Schlagwort: Datenschutz

72 Stunden sind 72 Stunden – oder doch länger?

Eine Verletzung des Schutzes personenbezogener Daten (meist schlicht „Datenpanne“ genannt) muss nach dem Wortlaut des Artikel 33 EU-Datenschutzgrundverordnung („DSGVO“) möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, sofern die Datenpanne zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. In unserem Kurzbeitrag zeigen wir auf wie sich diese „72-Stunden-Frist“ berechnet und warum 72 Stunden gegebenenfalls auch länger als drei Tage sein können.

1. Ausgangslage
Sofern eine Datenpanne als meldepflichtig eingestuft wird, ist diese nach dem Wortlaut des Art. 33 Abs. 1 DSGVO „unverzüglich und möglichst binnen 72 Stunden, nachdem […] die Verletzung bekannt wurde […] der zuständigen Aufsichtsbehörde“ zu melden. Die genannten 72 Stunden werden in der Praxis als „Höchstfrist“ verstanden, da das Überschreiten der 72 Stunden nach Art. 33 Abs. 1 Satz 2 DSGVO begründungspflichtig ist. Maßgeblich ist das Bekanntwerden der Datenpanne. Hier ist allgemein auf den Zeitpunkt abzustellen, ab dem tatsächliche Anhaltspunkte für eine solche Datenpanne positiv bekannt sind.

2. Ermittlung des Fristbeginns
Die Berechnung der 72-Stunden-Frist (sowie aller weiteren in der DSGVO) genannten Fristen erfolgt nicht etwa nach den deutschen Vorschriften aus dem Bürgerlichen Gesetzbuch, sondern nach der Europäischen Verordnung Nr. 1182/71 (meist „Fristen-Verordnung“ oder kurz „Fristen-VO“ genannt).

Maßgeblich für die Berechnung des Beginns der 72-Stunden-Frist ist Artikel 3 Abs. 1 der Fristen-VO. Da die Frist nach Stunden bemessen ist, beginnt die 72-Stunden-Frist zur nächsten vollen Stunde nach dem Bekanntwerden der Datenpanne. Diejenige Stunde in der die Datenpanne bekannt wird, wird selbst nicht mitgerechnet.

Beispiel: Wird eine Datenpanne am 22.12.2020 um 12:17 Uhr bekannt, beginnt die 72-Stunden-Frist am selben Tag um 13 Uhr. Die Frist beginnt auch dann um 13 Uhr, wenn die Datenpanne um 12:59 Uhr bekannt wird.

3. Ende der Frist
Auch das Ende der Frist ist nach der Fristen-VO zu ermitteln. Hier gilt Art. 3 Abs. 2 Buchstabe a Fristen-VO. Die 72-Stunden-Frist endet demnach mit Ablauf der letzten Stunde der Frist.

Beispiel: In unserem Beispiel (Bekanntwerden der Datenpanne am 22.12.2020 um 12:17 Uhr) endet die Frist 72 Stunden nach Fristbeginn und somit am 25.12.2020 um 13 Uhr.

Unerheblich ist dabei, ob das Fristende – wie in unserem Beispiel – auf einen Feiertag fällt. In der Fristen-VO ist geregelt, dass Fristen auch an Feiertagen ablaufen, da die Fristen-VO für nach Stunden bemessenen Fristen keine explizite Ausnahme kennt. Die Frist endet daher – unabhängig ob Feiertag oder Wochenende – grundsätzlich 72 Stunden nach Fristbeginn.

Die Fristen-VO kennt allerdings eine Ausnahme: Nach Art. 3 Abs. 5 Fristen-VO muss „jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage [umfassen]“. Arbeitstage im Sinne der Norm sind alle Tage mit Ausnahme von Feiertagen sowie Samstagen und Sonntagen.

Allerdings ist umstritten, ob diese Ausnahme auf die 72-Stunden-Frist anwendbar ist. Laut der Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ des Bayerischen Landesbeauftragten für den Datenschutz vom 1. Juni 2019  soll die Ausnahme nicht gelten, da die Ausnahme nur für nach Tagen und nicht auch für nach Stunden bemessene Fristen gelten soll.

Diese Auffassung ist unseres Erachtens jedoch stark diskutabel. Zum einen knüpft der Wortlaut der Ausnahme an „jede Frist“ an, zum anderen differenziert die Verordnung in Artikel 3 Abs. 1 bis 4 jeweils nach Fristen die ‚nach Stunden‘, ‚nach Tagen‘ und ‚nach Wochen, Monaten oder Jahren‘ bemessen sind. Genau diese Differenzierung wird in Art. 3 Abs. 5 Fristen-VO nicht aufgegriffen. Weshalb die Ausnahme nur für nach Tagen bemessene Fristen und somit nicht für die 72-Stunden-Frist gelten soll, ist daher mehr als fraglich.

Wir gehen daher davon aus, dass die Ausnahme auch auf die 72-Stunden-Frist anwendbar ist. Damit ‚muss‘ auch die 72-Stunden-Frist zwei Arbeitstage umfassen.

Beispiel: In unserem Beispiel ändert die Ausnahme (leider) nichts. Denn sowohl der 23.12. als auch der 24.12.2020 sind „Arbeitstage“, da jeweils kein Feiertag bzw. Samstag oder Sonntag. Auswirkungen hat die Ausnahme allerdings bei Datenpannen, die an einem Freitag bekannt werden. Ohne die Ausnahme nach 3 Abs. 5 Fristen-VO würde die Frist immer Montag enden. Unter Anwendung der Ausnahme ist Fristende erst am Dienstag, da am Montag die erforderliche zwei Arbeitstage nicht umfasst wären.

