EuGH entscheidet zu Gesundheitsdaten – Datenschutz News KW 51/2023

Moderation:

Was ist in der KW 51 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• EuGH- Entscheidung zu Gesundheitsdaten (Rs. C-667/21)
• LDI NRW äußert Bedenken zum Outlook-Update
• CitrixBleed: 36 Millionen Kundendaten abgeflossen
• Österreich: Regelung zur Durchsuchung von Handys und anderen Datenträgern ist verfassungswidrig
• Prof. Ulrich Kelber bleibt gerne BfDI

Empfehlungen & Lesetipps:

• Menschen, Bilder, Datenschutz – der Jahresrückblick des Datenschutz Talk Podcast
  • 29.12.2023, 12 Uhr

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/eugh-entscheidet-zu-gesundheitsdaten-datenschutz-news-kw-51-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Was ist getan? Ja. Mega, danke. Herzlich willkommen zum Datenschutztalk im Podcast für die Themen Datenschutz und Informationssicherer, Wir begrüßen Sie zu einer weiteren Folge unserer wöchentlichen Datenschutz-News. Heute ist Freitag, der 22. Dezember zweitausenddreiundzwanzig. Zwei Tage vor Weihnachten, lieber David, schön, dass du an meiner Seite bist heute. Hm, hallo Laura, ich freue mich auch. Ja unser Redaktionsschluss war wie immer heute um zehn Uhr ähm was haben wir sonst noch so zu sagen? Was hat’s denn bei dir auf den Zettel geschafft heute? Ähm bei mir hat’s heute auf den Zettel geschafft ein ähm druckfrisches EuGH-Urteil von gestern. Dann berichten wir noch mal über die äh Zitrix Sicherheitslücke, haben wir schon mehrfach in diesem Jahr gemacht, aber jetzt hat es noch mal jemanden auch erwischt. Dann habe ich auch noch ein Update zum ähm Stand BFDI. Wie sieht’s bei dir aus, Laura? Ich habe einmal ähm eine Pressmitteilung von der Landesdatenschutzbeauftragten aus NRW mitgebracht zu dem E-Mail-Programm Outlook von Microsoft und eine Entscheidung vom Verfassungsgerichtshof, In Wien. Ähm ist also überschaubar heute, aber ich muss ja sagen, ich bin ja schon ein ganz klein wenig aufgeregt Weil ich glaube, unsere tollen Zuhörerinnen und Zuhörer wissen’s ja, wir ähm zeichnen bald die Silvestershow auf von unserem Datenschutz-Talk-Podcast und ähm ja, ich bin wie gesagt ähm aufgeregt, aber auch voller Vorfreude. Wer kommt denn alles. Ja unsere Liste ist mal wieder lang dieses Jahr, zwar nicht so lang wie letztes Jahr, aber da waren wir auch mit über vier Stunden Aufnahmezeit ja auch ähm ja sehr äh großzügig unterwegs, aber in diesem Jahr begrüßen wir ähm Doktor Maret Hansen Ähm Professor Alexander Golland, Doktor Karls, Stefan Hesse und Maximilian Herrmann. Äh ja, ich freue mich total auf diese, ja, besondere Gästeliste wieder. Das Datenschutzes. Das äh kann man so sagen und natürlich auch mein ähm allergrößten Respekt für dich und den lieben Heiko, ähm dass ihr euch da wieder so reinhängt. Ich äh bekomme das ja mit Wie viel Arbeit dahinter steckt? Viel viel mehr als äh für so eine normale Folge des Datenschutztalks und ähm ich glaube, das wird wieder ganz, ganz toll. Das ist lieb, dass du das sagst. Wie gesagt, ähm Freude ist groß und ich bin total auf das Ergebnis gespannt. Also wer reinhören möchte, am neunundzwanzigsten 12, also nächste Woche Freitag, werden wir die Folge um 13 Uhr veröffentlichen. Ich bin total aus Feedback gespannt und deshalb auch nach außen ähm gerne äh schon mal der Appell, uns eine Rückmeldung zu geben, ähm wie denn die Folge gefällt, Aber dann äh würde ich’s vorschlagen. Ähm diese Woche ist ja auch schon ein bisschen was passiert. Deshalb David startet doch mal mit dem neuen EuGH Urteil zu dem Gesundheitsdaten. Ja gerne, ich hab’s ja gesagt, ähm