Unser Datenschutz-Update im November 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den November 2023.

1. Nachrichten aus der Welt des Datenschutzes

Kann man auf einen angemessenen Schutzniveau der Datenverarbeitung verzichten?

Gemäß Art. 32 DSGVO müssen Unternehmen ein angemessenes Schutzniveau bei der Verarbeitung von personenbezogenen Daten gewährleisten. Was angemessen ist, richtet sich nach der Art der personenbezogenen Daten – sensible Daten wie Gesundheitsdaten oder „nur“ Emailadressen -, dem Risiko, das Betroffenen bei einer Datenschutzverletzung droht, dem Stand der Technik und den Kosten für die Umsetzung der Sicherheitsmaßnahmen. Je höher das Risiko für die Betroffenen oder je sensibler die Daten, desto höher müssen im allgemeinen auch die technischen und organisatorischen Sicherheitsmaßnahmen sein. 

Gerade im Umgang mit Gesundheitsdaten bedeutet dies natürlich oft einen erheblichen Aufwand. Insofern stellen sich Unternehmen (und auch öffentliche Einrichtungen wie Krankenkassen) immer wieder die Frage, inwieweit es möglich ist, dass Betroffene auf ein angemessenes Schutzniveau bei ihrer Datenverarbeitung verzichten können. 

Beschleunigung der Digitalisierung 

Tatsächlich wird dies auch von Aufsichtsbehörden und in der Gesetzgebung diskutiert, zum Beispiel im Entwurf zu dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens des Bundesministeriums für Gesundheit. 

Sollte es bald möglich sein, sich von Betroffenen einen Verzicht auf ein angemessenes Schutzniveau bei der Datenverarbeitung bestätigen zu lassen? So einfach ist es dann doch nicht. Sowohl in der Rechtsprechung, den Auffassungen der Aufsichtsbehörden sowie den Ideen der Rechtsprechung zeigen sich klare Grenzen, zumindest im Hinblick auf Gesundheits- und Sozialdaten.

Einige Aufsichtsbehörden lehnen jedweden Verzicht auf Einhaltung des Sicherheitsniveaus ab, so zum Beispiel das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bezogen auf Sozialdaten:

Die Einhaltung der Regeln zur Datensicherheit ist nicht verhandelbar.“ (Tätigkeitsbericht 2019)

In manchen Gerichtsurteilen wurde schon mal ein Verzicht auf die Nutzung von Verschlüsselungstechniken (Email-Versand) bei Sozial- und Gesundheitsdaten als wirksam angesehen, trotzdem bleibt es bei einer Einzelfallbeurteilung nach strengen Kriterien. 

Dies entspricht der Auffassung, die im Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK)(24. November 2021) vertreten wurde zur Frage einer Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen. 

  • Darin kam man zu dem Schluss, dass die technischen und organisatorischen Maßnahmen (TOMs) gem. Art. 32 DSGVO objektive Rechtspflichten für die Verantwortlichen darstellen. Sie sind damit nicht mit den Betroffenen „verhandelbar“. 
  • Trotzdem sehen die Behörden die Notwendigkeit bzw. die Möglichkeit, dass im Einzelfall auf ausdrücklichen Wunsch einer informierten betroffenen Person auf bestimmte technische und organisatorische Maßnahmen in bestimmtem Umfang verzichtet werden kann.

Auf welche Maßnahmen sich diese Möglichkeit bezieht, ist nicht klar festgelegt. In den meisten Fällen, in denen eine solche Ausnahme als wirksam erachtet wurde, geht es um die unverschlüsselte Kommunikation bzw. Übersendung von sensiblen Daten wie Gesundheits- und Sozialdaten.

Urteile zum Verzicht auf bestimmte Sicherheitsmaßnahmen

So urteilte das Sozialgericht Hamburg, dass eine unverschlüsselte Übersendung von Sozialdaten an eine blinde Person aufgrund ihrer ausdrücklichen Forderung, nach angemessener Information möglich sei, um eine Benachteiligung der betroffenen Person zu vermeiden, die ansonsten bestehen würde. Es muss also in jedem Fall eine Abwägung zwischen dem erforderlichen Schutzniveau und dem Selbstbestimmungsrecht der betroffenen Person stattfinden. So ist auch nach den Feststellungen der DSK immer der eigeninitiativ geäußerte Wunsch der betroffenen Person notwendig.

