[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019

3. Informations- und Kommunikationstechnik und Organisation

3.1. Grundsatzthemen

3.1.1. Die Datenschutz-Grundverordnung aus technisch-organisatorischer Sicht

Bisher waren die rechtlichen Vorgaben zu den technischen und organisatorischen Maßnahmen, die für bayerische öffentliche Stellen relevant sind, insbesondere in Art. 7 BayDSG-alt geregelt. Seit der Datenschutzreform 2018 sind maßgebliche Regelungen in der Datenschutz-Grundverordnung enthalten.

Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 Halbsatz 1 DSGVO begründen Pflichten des Verantwortlichen, technische und organisatorische Maßnahmen zu treffen, damit Verarbeitungen personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang stehen und ein ausreichendes Niveau von Schutz gegenüber Risiken für die Rechte und Freiheiten natürlicher Personen gewährleistet ist.

Diese technischen und organisatorischen Maßnahmen folgen nicht mehr den aus Art. 7 Abs. 2 BayDSG-alt bekannten "10 Geboten" sondern umfassen nun insbesondere die folgenden Punkte:

  • Vertraulichkeit,
  • Integrität,
  • Verfügbarkeit,
  • Belastbarkeit,
  • Wiederherstellbarkeit,
  • Data protection by design/Datenschutz durch Technikgestaltung,
  • Data protection by default/datenschutzfreundliche Voreinstellungen,
  • Pseudonymisierung, Verschlüsselung.

Einige dieser Aspekte waren bereits in Art. 7 Abs. 2 BayDSG-alt zu finden und stellen daher keine neuen Anforderungen. Die Vorgaben zum Datenschutz durch Technikgestaltung sowie durch datenschutzfreundliche Voreinstellungen wirken nun darauf hin, dass Fragen des Datenschutzes bereits bei der Konzeption und Einführung von Verfahren und der Auswahl von Produkten - also auch bei Vergabeentscheidungen - berücksichtigt werden.

Ausgangspunkt bei der "Bemessung" der erforderlichen technischen und organisatorischen Maßnahmen muss immer eine Risikoanalyse sein, die in bestimmten Fällen in der neu eingeführten Form einer Datenschutz-Folgenabschätzung durchzuführen ist (näheres hierzu siehe Nr. 3.1.3)

In den Vordergrund rücken ferner die Anforderungen an die Dokumentation und - damit zusammenhängend - an die Nachweisbarkeit der getroffenen Maßnahmen (vgl. Art. 5 Abs. 2 DSGVO). Insofern kann die Nutzung eines Datenschutzmanagementsystems von Nutzen sein (siehe Nr. 3.1.2).

3.1.2. Datenschutzmanagement in bayerischen öffentlichen Krankenhäusern

Die Datenschutz-Grundverordnung stellt im Vergleich mit dem bisherigen Recht erhöhte Anforderungen an die Rechenschafts- und Nachweispflicht des Verantwortlichen (siehe Art. 5 Abs. 2, Art. 24 Abs. 1 Satz 1 DSGVO). Diese Pflichten treffen auch bayerische öffentliche Krankenhäuser. Dem (behördlichen) Datenschutzbeauftragten eines Krankenhauses kommt in diesem Zusammenhang eine Beratungs- und Überwachungsaufgabe zu (vgl. Art. 39 Abs. 1 DSGVO).

Die Erfüllung der Nachweispflicht setzt insbesondere voraus, dass die Auswahl, Umsetzung und Wirksamkeitskontrolle von technischen und organisatorischen Maßnahmen (siehe vor allem Art. 24 Abs. 1 und 2, Art. 32 Abs. 1 DSGVO) dokumentiert werden; die Maßnahmen müssen in der Folge jederzeit umfassend und schnell - etwa im Rahmen einer Datenschutzprüfung - dargelegt werden können.

Die Datenschutz-Grundverordnung konkretisiert zudem weitere, bisher nur zurückhaltend geregelte Pflichten oder begründet diese neu, sodass auch im Bereich der Krankenhäuser eine eingehende Befassung mit dem Thema Datenschutz mehr denn je erforderlich ist. Zu nennen sind etwa die folgenden Pflichten:

  • die Pflicht zur Meldung von Datenschutzverletzungen an die Datenschutz-Aufsichtsbehörde sowie zur Benachrichtigung betroffener Personen (Art. 33, 34 DSGVO). Diese Pflichten waren bisher auf Fälle mit drohenden schwerwiegenden Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen begrenzt. Die nun umfangreichere Meldepflicht erfordert festgelegte interne Strukturen und Regelungen zur Feststellung und Weitergabe von Datenschutzverletzungen, so dass diese grundsätzlich innerhalb der geforderten 72 Stunden an die Datenschutz-Aufsichtsbehörde gemeldet werden können (siehe Nr. 3.1.6).
  • die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Diese Pflicht war bisher überhaupt nicht vorgesehen und erfordert eine strukturierte Vorgehensweise bei der Prüfung von Risiken und technischen Verfahren (siehe Nr. 3.1.3).
  • Auch der Umgang mit Beschwerden oder Auskunftsersuchen von Bürgerinnen und Bürgern erfordert Regelungen zu Ansprechpersonen sowie Verfahrensweisen.

