Mitarbeiter sicher ins Homeoffice verlagern

Man sitting at desk working from home on computer

Mitarbeiter sicher ins Homeoffice verlagern

Durch die Covid19 Krise werden Unternehmer immer wieder vor neue Herausforderungen gestellt. Dabei stellt sich unter anderem auch die Frage wie gewährleiste ich, dass meine Mitarbeiter im Homeoffice halbwegs sicher arbeiten können. Wer den völligen Stillstand in seinem Unternehmen verhindern möchte, dem sei es anzuraten sich mit dieser Thematik zu beschäftigen. Es sei allerdings vorab angemerkt: Ohne entsprechenden Aufwand und auch finanzielle Mittel läßt sich das nicht umsetzen.

Wir werden versuchen Ihnen Ansätze zur Umsetzung dieser Thematik zu vermitteln.

Office workplace with keyboard, notepad, glasses and pen

1. Vorbereitung und Abstimmung mit den Mitarbeitern

Zunächst ist eine Abstimmung mit den Mitarbeitern hinsichtlich Home Office als Arbeitsort erforderlich. Sie haben noch keine Regelung zum Home Office, keine Bange, sprechen Sie mit Ihren Mitarbeitern und erklären Ihnen, dass:
– die Arbeit von zu Hause/ aus dem Home Office, ab sofort erlaubt ist 
– sich die Regeln nach den IT- und Datenschutzrichtlinien für das Home Office richten (dazu unter 5. mehr) 

Eine Absprache mit den Mitarbeitern ist als “Dringend nötig!” Wenn im Arbeitsvertrag des Mitarbeiters/der Mitarbeiterin das Büro als Arbeitsplatz festgelegt ist, können Sie diese nicht einfach ins Home Office schicken. In der aktuellen Lage werden die Mitarbeiter sich vermutlich freuen die Möglichkeit zu haben von zu Hause aus zu arbeiten. Durch die Unterzeichnung der IT– und Datenschutzrichtlinien (mehr dazu bei 5.) für das Home Office, können Sie die Zustimmung zur Arbeit von zu Hause einholen. 

2. Abstimmung mit den Mitarbeitern hinsichtlich der Nutzung ihrer eigenen Hardware dem Grunde nach 

Sie können Ihre Mitarbeiter*innen nicht anweisen Ihre privaten Geräte für die Arbeit zu gebrauchen. Deswegen stimmen Sie sich mit Ihnen ab. Auch hier werden Ihre Mitarbeiter*innen, angesichts der aktuellen Lage, im Zweifel bereit sein, Ihre privaten Geräte zu nutzen (und wenn auch nur bis Arbeitsgeräte an geschaffen wurden), um im Home Office arbeiten zu können und dadurch sich und andere zu schützen. 

Aus Gründen des Datenschutzes und der Datensicherheit ist es wichtig, passende IT- und Datenschutzrichtlinien für das Home Office zu vereinbaren, die die Mitarbeiter auf Pflichten zum Datenschutz und der IT- Sicherheit, wenn Sie Ihre eigenen Geräte dienstlich nutzen. Deswegen müssen Sie die folgenden Aufwendungen aufbringen. 

3.  Sichere Kommunikation und Ablage der Daten
VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen) 

Natürlich müssen die Mitarbeiter*innen weiterhin an Ihre Arbeitsdokumente herankommen und diese nach Bearbeitung auch sicher ablegen können.  

1. Möglichkeit: Einrichtung eines „Virtuell-Private-Networks“ – VPN 

Vereinfacht, es wird ein privates, geschütztes Netzwerk geschaffen, wodurch Ihre Mitarbeiter von zu Hause aus auf den Server der Firmer zugreifen können. Um dies zu ermöglichen müssen VPN-Zugänge/Schnittstellen auf dem Firmenserver eingerichtet sein, oder eingerichtet werden. Den Mitarbeiter*innen muss nun die VPN-Einstellung mitgeteilt und das VPN auf Ihrem Laptop eingerichtet werden. Wenn Sie selbst nicht über hinreichende IT-Kenntnisse verfügen und zurzeit auch nicht auf hinreichenden IT-Support zurückgreifen können, gibt es noch eine weitere Lösung. 