4. Zusammenfassung
Wie bereits dargestellt, hat sich zumindest eine Datenschutz-Aufsichtsbehörde klar gegen die Anwendung der Ausnahme nach der Fristen-VO positioniert. Damit bestehen bei Berufung auf die Ausnahme natürlich gewisse Risiken, da eine verspätete Meldung einer Datenschutzverletzung bußgeldrelevant ist. Im Zweifel wäre dann unter gerichtlicher Zuhilfenahme zu klären, ob die Ausnahme nun anwendbar ist oder nicht. Bis diese Frage endgültig gerichtlich geklärt ist, besteht daher eine gewisse Rechtsunsicherheit. Aufgrund der dargelegten Argumente sehen wir jedoch gute Chancen, dass ein in der Sache erkennendes Gericht sich unserer Auffassung anschließt und die Ausnahme nach Art. 3 Abs. 5 Fristen-VO für anwendbar erklärt.

RETTET DAS GEHEIMNIS!

Sensibilität erhöhen: In Unternehmen werden wir oft gefragt, was konkret mit erhobenen personenbezogenen Daten ermittelt werden kann. Häufig hören wir, dass die erhobenen Daten doch unproblematisch seien, man habe zudem nichts zu verbergen. Sind Sie sich da ganz sicher?

Autoren: Severin Maier und Hans Grüner

Wenn ein Mensch etwas zu verbergen hat….

… schwingt nicht selten eine negative Konnotation mit. Geheimnissen haftet häufig etwas Negatives an. „Sollen sie meine Daten doch haben, schließlich habe ich nichts zu verbergen“ – diesen Satz hören Datenschützer so oder ähnlich regelmäßig. Sind also Geschäftsgeheimnisse etwas Negatives, das man nicht schützen sollte? Kaum ein Unternehmen würde diese Frage mit einem Ja beantworten. Warum sollte dies nicht auch für persönliche Geheimnisse, mithin die Privatsphäre gelten? Eine zunehmend vernetzte und Transparenz einfordernde Gesellschaft sollte sich dem Wert des Geheimnisses bewusst werden und klar definieren, was transparent und was geheim bleiben soll und wann, wie und durch wen Informationen an wen übermittelt werden.

Welche Daten über uns erhoben werden

Wer die Frage beantworten will, was konkret mit erhobenen personenbezogenen Daten in Erfahrung gebracht werden kann, muss erst eine andere Frage beantworten: welche Daten werden eigentlich erhoben?

Die Art der erhobenen Daten ist abhängig von dem Gerät, das sie erhebt. Das können Smartphones, Tablets und Computer sein. Aber auch Wearables, Geräte der Telemedizin (eHealth), Fahrzeuge etc. Die Bandbreite – teils hochsensibler – Daten über eine Person reicht von Standortdaten, Kommunikationsdaten, Gesundheitsdaten, Sozialdaten bis hin zu Finanzdaten. All diese Datengruppen ermöglichen die Erstellung nahezu lückenloser Profile über eine Person.

Welche Möglichkeiten erhobene Daten konkret bieten

Unsere zunehmend digital organisierte und vernetzte Technikgesellschaft produziert Unmengen Daten, u.a. aus den oben genannten Gruppen. Ihre Verwendungsmöglichkeiten sind weder abstrakt noch von kurzer Reichweite, die eingesetzte Technik wird immer präziser und ausgefeilter.

Der Mensch: ein Füllhorn an Daten

Personalisierte Werbung verbreitet sich immer stärker und ist lukrativ für die Marketingbranche sowie Werbende. Seit dem sich mobile Endgeräte wie Smartphones und Tablets durchgesetzt haben, stehen Unternehmen und Werbetreibenden nicht nur soziodemografische Daten und Selbstauskünfte der Nutzer (bspw. durch entsprechende Angaben bei Facebook und Verknüpfung dieser Daten mit Diensten von Drittanbietern) zur Verfügung. Mobile Endgeräte liefern mittlerweile zuverlässige Geodaten, wie Standort und Bewegungsprofile, über ihre Nutzer. Verbindet man mit seinem Smartphone weitere Geräte aus dem Internet der Dinge (z.B. Fitnesstracker, Smart Watches), lassen sich weitere Daten erheben, die ein umfassenderes und genaueres Profil des Nutzers erlauben. Gesundheitsdaten wie Puls und Blutdruck erlauben Rückschlüsse auf den gesundheitlichen Zustand. Kombiniert mit Schrittzählern und Standortdaten ließe sich sogar sagen, ob entsprechende Werte aus sportlicher Betätigung stammen oder aufgrund von Stress. Mobile Endgeräte liefern ein Füllhorn an Daten und es gibt immer mehr Konzepte, sie gewinnbringend zu verwerten.

DIE FÜLLE AN PERSONENBEZOGENEN DATEN ÜBER EIN INDIVIDUUM IST MITTLERWEILE ENORM: STANDORTDATEN, BEWEGUNGSPROFILE, GESUNDHEITSDATEN, SCHLAFVERHALTEN, KOMSUMVERHALTEN UND VORLIEBEN.

Location-based Advertising

Location-based Advertising (LBA) ist eine wachsende Methode, um personalisierte Werbung insbesondere an mobile Endgeräte auszuliefern. Noch betrachten die Verbraucher LBA und personalisierte Werbung als Ganzes aber skeptisch: 33% der Verbraucher empfinden mobile Werbung störender als klassische Werbung, wie sie bspw. in Printmedien zum Einsatz kommt. Über 50% lehnen personalisierte Werbung noch ab. Datenschutzrechtliche Bedenken spielen hierfür eine entscheidende Rolle. Neueste technische Entwicklungen verdeutlichen auch, warum dies der Fall und nicht abwegig ist.

Location-based Advertising mittels Ultraschall-Technologie

Sicherheitsforscher der TU Braunschweig haben in Android-Apps eine neue Methode für LBA entdeckt: 234 Apps wiesen sog. „uBeacons“ auf. Dabei handelt es sich um Software, die für den Nutzer nicht wahrnehmbare Töne vom betroffenen Smartphone oder Tablet im Ultraschallbereich sendet. 2015 wurde in nur sechs Apps die entsprechende Software von den Sicherheitsforschern nachgewiesen.

