Klienteninfo Ausgabe 4 / März 2019

Inhalt:

 

01.03.2019

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Ideato-Workshop "Update zum Datenschutz"

Seit dem vergangenen Frühjahr hat sich auf dem Gebiet des Datenschutzes viel Neues getan. Ideato bietet daher einen Workshop in der Dauer von 3 Stunden, bei dem Neuerungen, Gerichtsentscheidungen und Praxistips zur Sprache kommen. Und selbstverständlich stehen die Fragen der Teilnehmer im Mittelpunkt.

11. April 2019
1500 - 1800 Uhr
Physiozentrum für Weiterbildung
Mariannengasse 14, TOP 1+2
1090 Wien

Eine persönliche Anmeldung ist bis 5. April 2019 erforderlich!

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Datensicherheit bei Infusionen und Medikamenten-Etiketten

Praktische Erfahrungen haben gezeigt, dass speziell in Kliniken, Therapiezentren und Krankenanstalten ein oft unbeachtetes Datenschutzproblem lauert: Infusionen oder Medikamentenpackungen werden mit Etiketten versehen, auf denen Patientennamen, Sozialversicherungsnummern, Patientennummern, Zimmernummern, Verabreichungszeiten u. dgl. zu finden sind. Nach Gebrauch werden die Gebinde und Verpackungen oft mit dem Verpackungsmüll entsorgt, wobei die Etiketten für jedermann lesbar bleiben. Es braucht hier nicht näher erklärt zu werden, dass mit dieser Vorgangsweise besonders geschützte Patientendaten preisgegeben werden.

Ideato hat nun für diese und ähnliche Situationen eine kostengünstige, solide Lösung anzubieten. Sie ist datenschutzkonform und ganz einfach in die bestehenden Abläufe und Qualitätsmanagementprozesse integrierbar:

Mit speziellen, neuen Etiketten, die in jedem Standard-Drucker verwendbar sind, ist es möglich, die Infusionen und Verpackungen wie bisher zu beschriften und nach Gebrauch sicher zu entsorgen. Dazu werden die Etiketten mit einem Ruck vom Untergrund gelöst und gemeinsam mit dem übrigen schützenswerten (Papier-)Datenmüll geschreddert. Der entscheidende Vorteil der neuen Kleber besteht darin, dass sie verläßlich auf dem Untergrund haften, trotzdem mit einem Griff wieder abgelöst werden können und durch das Ablösen nach der Verwendung die Klebeschicht ihre Haftung verlieren, sodass die Etiketten verlässlich skartiert sind. Damit wird für den Datenschutz viel Zeit eingespart, und es entfallen auch aufwändige Dokumentationen über den Verbleib der bedruckten Etiketten.

Zum Produkt gehört auch eine Verfahrensanweisung für die Verwendung im Rahmen des QM-Systems. Diese Vorschrift wird individuell an die bestehenden Prozesse der jeweiligen Klinik oder Organisation angepasst. Sie ist zur Einfügung in die übrigen QM-Dokumentationen gedacht und stellt eine wesentliche Verbesserung der gesamten Prozesslandschaft dar.

Eine weitergehende Beschreibung finden Sie auf unserer Homepage. Für nähere Auskünfte senden Sie bitte ein Mail an buero@ideato.at oder rufen Sie +43 664 356 37 62.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Betroffenenrechte: DSB hält "Anonymisierung" der Löschung von Daten gleich

Mit Geschäftszahl DSB-D123.270/0009-DSB/2018 hat die österreichische Datenschutzbehörde (DSB) am 5.12.2018 entschieden, dass in rechtlicher Hinsicht kein Unterschied zwischen der Löschung personenbezogener Daten und der bloßen Entfernung des Personenbezuges (OHNE physische Vernichtung der Daten) besteht.

Ein Unternehmen hatte die Daten eines Kunden aufgrund seines Begehrens auf Löschung nicht sofort komplett beseitigt, sondern lediglich dadurch anonymisiert, dass der gespeicherte Name des Kunden auf "Max Mustermann" geändert und alle Angaben, die auf seine Person verwiesen hatten (Adresse, e-Mail) durch Fantasiedaten einer anonymen Person ersetzt worden sind.

Der Beschwerdeführer empfand das als nicht ausreichend und verlangte die sofortige Vernichtung aller Daten.

Unter Verweis auf die bisherige Rechtsprechung, u.a. auch des österreichischen Verfassungsgerichtshofes, entschied die DSB, dass der Verantwortliche, wenn er einem Begehren auf Löschung nachkommt, durchaus zwischen der Vernichtung und der Anonymisierung der betreffenden Daten wählen kann. Der Betroffene hat hingegen nicht das Recht, über die Methode zu entscheiden.

Ein Löschbegehren ist, so die DSB, dann vollständig erfüllt, wenn "weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann".

