sie genauso zu beschaffen, wie etwa über renommierte Sanitätshäuser. Die Geräte werden im Fernen Osten hergestellt. Damit man ihre Funktionen nutzen kann (z.B. die Darstellung des Bewegungsprofils einer Person auf einem PC oder Smartphone) müssen sie laufend Standortdaten an einen Server senden. Wo dieser Server steht, wer ihn betreibt und welche Rechtsvorschriften gelten, ist, wie unsere Recherche ergeben hat, auch den Verkäufern der Geräte nicht bekannt. Einige glauben irrtümlich, dass es sich dabei um den Telefonanbieter handelt, dessen SIM-Karte der Kunde im Gerät verwendet. Selbst die Nachfrage beim jeweiligen Importeur der Waren in der EU hinterlässt Zweifel, ob dort das technisch-juristische Problem der Anwendung vollständig erkannt wurde, denn die Antworten auf die Frage nach der Datenspeicherung fallen unklar bis ausweichend aus. Wenngleich die Verkäufer keine rechtliche Verantwortung für allfällige Datenschutzverstöße tragen, sollten Vertreter von Gesundheitsberufen diese - durchaus hilfreichen - Geräte ihren Patienten nur dann empfehlen, wenn sie sich auch von ihrer Unbedenklichkeit in datenschutzrechtlicher Hinsicht restlos überzeugt haben. Ideato steht bei Bedarf gerne für Unterstützung zur Verfügung.

Quellen:

https://www.externedatenschutzbeauftragte.de/blog/Amazon-Echo-Datenschutz-zeichnet-Alexa-alle-Gespraeche-auf (16.11.2018)

https://help.orf.at/stories/2894579/ (16.11.2018)

https://www.fairtek.eu/ (18.11.2018)

http://www.pushphone.de/ (18.11.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Namen auf Klingeltafeln - Update

In der letzten Ausgabe des Newsletters berichteten wir, dass die Gemeinde Wien sämtliche Namen auf den Klingeltafeln ihrer Wohnhäuser entfernt und dies mit dem Datenschutz begründet. Unabhängig davon, dass die DSGVO auch kundenfreundlichere Lösungen zugelassen hätte, hat u.a. der deutsche Rechtanwalt Niko Härting richtiger Weise darauf hingewiesen, dass die Anwendbarkeit der DSGVO auf den „Sachverhalt Klingeltafel“ keineswegs generell vorausgesetzt werden kann. Die rechtsrichtige Vorgangsweise wird im Einzelfall nämlich davon abhängen, ob die Anordnung der Namen einem Ordnungsprinzip folgt – in diesem Fall wäre die DSGVO anzuwenden. Tut sie das jedoch nicht, ist in Österreich „nur“ das DSG zur Beurteilung heranzuziehen, das im § 1 offen lässt, ob der Betroffene ein schutzwürdiges Interesse an der Geheimhaltung seiner Türglocke geltend machen kann. In Deutschland gäbe es in diesem Fall überhaupt keine Einschränkung. Generell könnte man aber durchaus voraussetzen, dass die Bewohner eines zur Straße hin abgeschlossenen Hauses daran interessiert sind, für Besucher, Boten, Rettungsdienste etc. identifizierbar zu sein.

Rechtlich nicht nachvollziehbar ist die von ORF.ON berichtete Stellungnahme von Jana Schönefeld, Sprecherin der Berliner Datenschutzbeauftragten Maja Smoltczyk. Sie wird mit den Worten zitiert, „Wir halten die DSGVO hier nicht für anwendbar, da es sich um keine automatisierte Datenerfassung handelt“. Da die DSGVO ausdrücklich technikneutral ist, d.h. auch die Behandlung händisch erfasster Listen regelt – wenn sie nur einem Ordnungsprinzip folgen – wäre es interessant zu wissen, welche Überlegungen man in Berlin vor der o.a. Schlussfolgerung angestellt hat.

Quellen:

https://orf.at/stories/3068761/ (18.10.2018)

https://wien.orf.at/news/stories/2942434/https://orf.at/stories/3069101/ ( 18.10.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Gesundheitsberufe: Unterschiedlicher Umgang mit sensiblen Daten - Kafka läßt grüßen

Aus österreichischer Sicht wünscht man sich manchmal nach Deutschland, wo der Umgang mit Daten, mit sensiblen Daten und mit Gesundheitsdaten klarer geregelt scheint. Der deutsche Gesetzgeber hat keine willkürlichen Ausnahmen von der Anwendung der DSGVO zugelassen. Dazu kommt die sehr einfach gehaltene Verschwiegenheitsverpflichtung im Paragraf 203 des Strafgesetzbuches, womit ein übersichtlicher Rechtsrahmen gewährleistet ist.

Der Gesetzgeber in Österreich hat das Leben seiner Untertanen deutlich schwerer gemacht. Hier gilt neben der DSGVO das Datenschutzgesetz (DSG) mit drei Verfassungsbestimmungen, das Datenschutz-Deregulierungsgesetz (BGBl I 24/2018) und das 2. Materien-Datenschutz-Anpassungsgesetz (BGBl I 37/2018) mit Sonderbestimmungen für zahlreiche Berufe und Anwendungsbereiche, allein knapp 50 nur für den Gesundheitsbereich.

