In unserer aktuellen Herold-Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:
- „Bürger-ID“: Zentrale Personenkennziffer für alle?
- Elektronische Patientenakte
- Menschliche Firewall
- Social Engineering: Die Tricks der BetrügerInnen
- E-Learning in der Ligatur
- Gesundheitsfragebogen für Kunden?
- Quelleninformation
1. „Bürger-ID“: Zentrale Personenkennziffer für alle?
Mit der neuen „Bürger-ID“ will die Bundesregierung eigentlich nur die Verwaltungsabläufe erleichtern und den bürokratischen Aufwand für die BürgerInnen selbst reduzieren. Das hört sich zunächst nach „Entbürokratisierung“ und nach einem echten Vorteil für uns alle an; etwa für den Online-Zugang zu Behörden. Dazu soll die bisherige Steuer-Identifikationsnummer (Steuer-ID) zu einer „Bürgernummer“ erweitert werden. Die 11-stellige Steuer-ID hat für diese Zwecke den Vorteil, dass sie auch bei Umzügen ein Leben lang gleich bleibt. Namen und Vornamen reichen nicht mehr für die eindeutige Identifizierung; sie können zu Verwechslungen führen. Die Bürger-ID wird an Deutsche und Ausländer vergeben. Personenverwechslungen wie in der Flüchtlingskrise könnten dann vermieden werden. Andere Länder (z.B. skandinavische Staaten oder die Niederlande) setzen entsprechende Personenkennziffern bereits ein.
Der Bundesdatenschutzbeauftragte hat angesichts dieser Regierungspläne davor gewarnt, dass all diese personenbezogenen Daten sodann vom Staat viel leichter verknüpft und zu umfassenden Persönlichkeitsprofilen vervollständigt werden könnten. Das könne zu Fehleinschätzungen und Missbrauch führen, insbesondere, wenn die Bürger-ID auch im Wirtschaftsleben Verbreitung fände. Eine „sektorspezifische“ Personenkennziffer für bestimmte Bereiche, wie in Österreich bereits praktiziert, wäre sicherer. Das Bundesverfassungsgericht hat im Volkszählungsurteil schon 1983 die Nutzung einheitlicher ID`s zur offenen Kennzeichnung von personenbezogenen Daten insbesondere zur Profilbildung untersagt.
Was unter der Steuer-ID (als zukünftige „Bürger-ID“) alles gespeichert wird
Melderegister, Arbeitsagentur, Ausländerzentralregister, Rentenversicherung, Waffenregister, Insolvenzregister, Versichertenverzeichnis der Krankenkassen, Register für ergänzende Hilfe zum Lebensunterhalt und weitere rund 50 Datenbanken.
Tipps zum Datenschutz für die „Bürger-ID“
- Setzen Sie eine „Bürger-ID“ nur für behördliche Zwecke und bei staatlichen Stellen ein.
- Eine Verwendung der „Bürger-ID“ im Wirtschaftsleben ist riskant und möglichst zu vermeiden.
- Achten Sie auf eine Ende-zu-Ende-Verschlüsselung der elektronischen Kommunikation.
Quellen: DSK, Registermodernisierung verfassungskonform umsetzen, v. 26.08.2020; Heise online, Bundestagsgutachten: Schwere Bedenken gegen Steuer-ID als Bürgernummer, 9/2020; Kelber in Tagesspiegel, Zentrale Personenkennzeichen: Angst vor dem allwissenden Staat, v. 26.08.2020; LTO, Kabinett beschließt Entwurf zur Bürger-Identifikationsnummer, v. 23.09.2020.