Im Umkehrschluss bedeutet dies, dass Daten, deren Personenbezug verlässlich entfernt wurde, bedenkenlos (z.B. für statistische Auswertungen) verarbeitet werden dürfen. Die DSB toleriert sogar Spurenreste, die auf den ursprünglichen Personenbezug schließen lassen könnten, dann, wenn der Aufwand zu deren Aufspürung unverhältnismäßig hoch ist.

Insgesamt erfolgt durch die Entscheidung eine maßhaltende Rechtsdurchsetzung, die sowohl die berechtigten Interessen der Betroffenen als auch die Belastung der Verantwortlichen in ein ausgewogenes Verhältnis bringt. Aufgrund der identen Rechtslage kann davon ausgegangen werden, dass die Entscheidung auf für den Rechtsraum der Bundesrepublik Deutschland Präzendenzcharakter hat.

Quelle:
DSB-D123.270/0009-DSB/2018 v. 5.12.2018 (https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e0ce91c1-b33c-45fc-90d1-c6a5a49053f0&Position=1&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.2018&BisDatum=10.02.2019&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=DSBT_20181205_DSB_D123_270_0009_DSB_2018_00)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Homepages: Generalanwalt zu Mitverantwortung bei Like-Buttons

Demnächst dürfte der EuGH wieder eine Entscheidung bezüglich Facebook treffen. Hat er schon im vergangenen August die Mitverantwortung der Betreiber von Fanpages für den Datenschutz festgestellt (Rechtssache C-210/16 vom Juni 2018), so hat im Dezember 2018 der Generalanwalt eine konsequent ähnliche Entscheidung für die Verwendung von Like-Buttons vorgeschlagen.

Manche Unternehmen platzieren auf ihren Homepages "Like-Buttons", die direkt zu Facebook führen und dort auf ihrer Fanpage registriert werden. Schon beim Aufruf einer solchen Webpage, also noch vor dem Klicken des Like-Buttons, werden nutzerbezogene Daten an Facebook übertragen - und zwar auch von Internet-Nutzern, die über kein Facebook-Konto verfügen.

Der Generalanwalt schlägt in einer konkreten Rechtssache (Fashion ID GmbH & Co. KG gegen Verbraucherzentrale NRW e. V.) vor, dass der jeweilige Betreiber der Website gemeinsam mit dem Betreiber der eingebundenen Website (Facebook) für die Datenverarbeitung verantwortlich ist, jedoch (nur) in jenem Umfang, in dem er tatsächlich den Verarbeitungsvorgang beeinflussen kann. Die Informationspflicht gegenüber dem Betroffenen hat der Betreiber der besuchten Website nach Ansicht des Generalanwaltes - in vollem Umfang wahrzunehmen, das heißt, auch für jene Verarbeitungsvorgänge, die außerhalb seiner eigenen Website zu einem späteren Zeitpunkt stattfinden.

Wenn sich der Gerichtshof den Überlegungen des Generalanwaltes anschließt - und das tut er in der weitaus überwiegenden Zahl der Fälle - ist die unmittelbare Einbindung eines Plugins, das auf eine fremde Website führt, unzulässig. Es muss vielmehr technisch ein Zwischenschritt eingeführt werden, der eine umfassende Datenschutzinformation auslöst. Erst nach ausdrücklicher Zustimmung zu dieser Datenschutzinformation darf die Datenübertragung (Klicken des eigentlichen Like-Buttons) erfolgen.

Quellen:
https://www.heise.de/newsticker/meldung/EuGH-Generalanwalt-Mithaftung-fuer-den-Datenschutz-bei-Like-Buttons-4257483.html (Dezember 2018)
http://curia.europa.eu/juris/document/document.jsf;jsessionid=570FF50FE34C37C32E718506DADF5DF8?text=&docid=209357&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=539575 (19.12.2018)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Aufreger: Die Post und der Datenschutz

Dass die österreichische Post auch seit Jahren als Adressenhändler auftritt, war wenigstens in Fachkreisen bekannt. Dass sie allerdings ihre Dienstleistung so weit trieb, auch die Parteipräferenzen der verkauften Adressen statistisch zu ermitteln, war neu. Anfang Jänner 2019 flog die Sache auf und verspricht, noch längere Zeit ein politischer und juristischer Aufreger zu sein.

Adressenhandel ist in Österreich ein lizensiertes Gewerbe. Adressenhändler dürfen öffentlich gemachte, personenbezogene Daten verkaufen. Was etwa im Telefonbuch steht, gilt als öffentlich. Ähnliches wird man wohl auch von Facebook-Profilen annehmen müssen. Wählerlisten beispielsweise sind jedoch behördliche Daten, die vom (verfassungsgesetzlichen) Amtsgeheimnis geschützt werden.