Im Kern geht es beim 2. Materien-Datenschutz-Anpassungsgesetz im Bereich Gesundheit darum, in bestimmten Fällen

  • eine generelle gesetzliche Ermächtigung zur Verarbeitung personenbezogener Daten zu normieren (d.h. die Zulässigkeit der Datenverarbeitung zu bestätigen),
  • die Verpflichtung des Verantwortlichen zur Information der Betroffenen vor Beginn der Datenverarbeitung aufzuheben,
  • in bestimmten Fällen das Auskunftsrecht der Betroffenen zu beschneiden (z.B. Gesundheits- und Krankenpflegegesetz),
  • das Recht der Betroffenen auf Widerspruch und auf Einschränkung der Verarbeitung aufzuheben.

Das Gegenteil von "Gut" ist "Gut gemeint". Abgesehen davon dass die Aussetzung eines zentralen Anliegens der DSGVO, nämlich die Stärkung der Rechte Betroffener, vermutlich nicht dem EU-Recht entspricht, wurde für die Praxis eine nahezu kafkaeske Situation geschaffen. Wenn etwa ein Heilmasseur nach Abschluss einer Behandlung den - nunmehr gesunden - Menschen als gewerblicher Masseur weiterhin betreut, muss er ihm z.B. eine Bestätigung abnötigen, damit er seinen Namen und seine Telefonnummer weiterhin verarbeiten darf. Der Grund: Heilmasseure sind von der vorlaufenden Informationspflicht ausgenommen, gewerbliche Masseure nicht. Ganz ähnlich verhält es sich bei Physiotherapeuten oder Ärzten, die gleichzeitig Osteopathen sind. Sie müssen "situationselastisch" ihre Formulare für die Einverständniserklärung bereithalten, je nachdem, in welcher Funktion sie ein und dem gleichen Patienten gegenübertreten. Ebenso verhält es sich bei den Gesundheits- und Klinischen Psychologen, die, wenn sie als Arbeitspsychologen tätig sind, keine gesetzlichen Sonderbestimmungen in Anspruch nehmen können. Die Aufzählung ließe sich beliebig fortsetzen.

Das Datenschutz-Deregulierungsgesetz hat bereits zu einem Vertragsverletzungsverfahren vor dem EuGH geführt - das Ergebnis bleibt abzuwarten. Dass auch das 2. Materien-Datenschutz-Anpassungsgesetz aus EU-rechtlicher Sicht äußerst problematisch ist, daran kann kein vernünftiger Zweifel bestehen. Zusätzlich ist die spezifisch österreichische Rechtslage dadurch erheblich unübersichtlicher und in der Handhabung deutlich komplizierter geworden.

Insgesamt fällt es schwer, etwas Positives über den Scherbenhaufen zu sagen, den der österreichische Gesetzgeber angerichtet hat. Von einer unionsweit einheitlichen Rechtslage ist Österreich jedenfalls meilenweit entfernt.

Quellen:

https://derstandard.at/2000078602336/DSGVO-Oesterreich-verwaessert-europaeischen-Datenschutz (25.4.2018)

https://derstandard.at/2000080785372/Oesterreich-droht-EU-Verfahren-wegen-verwaesserten-Datenschutz (1.6.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Schade - Leider nur Betrugsversuch

Wäre die Sache nicht brandgefährlich, könnte man sogar darüber schmunzeln. Wer träumt nicht vom "reichen Onkel aus Amerika"? Offenbar hatte ich einen, mit dem ich leider zu seinen Lebzeiten nie zusammentraf. Doch ein wohlgesonnener Advokat (von dem ich ebenfalls bisher nichts wusste) machte mir das großzügige Angebot, sich das respektable Vermögen des Verstorbenen mit mir zu teilen, nachdem er vorher 10 Prozent an eine wohltätige Organisation überwiesen hat. Einem Google-Eintrag zufolge scheint es Ing. Peter Raberger (s.u.) tatsächlich zu geben, die Nachricht von seinem Tod ist allerdings stark übertrieben (© Mark Twain). Ich wünsche ihm noch ein langes, erfolgreiches und glückliches Leben!

Wer auf Zusendungen, wie die nachfolgend wiedergegebene, antwortet, könnte bald ungebetenen elektronischen Besuch bekommen oder sein Bankkonto geplündert erleben. Es ist daher dringend zu raten, dergleichen Nachrichten so rasch wie möglich ohne weitere Reaktionen aus dem Mailsystem zu löschen. Hier der ungekürzte Inhalt des Mails:

24.10.2018

Dear Reinhard Raberger

I am John Costanzo an attorney to late Ing. Peter Raberger who was a former director of (ConocoPhillips petroleum services) here in the United States. My late client, his wife and three children lost their lives as a result of a car accident along Bolton highway on the 31st of January 2013. He had an account valued $18.7 million and I have made several unsuccessful attempts to locate his relatives, and I'm contacting you because you have the same surname with him and to assist in repatriating the fund before it gets confiscated as an unclaimed fund. Therefore I will stand here as your attorney to ensure the proceeds of this amount will be successfully transfer to your account and then I will come to your country for the sharing of the money, 45% to me and 45% to you while 10% will be donated to the orphanage homes. Therefore you should provide your full name, address, age, occupation, email and telephone to my private email below so that I can give you more details on the procedures (boltonestateplanninglfirm@hotmail.com).

Best regards
John Costanzo Esq.
Bolton Estate Planning Law Firm
602 Sugar Rd. Bolton, MA 01740-1112, Bolton USA.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!