frisches äh Urteil vom Europäischen Gerichtshof gestern am 21.12. ähm getroffen und das Gericht hat sich hier mit Gesundheitsdaten und ähm auch noch mal, Mit dem Schadenersatz befasst. Hintergrund war ein Verfahren aus Deutschland, das vor dem Bundesarbeitsgericht verhandelt wird, Ein äh Mitarbeiter des medizinischen Dienstes der Krankenversicherung, kurz MDK, hatte geklagt Der MDK ist die Begutachtungsstelle und der Beratungsdienst der Krankenkassen in Deutschland und in diesem Fall, Wurde ein Gutachten, das den eigenen Mitarbeiter betrifft, erstellt. Davon erfuhr dieser Mitarbeiter und. Bat eine Kollegin darum, den Bericht einzusehen, Anschließend verlangte der Mitarbeiter dann äh Schadenersatz wegen Verletzung seiner Rechte nach der Datenschutzgrundverordnung in Höhe von sage und schreibe 20.000 Euro, weil nach seiner Auffassung im Rahmen des Gutachtens, seine Gesundheitsdaten ohne Rechtsgrundlage verarbeitet wurden. Die Rechtsgrundlage aus dem Sozialgesetzbuch, die ihr sonst für, diese Gutachten herangezogen wird, ist nämlich nicht anwendbar, wenn der Betroffene selbst ein Mitarbeiter ist, der MDK durfte, seiner Meinung nach, Gutachten auch nicht speichern, weil diese Gutachten nach dem Sozialgesetzbuch eigentlich nicht an den Arbeitgeber, sondern nur an die Krankenkasse weitergegeben werden dürfen. Der MDK argumentierte dagegen, er habe die Daten im Auftrag der Krankenversicherung verarbeitet, also nicht in seiner Form als Arbeitgeber. Außerdem habe der Mitarbeiter den Schaden selbst verursacht, indem er, Die Kollegin beauftragt habe, das Gutachten für ihn aufzurufen. Es wurde somit um die Rechtsgrundlage und um das Verschulden gestritten und das Bundesarbeitsgericht setzte das Verfahren aus und legte dem Europäischen Gerichtshof fünf Fragen vor. Folgend eine Zusammenfassung für, jeden Verantwortlichen in den fünf Fragen geht es zum einen um die Sonderstellung des MDK, ähm zum anderen aber auch um Fragen, die für jeden Verantwortlichen relevant sein können und darüber möchte ich mal einen kurzen Überblick geben. Der Eugär hat nämlich festgestellt, dass Artikel neun DSGVO zur Verarbeitung von Gesundheitsdaten keine eigenen Rechtsgrundlagen enthält, sondern nur eine Konkretisierung des Artikel 6 darstellt. Die Verarbeitung von Gesundheitsdaten ist deshalb nur dann rechtmäßig, wenn neben den Voraussetzungen für die Verarbeitung von Gesundheitsdaten aus Artikel 9 DSGVO auch eine Rechtsgrundlage nach Artikel 6 erfüllt ist. Die zentrale Regelung für die Auswahl technischer und organisatorischer Maßnahmen ist außerdem Artikel zweiunddreißig, DSGVO. Erklärt hier versucht auch aus Artikel 9 noch mal zusätzliche Verpflichtungen abzuleiten. Das hat der EuGH aber verneint, Und zum Thema Schadenersatz hat der EuGH jetzt noch mal festgehalten, dass dieser keine abschreckende Funktion haben soll. Und das beim Schadenersatz neben dem Verstoß dem Schaden und der Kausalität, dieser beiden auch das Verschulden des Verantwortlichen entscheidend sein kann. Hier allerdings mit einer Beweislastumkehr, die den Verantwortlichen trifft dieser muss nachweisen Dass er die Handlung, durch die den Betroffenen der Schaden entstanden ist, nicht zu vertreten hat Insgesamt also einiges, was sich daraus ergibt, ähm vielleicht auch noch mal also ich denke noch mal, eine eine schöne Zusammenfassung gerade zum Schadenersatz und auch wenig überraschend, aber dennoch sehr detailtief. Es lohnt sich auf jeden Fall, sich das Urteil selbst noch einmal durchzuarbeiten, auch auf die Gefahr hin, dass ich vielleicht etwas Wichtiges ähm übersehen