2. Elektronische Patientenakte (ePA)
Die Diskussionen um die Einführung des Patientendatenschutzgesetzes spitzen sich zu – und zwar auf den Streit über den Vorrang von Gesundheitsschutz oder Datenschutz. Keine elektronische Patientenakte zu besitzen, kann sich unter Umständen als lebensgefährlich erweisen. Aus Sicht von Datenschützern ist jedoch der Zugriff auf die Inhalte der ePA noch nicht ausreichend geregelt. Die Ärzte sitzen in der Zwickmühle. Sie befürworten eine sinnvolle Digitalisierung, nehmen aber auch die Bedenken der Datenschützer sehr ernst. Zu oft sind in der Vergangenheit Patientendaten und medizinische Studien durch Cyber-Angriffe entwendet und im Internet veröffentlicht worden. Der Bundesverband der Vertragspsychotherapeuten (bvvp) plädiert etwa dafür, abzuwarten und „zunächst die notwendigen Schutzmechanismen zu implementieren“. Damit spielt der bvvp vermutlich auf das fehlende Rechtemanagement für die ePA an. Die Frage muss gestattet sein, warum Zahnärzte oder Chirurgen dann freien Zugriff auf psychologische Bewertungen der Patienten haben sollen.
Andererseits können etwa elektronische Rezepte und digitale Überweisungsscheine auf einem Smartphone spürbare Vorteile für Patienten bedeuten. Der Inhalt der ePA soll zunächst aus Befunden, Arztberichten und Röntgenbildern bestehen; später sollen auch Impfausweis, Mutterpass und Kinderuntersuchungshefte sowie Bonushefte für Zahnärzte hinzukommen. Ab 2021 soll eine App für die Versicherten zur Verfügung stehen, um die notwendigen Einstellungen in der ePA durchzuführen.
Umgang mit der ePA
- Die Nutzung der ePA ist freiwillig. Sie entscheiden selbst über die Nutzung der ePA.
- Entscheiden Sie, was gespeichert (oder gelöscht) wird und wer auf die Daten zugreifen darf.
- Informieren Sie sich bei ihrer Krankenkasse, welche Daten von Ärzten einzutragen sind.
- Kontrollieren Sie die Daten in ihrer ePA regelmäßig.
Quellen: Gerlof in ÄrzteZeitung, Wieviel Datenschutz braucht die elektronische Patiententakte, v. 2.9.2020; Cornell in ÄrzteZeitung, Vertrauen in Patentenakte durch Gesetz in Frage gestellt?, v. 20.08.2020; Haufe, Patientendaten-Schutz-Gesetz vom Bundesrat gebilligt, v. 21.09.2020
3. Menschliche Firewall
Der Mensch und nicht die Technik sollte im Mittelpunkt stehen. Digitalisierung und Datenschutz stoßen allein mit technischen Mitteln immer häufiger an ihre Grenzen. Dabei erweist sich das Risikobewusstsein von Beschäftigten im Unternehmen als die erste und beste „Firewall“ gegen unbefugte Zugriffe auf personenbezogene Daten, Geschäftsgeheimnisse oder auf Konten. Beschäftigte, die in Krisenfällen richtig und besonnen reagieren (z.B. Vorgänge auf dem Bildschirm dokumentieren und Beweise sichern) werden für Unternehmen immer wertvoller. Nutzen Sie daher Fortbildungsmöglichkeiten im Unternehmen oder durch den Datenschutzbeauftragten zum Thema Datenschutz und IT-Sicherheit (z.B. Avallon E-Learning in der Ligatur) und machen sich mit existierenden Notfallplänen für ihre Arbeitsbereiche vertraut. Mehr als die Hälfte der Cyberangriffe wer-den über E-Mail-Anhänge durchgeführt. Erkundigen Sie sich nach internen Datenschutzrichtlinien oder Anleitungen für die E-Mail-Kommunikation im Unternehmen.
Der Mensch als Notfallmanager bei Cyber-Angriffen
1) Vorbereitet sein und informiert handeln. Hektik vermeiden und besonnen reagieren.
2) Dokumentieren Sie, was passiert ist und sichern Sie Beweise (z.B. Bildschirmfoto von verdächtigen Vorgängen, woran haben Sie zuletzt gearbeitet)
3) Setzen Sie die Meldeketten entsprechend des Notfallplans in Gang.
