Klienteninfo Ausgabe 3 / Dezember 2018

Inhalt:

 

16.12.2018

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Deutschland: Ende der Abmahnungen beim Datenschutz für Gesundheitsberufe in Sicht?

Die Zulässigkeit von Abmahnungen auf der Basis des Gesetzes gegen den unlauteren Wettbewerb (UWG), die mit angeblichen Datenschutzverstößen begründet werden, ist unter deutschen Juristen durchaus umstritten. Befürworter wie Gegner haben gute Argumente. Und auf der Ebene der Landgerichte gab es bisher einander widersprechende Entscheidungen.

Mit Urteil aus Hamburg vom 25. Oktober 2018, 3 U 66/17 hat sich erstmals ein deutsches Oberlandesgericht mit der Frage der Zulässigkeit von Abmahnungen im Zusammenhang mit dem Datenschutz beschäftigt. Die salomonische Generalaussage des Urteils: Datenschutzvorschriften, die sich auf den Wettbewerb auswirken, sind abmahnfähig; andere hingegen sind es nicht. Eine taxative Aufzählung, welche Bestimmungen des Datenschutzrechtes bzw. welche Daten vom Gericht als "marktverhaltensregelnd" angesehen werden, gibt das Urteil zwar nicht, jedoch schließt es einen Bereich dezidiert aus: Gesundheitsdaten haben nichts mit Wettbewerb zu tun.

Entscheidungsrelevant war nämlich der Vorwurf, die Beklagte hätte keine Einwilligung der Betroffenen zur Verarbeitung von Gesundheitsdaten eingeholt. Das OLG Hamburg hat nun die Zulässigkeit von Abmahnungen zwar nicht grundsätzlich ausgeschlossen, aber definitiv verneint, dass die Regelungen, die Gesundheitsdaten betreffen, marktverhaltensregelnde Normen darstellen, weil der Zweck der Erhebung nicht in der Erlangung wettbewerbsrechtlicher Vorteile liegt. Die Klage wurde aus diesem Grund auch abgewiesen, allerdings ist die Revision gegen das Urteil zulässig. Es könnte also die Entscheidung auf höchstgerichtlicher Ebene noch geändert werden.

Für Gesundheitsberufe hat das Urteil - sofern es Bestand hat, wovon Fachleute ausgehen - deswegen große Bedeutung, weil es den Druck mindert, der durch das Vorgehen der Abmahnanwälte aufgebaut wurde. Die Wahrscheinlichkeit, dass Abmahnungen von Ärzten, Physiotherapeuten, Logopäden, Psychotherapeuten etc. vor Gericht Bestand haben, ist nun deutlich kleiner geworden. Zwar ist möglicherweise in dieser Hinsicht das letzte Wort noch nicht gesprochen; will jedoch ein Anwalt einer gegenteiligen Rechtsansicht zum Erfolg verhelfen, muss er nicht nur starke Argumente ins Treffen führen, sondern auch ein beachtliches Prozessrisiko auf sich nehmen. Ob es dazu überhaupt kommt, bleibt abzuwarten.

Quellen:

https://www.lhr-law.de/magazin/datenschutzrecht/olg-hamburg-dsgvo-abmahnbar (24.11.2018)

https://www.datenschutzbeauftragter-info.de/olg-hamburg-duerfen-datenschutzverstoesse-jetzt-abgemahnt-werden/ (24.11.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Österreich: Unübersichtliche Spezialregelungen im Datenschutz für Gesundheitsberufe

Bereits in der Ausgabe 2 der Ideato-Information wurde kritisch dazu Stellung bezogen: Mit dem 1. Abschnitt des Dritten Hauptstückes des 2. Materien-Datenschutz-Anpassungsgesetz BGBl I 37/2018 hat der Nationalrat für Österreich neben kaum erwähnenswerten sprachlichen Anpassungen an die DSGVO auch zahlreiche neue Sonderbestimmungen eingeführt. Sie betreffen die Befugnisse von Behörden genauso, wie die Arbeit von Ärzten, Therapeuten oder Apothekern. In vielen Fällen wurden auch Ausnahmen von zentralen Errungenschaften des Datenschutzes geschaffen, die man, bei kritischer Betrachtung auch als Aushöhlung der DSGVO in ihrem Kernbereich interpretieren kann.

Konkret werden im genannten Teil des Gesetzes meistens

  • die Verpflichtung zur Information Betroffener über die bevorstehende bzw. unter Verwendung von Fremddaten bereits vorgenommene Datenverarbeitung (Art. 13. und 14 DSGVO),
  • das Recht auf Einschränkung der Verarbeitung (Art. 18) und
  • das Widerspruchsrecht Betroffener (Art. 21) außer Kraft gesetzt. Damit ist de facto auch das Recht auf Löschung beseitigt oder wenigstens sehr eingeschränkt.
  • Darüber hinaus wurde in mehreren Fällen geregelt, dass für Forschungsvorhaben auch das Auskunftsrecht und der Recht auf Berichtigung der Daten unter bestimmten Umständen aufgehoben wird (Art. 15 und 16 DSGVO).