Wie können Werbetreibende diese Technologie nutzen? Die uBeacons tauchen nicht nur in Apps von Smartphones und Tablets auf. Sie sind auch in Programme von Smart TV und stationären Computern eingepflegt. Diese Programme senden ebenfalls Töne im Ultraschallbereich. Werden diese von einem mobilen Endgerät mit entsprechender Technik erfasst, antwortet es und sendet Informationen mittels Ultraschall zurück: Gerätekennungen, Profile, Metadaten, Standorte usw. Passend zu den übermittelten Informationen wird dann Werbung ausgeliefert. Der Nutzer bekommt von alledem nichts mit. Besonders problematisch: keine der Apps klärt den Nutzer darüber auf, dass diese Technik zum Einsatz kommt.

Mit dieser Technik lassen sich verschiedene Szenarien durchführen. So ist neben dem dargestellten „Media Tracking“ auch ein sog. „Cross-Device-Tracking“ möglich. Damit lässt sich ein Nutzer über mehrere Geräte verfolgen und die Daten können zu einem Profil zusammengeführt werden. Auch ein „Location Tracking“ – mittlerweile selbst innerhalb von Gebäuden, was so früher nicht oder nur schwer umsetzbar war – ist durchführbar. Aus Sicht des Datenschutzes ist eine weitere Möglichkeit besonders schwerwiegend: mit der Technik lassen sich Nutzer auch identifizieren („Deanonymization“).

War diese Technik bisher in Südostasien am weitesten verbreitet, kommt sie auch immer häufiger in Europa zum Einsatz. Ein Forschungsteam der Fachhochschule St. Pölten hat deshalb eine App –SONICONTROL– entwickelt, die nicht nur die akustische Trackingfunktion erkennt, sondern auch die Weitergabe der Daten blockiert.

Der Fall verdeutlicht dennoch anschaulich, was mittlerweile im Bereich des technisch Machbaren liegt und wie umfangreich personenbezogene Daten verarbeitet werden können: der Konsum medialer Inhalte lässt sich so geräteübergreifend und personengenau nachverfolgen.

Methoden ortsbasierter Werbung

Welche Methoden gibt es nun generell, um personenbezogene Daten im Rahmen einer ortsbasierten Werbung zu verarbeiten? Was sind die Formen des Location-based Targeting, um Zielgruppen zu erfassen?

Unternehmen steht mittlerweile eine breite Palette an Targeting-Methoden zur Verfügung. Diese Methoden reichen vom relativ ungenauen Geo-Targeting bis hin zum tendenziell sehr genauen Local-Context-Targeting. Hierbei werden nicht nur geografische Daten verarbeitet, sondern auch Vorlieben der Zielpersonen.

Geo-Targeting: Beim Geo-Targeting werden Werbekampagnen in bestimmten geografischen Gebieten ausgeliefert. Die Detailgenauigkeit der verarbeiteten Daten kann dabei erheblich variieren. So kann bspw. nur die Meldeadresse hinsichtlich des Bundeslandes eine Rolle spielen. Genauere Datensätze enthalten u.a. Postleitzahlen ohne bestimmte Straßenzüge.

Geo-Fencing: Bei dieser Methode wird ein bestimmtes geografisches Gebiet definiert und „eingezäunt“. In der Regel werden beim Geo-Fencing Mittelpunkte platziert und ein Radius festgelegt, innerhalb dessen entsprechende Werbemittel ausgeliefert werden. Diese Werbemittel werden mittels einer ausgewählten Technologie ausgeliefert. So können mobile Werbeinhalte bspw. durch Beacons – so wie sie z.B. Apple verwendet – an iPhone-Nutzer ausgeliefert werden, wenn sie einen Bereich mit bestimmten Geschäften betreten, die die iBeacon-Technik einsetzen.

Local-X-Targeting: Im Bereich des Local Targeting werden verschiedene Methoden kombiniert, um eine möglichst genaue Zielgruppe ermitteln zu können. So werden z.B. beim Local-Content-Targeting Personen mit Werbemittel beliefert, die regionalen Content konsumieren, bspw. Online-Content regionaler Tageszeitungen. Beim Local-Social-Targeting werden v.a. Daten von Social Media-Diensten verarbeitet, insbesondere Statusmeldungen mit Ortsangaben oder der sog. „Check-In“ bei Diensten wie Foursquare. Hierbei wird teilweise automatisch eine Meldung abgesetzt, wenn der Nutzer mit seinem Smartphone einen Ort betritt, der auf dem entsprechenden Portal präsent ist. Das Local-Context-Targeting ist eine Big Data-Lösung und verwendet den sog. persönlichen Kontext der Zielperson: Aufenthaltsort, Daten über den Haushalt (diese Informationen können bspw. von Smart Home-Diensten kommen), Teilnahme an bestimmten Veranstaltungen (u.a. geliefert von Facebook, wenn der Nutzer bei einer Veranstaltung auf „teilnehmen“ geklickt hat), den Point of Interest usw. Diese Methode ermöglicht besonders passgenaue Werbung durch die Verarbeitung einer Vielzahl an verschiedensten Daten einer Person.

Personalisierte Werbung sowie ortsbezogene Angebote und Informationen haben Vorteile: keine Werbung für Produkte, die nicht von Interesse sind. Hinweise zu Veranstaltungen in einer Stadt, die man gerade auf einem Wochenend-Trip besucht und die Echtzeit-Meldung über die Verkehrslage. Diese Services benötigen aber eine Vielzahl verschiedenster und teils sehr persönlicher Daten, die oftmals ohne Einwilligung und Wissen des Nutzers übermittelt werden. Zudem besteht das Risiko, dass diese Daten an Dritte – bspw. weitere Werbeunternehmen, Datenbanken, Big Data-Unternehmen etc. – gelangen.

Social Scoring

In Deutschland ist die Bewertung von Individuen mittels Daten insbesondere durch die Bewertung der eigenen Kreditwürdigkeit ein Begriff. Ein Blick nach China zeigt, was darüber hinaus mit personenbezogenen Daten möglich und machbar ist.

