Der Hessische Datenschutzbeauftragte legte den 45. Tätigkeitsbericht vor

Pressemitteilung des Hessischen Datenschutzbeauftragten vom 09.05.2017

Der Berichtszeitraum stand ganz im Zeichen des Europäischen Datenschutzreform-pakets mit der Datenschutz-Grundverordnung und der Richtlinie für Justiz und Inneres und war geprägt von intensiven Arbeiten an deren Umsetzung.

In aufwändiger Detailarbeit wurden die beiden EU-Texte auf Änderungen und neue Aufgaben und Aufträge an die Datenschutzbehörden untersucht. Die Ergebnisse wurden analysiert und in zahlreichen Konferenzen mit anderen Aufsichtsbehörden besprochen. Weiterhin gab es zu diesem Themenkomplex einen regen Austausch mit Vertretern der Gesetzgebung auf Bund- und Länderebene und mit Vertretern aus Verbänden, Kammern und der Medien. Zudem hat der Hessische Datenschutzbeauftragte die gesetzestechnische Umsetzung sowohl auf Bundes- als auch auf Landesebene begleitet. Dabei hat Professor Ronellenfitsch besonderen Wert darauf gelegt, dass die bisherigen deutschen Standards beibehalten werden, um nicht die Europaverdrossenheit der deutschen Bürgerinnen und Bürger auch im Bereich des Datenschutzes zu verstärken. Besondere Bemühungen zielen dabei insbesondere auf einen wirksamen Beschäftigtendatenschutz und auf einen Ausgleich der Belange von Datenschutz und Datenverkehr.

Abgeschlossen ist die Umsetzungsphase noch nicht. Sie wird die Behörde des Hessischen Datenschutzbeauftragten – wie auch die übrigen Datenschutzaufsichtsbehörden – auch noch in diesem und im nächsten Jahr intensiv beschäftigen.

Neben dieser sehr zeitaufwändigen Aufgabe, die alle Mitarbeiterinnen und Mitarbeiter der Dienststelle des Hessischen Datenschutzbeauftragten betrifft, gab es wie immer zahlreiche Eingaben von Bürgern, Verwaltung und Unternehmen zu bearbeiten sowie Beratungen von Daten verarbeitenden Stellen vorzunehmen. Auch wurden erneut sowohl anlassbezogene als auch anlasslose Prüfungen bei Behörden und Unternehmen – beispielsweise bei Banken und Sparkassen – durchgeführt.

Überprüfung der polizeilichen Falldatei „Rauschgift“

Die Falldatei „Rauschgift“ ist eine bundesweite Verbunddatei, in der Informationen über sichergestellte Drogen und Verstöße gegen das Betäubungsmittelgesetz gespeichert werden. Sie wird auf Grundlage des Bundeskriminalamtsgesetzes (BKAG) zentral beim Bundeskriminalamt geführt. Alle Landespolizeien und die Zollfahndung haben Zugriff auf die Datei und können Daten direkt speichern und abrufen. Nach BKAG muss es sich bei den Straftaten, bei denen das BKA die Polizei des Bundes und der Länder unterstützt und folglich auch personenbezogene Daten in Dateien speichern darf, um Fälle mit länderübergreifender, internationaler oder erheblicher Bedeutung handeln. Die Entscheidung für die Speicherung in dieser Datei ist zu dokumentieren.

Das Vorliegen der Voraussetzungen für die Speicherung in dieser Datei war Gegenstand einer Überprüfung durch den Hessischen Datenschutzbeauftragten, die gleichzeitig auch von anderen Aufsichtsbehörden in deren Zuständigkeitsbereich durchgeführt wurde. Dabei ist länderübergreifend aufgefallen, dass entgegen den gesetzlichen Vorgaben auch Bagatelldelikte erfasst wurden und oftmals die Entscheidung über die Speicherung von Daten in dieser Datei nicht nachvollziehbar war.

Die Ergebnisse der Überprüfung wurden mit Vertretern des Hessischen Landeskri-minalamtes und des Hessischen Ministeriums des Innern und für Sport besprochen. Dabei wurde vereinbart, dass künftig Eingaben in die Datei genauer dokumentiert werden und die Löschfristen effektiver überwacht werden.