4) Schlagen Sie interne Übungsmaßnahmen vor und wenden sich an ihren Datenschutzbeauftragten (Beratungen, Audits und Prüfung meldepflichtiger Vorfälle).
4. Social Engineering: Die Tricks der BetrügerInnen
Technische und organisatorische Maßnahmen zum Datenschutz bewirken mitunter, dass IT-Systeme heute durch BetrügerInnen nicht immer leicht von außen kompromittiert werden können. Cyber-Angriffe sind zwar möglich aber entsprechend (zeit-)aufwendig. Daher setzen die Cyber-Kriminellen schon seit längerer Zeit auf immer raffiniertere Tricks, um die Beschäftigten des anzugreifenden Unternehmens selbst zu instrumentalisieren. Social Engineering wird diese Vorgehensweise genannt. Am Ende dieser Prozesse kommt es regelmäßig zur Nachfrage nach Passwörtern oder sonstige Handlungen, die einen leichteren Zugriff auf die IT-Systeme von außen erlauben.
Die BetrügerInnen setzen dabei auf vielfach erprobte Methoden und wirken auf den ersten Blick glaubhaft. Die „Maschen“ sind in der Regel ähnlich: Als „Expert/e/in“ wird etwa Zugang zum Gebäude oder zu Räumen verlangt (z.B. als HandwerkerIn mit Auftrag/Termin). Mit vorgetäuschtem „Zeitdruck“ werden spontane Reaktionen hervorgerufen, die ein Mitarbeitender sonst nicht gezeigt hätte. Schließlich ist auch der Aspekt „Mitleid“ ein häufig verwendetes Mittel („Wenn Sie mir nicht helfen, bekomme ich Ärger mit meine/m/r ChefIn“). Dabei werden oft Rollen von Lieferanten oder Handwerkern eingenommen, denn den BetrügerInnen genügt vielfach der einfache Zugang in das Gebäude oder dort in sensible Bereiche. Aber auch der Respekt vor (gespielter) „Autorität“ wird genutzt.
Mögliche Kontrollen:
- Rechnen Sie mit gefälschten Identitäten (Ausweise aus dem Kopierer) und fordern von „ExpertInnen“ z.B. die Vorlage des Auftrags aus Ihrem Unternehmen.
- Lassen Sie sich nicht unter Zeitdruck setzen oder von „Drohkulissen“ täuschen und überprüfen zuerst die Person und die Richtigkeit des Anliegens.
- Bleiben Sie kritisch und misstrauisch bei „Emotions-Maschen“. Das „Vier-Augen-Prinzip“, also bei anderen Mitarbeitenden nachfragen, ist immer ein guter Weg für die neutrale Lagebeurteilung.
Quellen: BSI für Bürger, Social Engineering – der Mensch als Schwachstelle
5. E-Learning in der Ligatur
Sensibilisierte Beschäftigte tragen täglich Ihren Teil zum sicheren Unternehmen bei – für den Datenschutz und bei der IT-Sicherheit. Der beste Weg zu einer wertvollen „menschlichen Firewall“ und zum versierten Umgang mit Cyber-Angriffen oder Social Engineering ist die regelmäßige Schulung der Beschäftigten in den „Schlüsselpositionen“. Dabei geht es nicht nur um die Arbeitsplätze zur Verarbeitung von Daten, sondern der Datenschutz fängt bereits an der Tür des Gebäudes an (z.B. bei Empfangsmitarbeitenden). Das Bundesdatenschutzgesetz sieht insgesamt 14 Kontrollbereiche vor (§ 64 Abs. 3 BDSG), die sich nicht alle allein aus der dortigen Aufzählung der Begriffe leicht erschließen lassen (z.B. Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle etc.).