Chinas Regierung hat eine Direktive erlassen, wonach bis 2020 ein „social credit system“ etabliert werden soll, das sämtliche Bürger Chinas erfasst und bewertet. Dieses System geht weit über die bloße Bewertung der Kreditwürdigkeit einer Person hinaus: mittels personenbezogener Daten werden Käufe und Zahlungsverhalten, politische Äußerungen in sozialen Netzwerken, Vertragstreue und Charaktereigenschaften, die u.a. aus entsprechenden Statusmeldungen auf Facebook ermittelt werden können, erfasst und bewertet. Nicht zuletzt durch die feinere Granulierung von Reaktionen. Mittlerweile gibt es nicht nur den „Like Button“, sondern auch Möglichkeiten differenzierter emotionaler Reaktion: Belustigung („Haha Button“), Wut („Wütend Button“), Erstaunen („Wow Button“) und Zuneigung („Love Button“).

Darüber hinaus fließt in die eigene Bewertung auch das Verhalten des sozialen Umfeldes, wie Arbeitskollegen, Freunde und Familienmitglieder mit ein. Chinas Regierung erhofft sich dadurch eine stärkere soziale Kontrolle durch Gruppenzwang und eine Förderung der „Mentalität der Ehrlichkeit“, „Selbstdisziplin“ und „gegenseitigem Vertrauen“. Social Scoring soll eine „harmonische sozialistische Gesellschaft“ etablieren, in welcher „Vertrauen glorreich ist“.

Chinas Regierung will zur Umsetzung dieses Projektes schon vorhandene Daten freiwilliger Credit Rating- und Payment-Systeme verwenden, z.B. Alipay und Sesame Credit des chinesischen IT-Konzerns Alibaba. Sesame Credit schafft Anreize, um sich an dem System zu beteiligen. Wer einen hohen Score aufweist bekommt verbilligte Flugpreise und andere Vergünstigungen.

hnlich will die chinesische Regierung vorgehen. In einem Pilotprojekt in der ostchinesischen Stadt Rongcheng erhalten alle Bürger zunächst 1000 Punkte. Je nach Verhalten steigt oder sinkt der Punktestand. Personen mit guten Bewertungen werden z.B. bei Zulassung zu Schulen, bei sozialen Leistungen, beim Abschluss von Versicherungen oder bei Beförderungen bevorzugt. Wer hingegen einen schlechten Wert hat, ist nicht mehr für Führungspositionen qualifiziert und verliert seine Kreditwürdigkeit.

«-DIE FÜHRUNG IN PEKING HAT VERSTANDEN, DASS DIE ALTEN WERKZEUGE DER KONTROLLE NICHT MEHR GREIFEN: AUFENTHALTS-REGISTRIERUNG, POLIZEI, PERSONENSPITZEL. DAS REICHT NICHT IM DIGITALEN ZEITALTER DER SOZIALEN MEDIEN.»  Murong Xuecun im Interview mit dem Deutschlandfunk, 23.06.2018

Allmacht der Daten?

Auch wenn unsere europäischen Gesellschaften die Einführung eines solchen Systems hier nicht planen, bleibt eines festzuhalten: die Verarbeitung personenbezogener Daten mit dem aktuellen Stand der Technik macht es umsetzbar. Letztlich benötigt man dafür ein Smartphone, mobiles Banking, Payment und Ticketing, Online-Shopping und Social Media-Dienste.

China zeigt uns also, was schon heute tatsächlich umsetzbar ist und führt uns vor Augen, was sich mit der aktuellen Erhebung unserer personenbezogenen Daten realisieren lässt. Und auch in unseren westlichen Gesellschaften wird die Debatte geführt, ob staatliche Institutionen und Unternehmen diese Daten nicht prinzipiell ähnlich nutzen. Die (permanente) Übermittlung von sensiblen Gesundheitsdaten an staatliche und private Krankenkassen mittels Wearables soll belohnt werden: wer viel Sport treibt und gesund ist, der erhält günstigere Versicherungstarife und Prämien. Einige Krankenkassen bezuschussen mittlerweile die Anschaffung von Wearables wie der Apple Watch. Wer sein Fahrverhalten analysieren lässt und es seiner Versicherung übermittelt, der erhält günstigere Konditionen.

«ES [NUDGING] GALT ALS SCHMERZLOSER WEG, MENSCHEN ZU MEHR NACHALTIGKEIT UND EINEM GESÜNDEREN LEBEN ZU BEWEGEN. DASS DIESELBE METHODE EINGESETZT WÜRDE, UM AUCH UNGESUNDE PRODUKTE WIRKUNGSVOLLER ZU VERMARKTEN ODER DEMOKRATISCHE WAHLEN ZU MANIPULIEREN, WURDE NICHT BEDACHT.» Dirk Helbing, Professor für Computational Social Science an der ETH Zürich auf politik-kommunikation.de, 03.09.2018

Big Data und Nudging werden zu einer neuen Herangehensweise zur Steuerung des menschlichen Verhaltens kombiniert: dem sog. Big Nudging.

Beim Nudging (dt. anschubsen) wird menschliches Verhalten nicht durch offene Information beeinflusst, sondern durch das Nutzen psychologischer Eigenschaften. Der Betroffene erfährt dabei in der Regel nicht, dass er Ziel einer solchen Maßnahme ist. Oftmals greifen staatliche Stellen auf diese Methoden zurück, um gesellschaftliche Probleme anzugehen, bspw. Umwelt- und Klimaschutz.

Auch hier können die eingangs erwähnten Methoden eine zentrale Rolle spielen. Durch das eigene Smartphone werden zunehmend Informationen über unser persönliches Verhalten an Dritte übermittelt. Die Werbebranche ist dabei nur einer von vielen Interessenten. Big Nudging und Location-based Advertising lassen sich z.B. auch kombinieren. Befinden sich Zielpersonen in einer geografischen Region mit höherer Umweltbelastung, können auf ihre Smartphones verstärkt Inhalte zu Umweltprojekten, Nachhaltigkeit und Naturschutz ausgelieferten werden. Fährt eine Zielgruppe besonders häufig Auto, werden Werbeinhalte für Car Sharing und den ÖPNV ausgeliefert. So kann eine Symbiose aus staatlichem Nudging und Unternehmens-Produkten staatfinden.

