Datenschutzverletzungen bereiten zunehmend Sorge!

Seit dem Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 werden dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DS-GVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht!

Kaum ein Tag vergeht, an dem der Landesbeauftragte keine Meldungen über Datenpannen erhält. Seit Anfang des Jahres gingen bereits knapp 1.000 solcher Benachrichtigungen ein. Die Themen reichen von Vorfällen mit Verschlüsselungstrojanern (Ransomware) bis zum Fehlversand von Arztberichten. Im Mai 2019 gingen mit 177 Meldungen so viele wie noch nie ein.

Die am häufigsten gemeldeten Datenschutzverletzungen:

Platz Art der Meldung
1 Postfehlversand
2 Hackingangriffe/Malware/Trojaner
3 E-Mail-Fehlversand
4 Diebstahl eines Datenträgers
5 Versendung einer E-Mail mit offenem Adressverteiler
6 Verlust eines Datenträgers
7 Fax-Fehlversand

Mit zunehmender Sorge beobachtet der LfDI dabei die hohe Anzahl an Datenpannen in Arztpraxen. Vor allem Verschlüsselungstrojaner machen den Verantwortlichen hier zu schaffen. Ein häufiges Versehen ist es auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln.

Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird. Technische und organisatorische Maßnahmen wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung der MitarbeiterInnen sind – wie in allen Bereichen, in denen mit personenbezogenen Daten umgegangen wird – ein unbedingtes Muss!“ Bei einer Datenpanne mit Gesundheitsdaten sind regelmäßig neben der Meldung an den LfDI auch die Betroffenen selbst zu benachrichtigen.

Wann müssen Datenpannen überhaupt gemeldet werden?
Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht nach Art. 33 DS-GVO. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erläuterungen hierzu und allgemein zur Meldepflicht mit anschaulichen Praxisbeispielen können den Leitlinien des Europäischen Datenschutzausschusses entnommen werden.

Bußgelder
Aufgrund fehlerhaften Umgangs mit Daten wurden bislang von der Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Die höchsten Geldbußen waren zwei Bußgeldbescheide in Höhe von jeweils 80.000,00 € – in beiden Fällen handelte es sich um Datenpannen: In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt.

Weiterführende Links zum Thema



Zweifelhafte „Datenschutzauskunft-Zentrale“ am Werk

Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) hat in den vergangenen Tagen mehrere Beschwerden über zweifelhafte Werbeaktionen einer „Datenschutzauskunft-Zentrale“ (DAZ) erhalten. In ihren Anschreiben versucht die „DAZ“, Unternehmer zu dem Erwerb ihres „Leistungspakets Basisdatenschutz“ für jährlich 498 Euro zuzüglich Umsatzsteuer zu bewegen. Zu diesem Zweck verweist die „DAZ“ auf die erhöhten Nachweis- und Dokumentationspflichten für Unternehmer nach der Datenschutz-Grundverordnung (DS-GVO). Der LfDI MV weist darauf hin, dass Unternehmer als Verantwortliche zwar nachweisen müssen, dass sie die Vorschriften der DS-GVO einhalten. Hierfür ist ein Vertragsabschluss mit der „DAZ“ aber nicht erforderlich. So sind die dort beworbenen Formulare unter anderem für die Erstellung des Verarbeitungsverzeichnisses kostenlos zum Download unter www.datenschutz-mv.de erhältlich. Dazu Behördenchef Heinz Müller: „Für mich riecht die Werbeaktion der ‚DAZ‘ nach einem Betrugsversuch. Wenn Sie Fragen zur DS-GVO haben, wenden Sie sich bitte einfach an uns.“



„Meine Daten sind im Internet aufgetaucht – was kann ich dagegen tun?“

Daten aus dem Internet wieder löschen zu lassen, ist leider nicht ohne Weiteres möglich. Grundsätzlich sind die Betreiber von Webseiten für die bereitgestellten Inhalte verantwortlich. Daher ist das Herantreten an diese und die Bitte um Löschung ein sinnvoller erster Schritt. Die Löschung der ohne Ihr Einverständnis oder Rechtsgrundlage veröffentlichten, personenbezogenen Daten (vgl. §§ 4 Abs. 1, 4 a, 28 Bundesdatenschutzgesetz – BDSG), können Sie als Betroffener gemäß § 35 BDSG verlangen. Dies gilt im Regelfall jedoch nur für unrichtige Tatsachenmitteilungen, nicht hingegen für Meinungsäußerungen.

Weiterlesen „Meine Daten sind im Internet aufgetaucht – was kann ich dagegen tun?“



Welche Rechte hat der Bürger?

Ihre Rechte gegenüber Unternehmen und Verwaltungen

Seit dem 25.05.2018 findet die Datenschutz-Grundverordnung (DS-GVO) Anwendung. Damit gilt ein einheitliches Datenschutzrecht für ganz Europa. Ein wesentliches Ziel der DS-GVO ist die Stärkung der Betroffenenrechte gegenüber den Verantwortlichen. Als Bürgerin oder Bürger sind Sie eine betroffene Person, wenn Ihre personenbezogenen Daten verarbeitet werden. Verantwortliche sind natürliche oder juristische Personen, etwa Unternehmen oder Behörden, die Ihre personenbezogenen Daten verarbeiten. Dieser Beitrag soll Ihnen als betroffener Person einen ersten Überblick über Ihre wichtigsten Rechte verschaffen.

Den vollständigen Text können Sie hier abrufen.



Datenschutzgesetze

Datenschutzgesetze in Deutschland

Kirche:

Rundfunk:

Datenschutzgesetze in der Schweiz

Datenschutzgesetze im Fürstentum Liechtenstein

Datenschutzgesetze in Österreich