Entwurf zu dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens

Nichts anderes sieht der Referentenentwurf zum oben genannten Gesetz vor, nämlich, dass:

„der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten des Verfahrens in die Nutzung eines Authentifizierungsverfahrens einwilligen kann, das einem niedrigeren Sicherheitsniveau entspricht.“

Fazit: Es wird auch in Zukunft nicht möglich sein, das erforderliche Sicherheitsniveau bei der Verarbeitung personenbezogener Daten mit den betroffenen Personen vertraglich herabzusetzen. Der bereitgestellte Sicherheitsstandard muss für das Risiko für die verarbeiteten Daten immer angemessen sein. Jedoch kann es möglich sein, dass im Einzelfall nach Abwägung der Interessen betroffene Personen nach umfassender Information auf bestimmte Sicherheitsmaßnahmen verzichten können. 

Gesundheitsanwendungen und Clouddienste – Positionspapier der DSK

Im Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen vom 06.11.2023 geht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) auf verschiedene Aspekte des Datenschutzes bei Gesundheitsanwendungen ein. Bei jeder Form der digitalen Verarbeitung von Gesundheitsdaten sind demnach gehobene Anforderungen an Datenschutz und Datensicherheit zu stellen. 

Clouddienste

Cloudfunktionen sollten standardmäßig deaktiviert sein (Privacy by Design and Default).

Forschung und Qualitätssicherung

Datenverarbeitung für Forschungszwecke oder zum Zwecke der Qualitätssicherung z.B. im Bereich der Medizinprodukte sind zwar unter Berücksichtigung der gesetzlichen Vorgaben grundsätzlich möglich. Jedoch ist die Verarbeitung zu Zwecken der Reichweitenanalyse oder zur Fehleranalyse in der Software nach Auffassung der DSK unzulässig. Diese Meinung sollte man im Hinterkopf behalten, da vielfach versucht wird, Fehleranalysen als erforderliche Funktionen einzuordnen, bei denen das berechtigte Interesse des Verantwortlichen überwiege. Zumindest im Gesundheitsbereich ist hier Vorsicht geboten.

Benutzerkonto

Soweit der medizinische Nutzung, der durch die Anwendung erreicht werden soll, ohne die Einrichtung eines Benutzerkontos möglich ist, sollte die Nutzung unabhängig von einem Benutzerkonto zugänglich sein.

Identitätsprüfung bei Betroffenenrechten

Gesundheitsdaten stellen sensible Daten i.S.v. Art. 9 DSGVO dar. Um die Sicherheit der Gesundheitsdaten zu gewähren, ist besondere Aufmerksamkeit auf eine sichere Identitätsprüfung zu legen, zum Beispiel bei Auskunftsersuchen und Geltendmachung anderer Betroffenenrechte.

Technische Richtlinie für Anforderungen an Anwendungen im Gesundheitswesen

Schon bei der Entwicklung von Anwendungen im Gesundheitswesen sollte berücksichtig werden, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. Deshalb sollten die technischen Richtlinien ( BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen) hierzu berücksichtig werden. 

Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler:innen von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. Denn, so heißt es in der Einleitung zu den Richtlinien: „Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern.“

Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von KI“ inkl. Checkliste

Am 07.11.2023 hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg das Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ veröffentlicht. 

Vorab wird in diesem Papier festgestellt, dass als erster Schritt immer zu prüfen ist, ob personenbezogene Daten verarbeitet werden, um den Anwendungsbereich der DSGVO zu eröffnen, da die DSGVO keine spezifischen Regelungen zum Einsatz von KI beinhaltet. Sind personenbezogene Daten betroffen, ist die DSGVO umfassend zu berücksichtigen.

In jeder Phase des Einsatzes von Künstlicher Intelligenz werden personenbezogene Daten verarbeitet. Entsprechend ist für die datenschutzrechtliche Beurteilung jede dieser Phasen gesondert zu betrachten. Gemäß dem Diskussionspapier werden folgende Phasen unterschieden:

  • Erhebung von Trainingsdaten für 
  • Verarbeitung von Daten für das Training von KI
  • Bereitstellung von KI-Anwendungen
  • Nutzung von KI-Anwendungen
  • Nutzung von Ergebnissen nach dem Einsatz von KI-Anwendungen

In jeder Verarbeitungsphase sind folgende Punkte zu klären: 

  • Wer ist Verantwortliche:r im Sinne der DSVGO?
  • Liegt eine gemeinsame Verantwortlichkeit vor? 
  • Wer ist als Auftragsverarbeiter:in tätig?