Insgesamt betrachtet erscheint es nach der Datenschutzreform 2018 umso mehr geboten, dass Krankenhäuser funktionsfähige Datenschutzmanagementsysteme aufbauen, die dabei helfen, knappe Ressourcen effektiv zu nutzen. Was die Implementierung eines solchen Datenschutzmanagementsystems betrifft, steht auf meiner Internetpräsenz https://www.datenschutz-bayern.de unter "Veröffentlichungen - Orientierungshilfen" ein in Zusammenarbeit mit dem Bayerischen Landesamt für Datenschutzaufsicht entstandener Leitfaden "Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern" bereit.

3.1.3. Datenschutz-Folgenabschätzung

Was die Gefährdungsbeurteilung im Arbeitsschutz und die Risikoanalyse auf der Basis von IT-Grundschutz bei der IT-Sicherheit sind, ist die Folgenabschätzung im Datenschutz. Alle drei Instrumente dienen in ihrem jeweiligen Anwendungsbereich der Risikobewertung und - falls notwendig - der anschließenden Risikoreduzierung durch technische und organisatorische Maßnahmen. Im Vergleich zur Gefährdungsbeurteilung und zur IT-Sicherheits-Risikoanalyse ist die Datenschutz-Folgenabschätzung zum einen ein relativ neues Instrument, das die Datenschutz-Grundverordnung in einem eigenen Abschnitt eingeführt hat. Zum anderen besteht im öffentlichen Bereich die Besonderheit, dass jede Verarbeitung personenbezogener Daten durch öffentliche Stellen zunächst einmal als Grundrechtseingriff zu werten ist, der im Einzelfall gerechtfertigt sein kann, wenn er auf einer Rechtsgrundlage beruht, insbesondere auf eine gesetzliche Verarbeitungsbefugnis zu stützen ist.

Mit Hilfe der Datenschutz-Folgenabschätzung sind Verarbeitungsvorgänge, die ein hohes Risiko für die persönlichen Rechte und Freiheiten betroffener Personen mit sich bringen, vor ihrem Beginn auf ihr mögliches Schadenspotenzial zu prüfen und zu bewerten. Ziel der Datenschutz-Folgenabschätzung ist es, auf Basis der gewonnenen Erkenntnisse geeignete technische und organisatorische Maßnahmen nachhaltig umzusetzen und damit die ermittelten Risiken auf ein vertretbares Maß zu reduzieren. Folglich ist eine dokumentierte Datenschutz-Folgenabschätzung besonders gut geeignet, den Nachweis zu erbringen, dass eine öffentliche Stelle gegenüber einer betroffenen Person die datenschutzrechtlichen Schutzstandards einhält.

Die notwendigen Vorarbeiten, die doch recht hohe Komplexität sowie die noch fehlende Standardisierung führen dazu, dass sich Datenschutz-Folgenabschätzungen bei den von mir betreuten Stellen überwiegend noch in der Erprobungsphase befinden. Dies ist Anlass, auf wichtige Aspekte der Datenschutz-Folgenabschätzung näher einzugehen:

  • Grundsätzliche Fragen, wie etwa die Erforderlichkeit und die Durchführung einer Datenschutz-Folgenabschätzung, sind ausführlich in meiner Orientierungshilfe "Datenschutz-Folgenabschätzung" erörtert und werden dort aktuell gehalten. Die Orientierungshilfe ist auf meiner Internetpräsenz https://www.datenschutz-bayern.de unter "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Datenschutz-Folgenabschätzung" abrufbar.
  • Art. 35 Abs. 4 DSGVO verpflichtet die Datenschutz-Aufsichtsbehörden, Listen von Verarbeitungsvorgängen zu erstellen und zu veröffentlichen, für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist (sogenannte "Blacklist"). Diese Liste steht ebenfalls im Rahmen meiner Internetpräsenz bereit.

Befindet sich die Verarbeitungstätigkeit einer öffentlichen Stelle auf der Blacklist, ist der Verantwortliche zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet. Die Beurteilung, ob die Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat, ist in diesen Fällen bereits durch mich als Aufsichtsbehörde erfolgt und wird dem Verantwortlichen insoweit abgenommen.