habe, denn es ist ja immer so, dass der EuGH am Donnerstag, Seine Urteile veröffentlicht und wie er am Freitag Morgen dann uns kurz Zeit nehmen, die für den Podcast vorzubereiten. Ähm werde also sonst noch etwas Interessantes, Relevantes findet, der darf das gerne in den Kommentaren ergänzen. Wir packen das äh Urteil in die Shownotes. Genau, wir haben ja in der Vorbereitung schon festgestellt, dass uns heute die Lesetipps fehlen. Aber ich finde, das ist doch da eine schöne Ergänzung, wenn wir sagen, dass das Urteil dann auch in Gänze ist, hier reinschafft. Ähm wer also da einen Blick reinwerfen möchte, ist da herzlich zu eingeladen. Ich persönlich finde auch ganz schön, dass äh der EuGH da in seiner Linie treu bleibt, was das Thema Nachweis durch den Verantwortlichen angeht ähm mit Blick auf den Schadensersatz und äh noch mal die Konkretisierung, dass es eben einer weiteren Rechtsgrundlage oder einer Rechtsgrundlage aus Artikel 6 DSGVO Bedarf ist ja auch noch mal schön zu lesen, finde ich. Ich komme dann zu meiner ersten Nachricht. Für heute, denn die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW beziehungsweise das Team drumherum, die äußern nun Bedenken zum E-Mail-Programm Outlook von Microsoft. Es gibt eine neue Version und es wird hier eben empfohlen seitens des LDI vor Nutzung zu prüfen, ob ähm denn die Datenschutz konforme Umsetzung hier möglich ist und sofern möglich wird sogar empfohlen, das Update solange nicht zu installieren. Man muss jetzt auch dazusagen, dass das Update keine Sicherheitslücken ausräumt, sondern Microsoft im Rahmen dessen einige Komfortfunktionen für die Verwaltung von Postfächern installiert. Zufolge aber, dass ein vollständiger Zugriff auf das Postfach durch Microsoft ermöglicht wird laut dem LDI. Bisher ist es so, dass Nutzende von E-Mail-Programmen ihre E-Mail-Konten in Outlook mit den Zugangsdaten selbst, installieren oder einrichten. Zukünftig wird das aber über die Cloud erfolgen. Ähm hat natürlich äh entspanntere Möglichkeiten dann für die Nutzer auf den Zugriff, jedoch führt’s dazu, dass nicht nur das Konto an sich dort geführt wird, sondern, Korrespondenz gespeichert wird, inklusiver möglicher Anhänge, aber auch Zugangsdaten übermittelt werden, sodass ein gänzlicher Zugriff auf das Passtwort durch Microsoft im Hintergrund erfolgen kann, auch unabhängig von der Nutzung der Anwendung und das ist eben das, was der LTI hier stark kritisiert. Die Nutzer werden wohl über die Synchronisierung informiert. Jedoch fehlt dem LDI NRW nach jetzigem Kenntnisstand eine wirksame Einwilligung nach Artikel sechs, ähm Absatz eins. Äh Lit A DSGVO und es fehlt wohl in Gänze auch die Information über die Übermittlung der Zugangsdaten. Ich sage mal so, die Aufsichtsbehörden haben ja Microsoft, insbesondere M365, ja, recht häufig auf dem Schirm und auch in Vergangenheit wurde er eben auch über die DSK, Ähm mangelnde Transparenz der Datenverarbeitung, Immer wieder angeführt und die daraus gesultierenden Schwierigkeiten für Verantwortliche eben ihre Rechenschaftspflichten nachzukommen und das ist genau jetzt eben hier der Punkt. Ähm deshalb sollte man sich hier von Nutzung darüber informieren. Wie man das tun kann, hat das LDI leider nicht mitgeteilt, ähm aber ich gehe mal ganz stark davon aus, dass das jetzt auch weiterhin äh auch öffentlich zu lesen sein wird, was denn da die Administratoren ähm in Folge denn tun müssen. Ja auch noch mal ganz wichtig, die ähm Erkenntnis des Admins natürlich immer schauen sollten, was sie dort an Updates ähm installieren, was sie patchen. Weil er