Nachdem der Originaltext des 2. Materien-Datenschutz-Anpassungsgesetzes sehr komplex ist und vielfach aus schwer lesbaren Verweisen besteht, soll hier als Serviceleistung eine verkürzte Darstellung des Abschnittes "Gesundheit" in tabellarischer Form erfolgen. Die darin enthaltenen Angaben haben nicht die Tiefe einer Rechtsauskunft. Sie können aber dazu dienen, sich einen raschen Überblick zu verschaffen, ob jemand in seiner beruflichen Rolle nicht nur von der DSGVO, sondern auch von den Spezialbestimmungen des Gesetzgebers in Österreich betroffen ist. In Zweifelsfällen hilft Ideato gerne weiter.

Hier klicken zur Tabelle

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Windows10 spioniert

Der Hinweis, dass Microsoft seine Windows-Betriebssysteme mit “Spionagefunktionen” ausstattet, ist nicht neu. Genau genommen wird er seit vielen Jahren immer wieder verbreitet – und mit Achselzucken quittiert. Was sollte der Endverbraucher auch dagegen unternehmen? Wie könnte er überhaupt beweisen, dass er für gutes Geld auch noch erdulden muss, dass ihn der Hersteller hinters Licht führt? Und selbst wenn der Nachweis gelänge – so manche Spezialsoftwäre verlangt, dass man sie mit MS-Windows verwendet. In diesen Fällen ist der Nutzer dem US-amerikanischen Hersteller ausgeliefert – ohne wirkliche Alternative.

Auf der Basis der DSGVO könnte sich das jetzt ändern, der Druck auf Microsoft wächst. Nicht nur die Niederländer, die MS-Office genau analysiert haben, sondern auch das deutsche Bundesamt für Sicherheit in der Informationstechnik, das gerade Windows 10 „auseinandernimmt“ schaffen für die Softwareschmiede aus Redmond, Washington, eine ungemütliche Lage. Sollten sich die Vorwürfe belegen lassen, ist die Höhe der Geldstrafe vermutlich noch der geringste Nachteil für Microsoft. Es geht auch um weltweiten Vertrauensverlust, Verlust von Marktanteilen, drohende Kursverluste an den Börsen und Wegfall von Verkaufsargumenten: Immerhin könnte es ja sein, dass andere Softwarehersteller, die bislang ihre Produkte nur für MS-Computer entwickelt haben, unter dem Druck der Ereignisse neue Entwicklungsschienen eröffnen – beispielsweise für die große Linux-Familie, die zahlreiche Open-Source-Derivate beinhaltet.

Seit April 2018 hat Microsoft aber – in völliger Abkehr von der bisherigen Entwicklungspolitik – auch ein Linux-Derivat am Markt: Azure Sphere. Medienberichten zufolge ist das Produkt Open-Source und hinsichtlich der Sicherheit auf dem gleichen, hohen Niveau, wie die bisher bekannten Linux Versionen und Derivate. Allerdings befinden sich mit im Microsoft-Package ein eigens entwickelter Chip sowie eine Cloud-Lösung. Zu den beiden letzten Komponenten gibt es bisher noch keine qualifizierten Aussagen von unbefangenen Dritten hinsichtlich der Sicherheit.

Möglicherweise stehen wir also vor einer Art Wegkreuzung bei Microsoft: Gut möglich, dass die bisherige Geschäftspolitik grundlegend geändert und den Nutzern eine wirklich sichere Produktpalette angeboten wird. Nicht ganz ausgeschlossen ist aber auch, dass klammheimlich an den alten Verhaltensmustern festgehalten wird. So schnell wird nämlich wohl niemand nachweisen können, ob der Microsoft-Chip wirklich alle Geheimnisse seines Besitzers für sich behält, oder nicht doch regelmäßig „nach Hause telefoniert“. Und auf Cloud-Lösungen hat ohnehin kraft der in den USA gültigen Gesetze die Behörde uneingeschränkten Zugriff – ob den Betreibern das nun passt, oder nicht. Auch das europäische Datenschutzrecht musste vor der US-amerikanischen Wirtschaftsmacht kapitulieren und Kompromisse, wie etwa die Akzeptanz des Privacy-Shield-Abkommens hinnehmen, mit dem der Anschein aufrechterhalten werden soll, dass in den USA Regeln gelten, die mit europäischen vergleichbar sind.