2. Möglichkeit: Sicherer Cloudanbieter mit automatischen Backup-Funktion 

Wenn Sie sich nun Sorge bei der Bezeichnung Cloud haben, Ihr Server ist auch eine Art Cloud – ein Server, auf den Ihre Mitarbeiter*innen zugreifen. Und vermutlich ist dieser nicht so gut gesichert wie die Server und Cloudlösungen, die nun vorgestellt werden. Hier werden exemplarisch nur ein paar genannt, um den Rahmen nicht zu sprengen. Zwei Anbieter bieten Ihnen Cloud-Services zur Speicherung von Daten, Backups, sowie einfache Lösungsmöglichkeiten zum sicheren Versenden von Daten an Firmenexterne/Dritte und kollaborativen Zugriff auf diese Dateien mit Berechtigungskonzepten, diese sind Dracoon und Teamdrive. Der Vorteil dieser ist, dass sie die Daten sowohl beim Hoch- wie auch Runterladen Ende-zu-Ende verschlüsselt sind. Der Schlüssel liegt nicht bei den Anbietern, sondern nur bei Ihnen, somit können nur Sie auf die Dateien zugreifen. Beide arbeiten DSGVO-konform (mit European Privacy Seal) und sind ISO-zertifiziert. OneDrive, G-Suite und Dropbox Pro bieten Ihnen das nicht. Die Einrichtung ist einfach und von jedem umsetzbar. Ihr Unternehmen muss nur den Client herunterladen (Webanwendung kann auch genutzt werden), Schlüssel gemäß der Anwendung erstellen und die Speicherplätze mit der Anwendung verbinden. Danach werden die Mitarbeiter*innen in die Anwendung bzw. den Speicherplatz eingeladen, die Zugriffsrechte können dezidiert vergeben werden, was bedeutet jede/r Mitarbeiter*in kann zu bestimmten Speicherplätzen eingeladen werden und zu anderen nicht. Außerdem können diese Zugriffe noch konfiguriert werden – z.B. nur Lesen, Lesen&Schreiben, Lesen&Schreiben&Löschen. Sobald die Verbindung erfolgt ist, sehen die Mitarbeiter*innen dies auf Ihren Computern und können auf die Speicherplätze zugreifen. Für die Mitarbeiter*innen ist die Installation auch einfach. 

Wir empfehlen die Cloud-Lösung. Sie ist einfacher und geht schneller als das Einrichten eines VPN. Außerdem haben Sie ein vernünftiges Backup und die Möglichkeit Berechtigungskonzepte ein- und umzusetzen. Das Löschen von Daten obliegt weiterhin nur Ihnen und Sie können jeder Zeit die Verbindung auf dem Heimcomputern Ihrer Mitarbeiter*innen trennen.  

Diese Lösung ist sinnvoll, vor allem wenn bisher keine Infrastruktur besteht. 

4. E-Mail 

Wir gehen heute davon aus, dass nahezu jeder E-Mailanbieter ein Webinterface für die Nutzung von E-Mails bereitstellt. Nahezu alle gängigen Lösungen wie zum Beispiel Exchange von Microsoft. Falls diese Methode in ihrem Unternehmen nicht genutzt wird, so sollte ich die Aktivierung des Webinterfaces jedoch durch einen Klärung mit dem Anbieter auch nachträglich freischalten lassen. Nahezu in jedem fall lassen sich auch bei eigenenen Firmendomains die Mails über IMAP oder POP abrufen. Im Optimalfall haben Ihre Mitarbeiter*innen schon die Möglichkeit sich per Weboberfläche auf Ihr Postfach zuzugreifen. Also geben Sie die Anweisungen den Webaccess zu nutzen. Verbieten Sie den Download der E-Mails auf den privaten Computern z.B. durch das Einrichten des E-Mail Accounts im eigenem Outlook, denn dadurch haben Sie keine Kontrolle mehr über die heruntergeladenen E-Mails.  

5. Knackige IT- und Datenschutzrichtlinie für Home Office und B-/UYOD 

BYOD – bring your own device 

Wenn Sie später keine Probleme im Bereich IT-Sicherheit und Datenschutz bekommen wollen, sollten Sie sich an diese Regeln für eine IT- und Datenschutzrichtlinie orientieren, da Sie damit die Sicherungsmaßnahmen dokumentieren (organisatorische Maßnahmen i.S.v. Art. 32 DSGVO). 

a. Regelung zum Home Office an sich 

Sie müssen sicherstellen, dass das Home Office gemäß den folgenden Regelungen gestattet ist, auch wenn der Arbeitsvertrag bisher vorsah, dass Ihre Mitarbeiter*innen ausschließlich im Büro/in der Firma arbeiten. 

b. Regelung zu UYOD – Verpflichtung, das Device umgehend zu sichern (neueste Updates, Virenschutz), Kosten 

Der Gebrauch der privaten Endgeräte für dienstliche Tätigkeiten muss geregelt werden, dazu müssen Ihre Mitarbeiter*innen sich verpflichten: 
die Software des Geräts auf dem neusten Stand zu halten  

  • Systemupdates herunterladen/installieren 
  • auch die des Virenschutzprogrammes 
  • Systemeinstellungen zu überprüfen und die datenschutzfreundlichste Einstellung einzustellen (z.B. Ausschalten von Cortana und ähnlichen) 

Geben Sie dazu Hinweise, wie das umzusetzen ist. Wenn einer Ihrer Mitarbeiter*innen über keinen Internetzugang bzw. nur einen eingeschränkten in Form von begrenzten Datenvolumen verfügt, sollten Sie eine Regelung für die anfallenden Kosten finden. Allerdings heutzutage nur noch selten nötig. 

c. Speicherung von Dokumenten/Daten 

Die Dokumente dürfen nur auf den dafür vorgesehenen Speicherplätzen, in ihrem Cloud-System abgelegt werden oder im Falle der Nutzung des VPN ausschließlich auf dem Firmenserver. Sollten Dokumente zwischenzeitlich auf den privaten Endgeräten gespeichert werden, klären Sie, dass die Dokumente sobald diese dem Firmenserver übermittelt wurden umgehend gelöscht werden. Verpflichten Sie Ihre Mitarbeiter*innen dazu! 

d. Passwörter 

Weisen Sie Ihre Mitarbeiter*innen an für alle Accounts (Cloudspeicher, Mail, VPN Zugang und alle anderen) ein sicheres Passwort zu nutzen.  