Die Post hat aber in der Vergangenheit nicht nur die Telefonbücher durchforstet, sondern auch Lebensgewohnheiten der Menschen erforscht. Wie sie das getan hat, wurde in der jüngsten Diskussion nicht wirklich klar. Wurden die Briefträger als Spitzel eingesetzt? Was immer geschehen ist: Mit bloßem Adresshandel hat das nichts mehr zu tun. Jedenfalls sah sich die Post in der Lage, ihren Adress-Käufern qualitative Selektionen anzubieten, d.h. Adressen, die nach Kaufkraft, Bildungsabschluss etc. gewählt werden konnten. Und zu alledem gab es auch Adressen, die nach Parteipräferenzen selektiert waren.

Angaben zu natürlichen Personen mit ihren Parteipräferenzen fallen unter den besonderen Schutz des Artikels 9 der DSGVO ("Sensible Daten") und waren auch vor dem 25.5.2018 durch das DSG2000 streng geschützt. Der Handel, d.h. die Preisgabe solcher Daten ist von der Gewerbeberechtigung eines Adresshändlers keinesfalls erfasst. Selbst gewerbliche Meinungsforscher geben niemals Parteipräferenzen von Einzelpersonen bekannt, die sie z.B. bei den üblichen Sonntagsfragen ("Wen würden Sie wählen, wenn am kommenden Sonntag Wahl wäre?") erhoben haben. Schon gar nicht kommt das für einen Adressenhändler in Betracht. Abgesehen davon konnte die Post aus methodischen Gründen für die Parteipräferenz im besten Fall Wahrscheinlichkeiten angeben, die sie aus bekannten oder vermuteten Lebensumständen der Betroffenen statistisch ermittelt hatte, denn die "Sonntagsfrage" hatte die Post mit an Sicherheit grenzender Wahrscheinlichkeit bei ihren Untersuchungen nicht gestellt. Damit war der Wert der Adressdaten für die Käufer ohnehin mehr als zweifelhaft.

Nachdem der Sachverhalt in den Medien viel Staub aufgewirbelt hatte, gab die österreichische Datenschutzbehörde sehr rasch die Einleitung eines Verfahrens bekannt. Kurz darauf erklärte die Post, dass sie alle Daten zur Parteiaffinität löschen werde. Mitte Februar 2019 wurde allerdings ruchbar, dass das Unternehmen weiterhin Adressdaten für personenbezogene Werbung verkauft, was voraussetzt, dass Daten zu den Präferenzen von Einzelpersonen verarbeitet werden. Ob die dafür notwendigen Rechtsgrundlagen gegeben sind, werden die Untersuchungen zeigen - die DSB hat jedenfalls, Medienberichten zufolge, bereits ein zweites Verfahren eingeleitet.

Die Verfahren der DSB gegen die österreichische Post AG haben jedenfalls Signalwirkung. An der Vorgangsweise und den Entscheidungen wird sich ablesen lassen, welcher Stellenwert dem Datenschutz in Österreich in Zukunft eingeräumt wird. Die Umstände zeigen, dass sich auch ehemalige Staatsbetriebe so verhalten, dass man ihre Rechtskonformität im Einzelfall sehr genau prüfen muss.

Quellen:
https://derstandard.at/2000095686958/Post-Daten-Datenschutzbehoerde-leitet-Verfahren-ein (8.1.2019)
https://kurier.at/politik/inland/diese-parteien-kauften-post-daten/400372577 (8.1.2019)
https://derstandard.at/2000095874780/Post-loescht-alle-Informationen-zu-Parteiaffinitaet (10.1.2019)
https://wien.orf.at/news/stories/2963972/ (11.2.2019) (Die Post kanns nicht lassen ...)
https://orf.at/#/stories/3112084/ (18.2.2019)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Smart Home II: Der Spion, der aus der Schachtel kam

In der Klienteninfo Nr. 2 vom 18. November 2018 haben wir schon einmal das Thema aufgegriffen: das "Smart Home", das das Leben seiner Bewohner hemmungslos auswertet und die Ergebnisse den Herstellern der smarten Geräte sowie deren Interessenten liefert (https://www.ideato.at/templates/masterbootstrap/news/20181120_ideato-news.html#Pkt4). Fachleute sprechen davon, dass Daten das Öl der Zukunft sind - allem Anschein nach haben sie recht.

Dabei sind es nicht die Geräte selbst, vor denen Vorsicht geboten ist, sondern die Dreistigkeit der Hersteller, mit der die technischen Zusammenhänge vor kritischen Nachfragen abgeschirmt und womöglich sogar versteckt werden. Übrig bleiben dann nur die Marketing-Botschaften von der schönen, neuen Welt, an der teilzuhaben nahezu eine Pflicht des modernen Menschen ist.