  • Befindet sich eine Verarbeitungstätigkeit hingegen nicht auf der Blacklist, muss der Verantwortliche im nächsten Schritt eigenständig beurteilen, ob die Verarbeitung auf Grundlage einer eigenen Risikoabschätzung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Meine Orientierungshilfe "Datenschutz-Folgenabschätzung" enthält dazu ein Prüfungsschema.
  • Für viele bayerische öffentliche Stellen von besonderem Interesse ist die Frage, wie eine Datenschutz-Folgenabschätzung konkret durchzuführen ist, wenn die Risikobeurteilung dies erforderlich macht. Zwar kann der Verantwortliche die Methode zur Erstellung einer Datenschutz-Folgenabschätzung frei wählen. Er muss aber gewährleisten, dass die gesetzlichen Mindestanforderungen erfüllt werden. Da eine Veranschaulichung am Beispiel hilfreich ist, habe ich die oben genannte Orientierungshilfe um eine Fallstudie ergänzt, die auch eine mögliche Methode für die Durchführung einer Datenschutz-Folgenabschätzung erläutert.

3.1.4. Externe behördliche Datenschutzbeauftragte

Öffentliche Stellen benennen meist eigene Beschäftigte als behördliche Datenschutzbeauftragte. Auf diese Weise kann regelmäßig am besten sichergestellt werden, dass die nötigen Kenntnisse im spezifischen Datenschutzrecht des öffentlichen Bereichs sowie die nötigen Erfahrungen mit der Aufbau- und Ablauforganisation von Behörden vorhanden sind. Gleichwohl können bei Wahrung der fachlichen Anforderungen auch für öffentliche Stellen externe Datenschutzbeauftragte benannt werden (vgl. Art. 37 Abs. 6 DSGVO).

Ein externer Datenschutzbeauftragter oder eine externe Datenschutzbeauftragte kann auf Grundlage eines Dienstleistungsvertrags benannt werden, der mit einer natürlichen oder juristischen Person außerhalb der öffentlichen Stelle geschlossen wird. Zu beachten ist allerdings, dass nur eine natürliche Person als Datenschutzbeauftragter oder Datenschutzbeauftragte benannt werden kann, da nur eine natürliche Person die personenbezogenen Anforderungen des Art. 37 Abs. 5 DSGVO erfüllen kann. Die Benennung einer juristischen Person als Datenschutzbeauftragte ist nicht möglich. Wird der Dienstleistungsvertrag mit einer juristischen Person geschlossen, ist daher ein Beschäftigter oder eine Beschäftigte dieser juristischen Person konkret als Datenschutzbeauftragter oder Datenschutzbeauftragte für die öffentliche Stelle zu benennen.

Bei der Benennung eines externen Datenschutzbeauftragten muss der Dienstleistungsvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben insbesondere durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird.

Die Datenschutz-Grundverordnung unterwirft auch externe Datenschutzbeauftragte Vertraulichkeitspflichten. Vor diesem Hintergrund können sich ihre Kontrollrechte auf personenbezogene Daten erstrecken, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis (§ 30 Abgabenordnung) unterliegen.

Auch externe Datenschutzbeauftragte müssen über die nach der Datenschutz-Grundverordnung erforderliche Sachkunde und Zuverlässigkeit verfügen. Dies muss vor der Benennung überprüft werden. Der Umfang der Sachkunde muss sich an der Schutzbedürftigkeit der vorhandenen personenbezogenen Daten orientieren. In einem gewissen Maß setzt Sachkunde auch voraus, dass der oder die Datenschutzbeauftragte mit den typischen Verwaltungsabläufen der öffentlichen Stelle vertraut ist.

3.1.5. Formular zur Meldung des behördlichen Datenschutzbeauftragten

Nach Art. 37 Abs. 7 DSGVO muss ein Verantwortlicher die Kontaktdaten des Datenschutzbeauftragten der Datenschutz-Aufsichtsbehörde mitteilen.

Seit dem 1. März 2018 biete ich im Rahmen meiner Internetpräsenz für Meldungen behördlicher Datenschutzbeauftragter ein Online-Formular an, das im Internet auf https://www.datenschutz-bayern.de in der Rubrik "Online-Meldungen" aufgerufen werden kann. Die frühzeitige Verfügbarkeit dieses Online-Formulars hat wesentlich zu einer effizienten, papiersparenden Verarbeitung beigetragen. Bereits innerhalb der ersten Monate seit Verfügbarkeit der Option zur elektronischen Meldung haben mehrere tausend öffentliche Stellen das Formular genutzt. Mir wurden bis zu 425 Datensätze innerhalb eines Tages mitgeteilt.