  • sicher bedeutet min. 20 Zeichen, Zahlen und Sonderzeichen.  

  • dies einzuhalten sollte obligatorisch sein 

e. Datenschutz im Home Office: Sichtschutz, Dokumente nach der Arbeit weglegen und verschließen.  Arbeitsplatz sperren etc. 

Außerdem müssen Ihre Mitarbeiter*innen darauf achten den Datenschutz einzuhalten, soll heißen er oder sie müssen so arbeiten, dass Betriebsfremde (darunter fällt auch die Familie) keine Sicht auf die Dokumente und die Arbeit nehmen können. Der virtuelle Arbeitsplatz muss gesperrt werden sobald der Computer verlassen wird und Dokumente weggeschlossen. Um dies zu ermöglichen, stellen Sie einfach abschließbare Boxen zur Verfügung. 

f. Sanktionsandrohung bei Verstößen 

Damit die Regelungen rechtsverbindlich sind, Sie sie im Zweifel auch durchsetzen können und ein Organisationsverschulden Ihrerseits bestmöglich ausgeschlossen wird, bedarf dieses Dokument, wie jedes arbeitsrechtliche Dokument, auch der Sanktionsandrohung bei Verstößen. Das heißt, Sie müssen klar darlegen, dass Verstöße gegen die Richtlinie mit arbeits-, zivil- sowie gegebenenfalls strafrechtlichen Konsequenzen verbunden sein wird (Abmahnungen, Kündigung, Schadensersatz). 

Diese Richtlinie soll verbindlich sein! Sie müssen nachweisen, dass Ihre Mitarbeiter*innen diese Richtlinien gesehen und die darin enthaltenen Verpflichtungen eingewilligt haben, am Einfachsten lösen Sie das durch die Unterschrift Ihrer Mitarbeiter*innen.  

6. Erläuterungen für die Mitarbeiter*innen 

WICHTIG: Sie haben Ihre Mitarbeiter*innen ohne umfassende Vorbereitung ins Home Office geschickt und diese nutzen aus er Not heraus Ihre privaten Geräte á la UYOD, sprechen Sie mit Ihnen und stellen Sie Erläuterungen zur Verfügung: 

  • kommunizieren Sie, dass gemeinsam eine verbindliche Regelung für die Arbeit von zu Hause getroffen werden muss, um spätere Streitigkeiten zu verbinden  und weil es eine gesetzliche Anforderung ist 

erläutern Sie 

  • wie sichert man den Laptop 
  • woher Updates bekommen 
  • wie aktiviert man den Virenschutz  

Anleitungen dazu finden Sie im Netz 

  • wie richtet man den VPN- Zugang ein, oder 
  • wie nutzt man die Cloud-Lösung 
  • wie gelangt man über die Weboberfläche an die E-Mails(wenn es bisher keinen Webaccess gabe) 

und nicht vergessen  

  • rufen Sie die Probleme des Social Engineerings und Social Hacking in Erinnerung  

Die bessere und einfachere Variante: Firmenlaptops 

Ihre Mitarbeiter*innen verfügen bereits über mobile firmeneigene Geräte. Perfekt! Denn das bedeutet der Laptop für das Home Office ist von Seiten der Sicherheit und Updates auf dem neusten Stand und vermutlich liegt auch schon ein Zugang zum VPN vor. 

Das Ende von Windows 7

Geräteentsorgung nach Win-7-Aus

Diese 6 Punkte sind wichtig für Ihr Unternehmen

bereits am 14.1.2020 lief der Support für das Betriebssystem Windows 7 aus. Seitdem werden keine Sicherheitsupdates mehr für das Betriebssystem Windows 7 ausgeliefert. Sofern es in Ihrem Unternehmen noch Windows-7-Installationen gab, hoffe ich, dass sich die Chefetage dazu entschlossen hat, Geräte mit dem veralteten Betriebssystem auszumustern.

Warum sollten sie handeln
Schließlich birgt ein Betriebssystem ohne neue Sicherheitsupdates große Risiken. Doch was passiert mit den ausgemusterten Geräten? Geben Sie die folgenden Tipps, damit bei der Entsorgung der Geräte nichts schiefläuft:

1. Aufgepasst beim Verschenken oder der Weitergabe von Geräten
Geräte mit einem veralteten Betriebssystem sind durchaus noch funktionstüchtig – und zu Bildungszwecken herrscht bekanntermaßen ein Mangel an IT-Geräten. Kommt die Idee auf, die Geräte beispielsweise an soziale Einrichtungen zu spenden oder an Schulen oder Kindergärten abzugeben, machen Sie diesen Vorschlag auf keinen Fall schlecht – auch wenn Sie zunächst ein ungutes Gefühl haben.

Hier gilt zu beachten: Vor Abgabe der Geräte müssen die enthaltenen Speichermedien (z. B. Festplatten) sicher gelöscht werden. Beispielsweise durch mehrfaches Überschreiben.