Prüfungen von Unternehmen der Kreditwirtschaft

Das grundsätzlich hohe Niveau des Datenschutzes im Bereich der Kreditinstitute konnte durch eine etwa 40 Institute umfassende, anlasslose Prüfung erneut bestätigt werden. Manchen Instituten bereitete allerdings die datenschutzgerechte Implementierung von Datenanalysetools wie zum Beipiel Piwik oder Google Analytics auf den Webpräsenzen Schwierigkeiten. Auch bei der Aufzeichnung von Telefonaten wurden die dafür erforderlichen Anforderungen nicht von allen Instituten erfüllt. Im geprüften Kernbereich, der Dokumentation von Geschäftsprozessen und der Behandlung von Zugriffsrechten, waren keine Mängel erkennbar.

Öffentlicher Pranger im Hotel

In einem Hotel wurden die Krankheitszeiten der Mitarbeiterinnen und Mitarbeiter der Hotelküche namentlich durch Aushang an der Infotafel und am Personaleingang des Hotels für alle anderen Mitarbeiter zugänglich gemacht. Unterschrieben war der Aushang mit: „Diese Zahlen muss man sich auf der Zunge zergehen lassen.“ Gesundheitsdaten stehen unter einem besonderen Schutz. Der Arbeitsgeber darf Daten zu Krankmeldungen grundsätzlich speichern, soweit es etwa um die Fortzahlung des Arbeitsentgeltes geht. Aber auch wenn das Arbeitgeberinteresse an einem niedrigen Krankenstand nachvollziehbar ist, wird das öffentliche Aushängen von krankheitsbedingten Fehlzeiten einzelner Mitarbeiter den gesetzlichen Anforderungen nicht gerecht. Auch die Darstellung der Krankheitstage ist sehr sensibel und für Betroffene belastend. Der Verdacht des Arbeitgebers, dass krankheitsbedingte Ausfallzeiten vorwerfbar sind, kann das schutzwürdige Interesse der betroffenen Mitarbeiter an einer vertraulichen Behandlung ihrer sensiblen personenbezogenen Daten keinesfalls überwiegen. Zudem stehen dem Arbeitgeber diverse andere Möglichkeiten zur Verfügung, datenschutzgerecht mit dem Problem erhöhter krankheitsbedingter Ausfälle umzugehen, zum Beispiel individuelle Personalgespräche, betriebliches Gesundheits- und Wiedereingliederungsmanagement. Professor Ronellenfitsch hat die Hotelleitung daher aufgefordert, die Listen unverzüglich abzuhängen und zu vernichten. Dieser Aufforderung wurde sofort Folge geleistet. Leider ist dies kein Einzelfall. Immer wieder werden dem Hessischen Datenschutz-beauftragten derlei öffentlich ausgehängte Listen von Betroffenen gemeldet. In sol-chen Fällen ist künftig mit der Einleitung von Bußgeldverfahren zu rechnen.

Mangelnder Datenschutz in Arztpraxen

Immer wieder führt ein leichtfertiger Umgang mit Patienten- bzw. Behandlungsdaten im Alltagsgeschäft von Arztpraxen zu Beschwerden. So schilderte ein Patient dem Hessischen Datenschutzbeauftragten, dass er halbjährlich von seiner Zahnarztpraxis per E-Mail an die Kontrolluntersuchung erinnert wird. Bei einer derartigen Erinnerungsmail enthielt der E-Mail-Verteiler noch weitere 27 Empfänger. Die E-Mail-Adressen enthielten zum überwiegenden Teil Vor- und Nachnamen der Empfänger. Der Eingebende bemängelte, dass nun alle Empfänger wissen, welchen Zahnarzt er besucht und dass er dort seit sechs Monaten nicht erschienen ist. Der Vorfall war als Verstoß gegen die ärztliche Schweigepflicht zu werten, zumal einige E-Mail-Adressen die Klarnamen von Patienten aufwiesen.