Kommunale Behörden habe ich gebeten, behördliche Datenschutzbeauftragte über das BayernPortal (https://www.freistaat.bayern (externer Link)) zu veröffentlichen. Eine Veröffentlichung dort erfüllt zugleich die Mitteilungspflicht nach Art. 37 Abs. 7 DSGVO. Die Erfassung und Änderung der Informationen der oder des behördlichen Datenschutzbeauftragten im BayernPortal muss über das Redaktionssystem für Verwaltungsinformationen in Bayern durch die Redakteure der jeweiligen Behörde erfolgen. Jede kommunale Behörde, die Zugang zum Redaktionssystem hat, soll ihren behördlichen Datenschutzbeauftragten oder ihre behördliche Datenschutzbeauftragte als Ansprechperson aufnehmen und die zugehörigen Kontaktdaten einpflegen. Eine Anleitung hierfür steht im Redaktionssystem des BayernPortals unter "Weiterführende Informationen - Benutzerhandbücher und Anleitungen" zur Verfügung.

Eine Pflicht zur Mitteilung einer Vertreterin oder eines Vertreters des oder der behördlichen Datenschutzbeauftragten besteht im Übrigen nicht. Selbstverständlich muss aber jede Stelle eventuell nötige Vertretungen so regeln, dass die Aufgabenerfüllung jederzeit sichergestellt ist. Insbesondere bietet es sich auch an, eine Funktionsadresse wie beispielsweise datenschutz@... oder bdsb@... einzurichten, auf die der oder die Datenschutzbeauftragte und im Fall der Vertretung die dazu vorgesehene Person zugreifen können. Dieser E-Mail-Kontakt ist dann auch in die Meldung an mich aufzunehmen.

3.1.6. Meldungen von Verletzungen des Schutzes personenbezogener Daten

Seit dem 2. März 2018 steht auf meiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik Online-Meldungen ein Formular zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO zur Verfügung. Das Formular setzt - ohne zusätzlichen Aufwand für die Meldenden - neben einer SSL-Transportverschlüsselung ("https") eine zusätzliche Ende-zu-Ende-Verschlüsselung ("pgp") ein, sodass Meldungen sicher und ohne Kenntnisnahme durch unbefugte Dritte vertraulich an mich gesendet werden können.

Innerhalb des Berichtzeitraums wurde das Online-Formular auf meiner Homepage bereits für eine beträchtliche Zahl an Meldungen genutzt. Viele der gemeldeten Datenschutzverletzungen entstammten Bereichen, in denen sensible medizinische Daten oder Sozialdaten verarbeitet werden. Im Einzelnen ist zu bemerken:

  • In zahlreichen gemeldeten Fälle gingen die Ausführenden unsachgemäß mit schutzwürdigen Daten um, so dass Unterlagen versehentlich an unberechtigte Empfänger oder Empfängerinnen übermittelt wurden. Die Ursache solcher "Datenfehlübermittlungen" lag bei diesen Vorfällen in einer unzutreffenden Adressierung, Zusammenstellung oder Kuvertierung von Unterlagen, die jeweils manuell ausgeführt oder angestoßen wurde. So wurden beispielsweise an Patienten die Arztbriefe von anderen Patienten ausgehändigt oder übersandt.
  • Zudem hat sich gezeigt, dass in vielen Fällen ein unsachgemäßer Versand per Telefax erfolgt. Die Meldungen zeigen deutlich, wie schnell durch Falscheingabe einer Telefaxnummer vertrauliche Unterlagen an unberechtigte Empfänger oder Empfängerinnen versendet werden. Mit der Fehleranfälligkeit von Telefax habe ich mich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 5.5.3 ausgiebig beschäftigt. Ebenso verweise ich auf die Orientierungshilfe "Datensicherheit beim Telefax-Dienst", die das Thema ausführlich behandelt und auf meiner Homepage im Bereich "Themengebiete - Technik und Organisation" abrufbar ist. Gerade für den Versand sensibler Daten wie Gesundheits- oder Sozialdaten sollte der Telefaxversand nur in Ausnahmefällen, und dann exakt und kontrolliert genutzt werden.
  • In Bezug auf E-Mails wurde mir ebenfalls öfters angezeigt, dass versehentlich E-Mails an falsche Adressaten oder Adressatinnen versendet wurden. Häufig wurden dabei E-Mails, die eigentlich an interne Adressen geschickt werden sollten, an unbefugte Empfänger oder Empfängerinnen außerhalb der Behörde versandt. Dies führte in der Regel zu zwei Datenschutzverletzungen - einmal zum Versand an einen unberechtigten Empfänger oder eine unberechtigte Empfängerin und einmal zu einem unverschlüsselten Versand über ungeschützte Netze. Insbesondere bei derE-Mail-Nutzung in sensiblen Bereichen ist daher besondere Sorgfalt bei der Auswahl der Adressaten und Adressatinnen - etwa aus einem Adressbuch oder einer systemseitigen "Vorschlagsliste" - sowie auch hinsichtlich der Sensibilität der zu versendenden Daten anzuwenden. Zudem sollten Verschlüsselungslösungen zur Außenkommunikation bereitgestellt und auch genutzt werden.
  • Grundsätzlich sollte insbesondere bei Fehlversand von Gesundheitsdaten oder Sozialdaten der unberechtigte Empfänger oder die unberechtigte Empfängerin ermittelt und kontaktiert werden und dieser oder diese aufgefordert werden, die sensiblen Daten gesichert zurückzusenden oder zu vernichten, unabhängig davon, welcher Transportweg zur Übermittlung gewählt wird.
  • Erstaunlich häufig erhielt ich Meldungen über bei der Post verloren gegangene USB-Sticks, bei denen die Briefumschläge durch Sortiermaschinen aufgerissen wurden und die USB-Sticks nicht am vorgesehenen Ziel ankamen. Sollte es - ausnahmsweise - für nötig erachtet werden, USB-Sticks zu versenden, muss auf eine sichere Verpackung besonders geachtet werden (stabile wattierte, gut verschlossene Umschläge). Im Übrigen sollte stets geprüft werden, ob nicht auch eine verschlüsselte elektronische Übersendung der Daten möglich ist.
  • In wenigen Fällen brachten mir Meldungen zur Kenntnis, dass bei Einbrüchen dienstliche Notebooks und andere elektronische Geräte gestohlen oder von ihrem Benutzer oder ihrer Benutzerin verloren worden waren. Diese Fälle zeigen, dass es zwingend nötig ist, sensible Daten auf mobilen Geräten verschlüsselt abzuspeichern oder Virtualisierungslösungen zu verwenden, bei denen die Daten zentral gehostet werden.
  • Die Meldungen zeigen weiterhin, dass auch Behörden und andere öffentliche Stellen von Hackerangriffen, Schadsoftware oder Systemausfällen betroffen sind. So wurden mir immer wieder Fälle gemeldet, bei denen sich Schadsoftware im Netz verbreiten konnte. Medienwirksam und besonders schwerwiegend war hierbei die - in Anbetracht der Umstände beachtenswerterweise fristgerechte - Meldung eines Klinikums, bei dem es für einige Tage zu einem vollständigen Ausfall der Krankenhaus-IT kam. Insgesamt waren mehrere hundert Rechner von dem Angriff betroffen. Die Klinik musste sich bei der Integrierten Leitstelle abmelden und konnte ihren Versorgungsauftrag nicht in gewohnter Weise erfüllen. Der Fall stimmt umso nachdenklicher, als es sich wohl um ein bekanntes Angriffsmuster handelte, vor dem gängige Anti-Viren-Software und regelmäßige Software-Updates schützen sollten.

Aus einem anderen Krankenhaus erhielt ich die Nachricht, dass nach einem meldepflichtigen Systemausfall die Daten der letzten planmäßigen Sicherung eingespielt werden sollten. Allerdings stellte sich heraus, dass die Sicherungen seit eineinhalb Jahren zwar regelmäßig, jedoch nicht ordnungsgemäß durchgeführt worden waren. Deshalb waren sämtliche Daten von Patienten und Patientinnen verloren, die innerhalb der letzten eineinhalb Jahre behandelt worden waren. Bayerische öffentliche Krankenhäuser sollten vor diesem Hintergrund nicht nur regelmäßig prüfen, ob Datensicherungen stattfinden, sondern auch, ob im "Ernstfall" brauchbare Sicherungsdateien zur Verfügung stünden.

Die bisherigen Meldungen zeigen, dass das Bewusstsein für die Meldepflichten sehr unterschiedlich ausgeprägt ist. Einige Stellen melden eine Vielzahl von Vorfällen, von denen nicht alle meldepflichtig gewesen wären. Andere Stellen haben noch gar keine Meldung abgegeben. In diesen Fällen sollte geprüft werden, ob ausreichende Prozesse zum Datenschutzmanagement sowie zur Feststellung von Datenschutzverletzungen etabliert wurden. Gerade um störungsfreie Arbeitsabläufe gewährleisten zu können, ist es wesentlich, die Beschäftigten fortwährend für das Thema Datenschutz und die Erkennung von Datenschutzverletzungen zu sensibilisieren. Es ist insbesondere festzulegen, wer derartige Meldungen durchführen soll. Bei zukünftigen Prüfungen werde ich auf die eingerichteten Prozesse zur Meldung von Verletzungen des Schutzes personenbezogener Daten besonderes Augenmerk legen.

3.1.7. Zertifizierung

In der bis zum 24. Mai 2018 geltenden Fassung kannte das Bayerische Datenschutzgesetz keine Vorschriften zur Zertifizierung von Produkten, öffentlichen Stellen oder Verfahren. Art. 42 und 43 DSGVO regeln nun die Vergabe und die Durchführung von Zertifizierungen.

