Bundesweit wurden bislang erst wenige Bußgeldbescheide wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) ausgestellt und aktuell scheint auch die Abmahnwelle etwas eingedämmt zu sein. Laut eines Beitrags bei wallstreet:online1 sieht Marit Hansen, die Datenschutzbeauftragte von Schleswig-Holstein, die Aufsichtsbehörden auch ein Jahr nach Inkrafttreten der DSGVO für die neuen Aufgaben nicht ausreichend gewappnet. Sie habe in einem Interview mit dem Handelsblatt einen Mangel in der finanziellen und personellen Ausstattung beklagt. Diese Aussagen hinterlassen das Gefühl, dass man sich in den Arztpraxen ruhig noch eine Weile zurücklehnen kann, weil ja sowieso niemand zum Kontrollieren vorbeikommen wird. Dieses Gefühl ist allerdings trügerisch.
Branchenprüfungen noch nicht an der Tagesordnung?
Es ist richtig, dass Branchenprüfungen aktuell noch nicht in jedem Bundesland an der Tagesordnung sind. Sie sind aber groß im Kommen. So hatte beispielsweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brinkei (Baden-Württemberg, BaWü) bereits bei der Vorstellung seines Tätigkeitsberichts im Januar 2019 angekündigt: "2019 wird das Jahr der Kontrollen."2
Ankündigung von Kontrollen konkretisiert
Die Ankündigung von Kontrollen blieb nicht ohne Resonanz. Seitdem haben den Landesbeauftragten zahlreiche Anfragen von Unternehmen, Behörden und Journalisten – auch nach dem Informationsfreiheitsgesetz - erreicht, welche konkreten Bereiche im Fokus der Kontrollen stehen. Um diesem Informationsbedürfnis nachzukommen, hat der LfDI jetzt konkretisiert, welche Bereiche schwerpunktmäßig kontrolliert werden sollen:
Die insgesamt 250 Kontrollmaßnahmen (in BaWü) betreffen die Bereiche öffentliche Sicherheit, Verkehr, Kommunales sowie das Gesundheits- und das Bildungswesen. Geprüft werden im Einzelnen unter anderem städtische und private Videoüberwachungen, Datenspeicherungen bei der Polizei, im Auto generierte Daten, Ratsinformationssysteme, Versicherungen, Museen und nicht zuletzt auch Krankenhäuser, Arztpraxen und Apotheken. Weiterhin soll eine größere Anzahl an Webseiten von Online-Shops auf die Datenweitergabe an Dritte (sog. Tracking) untersucht werden.
Brink hierzu: "Die Kontrollen können sowohl angekündigt als auch ohne besondere Ankündigung geschehen. In zahlreichen Fällen liegen uns bereits Beschwerden zu den untersuchten Bereichen vor, wir kontrollieren allerdings teilweise auch ohne besonderen Anlass im Wege der Stichprobe." Wichtig ist LfDI Brink noch der folgende Hinweis: "Kontrollen sind nicht gleichbedeutend mit Sanktionen oder gar Bußgeldern. Auch bei unseren umfangreichen Maßnahmen bleiben die Beratung und der Hinweis auf Verbesserungsmöglichkeiten das Mittel der Wahl. Strafen werden auch künftig nur bei gravierenden Verstößen und dann ausgesprochen, wenn klare Rechtsverletzungen nicht beseitigt werden." Brink abschließend: "Ehrenamtlich tätige Vereine und kleine Firmen ohne größere Datenverarbeitungen stehen nicht Fokus unserer Kontrollaktion. Auch in dieser Hinsicht bewahren wir Augenmaß!"2
Was sind gravierende Verstöße, die geahndet werden?
Im Juraforum wurde eine Liste dazu veröffentlicht. Wenngleich vielerorts noch gar keine Bußgelder verhängt wurden, gibt es jedoch auch das Gegenteil. Hier geht es beispielsweise, um eine (versehentliche) Veröffentlichung von Gesundheitsdaten:3
Beispiel: "Am 6. Dezember 2018 wurde eine Geldbuße von 80.000,- Euro zzgl. einer Verfahrensgebühr von 4.000,- Euro gegen einen Verantwortlichen verhängt. Dieser hatte bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten veröffentlicht, die versehentlich personenbezogene Daten enthielten."
Was hat die DSGVO mit dem TI-Konnektor zu tun?
Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI GENO Deutschland, wies kürzlich in einem Rundschreiben darauf hin, dass nach der Installation des TI-Konnektors die Praxen haften. "Eine Stichprobe in Praxen hat ergeben, dass viele Konnektoren häufig so angeschlossen wurden, wie man sie aus Gründen der Haftung nicht anschließen sollte: Im Parallelbetrieb (ohne Firewall)!" Wird der Konnektor so installiert, erleichtert das den Zugriff von außen. "Für Verstöße nach der Installation haftet erst einmal der Praxisinhaber, nicht die mit der Installation beauftragte Firma. Die Datenschutzaufsichtsbehörden sehen hier die Praxisinhaber in der Pflicht, Sicherheitsprobleme nach Eingriffe zu entdecken und abzustellen!"4
Baumgärtner liefert dann auch gleich Schaubilder mit, nach denen Ärztinnen und Ärzte kontrollieren können, ob sie vom Fehlanschluss des Konnektors betroffen sind. (siehe: https://blog.medi-verbund.de/2019/05/ti-konnektor-praxen-haften/)
Die Kassenärztliche Bundesvereinigung (KBV) wies in Ihren Praxisnachrichten vom 25.04.2019 darauf hin, dass die Anbindungsvariante "Parallelbetrieb" nur bei bei größeren Praxen oder Medizinischen Versorgungszentren mit komplexer Netzwerkstruktur sinnvoll ist, wenn diese bereits über ausreichende Sicherheitsmaßnahmen verfügen.
Der Reihenbetrieb zeichne sich demgegenüber dadurch aus, dass der Konnektor alle Verbindungen zwischen Internet (Secure Internet Service) und TI vom Praxisnetzwerk kapsele und so die Praxis schützen könne. Durch die integrierte Firewall werde dabei nicht nur die TI vor Angriffen von außen geschützt, sondern auch das gesamte Netzwerk der Praxis.5
Quellen:
1 wallstreet:online, 20.05.2019: "Datenschützerin fordert mehr Personal für DSGVO" (»Link)
2 pi LfDI Baden Württemberg, 08.04.2019 (»Link)
3 JuraForum.de-Redaktion, 15.05.2019: "Ein Jahr DSGVO: Verstöße wurden mit bis zu 80.000 Euro geahndet" (»Link)
4 Medi Verbund, 05.2019: "Baumgärtner warnt: Nach Installation des TI-Konnektors haften die Praxen" (»Link)
5 KBV, 25.04.2019: "TI-Anschluss: Konnektor bietet optimalen Schutz" (»Link)