letzten Endes ähm die Verantwortung ähm bei dem Unternehmen liegt dass ähm diese Updates installiert und freischaltet. Natürlich macht es Microsoft einem äh nicht immer ganz leicht, äh da einen Überblick drüber zu behalten und geht auch nicht immer ganz, transparent damit um, was jetzt neu ist, aber die ähm Verantwortlichkeit ist da ganz klar geregelt. Ähm dass man aber auch nicht zu lange mit Patches warten sollte, insbesondere wenn’s um Schließen von Sicherheitslücken geht, das zeigt äh meine nächste Nachricht Dazu ein bisschen Kontext. Wir hatten im Laufe der vergangenen Monate mehrmals über die Sicherheitslücken bei berichtet und empfohlen tagesaktuell zu patchen. Diese Empfehlung kam äh wohl leider nicht beim äh US-Telekommunikationsprovider an. Wie Heiseberichtet warte man hier im Oktober ähm ganze zwei Wochen, Bis ein kritischer Patch durchgeführt wurde. Nach eigenen Angaben führte dies dazu, dass Nutzernamen und gehaschte Passwörter für die gesamte, Kundschaft abgegriffen wurden. Und für einige Kunden seien darüber hinaus auch Namen, Kontaktdaten, Teile der Sozialversicherungsnummer, Geburtstag und die Sicherheitsfrage inklusive äh der Antwort abgeflossen. Als ähm Reaktion hat jetzt allen Kunden und Kundinnen ähm empfohlen, beziehungsweise dazu aufgefordert, das äh Passwort zu ändern. Außerdem äh wird dazu geraten dringend die Zwei-Faktor-Authentifizierung zu aktivieren. Ja und das äh zeigt dann halt mal wieder, dass es beim Patchen ähm auch schnell gehen muss, vor allem wenn es um Sicherheitslücken geht und ähm außerdem scheint auch das Ausmaß der Zitrixlücke, Immer größer zu werden. Also ich denke, dass wir auch da im nächsten Jahr nochmal drüber berichten werden. Ich befürchte auch, Ich gehe mit meiner nächsten Nachricht nach Österreich und zwar hat hier der Verfassungsgerichtshof in Wien über den Polizeizugriff auf Handys und Datenträger entschieden. Am Dienstag hat dieser bekanntgegeben, dass die geltenden Bestimmungen der österreichischen Strafprozessordnung Gegen das Datenschutzrecht als auch gegen die europäische Menschenrechtskonvention verstoßen. In Österreich ist es nämlich so, dass ein reiner Anfangsverdacht einer Straftat ausreichend ist, dass Sicherstellung, von Handys und Datenträgern äh durch die Polizei. Möglich sind. Und hierfür muss man noch nicht mal verdächtiger sein, also rein als Zeuge oder weiterer Dritter kann man hier eben in den Fokus der Polizei geraten und eben Dann wiederum verpflichtet sein, seine Geräte rauszugeben, ebenso wie die Passwörter, Kopien von Daten zu dulden und auch eben Zugriff zu ermöglichen auf Daten, die auch ein Zugriff ähm auf Onlinemedien möglich machen. Begründet wird dies natürlich als äh Sicherstellungsmechanismus von Beweismitteln und eine reine Anordnung der Staatsanwaltschaft reicht auch eben dafür aus, also kein Richterbeschluss, das ist auch das, was seitens des Gerichts ähm stark bemängelt wird, vielleicht dazu muss man auch sagen, dass selbst die Schwere der Straftat hier für, nicht wichtig ist, also egal wie klein sie ist, ähm kann das eben von der Polizei genutzt werden, um Beweismittel zu sichern. Das Gericht sieht hier eben die Sicherstellung eines Mobiltelefons ohne vorherige richterliche Kontrolle als einen unverhältnismäßigen Eingriff in die Bürgerrechte nach Artikel 8 der europäischen Rechtskonvention und Paragraf eins des österreichischen Datenschutzgesetzes. Ich glaube auch äh oder David wenig überraschend, denn ähm muss er sagen, selbst wenn die Geräte im Anschluss nicht beschlagnahmt werden, nicht dauerhaft von der Polizei