Auf Nummer sicher zu gehen
Weisen Sie darauf hin, dass die Löschung der Daten in Ihrem Unternehmen stattfinden sollte. Nur so haben die Verantwortlichen die Kontrolle darüber, dass eine sichere Löschung wirklich erfolgt. Ansonsten können böse Überraschungen und negative Folgen für Ihr Unternehmen drohen. Nämlich dann, wenn ein mit der Löschung beauftragter Dienstleister seinen Job nicht sorgfältig genug erledigt und im Nachhinein schutzwürdige Informationen in die falschen Hände geraten.

2. Sicheres Löschen muss nicht unbedingt Kosten verursachen

Auch dann, wenn die Geräte weiter im Unternehmen zum Einsatz kommen sollen, ist es unbedingt erforderlich, dass die darauf gespeicherten Daten sicher gelöscht werden. Damit die Geräte funktionstüchtig bleiben, darf durch den Löschvorgang die Speichertechnik nicht beschädigt oder zerstört werden. Hier können Sie den Einsatz spezieller Löschprogramme empfehlen. Es gibt verschiedene kostenpflichtige Programme, die für eine sichere Löschung sorgen, aber auch Freeware wie z. B. Dariks Boot and Nuke, kurz DBAN, die sich dafür nutzen lässt. Kaufsoftware wie Blancco Drive Eraser oder Miray HD Schredder bietet umfassendere Möglichkeiten (z. B. Löschprotokoll). Die Anschaffungskosten sind überschaubar, das Geld ist gut investiert.

Übrigens: Wie viele Male eine Festplatte überschrieben werden muss, ist selbst bei Experten umstritten. Minimum ist einmal. Im Regelfall reicht dreimal, um auf Nummer sicher zu gehen.

Wichtig zu wissen: Auf die Schutzwürdigkeit der Daten kommt es an

Bei der Antwort auf die Frage, wie oft eine Festplatte überschrieben werden sollte, ist die Schutzwürdigkeit der Daten maßgeblich. Bei „harmlosen“ Daten, wie etwa einer Datenbank mit Katalogempfängern, kann das einmalige Überschreiben vollkommen ausreichen. Geht es allerdings um das Notebook des Personalleiters, kann nur das mehrfache Überschreiben der Festplatte die richtige Wahl sein.

3. Keine halben Sachen machen

Manch einer geht davon aus, dass es für eine sichere Löschung ausreichend ist, nur bestimmte Ordner wie z. B. „Eigene Dateien“ mehrfach zu überschreiben. Doch Vorsicht! Möglicherweise sind auch an anderen Orten schützenswerte Daten zu finden.

Gerade in Programmordnern oder sogenannten Temp-Ordnern finden sich beispielsweise Zwischenspeicherungen, Speicherabbilder oder Dateibruchstücke. Wenn der Speicherort und das Dateiformat unbekannt sind, werden diese Daten auch bei intensiver Suche übersehen. Deshalb raten Sie immer dazu, die Festplatte komplett zu löschen.

4. Nicht alle Datenträger sind gleich

In jedem Unternehmen gibt es besonders schützenswerte Daten, die keinen Personenbezug haben. So z. B. Informationen, die sich auf Geräten befinden, die in der Entwicklungsabteilung zum Einsatz kommen – oder denken Sie an die Smartphones oder Notebooks der Geschäftsführung.

Bei diesen Geräten ist auf jeden Fall auf Nummer sicher zu gehen: Die Löschung sollte ggf. zusätzlich durch mechanische Zerstörung sichergestellt werden. Dadurch schließen Sie die Nutzbarkeit des Geräts und damit auch die Datenwiederherstellungen physisch aus.

5. Dokumentation nicht vergessen

Einfach die Daten zu löschen und die ganze Sache zu vergessen reicht nicht aus. Seit Anwendung der Datenschutz-Grundverordnung (DSGVO) gilt mehr denn je, dass die Dokumentation nicht fehlen darf. Auch beim Thema Löschen heißt es deshalb: Wenn Daten gelöscht werden, ist dies zu dokumentieren. Idealerweise erstellt ein verwendetes Programm automatisch ein Löschprotokoll.

Aber auch andere Möglichkeiten sind denkbar, beispielsweise ein Foto- oder Videoprotokoll. Wichtig ist, dass die Seriennummer der gelöschten Festplatte gut erkennbar ist. Das reicht aus, um im Fall der Fälle eine erfolgte Löschung nachweisen zu können.

6. Verweisen Sie auf das Gesetz

Treffen Sie auf Datenschutzignoranten, die bei Ihren Löschtipps nur müde abwinken, dann verweisen Sie auf das Gesetz. Zeigen Sie auf, dass das Löschen von personenbezogenen Daten nicht Ihr persönliches Anliegen ist, sondern eine gesetzliche Pflicht – die entsprechende Regelung ist z. B. in Art. 17 Abs. 1 DSGVO zu finden. Erläutern Sie, dass eine Weitergabe oder ein Offenbaren personenbezogener Daten an Unbefugte zu erheblichen Konsequenzen führen kann. Neben einem Bußgeld droht auch ein erheblicher Imageschaden.

Bundesbeauftragter für Datenschutz nutzt erstmals Konsultationsverfahren

In dieser Woche beginnt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber seine erste öffentliche Konsultation, und dies zu einem aktuellen und zugleich komplexen Thema.

