Datenschutzmanagement gegen Abmahnung

Seit Mai scheint es für viele nur noch ein Thema zu geben. Die einen machen Panik, die anderen stecken den Kopf in den Sand oder machen weiter wie gewohnt. Unbegründete Panikmache oder begründete Sorge im Geschäft mit dem Datenschutz?

Abmahnanwalt – der Couch-Potatoe?

Nun, ich mache es mir erst einmal einfach. Ich setze mich auf die Couch und spiele das, was sich viele unter der Tätigkeit eines Abmahnanwalts vorstellen. Ich surfe. Gleich das erste Labor, das ich über eine gängige amerikanische Suchmaschine finde, hat zumindest eine passable Datenschutzerklärung. Dafür finde ich das Impressum nicht – es war von den Cookie-Hinweisen überdeckt. Treffer.

Dafür bietet sich bei den nächsten sechs Laboren ein überraschendes Bild: Alle hatten eine aktuelle Datenschutzerklärung. Erst beim 8. Labor fand ich gar keine Hinweise zum Datenschutz – 2. Treffer. Dann häuften sich langsam die Fehler. Einige Erklärungen waren offensichtlich selbst gebastelt. Diese waren dem Ergebnis eines Anwalts bei der Fertigung eines Abdrucks vergleichbar.

Selbst bei professionellen Seiten war festzustellen, dass den Verfassern nicht immer die technischen Hintergründe vertraut waren. Meist fehlten nur Marginalien; doch war eine Abmahnung nicht ausgeschlossen.

Mein Tipp: Datenschutzerklärung aus Meisterhand, nicht selbst gebastelt!

Arbeiten Abmahnanwälte so? Nicht ganz. Sie lassen surfen. Als weitere Voraussetzung sollte sich bestenfalls ein risikogeneigter Mandant hinzugesellen, in dessen Auftrag der Anwalt letztlich tätig wird.

Wenn Sie noch keine Datenschutzerklärung haben: Eine solche von Kollegen zu kopieren, ist keine vernünftige Lösung. Mancher Urheber dieser Erklärungen mahnt dann die Verletzung der eigenen urheberrechtlichen Ansprüche ab. Eine solche Abmahnung lag erst kürzlich zur Prüfung auf meinem Tisch.

Datenpanne im Labor

Ähnlich unangenehm und meist noch teurer wird es bei Datenpannen im Labor. Die sind nicht so selten wie manche vermuten.

Das fehlende Backup ist praktisch ein Klassiker. Viele haben eines. Mit einer Rücksicherung wollten und mussten sie sich dagegen bislang nicht auseinandersetzen – bis zu dem einen entscheidenden Moment. Bestenfalls prüft man die Rücksicherung daher regelmäßig; denn wenn die Platte versagt und die Rücksicherung scheitert, ist jeglicher Test zu spät.

Ebenso soll es bereits vorgekommen sein, dass IT-Dienstleister erst im Notfall nach den Passwörtern für das Backup gefragt werden. Aber haben Sie mit diesem ein konkretes Service Level vereinbart? Wer sagt, dass der IT-Dienstleister das Passwort ohne einen solchen Auftrag auch gespeichert hat?

Mein Tipp: Testen der Wiederherstellungsmöglichkeit der Daten. Gegebenenfalls den Vertrag mit IT-Dienstleister auf den vereinbarten Leistungsumfang überprüfen!

Dass eine unverschlüsselte Festplatte mit Patientendaten letztlich herrenlos außerhalb des Labors angetroffen wird, darf nicht sein. Sie sind aber in der freien Wildbahn fast ebenso häufig anzutreffen wie unfreiwillig ausgesetzte USB-Sticks. Das Missbrauchs- und Vervielfältigungsrisiko ist hier groß. So manchem Inhaber eines Labors war eine Lösegeldforderung bereits eine Lehre.

Das ist nur eine kleine Auswahl einer langen Liste typischer Fehler im Labor. Ein Audit kann Abhilfe schaffen und Risiken minimieren. Gänzlich rechtskonform dürfte allerdings kein Labor arbeiten.

Mein Tipp: Mit einem Datenschutz-Audit das eigene Risiko erfassen.

Wer petzt denn da?

Bleiben noch die Mitarbeiter. Auch diese haben Anspruch auf Auskunft über die Verwendung ihrer Daten. Sie sind es auch, die aus Unzufriedenheit über den Chef ihre neuen Rechte zu schätzen lernen. Sie wären nicht die ersten, die fehlende Datenschutzkonzepte den Behörden melden.

Einen besseren Eindruck hinterlassen die Labore, die sich mit dem Datenschutz auch aus praktischer Sicht beschäftigen, praktikable Lösungen finden und Mitarbeiter auf die Einhaltung der Vorgaben sensibilisieren. Gut geschulte Mitarbeiter sind seltener geneigt, noch die letzten Datenschutzverstöße zur Anzeige zu bringen.

Datenschutzkonzepte

Spannender aus juristischer Sicht finde ich jedoch die datenschutzrechtliche Konzeption im Labor. Immerhin findet ein reger Austausch personenbezogener Daten sensibler Kategorien zwischen den verschiedenen Professionen – dem Zahnarzt, dem Labor, dem Berechnungsingenieur oder selbst der im Drittland befindlichen Produktion – statt. Die Digitalisierung treibt hier manches noch voran. Fertigungsstraßen in Asien lassen grüßen. Daten werden an Forschungseinheiten übermittelt, in mobilen Apps erhoben. Manchmal steigen dann noch die Krankenkassen mit ins Boot.

Diese Konstruktionen sind datenschutzrechtlich komplex, zumal es eine Vielzahl an Vorschriften im Gesundheitswesen zu beachten gilt. Sie sind aber nicht sämtlich unmöglich.

In diesem Sinne

Sehen Sie Digitalisierung als Chance. Aber verpassen Sie dabei nicht den Anschluss zum Datenschutz. Professionelle Berater aus dem DENTAGEN- und Service-Netzwerk unterstützen Sie dabei.

Dr. Andreas Staufer
Fachanwalt für Medizinrecht
Partner, Rechtsanwalt
Fachanwalt für Informationstechnologierecht
FASP Finck Sigl & Partner
Nußbaumstraße 12 • 80336 München
Kanzlei Tel.: 089 652001
info@fasp.de • www.fasp.de

Quelle: DENTAGEN Info 2018/03

Archive