Seit dem 1.10.2020 bieten wir Ihnen vier Möglichkeiten der Schulung Ihrer Beschäftigten an:
- Klassenraumtraining, wie Sie diese von uns bisher kennengelernt haben
- Web-Trainings und Workshops
- eLearning auf unserer Ligatur, dem Datenschutz Managementsystem
- Broschüren (auch in anderen Sprachen), für Beschäftigte, die keine Präsenzveranstaltungen besuchen können
Vorteile des E-Learning in der Ligatur:
- Zeitlich flexible Planung, auch aus dem Home Office, da jederzeit unterbrochen und nahtlos wieder fortgesetzt werden kann
- Mehrere Module stehen zur Auswahl
- Test nach jedem Modul mit anschließendem Teilnahmezertifikat
- Gesetzeskonforme Dokumentation der Sensibilisierungen für das Unternehmen.
6. Gesundheitsfragebogen für Kunden?
Der Corona-Pandemie führt aktuell nicht nur zu einem Flickenteppich von unterschiedlichen Regelungen in den Bundesländern, Städten und Kreisen, wie etwa in der Frage eines umstrittenen Beherbergungsverbotes. Private Unternehmen und öffentliche Stellen wollen sich absichern, die Infektionsschutzbestimmungen einhalten und ergreifen dabei nicht immer die richtigen Maßnahmen. Gesundheitserklärungen (etwa an Schulen) oder Gesundheitsfragebögen für Beschäftigte, BesucherInnen und KundInnen kommen „in Mode“. Tatsächlich können solche Selbstauskünfte oder Fragebögen in Verbindung mit dem Infektionsschutzgesetz und weiteren Landesgesetzen (z.B. für Arbeitgeber) auch datenschutzrechtlich zulässig sein. Die Verarbeitung von sensiblen Gesundheitsdaten wird aber durch das Datenschutzrecht besonders geschützt. Die Betroffenen müssen über die Zwecke und Rechtsgrundlagen solcher Erhebungen gut informiert werden. Die dabei gewonnenen Gesundheitsdaten dürfen ausschließlich zweckentsprechend verwendet werden und ihre Vertraulichkeit muss besonders geschützt werden. Die erhobenen Daten sind unverzüglich nach dem Ende der Aufbewahrungsfristen (gemäß Verordnungen der Länder, meistens 3 bis 6 Wochen) zu löschen.
Diese Fragebögen können durch Arbeitgeber eingesetzt werden, die einerseits die gesundheitlichen Fürsorgepflichten für ihre Beschäftigten und andererseits auch Meldepflichten im Infektionsschutzbereich erfüllen müssen. Für private Unternehmen können solche gutgemeinten Fragebogenaktionen schnell zur „Bußgeldfalle“ werden. Sie haben die Betroffenen nicht nur zu informieren, sondern müssen auch deren Einwilligung zu solchen Befragungen einholen und nachweisen (Art. 6 Abs. 1 lit. a DSGVO), dass die Befragung auf freiwilliger Basis erfolgt ist. Und die Frage nach der Freiwilligkeit stellt sich ernsthaft, wenn etwa Dienstleistungen oder Waren nur unter der Voraussetzung der Vorlage eines solchen Fragebogens angeboten werden.
Wann kann ein Gesundheitsfragebogen u.a. verlangt werden?
- Zur Durchführung des Beschäftigungsverhältnisses (ArbeitnehmerInnen- und Infektionsschutz).
- Für KundInnen: Freiwillig, informiert und verhältnismäßig (angemessene Fragen)
Quellen: BfDI, Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit er Corona-Pandemie
7. Onlinequellen
Bürger-ID“: Zentrale Personenkennziffer für alle?
heise.de/news/Bundestagsgutachten-Schwere-Bedenken-gegen-Steuer-ID
-als-Buergernummer-4907034.html
Elektronische Patientenakte
aerztezeitung.de/Wirtschaft/Wie-viel-Datenschutz-braucht-die-ePA-412464.html
haufe.de/sozialwesen/leistungen-sozialversicherung/elektronische
-patientenakte_242_474764.html
Social Engineering: Die Tricks der Betrüger
Gesundheitsfragebogen für Kunden?
Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.
Ihr Datenschutzbeauftragter
Jörg Stockmann
Aurich und Gelsenkirchen, Oktober/November 2020