Bundesbeauftragter für Datenschutz führt Konsultationsverfahren zu Anonymisierung durch Ist die Anonymisierung von Daten eine Verarbeitung? Welche Rechtsgrundlage wird benötigt? Die unklare juristische Situation will der BfDI mit einem Konsultationsverfahren klären. Betroffene Unternehmen, Verbände, Behörden und Co sollen sich jetzt äußern. Im ersten Konsultationsverfahren des BfDI geht es um die Anonymisierung personenbezogener Daten. Die Behörde bittet Experten um ihre Meinung, denn die Rechtslage ist in dieser Hinsicht nicht eindeutig. Im Fokus sollen bei der Beratung Daten im Bereich der Telekommunikation stehen. Als Beispiel nennt der BfDI Standortdaten im Mobilfunknetz.

Ist Anonymisierung eine Verarbeitung?
Die zentrale Frage ist, ob und wann das Anonymisieren von Daten eine Verarbeitung im Sinne des Datenschutzrechts darstellt. Dabei gilt es auch zu beantworten, welche Rechtsgrundlage die Verantwortlichen dafür benötigen.

Wer ist an der Konsultation beteiligt?
Der BfDI bietet auf seiner Webseite eine Diskussionsgrundlage. Das Dokument beschreibt die Position der Behörde zum Thema Anonymisierung.

Im Rahmen der Konsultation sollen

  • betroffene Fachkreise,
  • öffentliche und nicht-öffentliche Stellen sowie
  • gesellschaftliche Organisationen
    den Entwurf kommentieren und Stellungnahmen dazu abgeben. In diesem konkreten Fall sind insbesondere die Anbieter von Telekommunikations-Diensten und deren Verbänden gefordert.

Was ist das Ziel des Verfahrens?
Das Ziel der Konsultation ist es, eine öffentliche Diskussion über die Anonymisierung personenbezogener Daten anzustoßen. Anschließend wird der BfDI die im Rahmen der Konsultation eingegangenen Stellungnahmen auswerten. Dazu wird Kelbers Behörde dann ein Positionspapier veröffentlichen. Ziel ist es, somit allen Verantwortlichen Orientierung zur Anonymisierung zu geben.

Stellungnahmen können bis zum 9. März eingereicht werden. Dazu hat der BfDI die E-Mail-Adresse „konsultation@bfdi.bund.de” eingerichtet.

In Zukunft mehr Konsultationen
Diese Konsultation soll kein Einzelfall bleiben. Dazu führt Professor Ulrich Kelber aus: „Das Konsultationsverfahren ist ein weiterer Schritt zu noch mehr Transparenz in meiner Behörde. Der Datenschutz lebt von einer breiten gesellschaftlichen Diskussion. Daher werde ich zukünftig vermehrt auf dieses Mittel der Öffentlichkeitsbeteiligung zurückgreifen. Wir wollen alle Stimmen hören, um gemeinsam konstruktive Vorschläge zu erarbeiten. Ich fordere die Expertinnen und Experten auf, diese Möglichkeit intensiv zu nutzen.”

Betroffene kommen zu Wort
Gerade die Verbände aus der ITK-Industrie äußern sich häufig kritisch zur DSGVO und deren Umsetzung. Deshalb scheint die öffentliche Konsultation ein geeigneter Schritt zu sein. So werden die unmittelbar Betroffenen auch zu Beteiligten des Verfahrens. Inwieweit die eingeladenen öffentlichen und nicht-öffentlichen Stellen diese Möglichkeit nutzen, wird das Positionspapier zeigen.

Elektronische Patientenakte

Doctors brainstorming

Röntgenbilder, Impfausweis und Mutterpass auf dem Smartphone 

Doctors brainstorming


Ab 2021 sollen es eine digitale Patientenakte geben. Das Gesundheitsministerium hat Details dazu vorgestellt. Patienten sollen auch selbst auf die Daten zugreifen können.

Bundesgesundheitsminister Jens Spahn (CDU) treibt die Pläne für eine sogenannten elektronischen Patientenakte voran. Spahn gab den Entwurf für ein “Patientendaten-Schutzgesetz” zur Abstimmung in die Bundesregierung. Das Gesetz soll sicherstellen, dass die Daten sicher sind. “Ziel ist, dass elektronische Patientendaten nicht in falsche Hände geraten“, sagte Spahn. “Ziel ist es aber auch, Patientinnen und Patienten die Chance zu geben, ihre Daten auch vernünftig nutzen zu können.”

Ab dem 1. Januar 2021 sollen Ärztinnen, Ärzte und Krankenhäuser auf Wunsch der Patienten für diese eine elektronische Akte anlegen können. Dort können Röntgenbilder, ärztliche Befunde, Behandlungsberichte oder Angaben über regelmäßig eingenommene Medikamente hinterlegt werden. Die Patienten sollen auf diese Daten dann aber auch selbst Zugriff bekommen, und zwar über eine Smartphone-App, die ihnen Krankenkassen zur Verfügung stellen. Zusätzlich können Patienten eigene Daten eintragen, wie Werte von Blutzuckermessungen. Die Idee: Jeder hätte damit, egal wo er behandelt wird, seine medizinische Vorgeschichte immer mit dabei.

