Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Pressemitteilung im PDF-Format

Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für
Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Berichtsjahr 2024 vorgelegt.

Die Zahl der Beschwerden hat ein Rekordhoch erreicht, und auch die gemeldeten Datenpannen werden
jährlich mehr. Außerdem zeigt sich ein großer Beratungsbedarf angesichts der neuen Anforderungen aus
dem europäischen Datenrecht, beispielsweise in den Bereichen Cybersicherheit und Künstliche
Intelligenz (KI).

Hansens Behörde – das Unabhängige Landeszentrum für Datenschutz (ULD) – hilft.
 

Jedes Jahr veröffentlicht Hansen einen Bericht über die Tätigkeit ihrer Behörde zu Datenschutz und Informationsfreiheit. Aus ihrer Sicht war das Jahr 2024 von drei Entwicklungen geprägt:

1. Fortschritte in der Digitalisierung,
2. Zunahme der Fälle zu Datenschutz und Informationsfreiheit sowie
3. mehr Beratungsbedarf der Wirtschaft und Verwaltung aufgrund neuer
   Anforderungen aus dem europäischen Datenrecht. 

Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit. Eine Besonderheit im Berichtsjahr: Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.

PRESSEMITTEILUNG
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder vom 29. November 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert, dass in dem beabsichtigten europäischen Gesetz über Künstliche Intelligenz (KI-Verordnung) eine sachgerechte Zuweisung von Verantwortlichkeiten entlang der gesamten KI-Wertschöpfungskette vorgenommen wird. Nur so können die Grundrechte der Betroffenen geschützt werden, deren Daten durch KI verarbeitet werden. Jede Rechtsunsicherheit in diesem Feld würde den Bürgerinnen und Bürgern, aber insbesondere auch den kleinen und mittleren Unternehmen schaden. Denn sie müssen die Hauptlast der rechtlichen Verantwortung tragen. Die Unternehmen brauchen klare Regeln, damit die Risiken von KI beherrschbar bleiben. Die kommende KI-Verordnung sollte daher für alle Beteiligten – auch für Hersteller und Anbieter von Basismodellen – festlegen, welche Anforderungen sie erfüllen müssen. Eine einseitige Verschiebung der rechtlichen Verantwortung auf die letzten Stufen der Wertschöpfungskette wäre datenschutzrechtlich und wirtschaftlich die falsche Wahl. Nur mit der notwendigen Vertrauenswürdigkeit wird es eine hohe Akzeptanz für die mit KI verbundenen Chancen geben.

Entschließung
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder vom 22./23. November 2023

Das Vorhaben der Bundesregierung, für die ausgesprochen heterogene Vielfalt medizinischer Register einen allgemeinen Rahmen und eine einheitliche Basis zu schaffen, um Daten im öffentlichen Interesse nutzen zu können, ist aus datenschutz­rechtlicher Perspektive nachvollziehbar. Allerdings muss sichergestellt sein, dass auch im konkreten Anwendungsfall die datenschutzrechtlichen Vorgaben eingehalten werden und das Grundrecht auf Datenschutz stets gewährleistet ist. Sowohl für die Befüllung der Register als auch für die registerinterne Verarbeitung und die Bereit­stellung sowie die mögliche Nutzung der Daten durch Dritte sind die spezifischen datenschutzrechtlichen Voraussetzungen für die Verarbeitung von Gesundheitsdaten, insbesondere aus Art. 9, 25, 32 und ggf. Art. 89 Abs. 1 DSGVO, maßgeblich.

Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Der Bericht gibt einen Überblick über die vielfältigen Themen des Datenschutzes und der Informationsfreiheit, die von Hansen und ihren Mitarbeitenden im Unabhängigen Landeszentrum für Datenschutz (ULD) im vergangenen Jahr bearbeitet wurden. Zum täglichen Geschäft gehören leider auch zahlreiche Datenpannen, die vermieden hätten werden müssen – und dies selbst im sensiblen Gesundheitsbereich.

Stand: September 2022

• Hat das ULD das Verfahren „E-Rezept“ geprüft? Ist es gescheitert?
• Hat das ULD das Verfahren „E-Rezept“ in Schleswig-Holstein untersagt?
• Ändert sich beim Verfahren „E-Rezept“ etwas an den Pflichten der Arztpraxen in Bezug auf das sichere Aushändigen?
• Welche Möglichkeiten sieht der Gesetzgeber vor, damit Patientinnen und Patienten von ihren Ärztinnen bzw. Ärzten ihre Verordnungen erhalten?
• Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes?
• Welche Risiken sieht das ULD bei der Übertragung von DataMatrix-Codes per E-Mail?
• Wer trägt die datenschutzrechtliche Verantwortung bei der Übertragung eines DataMatrix-Codes?
• Ist es Apotheken untersagt, per (unverschlüsselter) E-Mail zugesandte E-Rezepte oder DataMatrix-Codes anzunehmen und die Arzneimittel zu liefern?
• Ist eine Weitergabe des DataMatrix-Codes durch die Patientin oder den Patienten an Versand- bzw. Onlineapotheken zulässig?
• Können Ärztinnen und Ärzte verlangen, dass Patientinnen oder Patienten in eine unsichere Übermittlung von Verordnungen einwilligen?
• Gehört es zu den Aufgaben des ULD, in einer Beratung auf Risiken hinzuweisen?
• Ist die Einschätzung des ULD in Bezug auf die Rechtslage eine Überraschung?
• Sind denn datenschutzrechtlich zulässige Lösungen für eine Aushändigung oder Übertragung auch für den digitalen Bereich überhaupt denkbar?

• 06.09.2022: Fragen und Antworten zur Versendung von DataMatrix-Codes im E-Rezept-Verfahren

Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das „E-Rezept“ in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

Schreiben des ULD an die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH).

Die KVSH hatte angefragt, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um das E-Rezept an die Patientinnen und Patienten auszuhändigen.

• Schreiben im PDF-Format

Entschließung der 42. Konferenz der Informationsfreiheitsbeauftragten
in Deutschland vom 30. Juni 2022 in Kiel

• PDF-Version

Behördliche Kommunikation erfolgt nicht mehr nur in Papierform oder per E-Mail. Viele Behörden nutzen vermehrt Kommunikationsformen wie Kurznachrichtendienste, Messenger-Dienste, soziale Medien, aber auch SMS. Auch diese Behördenkommunikation kann eine amtliche Information sein.

1. Was genau ist eine Facebook-Seite bzw. eine Fanpage?
2. Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?
3. Was wäre für einen datenschutzkonformen Einsatz von Facebook-Fanpages erforderlich? Was können die Verantwortlichen tun?
4. Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?
5. Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten (z. B. Instagram, Twitter, TikTok usw.)?
6. Gilt der Hinweis der DSK nur für öffentliche Stellen und dürfen Unternehmen ihre Facebook-Fanpages weiter betreiben?
7. Dürfen öffentliche Stellen nun keine Öffentlichkeitsarbeit im Internet mehr betreiben?
8. Darf eine Facebook-Seite weiterbetrieben werden, wenn bestimmte Grenzen eingehalten werden (z. B. Publikation aller dort veröffentlichter Informationen auch über einen anderen Kommunikationskanal, Verzicht auf neue Postings / Kommentare)?
9. Müssen Verantwortliche nun mit Bußgeldern oder Maßnahmen der Aufsichtsbehörden rechnen?
10. Warum gehen die Aufsichtsbehörden nicht direkt gegen Meta Platforms vor?