einbehalten werden, muss man sagen, dass bei digitalen Daten ähm einmal offengelegt, hilft’s mir auch nicht, wenn man mir das Handy dann im Anschluss wieder zurückgibt, oder? Ja, absolut. Äh wenig überraschend. Ähm das Urteil, umso überraschender ähm dass die derzeitige Praktik so aussieht. Ja und was halt dabei, Auch noch extrem überraschend ist aus meiner Sicht ähm dass ähm es zwar als schlimm bewertet wird, aber man hat jetzt bis 2tausend25 Zeit. Also mir ist schon klar, äh dass es dauert, bis man so eine nationale Strafprozessordnung ändert, aber das hat halt der Verfassungsgerichtshof auch eben vorgegeben, dass er bis Ende 2024 die aktuellen Praktiken weiter durchgeführt werden können. Aber halt eben dann auch ab 2025 eine andere Rechtsgrundlage dafür herhalten muss. Ja dann äh treffen wir uns in einem Jahr hier wieder und schauen mal, ob’s geklappt hat. So, ich komme dann schon zu meiner letzten Nachricht vor Weihnachten, glaube ich. In diesem Jahr, oder? In diesem in diesem Jahr für mich für mich in diesem Jahr sogar um das äh mal vorzugreifen. Und zwar gab es ja einiges hin und her um die Position des äh BFDI in den ähm letzten Wochen und jetzt ist klar, dass Professor Kälber erstmal weiter übernimmt bis zur offiziellen Wahlentscheidung durch den Bundestag. Er plant außerdem, sich noch einmal für eine zweite Amtszeit zu bewerben, Was aus einem Statement auf der äh Homepage des BFDI hervorgeht Er will in einer möglichen zweiten Amtszeit dann an seiner bisherigen Arbeit anknüpfen und sieht aber auch noch Optimierungsbedarf, Insbesondere bei der internationalen Zusammenarbeit der Aufsichtsbehörden. Also ich weiß nicht, wie du das siehst, Laura, aber ich würde das sehr begrüßen, weil der ähm Herr Kälber aus meiner Sicht äußerst kompetent ist, äh gute Arbeit macht, ähm auch selbstkritisch ist, wie die Nachricht er hier auch zeigt und ähm, Auch keine Hemmungen davor hat, den Finger in die Wunde zu legen. So einen brauchen wir. Das denke ich auch ähm er war ja auch letztes Jahr nämlich in der Silvestershow zu Gast. Äh fand ich ihn auch ähm sehr sympathisch und das, was er gesagt hat, hatte Hand und Fuß in meinen Augen. Äh das heißt, ich würde mich auch freuen, aber ich, Jetzt natürlich auch diese Hängepartie, dass nicht klar ist, wer’s wird. Ähm so lange Zeit äh auch, schwierig. Aber warten wir mal ab, wer nächstes Jahr den Hut aufbekommt oder auch bei ihnen behalten darf. Wir drücken die Daumen. Genau. Ja, wir sind schon am Ende angekommen. Wir haben ja schon festgestellt, Lesetipps gibt’s keine, aber natürlich den ultimativen Hör-Typ für nächste Woche Freitag. Ähm die Silvestershow, deshalb haben wir nächste Woche auch keine normale News Folge, sondern ähm können uns dann voll und ganz auf unsere Gäste fokussieren, ähm dann also wieder in der ersten Januarwoche begrüßen wir sie. Und ähm ja, lieber David, ich danke dir. Ich danke dir, Laura. Und natürlich auch Ihnen, liebe Zuhörerinnen und Zuhörer, schön, dass Sie wieder eingeschaltet haben. Schalten Sie wie gesagt gerne nächste Woche auch wieder ein, ähm folgen Sie uns auf unseren Social Media Kanälen. Wir freuen uns über jegliches Feedback von Ihnen und Reaktionen und ja, ich verabschiede mich. Bis zur nächsten Woche. Und wünsche Ihnen schöne Weihnachtsfeiertage, viel Ruhe, genießen Sie die Zeit, bleiben Sie gesund und bis zum nächsten Mal. Ja, dem schließe ich mich uneingeschränkt an, schöne Feiertage, genießen Sie ähm die Zeit zwischen den Jahren, vergessen Sie nicht. Die Silvesterfolge zu hören, ähm und wir hören uns dann im nächsten Jahr. Bis dahin.