Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

PRESSEMITTEILUNG
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder vom 21.11.2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) wird am 22. und 23. November 2023 in Lübeck tagen. Die Teilnehmenden der Konferenz werden unter anderem die Themen Datenschutz in der medizinischen Forschung und Datenschutz bei medizinischen Registern besprechen.

Die Vorsitzende der Konferenz, die Landesbeauftragte für Datenschutz Schleswig-Holstein Dr. h. c. Marit Hansen, freut sich auf die zweite Hauptkonferenz in ihrem Vorsitz-Jahr: „Wir brauchen den direkten Austausch und die Diskussion unter den Datenschutzbehörden, um Positionen der Datenschutzkonferenz zu aktuellen Themen zu erarbeiten. Neben dem technologischen Wandel und seinen Auswirkungen auf den Datenschutz spielt die vom Bundesgesetzgeber geplante Institutionalisierung der Datenschutzkonferenz eine große Rolle. Davon verspreche ich mir ein noch stärkeres Miteinander der Aufsichtsbehörden – besonders wichtig angesichts der Entwicklungen von Künstlicher Intelligenz und Datenteilen.“

Stand: September 2022

• Hat das ULD das Verfahren „E-Rezept“ geprüft? Ist es gescheitert?
• Hat das ULD das Verfahren „E-Rezept“ in Schleswig-Holstein untersagt?
• Ändert sich beim Verfahren „E-Rezept“ etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
• Welche Möglichkeiten sieht der Gesetzgeber vor, damit Patientinnen und Patienten von ihren Ärztinnen bzw. Ärzten ihre Verordnungen erhalten?
• Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes?
• Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes per E-Mail?
• Wer trägt die datenschutzrechtliche Verantwortung bei der Übertragung eines DataMatrix-Codes?
• Ist es Apotheken untersagt, per (unverschlüsselter) E-Mail zugesandte E-Rezepte oder DataMatrix-Codes anzunehmen und die Arzneimittel zu liefern?
• Ist eine Weitergabe des DataMatrix-Codes durch die Patientin oder den Patienten an Versand- bzw. Onlineapotheken zulässig?
• Können Ärztinnen und Ärzte verlangen, dass Patientinnen oder Patienten in eine unsichere Übermittlung von Verordnungen einwilligen?
• Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
• Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
• Sind denn datenschutzrechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich überhaupt denkbar?

English Translation

„Datenschutz by Design“ – dafür setzt sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) seit Jahrzehnten ein. Bisher waren Konzepte für innovative Datenschutztechnik hauptsächlich in akademischen Papieren zu finden. Obwohl die Datenschutz-Grundverordnung „Datenschutz durch Technikgestaltung“ fordert, finden die Ideen bisher nur selten den Weg in die Praxis. Für die Contact-Tracing-App ist „Datenschutz by Design“ möglich – und auch nötig.

Nach § 10 Satz 1 Nr. 2 IZG-SH kann die Gewährung des begehrten Informationszugangs im Einzelfall abzulehnen sein, wenn Dritte davon in ihren Urheberrechten betroffen wären. Die Regelung lautet:

„Soweit durch die Bekanntgabe von Informationen […] Rechte am geistigen Eigentum, insbesondere Urheberrechte, verletzt würden, […] und das aus den Nummern 1 bis 4 jeweils folgende schutzwürdige private Interesse an der Geheimhaltung gegenüber dem öffentlichen Bekanntgabeinteresse überwiegt, ist der Antrag abzulehnen, es sei denn, die jeweils Betroffenen haben zugestimmt.

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist die Landesbeauftragte für Datenschutz Schleswig-Holstein auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien_[Extern] auf ein gemeinsames Rechtsverständnis geeinigt.

Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.

Anbieter von Telemedien sind aufgrund von Art. 5 Abs. 1, 2 Datenschutz-Grundverordnung (DSGVO) verpflichtet, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die sie durch die Einbindung von Analyse-Diensten in ihren Angeboten zu verantworten haben, nachzuweisen.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Der Bayerische Landesbeauftragte
für den Datenschutz

Europäischer Gerichtshof bestätigt die Auffassung deutscher Datenschutzaufsichtsbehörden: Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein

Es ist nicht ganz einfach, Inhalte so im Netz zu übertragen, dass Dritte nicht hineinsehen können. Beim E-Mail-Verkehr können die Mail-Anbieter von Absender und Empfänger prinzipbedingt mitlesen, bei Cloudspeicherdiensten der jeweilige Cloud-Betreiber.

Wer privat kommunizieren möchte, ist daher oft auf Hilfsmittel angewiesen.

Die Europäische Datenschutz-Grundverordnung (DS-GVO) wird nach der Übergangsphase von zwei Jahren am 25. Mai 2018 wirksam. Sie enthält eine Reihe neuer Elemente, die zur Modernisierung des Datenschutzes beitragen können. Eines dieser Elemente ist die Datenschutz-Folgenabschätzung (DSFA). Artikel 35 DS-GVO fordert vom Verantwortlichen eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten, wenn die Form der Verarbeitung und insbesondere die Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem  „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.

Schlussanträge des Generalanwalts vom 24. Oktober 2017 zu den Vorlagefragen an den Gerichtshof der Europäischen Union (EuGH)

Rückblick: Am 25. Februar 2016 hat das Bundesverwaltungsgericht in dem Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sechs Vorlagefragen an den Gerichtshof der Europäischen Union (EuGH) gerichtet.

Link to the English version of  Advocate General Yves Bot's Opinion:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=195902&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=730706