Grundsätzlich wäre gegen eine Verbesserung der Steuerungsmöglichkeiten von Haushaltsgeräten, Heizungen, Schließanlagen etc. überhaupt nichts einzuwenden, sofern die entstehenden Daten entweder ausschließlich beim Eigentümer liegen (d.h. z.B. auf einem Rechner innerhalb des betreffenden Hauses, womöglich hinter einer Firewall) oder wenn zweifelsfrei vor dem Kauf klar gemacht wird, dass man damit den Hersteller des Gerätes im übertragenen Sinn als permanenten Gast in sein Schlafzimmer einquartiert.

Nachdem letzteres so gut wie nie passiert, hat Mitte Jänner 2019 das Oberlandesgericht München die Notbremse gezogen und Amazons WLAN-Bestellknöpfe in Deutschland verboten. Das Gericht hat sich zwar nicht mit der Datenschutzfrage beschäftigt, sondern nur den Verbraucherschutz beurteilt: Nachdem die ausgelösten Bestellvorgänge intransparent sind, wurde die Verbreitung der Geräte untersagt. Es sollte aber auch allen Anwendern klar sein, dass das systematsch gespeicherte Wissen um den Verbrauch von Gütern des täglichen Bedarfes in einem bestimmten Haushalt einen unendlichen reichen Schatz für das Marketing des Handels und für die Industrie darstellt. Ob man dieses Wissen einem Monopolisten kostenlos zur Verfügung stellen will, muss jeder mündige Mensch selbst entscheiden.

Am 1.3.2019 wurde berichtet, dass Amazon seine Dash-Buttons weltweit aus dem Handel nimmt. Die bereits verkauften Geräte behalten aber ihre Funktionsfähigkeit.

Mehr als problematisch sind neuerdings smarte Leuchtmittel ("Glühbirnen"), die man im Haus oder in der Wohnung einschraubt und ohne weitere Installtationen über Smartphone oder Tablet steuern kann. Die Leuchtmittel werden über WLAN angesteuert, müssen also im eigenen Netzwerk angemeldet sein. Damit jemand seine Hausbeleuchtung von jedem Punkt der Welt steuern kann, muss er auf einem Server des Herstellers der Lampen seine Zugangscodes für das eigene LAN hinterlegen, was der Deponierung eines Nachschlüssels für das Wohnobjekt gleichkommt. Bei der Hackerkonferenz in Leipzig wurde im Dezember 2018 vorgeführt, wie über die Leuchtmittel der Zugang zu allen Geräten im jeweiligen Netzwerk geschaffen werden konnte. Nicht auszudenken, was passiert, wenn an das betroffene LAN etwa eine Schließanlage für die Türen des Objektes angeschlossen ist.

Bleiben wir gleich bei diesem Thema: Als nahezu unüberbietbar dreist wurde vor wenigen Tagen Google aufgedeckt. Im Produkt "Nest Guard", das als Einrichtung zur Überwachung der Sicherheit im Eigenheim beworben wird, weil es unberechtigtes Betreten feststellt, offene Türen und Fenster erkennt etc., befindet sich ein eingebautes Mikrofon, das in keiner Dokumentation erwähnt wird. "Nest Guard" kann Geräusche - und natürlich auch Gespräche - an die Google-Server übertragen, ohne dass dies dem Eigentümer des Gerätes bewusst ist. Zwar versicherte Google sofort bei Auffliegen der Affäre, dass das Mikrofon lediglich zu erwähnen "vergessen" wurde und derzeit ohnehn deaktiviert sei. Überprüfbar ist das im Einzelfall jedoch schwer - und es könnte sich ja jederzeit ändern, ohne dass die Bewohner davon Kenntnis bekommen.

Es muss daher ausdrücklich davor abgeraten werden, die o.a. Geräte in Ordinationen, Anwalts- oder Steuerberaterkanzleien oder in Praxisräumen, in denen vertrauliche Gespräche geführt werden, zu verwenden.

Im Grund muss jedermann selbst entscheiden, wen er an seinem Leben teilhaben und von seinen Daten profitieren lässt. Die Rechtslage und insbesondere die DSGVO bieten die Möglichkeit, die Industrie zur Fairness zu bewegen. Diese Möglichkeit sollten die Anwender nutzen.

Quellen:
https://futurezone.at/produkte/verstecktes-mikrofon-in-nest-geraeten-bringt-google-in-bedraengnis/400412759 (20.2.2019)
https://nest.com/support/article/About-Nest-Guard (20.2.2019)
https://orf.at/#/stories/3105812/ (29.12.2018 – Einfallstor: Glühbirne)
https://orf.at/#/stories/3107235/ (10.1.2019 - Amazon Bestellknöpfe)
https://orf.at/stories/3113467/ (1.3.2019 - Einstellung des Verkaufs von Dash-Buttons)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!