Die Technologien zur Verarbeitung personenbezogener Daten sind so mannigfaltig wie die Verwendungsmöglichkeiten dieser Daten. Daten können nahezu Allmacht verschaffen. Unter diesen Gesichtspunkten muss Datenschutz noch innovativer, moderner, zukunftsorientierter und disziplinübergreifend gedacht werden. Denn Big Data, personalisierte Dienstleistungen, Location-based Advertising etc. betreffen längst nicht mehr ausschließlich ökonomische Faktoren, sondern gesamtgesellschaftliche.

Im Rausch der Daten: wie man mit Facebook das Suchtpotenzial von Menschen ermittelt

Personenbezogene Daten liefern aber nicht nur Informationen über unser Kaufverhalten. Die Daten die wir täglich hinterlassen geben einen tiefen Einblick in unser menschliches Verhalten auf nahezu allen Ebenen. Forschern der University of Maryland am Addiction Recovery Research Centre in Roanoke, Virginia ist es gelungen, anhand von Facebook-Nachrichten, Likes und Status-Updates die Wahrscheinlichkeit eines Alkohol- oder Drogenmissbrauchs sowie das Vorliegen einer Verhaltensstörung zu ermitteln. Dafür wurde eine Masse an Daten im Rahmen des Verfahrens des maschinellen Lernens erfasst und ausgewertet. Gegenstand waren neben geposteten Texten auch Likes und Status-Updates. Die Menge an ausgewerteten Daten ist enorm und erlaubt statistisch zuverlässige Aussagen: von 11 Millionen Usern wurden alle Likes erfasst und ausgewertet, zudem 22 Millionen Status-Updates von 150.000 Usern.

Die Ergebnisse der Forscher kann man als beeindruckend beschreiben. Die erhobenen Daten erlauben intime Vorhersagen über das Verhalten eines Menschen. Es ist den Wissenschaftlern gelungen anhand von Facebook-Daten zu ermitteln, welche Menschen bei Alkohol- und bzw. oder Drogenkonsum eine sog. „substance use disorder“ entwickeln. Dabei handelt es sich um eine Verhaltensstörung, die durch den Konsum besagter Stoffe auftritt. Die Erfolgsquote belegt eindrucksvoll, welches Vorhersagepotenzial in scheinbar harmlosen Daten wie Facebook-Postings innewohnt: insgesamt lag die Erfolgsquote bei über 80%. Der Konsum von Tabak konnte mit einer Genauigkeit von 86% vorgesagt werden. Beim Drogenkonsum betrug die Genauigkeit 84%, bei Alkohol 81%. So kommen die Wissenschaftler auch zu dem Ergebnis, dass Social Media-Plattformen durchaus geeignet sind, Verhaltensstörungen von Individuen zu erkennen und zu prognostizieren. Ferner erlauben soziale Netzwerke ein Screening der Betroffenen, bspw. zu Therapiezwecken.

Zu den erhobenen Daten wurden schon bereits gewonnene Erkenntnisse aus der Suchtforschung eingesetzt: bestimmte Schlüsselbegriffe, die besonders mit Suchtkranken korrelieren und kulturelle Neigungen wie Vorlieben für bestimmte Filme von Betroffenen. Hier wiederum lassen sich auch innerhalb von Facebook Rückschlüsse zum Verifizieren der eigenen Vermutung ziehen: hat die Zielperson z.B. entsprechende Angaben über Lieblingsfilme im eigenen Profil veröffentlicht und passen die Posts, Likes und Status-Updates zu dem Verhalten eines Störungsanfälligen, dürfte die Fehlerquote denkbar gering ausfallen.

Rettet das Geheimnis!

Wer meint personenbezogene Daten seien nicht konkret genug, um sie zielgenau zu verwenden und extrem genaue Vorhersagen über das Verhalten eines Menschen und ihn selbst zu erlauben, der irrt. Es ist kein Zufall, dass sich im Bereich Datenerhebung und –analyse eine milliardenschwere Industrie entwickelt. In Anbetracht der schon existierenden Möglichkeiten und vorhandenen Potenziale für zukünftige Entwicklungen wird im Windschatten steigender Werte für Daten etwas anderes wieder an enormem Wert gewinnen: das Geheimnis.

 

Neue Verordnung zum Geoblocking

Mit der Verordnung (EU 2018/302) hat das Europäische Parlament Regelungen zum Verbot der Beschränkung aus Gründen der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden getroffen.

Was ist Geoblocking?

Beim Geoblocking verwehrt ein Anbieter einem Kunden, der aus einem anderen Mitgliedstaat der EU stammt und grenzüberschreitende Geschäfte tätigen möchte, den Zugang zur Online-Benutzeroberfläche, wie zum Beispiel einer Internetseite.

Somit ist jede Form die den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung beschränkt, als Geoblocking zu sehen.

Was muss man beachten?

Mit der Verordnung wird es den Betreibern von Online-Shops untersagt, den Kunden auf Grund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes seiner Niederlassung durch technische Mittel (oder auf anderem Wege) zu sperren oder zu beschränken. Konkret bedeutet dies, dass der Anbieter den Kunden nicht Anhand der IP-Adresse, GPS Daten oder anderen den Ort (= geografische Lage) bestimmenden Parametern einschränken darf.

So muss der Anbieter, der einen Kunden auf eine andere Länderseite oder mobile Anwendung umleiten will, welche sich von der unterscheidet (z.B. durch Sprache oder Layout) auf die der Kunde ursprünglich zugreifen wollte, dessen Zustimmung einholen und ihm die Möglichkeit einräumen, wieder auf die Ursprungsseite zurückzugelangen.

Außerdem wird es dem Online-Händler untersagt, bei Kunden aus den oben genannten Gründen für unterschiedliche Regionen unterschiedliche allgemeine Geschäftsbedingungen anzuwenden. Jedem Kunden müssen die gleichen Möglichkeiten zustehen.