Nach Art. 42 Abs. 5 Satz 1 DSGVO können Zertifizierungen im Sinne der Datenschutz-Grundverordnung nur von Zertifizierungsstellen nach Art. 43 DSGVO oder von der zuständigen Datenschutz-Aufsichtsbehörde erteilt werden. Zum Stand der Veröffentlichung dieses Berichts gibt es in Deutschland keine derartigen Zertifizierungsstellen. Auch gibt es bislang keine genehmigten Kriterien in Deutschland, die als Grundlage für eine Zertifizierung dienen könnten.

Somit können sich bayerische öffentliche Stellen noch nicht von Zertifizierungsstellen zertifizieren lassen, und es gibt auch noch keine Möglichkeiten für nicht-öffentliche Anbieter, zertifizierte Produkte oder Dienstleistungen für bayerische öffentliche Stellen anzubieten.

Abgesehen davon ist es aber auch denkbar, dass andere "Datenschutz-Prüfsiegel" oder "Datenschutz-Zertifikate" unabhängig von der Mitwirkung der Datenschutz-Aufsichtsbehörden und nicht den Anforderungen der Art. 42 und 43 DSGVO entsprechend durch Dritte vergeben werden. Hier ist aber zu bedenken, dass diese dann grundsätzlich nicht mit den Datenschutz-Aufsichtsbehörden abgestimmt wurden und insofern auch bei Prüfungen oder Sanktionen nicht gleichwertig berücksichtigt werden können.

Die unabhängigen Aufsichtsbehörden des Bundes und der Länder erarbeiten aktuell entsprechende Kriterien für Zertifizierungsstellen und stimmen diese mit dem Europäischen Datenschutzausschuss ab. Erst dann kann mit entsprechenden Zertifizierungsverfahren begonnen werden.

3.2. Prüfungen, Beanstandungen und Beratungen

3.2.1. Prüfungen

Im Berichtszeitraum habe ich eine ganze Reihe von öffentlichen Stellen unter technisch-organisatorischen Datenschutzaspekten geprüft. Ein besonderes Augenmerk lag dabei auf dem Bayerischen Landesamt für Gesundheit und Lebensmittelsicherheit, da dieses sowohl das neue bayernweite Krebsregister als auch eine Vielzahl weiterer Systeme zu sensiblen Gesundheitsdaten betreibt.

Zum einen stellt das Landesamt das Labor für den öffentlichen Gesundheitsdienst. Übliche Einsender sind unter anderem die Gesundheitsämter, etwa im Rahmen des Infektionsschutzes oder der Erstuntersuchung von Asylbewerberinnen und Asylbewerbern. Die Ergebnisse werden im Laborsystem des Landesamts gespeichert und auf elektronischem Weg an die Einsender zurückgemeldet. Das Landesamt nimmt zudem statistische Auswertungen zur Verbreitung und Entwicklung von Infektionen vor und übermittelt diese in anonymisierter Form an andere Stellen wie beispielsweise das Robert Koch-Institut zur deutschlandweiten Auswertung.

Des Weiteren werden beim Landesamt die Untersuchungsergebnisse des Stoffwechsels-Screenings sowie des Hör-Screenings von Neugeborenen, das in der jeweiligen Geburtsklinik durchgeführt wird (siehe mein 23. Tätigkeitsbericht 2008, Nr. 13.1.2) gespeichert und zu statistischen Zwecken sowie zu Forschungszwecken ausgewertet.

Für die Schuleingangsuntersuchungen stellt das Landesamt den Gesundheitsämtern eine Software zur Verfügung, in der die relevanten Daten und Untersuchungsergebnisse der Kinder erfasst werden können. Allerdings werden die Datensätze hier lokal in den Gesundheitsämtern gespeichert; das Landesamt erhält von diesen nur statistische Informationen.

Zudem werden am Landesamt in den verschiedenen Bereichen Forschungsprojekte insbesondere auch hinsichtlich der Gesundheit von Kindern und Jugendlichen durchgeführt. Dies geschieht in der Regel auf Basis einer Einwilligung der Erziehungsberechtigten; im Rahmen der Auswertung wird mit pseudonymisierten oder anonymisierten Daten gearbeitet.

In der Regel kommt es nicht zu einer Verknüpfung der in verschiedenen Bereichen des Landesamts vorhandenen Daten, sondern es wird mit den Daten des jeweiligen Bereichs und eventuell weiteren eigens für die jeweilige Studie erhobenen Daten gearbeitet.

Häufig werden beim Landesamt medizinische Daten verarbeitet, die dem Ansehen des Betroffenen besonders schaden können, da gerade kritische Infektionen wie AIDS oder andere ansteckende Krankheiten analysiert werden. Infolge der Eigenschaft als "Zentrallabor" für Bayern werden vom Landesamt in großem Umfang medizinische Daten verarbeitet. Betroffen sind auch Daten von besonders schutzwürdigen Personengruppen wie Kindern, die nach der Datenschutz-Grundverordnung ebenfalls einen besonderen Schutz genießen.

Das Landesamt als bayernweit tätige Einrichtung treffen daher in besonderem Umfang Anforderungen der Datenschutz-Grundverordnung im technisch-organisatorischen Bereich (siehe Nr. 3.2.3). Deshalb ist es hier von herausragender Bedeutung ein einheitliches und nachweisbares Schutzniveau für alle technischen Verfahren sicherzustellen sowie Prozesse für das Datenschutzmanagement zu etablieren. Ich habe daher dem Landesamt insbesondere nahegelegt, eine Risikoabschätzung für die vorhandenen Verfahren vorzunehmen und im Bedarfsfall Datenschutz-Folgenabschätzungen durchzuführen. Die Erarbeitung von Maßnahmen werde ich kritisch begleiten und auch kontrollieren.

3.2.2. Beanstandungen im Bereich des technisch-organisatorischenDatenschutzes

Leider musste ich im Berichtszeitraum im Bereich des technisch-organisatorischen Datenschutzes mehrere Beanstandungen aussprechen. Beachtliche Verstöße gegen Vorschriften zur Datensicherheit hatten in diesen Fällen zu einer unbefugten Offenbarung von sensiblen personenbezogenen Daten geführt:

  • Das Internet-Portal einer öffentlichen Stelle, über das sensible personenbezogene Daten zum Abruf bereitgestellt werden, hatte für den Anmeldevorgang keine Systemroutine, die dabei ein Minimum von Komplexität bei der Vergabe von Passworten erzwingt, eingerichtet (siehe die Orientierungshilfe "Passwortvergabe, -wahl und -verwaltung", abrufbar auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen - Orientierungshilfen"). Dies führte dazu, dass teilweise Passwörter verwendet wurden, die leicht zu erraten waren. Hierüber hatte sich ein Bürger bei mir beschwert. Besonders Brisanz erhielt dies dadurch, dass ich diesen Mangel bereits einige Jahre zuvor festgestellt hatte und mir damals die Behebung zugesichert worden war. Nachdem dies offensichtlich nicht geschehen war, habe ich den Verstoß gegen datenschutzrechtliche Vorschriften beanstandet.
  • Eine weitere Beanstandung sprach ich gegenüber einem großen Klinikum aus, nachdem es mehrfach zum Fehlversand von Arztbriefen gekommen war. Üblicherweise muss die Einwilligung des Patienten eingeholt werden, wenn Arztbriefe an den einweisenden Arzt, den Hausarzt oder andere Ärzte im Anschluss an die Behandlung übermittelt werden sollen. In den beanstandeten Fällen wurden Briefe an einen Arzt versandt, bei dem der Patient nicht mehr in Behandlung war. Der Patient hatte dem Klinikum bei seiner Wiederaufnahme den Arztwechsel mitgeteilt, dennoch wurden die Arztbriefe mehrfach an den bisherigen Arzt versandt, da der Arztwechsel im Krankenhausinformationssystem oder in der Patientenakte nicht so dokumentiert war, dass dies im Rahmen der Fertigung und des Versands klar ersichtlich war. Wie mehrere Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO aus diesem Krankenhaus gezeigt haben, kam es in weiteren Fällen zu ähnlichen Fehlversendungen. Ich habe das Klinikum aufgefordert, seine Prozesse zu überprüfen und geeignete Maßnahmen zu ergreifen.

Meldungen von Datenschutzverletzungen sowie Beschwerden aus anderen Krankenhäusern zeigen, dass die Problematik des Fehlversands von Arztbriefen verbreitet ist und die datenschutzrechtliche Sensibilität von Patienten erfreulich zunimmt. Krankenhäuser sollten daher sowohl ihre Prozesse bei der Fertigung und dem Versand von Arztbriefen kritisch hinterfragen als auch die Dokumentation im Krankenhausinformationssystem nicht außer Betracht lassen.

3.2.3. Technische Anforderungen an das Bayerische Krebsregister

Durch das neue Bayerische Krebsregistergesetz (siehe Nr. 8.3) hat sich auch die technische Struktur des Krebsregisters grundlegend geändert. Bisher verfügten die regionalen klinischen Krebsregister jeweils für ihre Region über eine eigene Datenhaltung. Daraus wurden die erforderlichen Daten an das zentrale epidemiologische Krebsregister übermittelt. In jedem regionalen Register kamen eigene Server, Datenformate und Verfahren/Software zum Einsatz. Es mussten somit auch jeweils geeignete technische und organisatorische Sicherheitsmaßnahmen ergriffen werden.

Das neue Krebsregistergesetz sieht nun vor, alle Daten zentral beim Bayerischen Landesamt für Gesundheit und Lebensmittelsicherheit zu speichern und den Regionalzentren, die aus den ehemals eigenständigen regionalen klinischen Krebsregistern hervorgegangen und mittlerweile dem Landesamt zugeordnet sind, in dem erforderlichem Umfang Zugriff auf die Daten zu geben. Wichtig ist hierbei zum einen, dass die Daten des Krebsregisters getrennt von den anderen Verfahren des Landesamt gehalten werden (siehe Nr. 8.3), und zum anderen, dass ein ausreichendes Sicherheitsniveau geschaffen wird.

Die im neuen bayerischen Krebsregister verarbeiteten Daten haben einen deutlich größeren Umfang als im bisherigen epidemiologischen Krebsregister, da nun zusätzlich ein zentrales klinisches Krebsregister geführt wird. Medizinische Daten und identifizierende Daten der Patienten und Patientinnen werden getrennt in einer Vertrauensstelle und bei der Zentralstelle für Krebsfrüherkennung und Krebsregistrierung gespeichert. Aus Sicht der Zentralstelle handelt es sich zwar um anonymisierte Daten, bei einer Gesamtbetrachtung über alle beteiligten Stellen hinweg (Zentralstelle, Vertrauensstelle und Regionalzentren) ist jedoch festzustellen, dass die Daten zumindest für einen Teil der Beschäftigten in den Regionalzentren mit Personenbezug abrufbar sind, beispielsweise, um weitere Meldungen zu einem Patienten oder einer Patientin einzupflegen. Zudem ist eine Abrufmöglichkeit für die behandelnden Ärzte und Ärztinnen vorgesehen, für die ebenfalls ein Personenbezug nötig ist.

Aufgrund der der Sensibilität der Daten und hohen Anzahl betroffener Personen halte ich eine Datenschutz-Folgenabschätzung (siehe Nr. 3.1.3) für erforderlich. Hinzu kommt, dass die Freiheit der Patienten und Patientinnen zur Ausübung ihrer Rechte eingeschränkt wird, da für die Ärzte und Ärztinnen eine Meldepflicht besteht und den Patienten und Patientinnen nur ein Widerspruchsrecht zukommt. Bei erfolgreichem Widerspruch werden nicht alle Daten eines Patienten oder einer Patientin, sondern nur die ihn oder sie identifizierenden Daten bei der Vertrauensstelle gelöscht.

Ich begrüße es, dass das Landesamt mit der Datenschutz-Folgenabschätzung bereits begonnen hat. Diese soll parallel zum Aufbau des zentralen Registers und der Migration der bisherigen klinischen Krebsregister zum Landesamt fertiggestellt werden. Diesen Prozess werde ich engmaschig begleiten.

3.3. Interessenkonflikt bei der Benennung eines IT-Sicherheitsbeauftragten als Datenschutzbeauftragter

Während die Benennung behördlicher Datenschutzbeauftragter gesetzlich vorgeschrieben ist, besteht hinsichtlich IT-Sicherheitsbeauftragter grundsätzlich keine derartige Verpflichtung.

Im Rahmen meiner Prüfungen im technisch-organisatorischen Bereich ist mir allerdings aufgefallen, dass viele Behörden Datenschutzbeauftragten auch die Funktion von IT-Sicherheitsbeauftragten übertragen haben. Insofern ist zu bemerken:

Nach Art. 38 Abs. 6 Satz 1 DSGVO kann der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche muss aber sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (vgl. Art. 38 Abs. 6 Satz 2 DSGVO). Diese Vorgabe bringt insbesondere mit sich, dass Datenschutzbeauftragte innerhalb einer Behörde keine Position innehaben können, auf welcher sie Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen.

Bei der Benennung von IT-Sicherheitsbeauftragten als Datenschutzbeauftragte ist ein derartiger Interessenkonflikt nicht ausgeschlossen. IT-Sicherheitsbeauftragte legen die IT-Sicherheitsstandards der jeweiligen Behörde fest und müssten sie als Datenschutzbeauftragte anschließend selbst überprüfen. Eine solche Kontrolle mag im Einzelfall weniger kritisch ausfallen als dies bei einer Trennung der beiden Funktionen der Fall wäre. Außerdem haben IT-Sicherheitsbeauftragte oftmals ein Interesse daran, Datenverarbeitungen über möglichst lange Zeiträume zu protokollieren, um Sicherheitsvorfälle erkennen zu können. Datenschutzbeauftragte wirken demgegenüber regelmäßig darauf hin, dass nicht mehr für die Aufgabenerfüllung erforderliche Daten alsbald gelöscht werden.

Vor diesem Hintergrund sollten die Rollen "Datenschutzbeauftragter" und "IT-Sicherheitsbeauftragter" grundsätzlich nicht derselben Person zugewiesen werden.