Zudem beschweren sich in regelmäßigen Abständen Patienten beim Hessischen Datenschutzbeauftragten, dass ihre Behandlungsdaten ohne das Einholen einer entsprechenden Einwilligung an eine externe Abrechnungsstelle weitergeleitet wurden. Auch dies ist unzulässig.

Schwachstelle Aktenlagerung

  • Anlässlich einer Beratung fand die Begehung eines Kellers in einem Bürogebäude statt, das von mehreren Mietparteien genutzt wird. Dabei stießen die Mitarbeiter des Hessischen Datenschutzbeauftragten auf einen unverschlossenen und zugänglichen Kellerraum einer Steuerberaterkanzlei, die dort Akten lagerte. Zwar ist das Bürogebäude grundsätzlich verschlossen und nur nach Anmeldung betretbar. Aber die Mitarbeiter anderer Firmen im Haus, Reinigungspersonal oder im Haus beschäftigte Handwerker hätten ohne weiteres Zugang zu den Akten gehabt. Zwar bestand Anweisung, die Tür zu dem Kellerraum nach Nutzung immer zu verschließen. Diese Anweisung wurde aber offensichtlich nicht immer befolgt. Schnelle Abhilfe kann in einem solchen Fall die Anbringung eines Türknaufs und ggf. Türschließers schaffen, der verhindert, dass Unbefugte den Raum betreten können, auch wenn die Tür nicht abgeschlossen wurde. Diese Maßnahme wurde zugesichert.
  • Wie bereits in der Presse berichtet, fand im Kinderherzzentrum des Universitätsklinikums Gießen-Marburg ein Besucher in einem für Besucher zugänglichen Treppenhaus dutzende Umzugskartons voller Patientenakten. Die Kartons standen dort über einen längeren Zeitraum. Der Besucher entnahm zwei Akten aus den Kartons und informierte die Presse. So wurde auch der Hessische Datenschutzbeauftragte auf den Fall aufmerksam und nahm unmittelbar eine Prüfung vor Ort vor. Die aufgefundenen Akten stammten von einem Umzug und waren im Treppenhaus vergessen worden. Der Vorfall wurde zum Anlass genommen, die Arbeitsanweisung zum Umgang mit Patientenakten zu überarbeiten. Auf die Intervention von Professor Ronellenfitsch hin hat die Bericht erstattende Zeitung aus Gießen die Rückgabe der entnommen Akten an das Klinikum veranlasst.

Reiseprofil von Zeitungsabonnenten

Die Abonnentin einer großen Tageszeitung zog Erkundigungen zu einem erteilten Nachsendeauftrag ein und musste dabei feststellen, dass das Zeitungsunternehmen sämtliche Adressen gespeichert hatte, an denen die Kundin in den vergangenen Jahren Urlaub gemacht hatte und an die sie sich die Zeitung hatte nachsenden lassen. Es waren Anschriftendaten aus Nachsendeanträgen gespeichert, die bereits viele Jahre zurücklagen. Damit konnte der Verlag die Reisegewohnheiten der Kundin über viele Jahre zurückverfolgen. Die Kundin beschwerte sich daraufhin beim Hessischen Datenschutzbeauftragten. Aufgrund der Nachfrage durch den Hessischen Datenschutzbeauftragten erkannte der Verlag schnell, dass die Speicherung der Nachsendeanschriften über einen derart langen Zeitraum nicht erforderlich ist. Die Beschwerde wurde vom Verlag zum Anlass genommen, die Speicherdauer grundlegend zu überarbeiten. Adressangaben zu kostenfreien Inlandsnachsendeaufträgen werden künftig einen Monat nach Ende der Nachsendung gelöscht. Anschriftendaten zu kostenpflichtigen Auslandsaufträgen werden für ein Jahr gespeichert und dann gelöscht. Auf diese Weise kann zwar der Auftrag zur Nachsendung noch belegt werden, soweit dies aus rechtlichen Gründen notwendig ist, es kann jedoch nicht mehr nachverfolgt werden, wohin genau die Zeitung nachgesendet wurde.

Der 45. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten kann hier abgerufen werden.

Pressemeldungen des Hessischen Datenschutzbeauftragten können hier abgerufen werden.