Spahn verwies am Donnerstag aber darauf, dass die Erstellung einer solchen E-Akte freiwillig sei. Auch werden nicht gleich mit dem Start 2021 alle Funktionen vorhanden sein. Erst ab 2022 können auch Impfdaten, das Zahn-Bonusheft, der Mutterpass oder das gelbe U-Heft für Kinder in der Patientenakte hinterlegt werden. Ebenfalls erst ab 2022 wird es möglich sein, für jedes einzelne Dokument in der Akte festzulegen, welcher Arzt darauf Zugriff haben soll und welcher nicht. In der Anfangsphase können Patienten dem Arzt nur die ganze Akte zur Einsicht freigeben oder gar nichts. Der Vorstand der Deutschen Stiftung Patientenschutz, Eugen Brysch, nannte das am Donnerstag einen “Geburtsfehler”. So schaffe Gesundheitsminister kein Vertrauen bei den Patienten, kritisierte er.

Das Rezept kommt per Handy

Zur Frage, wie gut die eigenen Gesundheitsdaten gesichert sein können, wenn sie über eine App auf dem Handy abrufbar sind, sagte Spahn, die Apps der Krankenkassen müssten den höchsten Sicherheitsansprüchen Rechnung tragen. Er verwies als Beispiel auf andere Anwendungen, wie das Onlinebanking auf dem Smartphone mit sogenannter Zwei-Faktor-Authentifizierung, wo ein Zugriff auf das Konto nur mit PIN-Nummer oder Fingerabdruck und zusätzlicher Transaktionsnummer (TAN) möglich ist.

Ab 2023 sollen Versicherte die Daten auf ihrer Patientenakte auch freiwillig für Forschungszwecke zur Verfügung stellen können. Geplant ist außerdem die Einführung einer App für Rezepte. Ärzte sollen die Verschreibung künftig direkt auf das Handy des Patienten schicken können, zum Beispiel, wenn ein neues Rezept für ein Dauermedikament nötig wird. Die Rezept-App soll unabhängig von der E-Patientenakte sein und im Laufe des Jahres 2021 zur Verfügung gestellt werden.

Die Bereitschaft, solche Angebote zu nutzen, scheint da: Eine Umfrage des Digitalverbands Bitkom hatte im vorigen Jahr ergeben, dass fast zwei Drittel der Bevölkerung E-Akten “auf jeden Fall” oder “eher” nutzen würden

TikTok: Ein Hype ohne Datenschutz

https://www.facebook.com/alngermany/

Die Jugend von heute hat vor allem eines: Geltungsdrang. Um den eigenen Beliebtheitsgrad zu fördern, müssen immer neue Apps her. Nach Facebook und Instagram wird nun die Hype-App TikTok genutzt, um möglichst cool zu sein – Grund genug, die Datenschutzrisiken dieser App genauer zu betrachten.

TikTok – nie gehört?

Sollten Sie bei TikTok ratlos mit den Schultern zucken, so sei Ihnen verziehen: Die Leserinnen und Leser unseres Blogs gehören mit an Sicherheit grenzender Wahrscheinlichkeit nicht zur Zielgruppe dieser App. TikTok richtet sich an Kinder und Jugendliche, also an Anwender, die kaum bis gar keine datenschutzrechtlichen Bedenken hegen.

Die App selbst ist schnell erklärt: Auf dieser können Playback-Videoaufnahmen erstellt und mit der Community geteilt werden. Karaoke war gestern, heute werden eigene Musikclips erstellt und mittels dem in der App eingebauten sozialen Netzwerk verbreitet. Neben der App kann auch die TikTok-Website genutzt werden, um die Welt vom eigenen Schauspieltalent zu überzeugen.

Vom Betreiber der TikTok-App, dem Technologiekonzern ByteDance, dürften Sie vermutlich noch nie gehört haben. Dieser hat seinen Sitz – Trommelwirbel – in China. Ein Schelm, wer Böses dabei denkt…

Bye Bye, Kinderdatenschutz?

Die Schwächsten unserer Gesellschaft gilt es zu schützen. Was heldenhaft klingen mag, erfordert in der Praxis weder Ross noch Reiter, sondern vor allem Aufklärung. Kinder, Jugendliche und deren Eltern sind darüber zu informieren, welche datenschutzrechtlichen Probleme die App TikTok bereitet.

Bei der erstmaligen Nutzung – Einwilligung?

Probleme tauchen bereits bei der erstmaligen Nutzung der App auf: Die Sammlung zahlreicher Nutzer- und Hintergrunddaten erfordert die wirksame Einwilligung des Nutzers nach Art. 6 Abs. 1 S. 1 lit. a, 7 DSGVO. Viele Möchtegern-Playback-Sängerinnen und -Sänger sind aber zu jung, um selbst wirksam einwilligen zu können. TikTok hält hierfür eine (vermeintliche) Lösung parat: TikTok ist ab 13 Jahren erlaubt, sofern die Eltern einwilligen.

Kennen Sie einen pubertierenden Teenager, der seine Eltern fragt, ob er eine App verwenden und Videoaufnahmen darauf teilen darf? Nein? Ich auch nicht.

Was, wenn sich noch jüngere Kinder unter Angabe eines falschen Geburtsdatums bei TikTok anmelden? Eine Alterskontrolle findet nicht statt und ist auch kaum möglich. Dabei sind es doch gerade Kinder, die die Folgen ihres Tuns nicht abschätzen können!

TikTok, die Datenkrake?

Wer Datenkraken im Zoo sucht, bei dem ist Hopfen und Malz verloren. Diese nicht gerade seltenen Tierchen treten vielmehr in der freien (Internet-)Wildbahn auf. Auch wenn Facebook, Google und Amazon zu den bekanntesten Vertretern ihrer Art zählen, gibt es noch weitere, zwar auf den ersten Blick unscheinbare, aber nicht minder gefährliche Datensammler.

TikTok zeigt sich dabei besonders gefräßig. Verarbeitet werden gemäß der Datenschutzerklärung TikToks folgende Daten:

  • Kontaktdaten, wie Name, Benutzername, E-Mail-Adresse und Telefonnummer,
  • technische Daten wie Geräteinformationen, Geräteidentifizierungsmerkmale, Gerätemodell, Betriebssystem, Zeitzonen-, Sprachauswahl und andere lokale Einstellungen,
  • IP-Adresse,
  • Browserverlauf,
  • Mobilfunkanbieter,
  • Informationen zur Nutzung von TikTok (z.B. Kommentare und Likes, die man auf TikTok hinterlässt, hochgeladene Videos/Bilder)
  • Kommunikationspräferenzen,
  • Inhalte gesendeter Nachrichten und deren Empfänger,
  • sowie Daten aus anderen sozialen Netzwerken oder öffentlichen Forenkonten (z.B. öffentliche Profilinformationen, Freundesliste, Login-Daten).

Anhand dieser Daten lassen sich umfassende Persönlichkeitsprofile erstellen. Wofür? Na, für ein Werbeerlebnis der Extraklasse! Und wie bei allen scheinbar kostenfreien Social-Media-Angeboten gibt es auf dem Pausenhof kein Halten mehr, denn einem geschenkten Gaul schaut man nicht ins Maul…

Publicity um jeden Preis?

Das TikTok-Konto ist zunächst auf öffentlich gestellt. Wer dies nicht möchte, muss die Einstellungen ändern. Dies kostet zum einen Überwindung – bei einem privaten Konto rückt der Ruhm in weite Ferne. Zum anderen ist vielen Kindern und Jugendlichen nicht bewusst, welche Reichweite ihre Daten bei einem öffentlichen Konto erreichen. Was als Spaß begann, kann tragisch enden: Mobbing zum Beispiel. Möglicherweise verfolgt einem das Video sein Leben lang. Doch warum an die Zukunft denken? Chill mal, Digga!

Was passiert mit den Daten?

Gemäß TikToks Datenschutzerklärung werden die personenbezogenen Daten unter anderem weitergegeben an:

„unsere Geschäftspartner, damit wir Ihnen über unsere Dienste besondere Angebote machen können;

in Bezug auf unsere On-Screen-Werbung unsere Werbekunden und Werbenetzwerke, die diese Daten benötigen, um für Sie und andere Werbeanzeigen auszuwählen und anzuzeigen. Wir werden Ihre Kontaktdaten nicht an unsere Geschäftspartner weitergeben, so dass Sie nicht direkt von diesen kontaktiert werden, aber wir werden andere Daten weitergeben, damit sie Ihnen auf Ihre Bedürfnisse zugeschnittene Angebote machen können;

unsere Dienstleister und Unterauftragnehmer, die uns beim Betreiben der Dienste unterstützen;

oder Analyse- und Suchmaschinenanbieter, die uns bei der Verbesserung und Optimierung der Dienste helfen.“

Etwas skurril wirkt der Satz, die Daten könnten an Unternehmen weitergegeben werden,

„die wir beherrschen, von denen wir beherrscht werden oder die unter gemeinsamer Beherrschung stehen…“.

Ich weiß nicht, wie es Ihnen geht, aber bei einer an Jugendliche und Kinder gerichteten App möchte ich von einem Beherrschen nichts lesen. Sicher, die Übersetzung aus dem Englischen ist nicht ganz geglückt – der erste Eindruck aber bleibt, denn hinter TikTok steckt China!

Im Reich der Mitte ist Datenschutz bekanntermaßen ein Fremdwort. Da mag China noch so sehr versichern, die persönlichen Nutzerdaten würden nun sicher in den USA gespeichert, die Software-Entwicklung zu TikTok sei vom übrigen Geschäft des Konzerns getrennt – wer’s glaubt.

Diskriminierung und Zensur

TikTok steht häufiger in der Kritik, nicht nur aus datenschutzrechtlicher Sicht. Fakt ist, dass TikTok – zumindest in der Vergangenheit – Videos Behinderter in ihrer Reichweite beschränkt und homosexuell erscheinende Inhalte blockiert hatte. Videoaufnahmen mit unerwünschter politischer Aussage werden ebenfalls zensiert.

Absurd: Das von einem chinesischen Entwickler stammende TikTok ist in China verboten! Dort gibt es stattdessen „Douyin“ – staatliche Überwachung inklusive.

Recht auf Vergessenwerden: Nur in den Grenzen der EU

Wooden judges gavel on a law book

Der Generalanwalt des EuGH Szpunar ist der Auffassung, dass ein Betreiber von Suchmaschinen wie Google nicht verpflichtet ist, für eine weltweite Entfernung von Links zu sorgen, sondern dass die Entfernung von Links, die durch den Suchmaschinenbetreiber vorzunehmen ist, auf das Gebiet der EU zu begrenzen ist. Bislang war strittig, wie weit die geografische Reichweite der Löschpflicht gehen sollte.

Seit fünf Jahren gibt es das Recht auf Vergessenwerden, wonach Personen Google-Einträge löschen lassen können. Jetzt sagt der EuGH, dass dieses Recht Grenzen hat, nämlich die der EU. Das Europarecht zwinge Google daher nicht zum weltweiten Löschen. Doch es verbietet den Mitgliedstaaten eine solche Entscheidung auch nicht. Eine salomonische Entscheidung, die der EuGH da mit Blick auf andere autoritäre Regime getroffen hat.

Google muss seine Suchergebnisse nicht weltweit löschen, wenn ein EU-Bürger sein Recht auf Vergessenwerden geltend macht. Das hat am Dienstag der Europäische Gerichtshof (EuGH) entschieden (Urt. v. 24.09.2019, Az. C-507/17). Die Löschpflicht erstrecke sich grundsätzlich nur auf alle Staaten innerhalb der EU. Bezogen auf diese muss Google aber dafür sorgen, dass die Internetnutzer davon abgehalten werden, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen. Damit ist letztlich das sog. „Geoblocking“ gemeint.

Allerdings lässt der EuGH noch ein Schlupfloch für die weltweite Löschung offen: Zwar schreibe das EU-Recht keine weltweite Löschung vor, doch verbiete es dies auch nicht. Daher könnten die Behörden eines Mitgliedstaats, sofern sie das Persönlichkeitsrecht mit dem Informationsinteresse der Öffentlichkeit angemessen abwägen, nach nationalem Recht eine weltweite Löschung erzwingen.

Wooden judges gavel on a law book

1&1 muss 9,5 Mio. zahlen

Figure of Justice holding the scales of justice

Bußgeld wegen Datenschutzverstoß

Anrufer konnten bei der 1&1-Kundenbetreuung allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten. Der BfDI sah darin einen DSGVO-Verstoß und verhängte ein Bußgeld von 9,55 Millionen Euro. Die 1&1 Telecom GmbH wird den gegen sie erlassenen Bußgeldbescheid nicht akzeptieren und dagegen klagen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9,55 Millionen Euro belegt.

Das Unternehmen habe keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. 

Figure of Justice holding the scales of justice

Neues Urteil aus Portugal

Eine spannende Entscheidung kam heute noch aus Portugal 400.000 € Bußgeld wegen falscher Zugriffsrechte. Diese Strafe wurde laut der portugiesischen Zeitung Público durch die örtliche Behörde über ein Krankenhaus in Portugal bei Lissabon verhängt. Damit droht 5 Monate nach der DS-GVO das erste heftige Bußgeld. 

Der Grund: Zuviele User hatten Zugriff auf Patientendaten!
 
Ein Zustand der auch in vielen anderen Unternehmen eher keine Beachtung findet. Daher nehmen Sie auch dieses Thema ernst. Handeln Sie unbedingt nach dem need-to-know-Prinzip. Personenbezogene Daten nur den Mitarbeitern zur Verfügung stellen, die sie wirklich brauchen. Nicht jeder darf alles sehen ! Das gilt von der Krankmeldung über´s Besucherbuch bis hin zur Zeiterfassung.

Nun geht es los – Erste Prüfungen beginnen

Die bayrische Landesbehörde hat begonnen die ersten Prüfungen durchzuführen. In den nachfolgenden Links findet ihr die Prüfungsanordnungen. Diese Behörde geht vorbildlich und sehr transparent mit Informationen um.
So sollte es eigentlich immer im Bereich Datenschutz sein.

Quelle und Links:
https://www.lda.bayern.de/media/pm2018_17_de.pdf 
https://www.lda.bayern.de/de/kontrollen.html

Also, folgt diesem Beispiel und geht offen mit diesen Dingen um !
Auf gar keinen Fall solltet ihr den “Beleidigten” spielen, wenn Mitarbeiter, Kunden oder Lieferanten fragen zu den gespeicherten Daten haben.

Auf dieses Thema gehe ich in einem der nächsten Newsletter noch einmal näher ein.

“Zugriffskontrolle” Ein wichtiges Werkzeug beim Datenschutz!

Regelungen und Richtlinen

Zwingend erforderlich das nicht alle alles sehen dürfen. Kleine Unternehmen, bei 160 Angestellten darf nicht jeder alles sehen. Auch dies ist ein datenschutzrechtlicher Verstoß.

Darauf sollte geachtet werden:

  • Habt ihr einen Prozess im Unternehmen, der sicherstellt, dass alle Daten von Bewerbern gelöscht werden?
  • Habt ihr Geburtstagslisten im Unternehmen?
    Wenn ja, ist eine Einwilligungsregelung umgesetzt?
  • Habt ihr die Informationspflichten für Bewerberinnen und Bewerber und die Beschäftigten im Unternehmen umgesetzt?
  • Habt ihr Regelungen getroffen, die beim Ausscheiden von Beschäftigten greifen. Und zwar im Bereich des Entzugs von Zugriffsrechten und im Hinblick auf eine Weiterspeicherung der Beschäftigtendaten?