Quellen:

https://derstandard.at/2000092037780/Deutsche-Sicherheitsbehoerde-prueft-Windows-10-Datenweitergabe (22.11.2018)

https://derstandard.at/2000078103125/Microsoft-setzt-auf-eigenes-Linux-fuer-Internet-der-Dinge (17.4.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

Schwachstelle: Reparatur und Entsorgung von IT-Geräten

Jedes IT-Gerät haucht irgendwann sein Leben aus. Manche können vorübergehend wiederbelebt werden. Unabhäng davon, welche der beiden Möglichkeiten eintritt, müssen die Geräte an Dritte zur Reparatur oder zur Entsorgung übergeben werden.

Wurden auf einem Gerät personenbezogene Daten verarbeitet (erfasst, gespeichert, gedruckt), wird der Datenbestand oder wenigstens Teile davon bei Reparatur oder Entsorgung auch für unberechtigte Personen direkt zugänglich. Damit entsteht ein Datenschutzleck, das besonders dann kritisch ist, wenn es sich um sensible Daten, etwa um Gesundheitsdaten handelt.

Besonders problematisch sind in dieser Hinsicht alte Drucker. Sie alle haben einen kleinen, aber sehr merkfähigen Rechner eingebaut, der sämliche Druckaufträge (d.h. auch die Inhalte der Ausdrucke) speichert. Einen Drucker daher einfach zum Elektroschrott zu geben, ist daher zwar hinsichtlich des Umweltschutzes korrekt, kann aber bezüglich des Datenschutzes einen gravierenden Verstoß darstellen. Der einzige bekannte Ausweg ist die Entfernung des verbauten Rechners und seine mechanische Zerstörung, bevor alle Teile zum Elektroschrott wandern.

Mobiltelefone mit all ihren Einstellungen, die z.B. einen Zugriff auf Datenbestände in einem Unternehmen erlauben oder Kontaktdaten mit Firmenkunden gespeichert haben, dürfen ebenfalls nicht einfach entsorgt werden. Jedenfalls ist sicherzustellen, das alle Speicher verlässlich gelöscht wurden, bevor das Altgerät z.B. im Rahmen von Wohltätigkeitsaktionen gespendet wird (Ö3 - Wundertüte u. dgl.).

Desktop-PCs sind selbst dann nicht harmlos, wenn sie die Files nicht direkt im Gerät, sondern auf externen Laufwerken - z.B. am Firmenserver - speichern. Es werden nämlich die Usernamen und die Passworte für alle Anwendungen sowie die Zugangsdaten zu den Servern direkt im PC hinterlegt und stehen jedem Interessierten, z.B. dem Servicetechniker oder einem neugierigen Praktikanten des Service-Betriebes im Anlassfall zur Verfügung. Man könnte die Situation am besten damit vergleichen, dass man einem Unbekannten seine Wohnungsschlüssel wortlos in die Hand drückt und hofft, dass er sie nicht für einen Einbruch verwendet. Verschlüsselte Festplatten können, müssen aber nicht das Problem beseitigen. Hier kommt es darauf an, ob auch die Systempartition verschlüsselt wurde, oder nicht.

Daten speichert in der Regel auch jedes Navigationsgerät. Ob es sich dabei um personenbezogene Daten, um pseudonymisierte Daten oder um Daten handelt, die in datenschutzrechtlicher Hinsicht unbedenklich sind, muss im Einzelfall festgestellt werden. Am einfachsten ist in der Regel der Umgang mit Navigationsgeräten, die nicht fest mit dem Fahrzeug verbunden sind. Die verfügen oft sogar über Einstellungen, mit denen man die gespeicherten Daten einfach löschen kann.

Weitaus schwieriger gestaltet sich das Problem bei den Navigationsgeräten, die mit der gesamten Fahrzeugelektronik verbunden und Teil des Kontroll- und Steuerungssystems sind. Hier lohnt es sich, Informationen darüber einzuholen, ob die Geräte Fahrtdaten aufzeichnen und wie man sie allenfalls löschen kann, bevor man das Fahrzeug verkauft. Jedenfalls sollte man seine "Favoriten", also die Liste der häufig angefahrenen Ziele, rückstandslos entfernen. Nachdem das Gerät nämlich im Fahrzeug verbleibt und der Vorbesitzer aus den Papieren ersichtlich ist, handelt es sich bei allen gespeicherten Fahrten, Adressen etc. um personenbezogene Daten, die der ehemalige Eigentümer des Fahrzeuges als Verantwortlicher vielleicht sogar schützen muss (z.B. Adressen von Patienten).

Wer das geschilderte Datenschutzproblem sauber lösen will, muss also entweder selbst für die Löschung von Daten sorgen oder alle Speichermedien aus einem Gerät entfernen, das er aus der Hand gibt, oder mit dem Reparaturbetrieb oder dem Entsorger einen Vertrag abschließen, worin die datenschutzrechtlich korrekte Behandlung der übernommenen Geräte schriftlich garantiert wird. Insbesondere für die Träger von Berufsgeheimnissen (öffentliche Stellen, Ärzte, Anwälte, Therapeuten, Steuerberater etc.) ist diese Vorgangsweise zu empfehlen.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!