Das Gleiche gilt für die vom Anbieter akzeptierten Zahlungsmethoden.  Der Anbieter kann nicht auf Grund des Standortes des Zahlungskontos, des Ortes der Niederlassung des Zahlungsdienstleisters oder des Ausstellungsorts des Zahlungsinstruments innerhalb der EU unterschiedliche Bedingungen für Zahlungsvorgänge anwenden.

Die EU-Kommission stellt auf ihrer Homepage eine weitreichende Information zur Geoblocking-Verordnung zu Verfügung, in der anhand konkreter Beispiele die einzelnen Artikel genauer erläutert werden.

Was passiert bei Nicht-Beachtung?

Gemäß §126 Telekommunikationsgesetz (TKG) kann die Bundesnetzagentur bei Verstößen eine Stellungnahme und Abhilfe fordern. Hierbei kann ein Zwangsgeld von bis zu 500.000€ festgesetzt werden.  Ebenfalls kann ein Bußgeld von bis zu 300.000€ verhängt werden, §149 Abs. 2 Nr. 2 TKG.

Bei Verstößen wird neben dem TKG auch das Gesetz gegen den unlauteren Wettbewerb (UWG) Anwendung finden. Verstöße fallen unter die §§ 3 und 3a des UWG. Somit können Verantwortliche auf Unterlassen und Schadensersatz in Anspruch genommen werden.

ICO verhängt gegen Facebook ein Bußgeld in Höhe von 500.000 £

Wie die britische Datenschutzbehörde „Information Comissioner´s Office“ (ICO) mitteilte, wurde von ihr die nach damaligem Recht mögliche Höchststrafe von 500.000£ verhängt. Begründet wurde die Höchststrafe damit, dass Facebook im Rahmen des Datenskandals um Cambridge Analytica erlaubt hatte, auf persönliche Daten wie das Geburtsdatum, Fotos auf denen Betroffene markiert wurden u.a. zuzugreifen. Dies geschah anhand einer Facebook-App, die sich unter dem Namen „thisisyourdigitallife“ als psychologischer Persönlichkeitstest tarnte. Hierbei griff die App nicht nur auf die Daten derjenigen zu, die die App installiert hatten, sondern auch auf die Profile ihrer „Facebook-Freunde“.

Facebook versäumte notwendige Maßnahmen

Der Betreiber der App hatte zunächst bei Facebook angefragt ob die Daten zu Forschungszwecken genutzt werden dürften. Mit Verweis auf die Plattformrichtlinien lehnte Facebook die Anfrage ab, schloss jedoch nicht den Zugang. Facebook hätte an dieser Stelle entsprechende Maßnahmen ergreifen müssen um sicherzustellen, dass die Richtlinien eingehalten werden und ein unbefugter Zugriff nicht stattfindet. Da dies nicht ausreichend geschah und somit auf Daten von rund 87 Millionen Nutzern zugegriffen werden konnte, sah die ICO die Höchststrafe als gerechtfertigt an. Bestätigt sah sich die ICO darin, dass Facebook erst durch die Veröffentlichung eines Artikels im Guardian auf den Bruch der Plattformrichtlinien aufmerksam wurde. Ein Sprecher von Facebook teilte nun mit, sein Unternehmen werde die Entscheidung des ICO prüfen.

Kein Bußgeld für Facebook in Deutschland

Das in Hamburg, vom dortigen Datenschutzbeauftragtem Johannes Caspar, geführte Bußgeldverfahren gegen Facebook wurde schon im August eingestellt. Gründe hierfür seien die unklare Zuständigkeit und der Abruf der Daten schon mehr als drei Jahre zurückliege und damit verjährt sei.

Datenschutzkonferenz: Orientierungshilfe zur Direktwerbung

Ein Ergebnis der 96. Datenschutzkonferenz (DSK) war eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten zum Zweck der Direktwerbung. Grund hierfür war, dass mit der DSGVO die bisherigen Datenschutzregelungen für die direkte Werbeansprache weggefallen sind.

Schwerpunkt Interessenabwägung

Mit dem Wegfall der detaillierten Regelungen (insb. § 28 Abs. 3 und 4 sowie § 29 BDSG-alt) verlangt die DSGVO alternativ gemäß Art. 6 Abs. 1 lit. f DSGVO eine Interessenabwägung oder eine Einwilligung der betroffenen Person. Die DSK hat im Bezug hierauf, unter Vorbehalt der konkreten Abwägung im Einzelfall, zunächst Grobkategorien für die Abwägung in der Praxis erstellt. Demnach wird voraussichtlich das Interesse des Verantwortlichen solange überwiegen, wie kein  Selektionsverfahren zur Erstellung detaillierter Profile etc. Anwendung findet. E-Mail-Adressen, die unmittelbar von den betroffenen Personen im Rahmen einer Geschäftsbeziehung (Bestandskunden) erhoben wurden und der Zweck der Datenerhebung (E-Mail-Werbung) transparent dargelegt wurde, können grundsätzlich, unter Beachtung der Voraussetzungen des § 7 Abs. 3 UWG für E-Mail-Werbung genutzt werden. Für Anrufe bei Verbrauchern muss eine klare Einwilligung vorliegen. Für Anrufe gegenüber sonstigen Marktteilnehmern (B2B) ist zumindest dessen mutmaßliche Einwilligung erforderlich. Im B2B-Bereich stehen deshalb nicht von vornherein überwiegend schutzwürdige Interessen der Gewerbetreibenden nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO entgegen.

Informationspflichten gem. Art. 13 und Art. 14

Bei der Erhebung personenbezogener Daten direkt bei der betroffenen Person muss eine umfassende Unterrichtung stattfinden. Die DSK hat erkannt, dass in der Praxis nicht immer die Möglichkeit besteht einer betroffenen Person alle Informationen aus Art. 13 Abs. 1 und 2 DSGVO sofort bereit zu stellen. Daher sehen sie im Einklang mit der Artikel 29-Gruppe ein zweistufiges Informationsmodell als sinnvoll an.

Sollen personenbezogene Daten, die nicht unmittelbar von dieser Person erhoben wurden, verarbeitet werden, so muss binnen einer angemessenen Frist, spätestens innerhalb eines Monats nach einer Verarbeitung eine Information der betroffenen Person i.S.d. Art. 14 Abs. 1 und 2 DSGVO erfolgen.

Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung

Die Orientierungshilfe bietet Anhaltspunkte wie eine Einwilligung gestaltet sein muss um den Anforderungen der DS-GVO gerecht zu werden. Hierzu wird u.a. das Double-Opt-In-Verfahren für eine elektronische Einwilligung empfohlen und auf ein nicht ewiges Bestehen einer Einwilligung hingewiesen ohne jedoch auf konkrete Zeiträume einzugehen.

Widerspruchsrecht

Zum Ende der Orientierungshilfe gibt die DSK wichtige Informationen zum Widerrufsrecht nach Art. 21 Abs. 2 bis 4 DS-GVO. Die DSK setzt auch hier auf praktische Hinweise, wie bspw. bei einer bereits angelaufenen Werbeaktion gehandelt werden kann oder wie eine Werbesperrdatei für die Umsetzung eines Werbewiederspruchs hilfreich ist.

Konkrete Beispiele

Wenn auch die Auflistung (selbstverständlich) nicht abschließend sein kann, stellt die Orientierungshilfe doch einige wichtige Punkte klar. Immerhin schließt sie einige Möglichkeiten der Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung aus und bietet damit eine Möglichkeit zur Orientierung.

Bayerisches Landesamt für Datenschutzaufsicht vom Bayerischen Verwaltungsgerichtshof bestätigt: „Facebook Custom Audience“ ist nicht mit dem Datenschutzrecht vereinbar

Übermittlung von verhashten E-Mail-Adressen an Facebook ist Weitergabe an Dritte

Im vorliegenden Fall nutzte die Betreiberin eines Onlineshops den Dienst „Facebook Custom Audience“ (s.u.) um gezielt Werbung zu schalten. Hierbei hatte die Betreiberin jedoch keinen Einfluss darauf, bei welchem der Facebook-Mitglieder die Werbung angezeigt wird.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte darin eine Weitergabe an Dritte und keine Auftragsverarbeitung gesehen. Bei einer Auftragsverarbeitung bestimmt der Auftraggeber was mit den Daten geschieht, bei der Weitergabe an Dritte bestimmt der Dritte selbst was mit den Daten passiert. Dies bestätigte nun auch der Bayerische Verwaltungsgerichtshof. Zwar sei der Vergleich der Hashwerte weisungsgebunden, die Ausspielung der Werbung durch Facebook an seine Nutzer hingegen frei. Mit dieser Entscheidung wird dem Verwender von „Facebook Custom Audience“ die Pflicht zur Einholung einer informierten Einwilligung des Kunden auferlegt.

Vermehrte Kontrollen für die Zukunft

Wie Thomas Kranig, Präsident des BayLDA in der Pressemitteilung vom 20.11.2018 schrieb, werde das BayLDA Prüfungen für die Zukunft auf weitere Branchen und deren Marketing-Tools ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DSGVO sanktionieren. Hintergrund für die vermehrten Prüfungen sei, dass die Verantwortlichen mehr als ausreichend Gelegenheit hatten ihre Datenverarbeitung zu überprüfen.

Was ist “Facebook Custom Audience”?

Mit „Facebook Custom Audience“ kann ein Unternehmen gezielt auf den Facebook-Seiten seiner Kunden Werbung schalten. Hierzu lädt das Unternehmen E-Mail-Adressen von Kunden über das eigene Facebook-Profil hoch und es wird ein Hashwert für jede einzelne E-Mail-Adresse berechnet. Anschließend vergleicht Facebook diesen Hashwert mit den ebenfalls zu einem Hashwert umgerechneten E-Mail-Adressen aller Facebook-Mitglieder. Stimmen zwei Hashwerte überein, ist die E-Mail-Adresse und damit ein Facebook-Mitglied bestimmt. Die so ermittelten Facebook-Mitglieder bilden die „Custom Audience“ (Kundenliste) und erhalten innerhalb ihres Facebook-Profils Werbung des Unternehmens.

Erstes Bußgeld in Deutschland nach der DSGVO

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat wegen eines Verstoßes gegen die in Art. 32 DSGVO normierte Datensicherheit am 21.11.2018 das erste Bußgeld in Höhe von 20.000€ verhängt.

Das Unternehmen hatte sich nach einem Hackerangriff an das LfDI gewandt, bei dem personenbezogene Daten von ca. 330.000 Nutzern entwendet und veröffentlich worden waren. Die betroffenen Benutzer wurden nach den Vorgaben der DSGVO informiert und das Unternehmen hat bereits innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer Sicherheits-IT umgesetzt.

LfDI lobt hervorragende Zusammenarbeit

Das mit 20.000€ der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO lange nicht ausgeschöpft ist, lag an der guten Zusammenarbeit des Unternehmens mit der LfDI. So wurden Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse offen gelegt. Hierdurch wurde bekannt, dass Passwörter ohne eine Verschlüsselung oder Verfremdung gespeichert wurden. Damit verstieß das Unternehmen klar gegen die Obliegenheit der Datensicherheit im Rahmen der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit. a DSGVO. Neben der guten Zusammenarbeit wurde auch der Gesamtrahmen der finanziellen Belastung, wie Maßnahmen zur IT-Sicherheit  des Unternehmens bei der Festlegung des Bußgeldes beachtet. Wie Dr. Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hierzu sagte, soll es nicht darum gehen möglichst hohe Bußgelder zu verteilen sondern den Datenschutz und die Datensicherheit von betroffenen Nutzern zu verbessern.

Kontroverse Urteile in Bezug auf Wettbewerbsrecht und DSGVO

Das LG Würzburg hat in seinem Beschluss vom 13.09.2018 (Akt.-Z. 11 O 1741/18) mit dem Verstoß gegen die DSGVO ein nach § 3a UWG abmahnfähiges Wettbewerbsverhalten angenommen und damit an Entscheidungen vor der DSGVO angeknüpft.