Eine Auftragsverarbeitung liegt zum Beispiel vor, wenn ein Unternehmen eine:n Dienstleister:in nutzt und diese:r Dienstleister:in eine Cloud-basierte KI-Anwendung anbietet.

Daran anschließend geht das Diskussionspapier auf die Rechtsgrundlagen der DSGVO ein, deren Voraussetzungen geprüft werden müssen, damit sie im jeweiligen Fall einer Verarbeitung von personenbezogenen Daten unter Verwendung eines KI-Systems in Betracht kommen. Neben der DSGVO sind weitere Regelungen zu beachten, wie der Beschäftigtendatenschutz nach § 26 BDSG. Auf diese und andere nationale Regelungen wird in dem Papier ebenfalls eingegangen.

Das Diskussionspapier steht auf der Homepage zum Abruf. Dort können Interessierte das Papier bis zum 1. Februar 2024 kommentieren und mitdiskutieren.

2. Entscheidungen des Monats

Datenschutzbehörde Irland: Berechtigte Verweigerung der Löschung von Daten

Die Airbnb Ireland wurde von einem auf der Plattform registrierten Host aufgefordert, sämtliche über ihn gespeicherte personenbezogene Daten zu löschen und widerrief gleichzeitig die Einwilligung der weiteren Verarbeitung dieser Daten. Das Unternehmen sagte der Löschung zu unter der Voraussetzung, dass nicht nach Vorschriften der DSGVO die Berechtigung bestünde, diese Daten aufzubewahren. Als der Antragsteller keine weiteren Informationen mehr über die Angelegenheit erhielt, reichte er Beschwerde bei seiner Datenschutzbehörde ein. Die irische Datenschutzbehörde übernahm als federführende Behörde das Verfahren. 

Airbnb brachte ihrerseits vor, der Host und Beschwerdeführer unterhalte auf der Plattform acht Konten. Diese wurden 2018 nach einem Angriff auf einen Gast gesperrt. Zum einen stünde Airbnb als Verantwortlichem damit ein berechtigtes Interesse, nämlich an der Sicherheit der Plattform, zu, um diese Daten weiter zu speichern. Darüber hinaus bestehe die Möglichkeit, dass die Daten in einem Zivil- oder Strafprozessverfahren angefordert würden.

Die irische Aufsichtsbehörde traf eine vorläufige Entscheidung. Zu berücksichtigen war, dass kein offizielles Ersuchen einer Stafverfolgungsbehörde ergangen war. Trotzdem kam die Behörde nach Abwägung zu dem Schluss, dass Airbnb ein berechtigtes Interesse daran habe, die Sicherheit der Plattform zu gewährleisten, die Möglichkeit einer polizeilichen Ermittlung zu berücksichtigen und deren Verlauf nicht zu behindern und sich außerdem vor einer möglichen Haftung für vorzeitige Löschung der Daten zu schützen. Die Aufsichtsbehörde sah keine überwiegenden Interessen des Betroffenen, die diesem Interesse entgegenstünden. 

Das Recht auf Löschung war damit eingeschränkt. 

Zusätzlich hatte Airbnb anwaltlich prüfen lassen, welche Daten es für erforderlich halte und nur diese aufbewahrt. Damit sah die Behörde auch keine Verletzung des Grundsatzes der Datenminimierung. 

Die Aufsichtsbehörde erkannte lediglich einen Verstoß der Verantwortlichen gegen Art. 12 Abs. 4 DSGVO und ihre Pflicht, den Betroffenen ausreichend über seine Rechte zu informieren und über den Stand der Bearbeitung seines Antrags zu unterrichten.

Nachdem die vorläufige Entscheidung den EU-Aufsichstbehörden vorgelegt wurde und keine Einwände erhoben wurden, erging nun die endgültige Entscheidung mit identischem Inhalt. 

Mehr dazu finden Sie hier: Entscheidung der Aufsichtsbehörde 

3. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Abonnieren Sie unsere Tipps und Tricks.
  • Lesen Sie unsere kostenlosen E-Books.
  • Informieren Sie sich über unsere Leistungen.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: