Zum Inhalt springen

EU-Gesundheitsdatenraum beschlossen – Datenschutz News KW 12/2024

    migosens Podcast
    Moderation:
    avatar
    Gregor Wortberg
    avatar
    Natalia Wozniak

    Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    Empfehlungen & Lesetipps:

    • Kostenlose Datenschutz-Schulungen für Berliner Start-ups, Kleinunternehmen und Vereine
    • Tätigkeitsberichte 2023

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/datenschutz-verstoße-bei-m365-nutzung-durch-eu-kommission-datenschutz-news-kw-11-2024

    #TeamDatenschutz #TeamInfoSec #DSTalk

    Transkript zur Folge: Herzlich willkommen zum Datenschutztalk. Ihr im wöchentlichen Datenschutz ab, Um zehn Uhr. Mein Name ist Gregor Worldberg und nach ihrer Premiere in unserer Ausgabe von zwei Wochen ist meine Kollegin Natalia wieder bei uns. Hallo, haben wir dabei zu Themen aus vergangenen Ausgaben, Und ähm ja, welche Themen hast du denn diese Woche mitgebracht? Ich habe tatsächlich einen bunten Strauß an Themen. Ich würde gerne nachher mit der Pflicht Oder mit den ähm ja etwas Neuem bezüglich der Pflicht zur DSB-Bestellung anfangen, Ich habe auch etwas zu dem Fingerabdruck im Personalausweis mitgebracht, ebenfalls ein Update. Gleich mit der Anonymität bei der Plattform fragt den Staat im Rahmen des Informationsfreiheitsgesetzes neue Erkenntnisse gibt’s äh rund um die Übertragung der Kommunikation mit. Mitgebracht zur Beschwerde gegenüber der EU-Kommission bezüglich LinkedIn Sollen wir starten? Dann geht es jetzt um die DSB-Bestellung. Aktuell gibt es anlässlich der geplanten Stellungnahmen zum neuen Entwurf für das BDSG gibt es die Ansicht des Innenausschusses der Länderkammer Ersatzlos aufgehoben werden sollte. Da, wo es ja Stimmen dafür gibt, gibt es natürlich auch Stimmen dagegen. Vielleicht auch mal einmal für unser Zuhörer. Paragraf 38 BDSG enthält die, Person ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder wenn Kerntätigkeit im Umgang mit besonderen sensiblen persönlichen Informationen liegt. Das bedeutet im Grunde genommen, Durch diesen Paragraf 38 BDSG, das in Deutschland. Deutsche verantwortliche Stellen, in mehr Fällen trifft als in Mitgliedsstaaten, die nur die DSGVO-Regelung anwenden und damit keine eigene, vergleichbare nationale Regelung zur Bestellpflicht haben. Sollte sich der Innenausschuss nun mit der Forderung oder mit seiner Stellungnahme Bestellpflicht vorhanden ist oder im Gesetz ähm enthalten wäre. Heißt es ja nicht, dass die Anforderungen der Datenschutzgrundverordnung nicht umgesetzt werden brauchen. Vielmehr müsste das Unternehmen oder müssten Unternehmen, die davon betroffen wären, genau die gleichen Anforderungen erfüllen wie jetzt, denn die ergeben sich überwiegend aus der DSGVO, jedoch ohne dass dabei ein fachkundige DSB unterstützen würde. Das heißt, es wäre keiner vor Ort im Unternehmen, der ähm bei Prozessen beraten eingebunden werden könnte und gegebenenfalls auf Risiken hinweisen könnte. Deswegen gibt es auch Gegenstimmen gegen diese, ja, Meinung des Innenausschusses. Die Meinung wird als Schritt in die falsche Richtung gesehen und verstanden Und tatsächlich würde ich das meiner Meinung nach genauso sehen. Doch in Vergessenheit, wenn grad kein Datenschutzbeauftragter bestellt ist, zumal wie du ja auch sagst, die Regelung ja so oder so gelten für alle Unternehmen. In meiner ersten Meldung geht’s um mein Urteil des Bundesverwaltungsgerichts. Das hat in dieser Woche am Mittwoch entschieden, dass Antragsteller auf der Webseite frag den Staat Punkt DE, welche ja im Rahmen des Informationsfreiheitsgesetzes erfolgen, kein Anonymität haben. Konkret geht es vorliegen Erfragt, um die Anfrage beantworten zu können und in Folge hat sie dafür dann eine Verwarnung des Bundesbeauftragten für Datenschutz und Informationsfreiheit wegen Verstoßes gegen die DSGVO erhalten, Die Klage des Ministeriums richtet sich jetzt auch genau gegen diese Verwarnung, also jetzt nicht ähm gegen die Plattform oder gegen den Antragsteller. Das OVG Münster hatte zuletzt geurteilt, dass die Postanschrift nicht erforderlich sei, da ja auf die E-Mail-Adresse geantwortet werden könne. Dies würde dann ja in dem Umfang, äh je nachdem, wie die E-Mail-Adresse auch gestaltet ist, auch zu einer Anonymität führen, ne, wenn es jetzt kein Klarname in dem in der E-Mail-Adresse enthalten sein sollte. Diese Einschätzung äh teilt das Bundesverwaltungsgericht nicht und sagt jetzt in dem Urteil, dass die Verarbeitung sich auf Paragraf drei des Bundesdatenschutzgesetzes, äh welche ja die Verarbeitung zur Erfüllung von Aufgaben öffentlicher Stellen äh in Verbindung mit dem Informationsfreiheits, gestützt werden könne und äh das Information zwei jetzt lasse nun mal keine anonymen Anträge zu. Das heißt auch, dass Antriebssteller in der Regel hinnehmen müssten, dass trotz vorhandener E-Mail-Adresse der Postweg gewählt. Werde von den äh jeweiligen öffentlichen Stellen, da dies halt zur Auftragserfüllung oder auch zur Auftrag Bearbeitung, Antragsbearbeitung halt erforderlich sein. Kleiner Funfact am Rande, wie ich finde. Dem Antragsteller ja per Post kommuniziert und die Adresse und den Namen nur angefragt Um den Antrag letztlich schriftlich per Post direkt abzulehnen. Ist auch toll. Das hätte ich jetzt auch per E-Mail machen können. Gut, dann machen wir direkt weiter mit der nächsten Meldung. Wir sind hier auf EU-Ebene Und zwar hat das Europäische Parlament und der Rat eine politische Einung darüber, Diese sollen Bürger erhalten, Um ähm ja damit die Versorgung, äh Gesundheitsversorgung über Ländergrenzen hinweg zu verbessern und auch einen leichteren Zugang zu Rezepten, Bilddaten, Labortests und weiteren Daten zu erhalten. Und zwar unabhängig davon, ob sich die Bürger grade im EU oder Ausland aufhalten. Von daher vielleicht an sich, Von der Idee gar nicht verkehrt. Ähm zugleich sollen auch die Angehörigen der Gesundheitsberufe Zugriff auf die Patientenakten erhalten, wenn es für die Behandlung in einem anderen Mitgliedsstaat erforderlich ist. Mit dieser europäischen Gesundheitsunion sollen zwei Ziele verfolgt werden. Und zwar soll eine bessere Gesundheitsversorgung in der gesamten EU erreicht werden als primäre Verwendung, Es soll aber auch die Forschung und die öffentliche Gesundheit gestärkt werden, In dem Gesundheitsdaten auch hm für eine bessere Gesundheitsversorgung, Forschung, Innovation, aber auch, Wobei ich mich bei dem letzten Wort frage, was das genau werden soll, genutzt werden sollen, also als sekundäre Verwendung. So ähm gleichzeitig soll die Einhaltung der hohen Datenschutzstandards in der EU uneingeschränkt gewährleistet werden. Nächste Schritte Wären jetzt? Ich hatte am Anfang gesagt, dass ich das Europäische Parlament und der Rat sich politisch geeinigt haben. Der nächste Schritt ist erst die neue Verordnung jetzt auch förmlich angenommen wird. Sodass wir hier in mehreren Schritten die Geltung erreichen können. Allerdings ähm. Haben wir auch ein paar Kritikpunkte daran. Und zwar für mich persönlich jetzt auch befremdlich, soll die Teilnahme oder die Nutzung der digitalen Gesundheitsakte nicht von einer Einwilligung Abhängig gemacht werden, sondern dem Bürgern soll, ich sage mal, an ja Anführungszeichen lediglich ein Widerspruchsrecht eingeräumt werden. Also die Bürger sollen nachträglich die Möglichkeit erhalten, zu widersprechen. Ähm dementsprechend hat auch das deutsche Gesundheitsministerium abgekürzt 2022 berichtet. Wir verlinken das in den. Dass die Datenfreigabe aus der elektronischen Patienten. Grundsätzlich er wird KI-Anwendungen. Äh ich glaube, das Thema ist ja spätestens, Untersuchungen gegeben israelischer Forscher. Ähm da wurden die Ergebnisse. Von äh Sprach-KIs, wie beispielsweise mit hoher Zuverlässigkeit zu rekonstruieren. Also die Forscher haben jetzt nicht die ähm TLS-Verschlüsselung, also die Transportverschlüsselung, sondern ähm sich mit den Antworten ähm von den Sprach-KIs befasst also mit den verschlüsselten Daten, die letzten Endes übermittelt und abrufbar äh abgerufen werden konnten. Ähm Ähm eigens äh KIs dann wieder ausgerichtet und diese haben dann diese Antworten untersucht. Quasi eine KI programmiert, um die Antwortenlogik von Chad GPT oder anderen. Sprach KIS dann zu untersuchen und so konnte dann in 29 Prozent der Fälle Die Antwort exakt wiedergegeben werden, was schon ein erstaunlicher Wert ist, wie ich finde. Und in fünfundsiebzig, Die Antwort konnte erkannt werden. Die Fragestellung, die dein Nutzer eingegeben hat Nichtsdestotrotz auch aus der Antwort kann ich äh wenn ich da jetzt äh gewisse unterstreicht natürlich erneut ähm die Erforderlichkeit ähm der Schulung und Sensibilisierung von Beschäftigten im eigenen Unternehmen das halt nicht personenbezogene, aber halt auch betriebs äh Daten, in diese Dienst eingegeben werden beziehungsweise das hat auch, Planken für die Beschäftigten ähm geschaffen werden sollten. Ich find’s tatsächlich ähm überraschend viel, wenn du sagst, 29 Prozent der Fälle, wo dann die Antwort exakt äh ja nachvollzogen werden konnte, weil so wie du sagst, die Antwort selber kann auch schon einiges an Informationen enthalten, auch wenn man die Frage vielleicht nicht kennt Ähm das wäre ja fast jeder dritte Antwort. KE wird wahrscheinlich auch viele ja Überraschungen noch für uns halten. Ich glaube, das wird ein Thema, was uns länger beschäft Okay, so etwas, was uns auch länger beschäftigt, ist ein Update zu ATNT. Und zwar sollen bereits im Jahr 20einund2. Auch hier haben wir bereits ähm Nun, wir haben jetzt zwanzig4zwanzig ähm sind diese 70 Millionen Datensätze, nach Bericht von Heise frei verfügbar beziehungsweise wurden jetzt veröffentlicht. Die Datensätze umfassen Sozialversicherungsnummer, Namen, Anschriften, Geburtsdaten und E-Mail-Adressen und Telefonnummern. Ähm Etientie hat zwar zwanzig einundzwanzig ähm ja nicht bestätigt, dass äh die angeblich erbeuteten Daten tatsächlich aus einem Cybereinbruch in die eigene Datenbank stammen. Allerdings äh sollen ebenfalls nach Bericht von Heise aktuell IT-Forscher. Echte Daten handelt, die aktuell veröffentlicht wurden. Was nun richtig ist. Verwendet werden durch Cyberkriminelle, nicht doch noch irgendwann ans Tageslicht kommen. Von daher, ich finde, drei Jahre ist tatsächlich ein langer Zeitraum, wo dann die Daten irgendwo geschlummert haben, um sie jetzt zu veröffentlichen. Das baden-württembergische Innenministerium hat sich mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg Professor Tobias Kewe auf eine Lösung bezüglich der Ortung von Notrufen unter der 110 geeinigt. Ist ähm ein Thema, glaube ich, was ähm, Ähm wir haben uns dazu entschieden, dass äh gerne dann auch nochmal sie darüber zu informieren über diese Neuentwicklung. Jetzt ist nämlich auch diese Weitergabe der Standortdaten ähm in einem bundesweiten Pilotbetrieb erlaubt worden. Standortdaten unproblematisch, technisch bei Anrufen, Notrufen unter der 1 eins automatisiert erhoben werden können. Bei der 110 ist das bisher nicht der Fall gewesen. Die Ortungsdaten aus ganz Deutschland fließen zwar zentral nach Baden-Württemberg, äh können aber wegen der Rechtsgrundlage oder wegen der Rechtslage im Allgemeinen oder nach fehlenden Rechtsgrundlage ähm, Daten für. Die Einigung beziehungsweise der Pilotbetrieb sieht jetzt vor, dass diese nur im Falle äh der Erbrigen von Hilfeleistungen durch die Polizei genutzt werden können. Also zum Beispiel bei Verunglückung. Bei Gefahr für Leib und Leben et cetera und eine Nutzung zur Ermittlungszwecken ausbleibt. Das ist natürlich da auch das Risiko, was da gesehen äh wurde. Ähm Das ist auch nicht auch der Hintergrund letzten Endes, da die Hilfeleistung, also der Schutz von Leib und Leben, beziehungsweise die Rettung von ähm Personen, nicht der ursprüngliche Aufgabenbereich der Polizei, sondern eben der Feuerwehr ist, ähm gab es ja bisher diese automatisierte Standardbestimmung nicht und äh beziehungsweise keine Rechtsgrundlage dafür, als der Feuerwehr. Es macht ja durchaus Sinn, dass wenn jetzt tatsächlich Leib und Leben davon abhängt, dass dann auch der Datenschutz natürlich da nicht die Hürde stellen soll, wenn es darum geht, Leib ein Leben zu retten. Ja, deine fehlende Rechtsgrundlage. Also ich ähm ohne diese Meldung wäre ich jetzt fest davon ausgegangen, dass die Polizei sowieso schon dazu in der Lage gewesen wäre, wenn ich da dann dann doch mal anrufe, was jetzt zugegebenermaßen selten vorkommt. Äh glücklicherweise. Ähm äh dass die in der Lage dazu wären, unkompliziert gerade im digitalen Zeitalter in dem man sich jetzt nun mal befindet, Aber haben wir wieder was gelernt und ich denke dann an eine positive Entwicklung an der Stelle. Ich habe ein Update mitgebracht äh auch hier haben wir bereits berichtet und zwar zuletzt äh in unseren Datenschutz-News für die KW sechsundzwanzig im Jahr zwanzig dreiundzwanzig. Es geht um die Vorlagefrage des Verwaltungsgerichts Wiesbaden, die dem EuGH zur Vorabentscheidung, ja, ähm ja, vorgelegt wurde. Da geht’s nämlich darum, ob die Verordnung EU zwanzigneunzehn elf siebenundfünfzig. Also die Verordnung zur Erhöhung der Sicherheit vom Personalausweisen der Bürger der Europäischen Union, ob diese Verordnung gültig ist. Diese Vorlagefrage wurde nun durch den EuGH geklärt. Daraus ergibt sich aktuell die Verpflichtung der Mitgliedsstaaten in das Speichermedium von Personalausweisen Das heißt also in die Personalausweise der Bürger zwei Fingerabdrücke. Digital aufzunehmen. Das heißt äh aktuell haben, Deren Besitzer gespeichert. Nun hat der EuGH also diese Verordnung ja für ungültig erklärt. Finde ich Da würde ich äh ihnen jetzt diese ersparen. Die können sie in dem Urteil nachlesen. Ähm allerdings, bleibt die Verordnung, obwohl sie jetzt für ungültig erklärt wurde durch den EuGH, noch weiterhin ja ähm in Wirkung. Oder zumindest bleiben die ähm die Regelungen dieser Verordnung weiterhin wirksam und die Verordnung aufrechterhalten Der EuGH hat nämlich eine angemessene Frist ähm bis zum 31. Dezember 226 gesetzt. Eine, die die aktuelle Verordnung ersetzt und bis dahin muss Sollte eben die neue Verordnung in Kraft treten und solange bleibt die Eigentlich für ungültig erklärte Verordnung noch wirksam. Das heißt, die Personalausweise dürfen wir nicht wegschmeißen, müssen wir weiter verwenden. Ich habe auch noch ein Update mitgebracht haben wir über die Beschwerden ihrer Bürgerrechtsorganisation, berichtet wegen möglicher Verstoße gegen den Digital Services act Unter anderem aufgrund der Online-Werbung auf Basis äh der Verarbeitung sensibler Personenbezogener Daten. Die EU bezüglich der Vorwürfe geschickt Bei unzureichenden Antworten kann die Kommission dann auch noch eine förmliche Untersuchung einleiten. Insbesondere er fragt die Kommission wohl laut äh eigener Pressemitteilung, weitere Details, wie LinkedIn mit dem Verbot Werbung auf Grundlage von Profiling unter der Verwendung Personen Kategorien persone Daten nun halt umgeht, Ja, ist der erste Schritt, um dem weiter nachzugehen. Das als kurzes Update und wenn es da dann weitere Ergebnisse gibt, ähm beziehungsweise die ähm. Dann würde ich sagen gehe ich über zu unseren Lesetipps, für Datenschutz und Informationsfreiheit bietet einen besonderen Service an und zwar auch dieses Jahr eine kostenlose Schulung zum Thema Datenschutz an. April kann die Fortbildungsreihe für ja kleinere Unternehmen, Vereine oder Start-ups ähm, Genutzt werden und die Anmeldung ist äh über die Webseite der Berliner Datenschutzbeauftragten. Meine Lesetipps sind eigentlich drei Lesetipp Sehr zu empfehlen und auf den Webseiten äh der jeweiligen Behörden abrufbar. Das verlinken wir natürlich auch wieder wie immer äh in unseren Shownotes für Sie. Irgendwie fällt mir gerade auf, dass wir auch das Thema KI und Gesundheitswesen nicht nur als. Gucken, was wir so berichten. Nein, ich glaube, das sind Themen, die die einfach am Zahn der Zeit sind und uns äh wir wissen’s ja auch alle im letzten Jahr ähm, beschäftigt haben und äh wahrscheinlich dann jetzt auch noch weiter beschäftigt werden ähm aufgrund der Urteile der Verordnungen, die ja jetzt auch noch Wirkung für die Zukunft haben werden. Und ähm, um um das noch mal weiter zu strapazieren, genau. So sieht’s aus. Ich glaube, wir haben’s, ne, für diese Woche. Genau Und dann ähm wünschen wir ihnen, äh liebe Zuhörerinnen und Zuhörer, falls uns am Freitag hören, einen guten Start ins Wochenende, uns am Montag hören, einen guten Start in die neue Woche und vorab schon mal schöne Osterfeiertage.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Das könnte Sie auch interessieren

    TCF verstößt gegen die DSGVO – DS News KW 20/2025

    migosens DS-Talk

    530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

    NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025