Eine Rechtsanwältin hatte auf ihrer Homepage eine 7-zeilige Datenschutzerklärung, bei der nach der DSGVO erforderliche Angaben fehlten, bereitgestellt. Außerdem war die Homepage, wie es bei der Erhebung personenbezogener Daten erforderlich ist, nicht verschlüsselt. Ein Mitbewerber mahnte daraufhin ab und stellte beim LG Würzburg einen Antrag auf Unterlassung.  Das Gericht gab diesem statt, da ein Verstoß gegen die DSGVO eine Verletzung des Wettbewerbsrechts darstelle.

Keine klare Linie

Wirklich klar wird aus der Entscheidung jedoch nicht warum ein DSGVO-Verstoß eine Marktverhaltensregel nach § 3a UWG darstellt. Mithin umgeht das LG Würzburg die Frage, ob die in der DSGVO aufgeführten Regelungen abschließend sind. Das OLG Hamburg hat hierzu in seinem Urteil vom 25.10.2018 (Akt.-Z. 3 U 66/17) konkreter Stellung bezogen. Das OLG lehnt eine abschließende Regelung, wie sie in der Literatur vertreten wird, ab. Vielmehr regle Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage. Hierfür sprächen insbesondere die Art. 77-79 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt.

LG entscheidet kontrovers zu OLG

Das LG Wiesbaden hingegen ist in seiner Entscheidung vom 05.11.2018 (Akt.-Z. 5 0 214/18) der Auffassung, dass die DSGVO abschließende Regelungen zur Durchsetzung der eigenen Rechte bereit halte und daher eine Anwendung des UWG nicht einschlägig sei. Es sieht die in Art. 80 Abs. 1 DSGVO genannten Organisationen als abschließend an und erkennt auch keine Rechtsschutzlücke die durch das UWG geschlossen werden müsse. Auch das LG Bochum hatte bereits am 07.08.2018 (Akt.-Z. I-12 O 85/18) ähnlich argumentiert.

Da sich Literatur und diverse Datenschutzbehörden nicht einig sind, liegt es am BGH oder dem EuGH in einer hoffentlich baldigen Entscheidung ein klares Ergebnis zu schaffen.

DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

Krankenhäuser fallen unter IT-Sicherheitsgesetz

Seit Juni gelten auch bestimmte Krankenhäuser als „kritische Infrastruktur“ im Sinne des IT-Sicherheitsgesetz. Wer mehr als 30.000 Behandlungsfälle pro Jahr aufweist, muss in Sachen IT-Sicherheit und Datenschutz nachrüsten.

Insgesamt müssen sich nun 110 Krankenhäuser nun nach den Vorgaben des IT-Sicherheitsgesetzes richten. Das IT-Sicherheitsgesetz ist zwar seit 2015 gültig. Allerdings galten die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr noch nicht als „kritische Infrastruktur“. Mit einer am 31.5.2017 angenommenen Änderung ist dies mit Wirkung zum 1.6.2017 angepasst worden.

Gesundheitswesen muss in Datenschutz investieren

Wie schon vom Deutschen Ärztetag gefordert, muss das Gesundheitswesen verstärkt in den Datenschutz und die IT-Sicherheit investieren. Die Ärzteschaft nahm u.a. die weltweit grassierende Randsomware „WannaCry“ für ihre Forderungen zum Anlass. WannaCry hatte auch Krankenhäuser angegriffen und teilweise lahmgelegt.

Worauf die Betreiber der betroffenen Krankenhäuser achten müssen, darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusammenfassend müssen Betreiber kritischer Infrastrukturen in ihrer Einrichtung eine Kontaktstelle für die Behörden schaffen, die bei einem meldepflichtigen Zwischenfall die Behörden informiert und die Kommunikation mit diesen führt. IT-Störungen müssen die betroffenen Krankenhäuser fortan an das BSI melden. Die eingesetzte Technik muss dem aktuellen Stand entsprechen. Diese Vorgabe findet sich schon seit langem im deutschen Datenschutzrecht. Zudem müssen die Krankenhäuser den aktuellen Stand der eingesetzten Technik im Zwei-Jahres-Turnus gegenüber dem BSI nachweisen.

Soll Sicherheitsgesetz auch auf kleinere Krankenhäuser ausgeweitet werden?

Der Ärzteverband „Marburger Bund“ kritisiert das Vorhaben – weil nur die großen Krankenhäuser davon erfasst werden. Kleinere Krankenhäuser müssen die strikteren Sicherheitsvorgaben nicht einhalten, obwohl auch sie bspw. in Deutschland von der WannaCry-Attacke betroffen waren und Schäden in Millionenhöhe zu verzeichnen haben. Kleinere Krankenhäuser nicht als kritische Infrastruktur einzubinden gehe folglich an der Versorgungsrealität vorbei, so die Ärzte des Marburger Bundes.

Es ist ohnehin fraglich, ob zur Bewertung als kritische Infrastruktur langfristig die Behandlungszahlen herangezogen werden. Electronic und Digital Healthcare wachsen, ebenso wie Nutzung von Wearables zur Aufzeichnung der Gesundheitsdaten. In absehbarer Zeit können für Ärzte erforderliche Daten bei Bedarf (in Echtzeit) übermittelt werden, unbenommen wie groß das Krankenhaus ist. Neue elektronische und digitale Behandlungsmethoden mögen aktuell noch großen Krankenhäusern vorbehalten sein. Mit weiterem Fortschritt, erschwinglicherer Technik und breiterer Ausbildung für das Personal wird Electronic und Digital Healthcare nicht großen Einrichtungen vorbehalten bleiben. Am Ende der Entwicklung werden auch Hausärzte mit der entsprechenden Technik ausgestattet sein. Die Beschränkung des IT-Sicherheitsgesetzes auf große Krankenhäuser dürfte daher nur von kurzer Dauer sein.