|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Fachkraft für Medienpädagogik
|
|
|
|
|
|
|
Hamburg, den 01. Juni 2025
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Barrierefreiheitsstärkungsgesetz (BFSG) und BITV 2.0
- Flächendeckende Ausspielung der elektronischen Patientenakte (ePA)
- Aktuelles aus dem Datenschutz
|
1. Barrierefreiheitsstärkungsgesetz (BFSG) und BITV 2.0
Das BFSG tritt am 28. Juni in Kraft. Auch dieses Gesetz wurde, wie die meisten davor, von diversen Beratungsunternehmen zum Anlass genommen, alle Webseiteninhaber und Anwendungsanbieter mit Überprüfungs- und Dienstleistungsangeboten zu überziehen, die eigentlich keiner braucht.
|
Das Gesetz gilt nur für Anbieter sehr bestimmter Produkte oder Dienstleistungen, wenn man sich mit diesen gewerblich an natürliche Personen richtet. Dazu gehören Hardwaresysteme, Selbstbedienungsterminals, Geräte für interaktive Telekommunikationsdienste und E-Book-Reader. Bei den Dienstleistungen sind Telekommunikationsdienste, Personenbeförderungs-dienste, Bankdienstleistungen, E-Book-Software und Dienstleistungen im elektronischen Geschäftsverkehr betroffen. Webseiten fallen nicht generell unter das Gesetz. Auch fallen keine Kleinunternehmen mit weniger als 10 Mitarbeiter:innen oder 2 Millionen Umsatz/Bilanzsumme unter die neuen Regelungen.
|
Zu diesem Gesetz gibt es noch eine Verordnung, die BFSGV. Sie nennt ein paar spezifische Dinge, die umgesetzt werden müssen, und schreibt zum Stand der Technik sinngemäß folgendes: Die wichtigsten Standards, die beachtet werden müssen, nebst Informationen dazu, gibt es auf der Webseite der Bundesfachstelle für Barrierefreiheit. - Ich habe auf der Seite bisher nichts dergleichen gefunden. Vielleicht kommt ja bis zum 28. Juni noch was.
|
Immerhin hat die Bundesfachstelle für Barrierefreiheit es geschafft, eine Diskussion auszulösen, indem man dort "elektronischer Geschäftsverkehr" sehr besonders auslegt. Im Kern geht es darum, was eine "individuelle Anfrage eines Verbrauchers in Hinblick auf den Abschluss eines Verbrauchervertrags" ist. Ich habe mich dazu mit der Fachstelle ausgetauscht und bin seitdem noch irritierter. Die Fachstelle schreibt u.a.: "Wir gehen aktuell davon aus, dass dies z.B. auch über ein Kontaktformular geschehen könnte (wenn über dieses z.B. ein Termin gebucht und/oder Verkauf angebahnt wird." - Also wäre dieser Aussage nach jede Webseite Gewerbetreibender, die natürliche Personen als Kunden bedienen, dann betroffen, wenn sie ein Kontaktformular hat. Wenn nur eine E-Mail zur Kontaktaufnahme vorhanden ist, über die man ebenso eine Terminanfrage stellen kann, ist es nicht der Fall. Das macht für mich keinen Sinn. Ferner wäre es bei einem Arzt dann auch noch zusätzlich so, dass dann, wenn eine Terminbuchung in der Eigenschaft als Betriebsarzt getätigt wird, die Webseite nicht unter das BFSG fällt, weil es dann kein Verbrauchervertrag ist. Auch führt die Bundesfachstelle aus, dass wenn eine Anwendung in einer Webseite für eine Anwendung des BFSG qualifiziert, dass dann die gesamte Webseite mit allen Unterseiten und Funktionen barrierefrei sein muss. Auch das kann ich nicht aus dem Gesetz lesen. Ohne der Bundesfachstelle für Barrierefreiheit zu Nahe treten zu wollen, tendiere ich dazu, deren Aussagen vorerst keine große Beachtung zu schenken. Letztlich wird gerade eine neue Behörde in Magdeburg, Sachsen-Anhalt, aufgebaut, die die Aufsicht über die Barrierefreiheit von Produkten und Dienstleistungen für alle 16 Bundesländer ausüben wird. Warten wir einmal ab, was deren Interpretation ist. Solange von dort nichts kommt, ist für mich "eine individuelle Anfrage, die im Hinblick auf einen Verbrauchervertragsabschluss erbracht wird", eine solche die unmittelbar, auf elektronischen Weg einen Vertragsabschluss verbindlich herleitet bzw. herleiten kann. Zum Beispiel der Online-Kartenkauf für den Besuch eines Freizeitparks auf deren Webseite. Unverbindliche Anfragen für Angebote, Termine etc. fallen für mich nicht darunter. Ich bin gespannt, ob ich diese Auffassung am Ende revidieren muss oder nicht.
|
|
Letztlich ist die Barrierefreiheit auf Webseiten und in Apps keine neue Geschichte. Wir kennen das schon für Körperschaften des öffentlichen Rechts. Hier ist die BITV 2.0 bereits seit 2011 in Kraft. Für die Umsetzung gibt es zahlreiche Checklisten und Vorgaben. Gleichzeitig ist die Umsetzung immer auch diskutabel. So haben Menschen mit Seh-, Hör-, motorischen oder kognitiven Einschränkungen sehr unterschiedliche, individuelle Anforderungen an Barrierefreiheit. Es gibt damit nicht diese eine richtige Umsetzung. Barrierefreiheit ist immer ein Kompromiss. Tatsächlich müsste man, will man allen gerecht werden, Webseiten oder Anwendungen in fünf bis sechs verschiedenen Varianten zur Verfügung stellen, zwischen denen man wählen/umschalten kann. Kosten und Aufwand stehen für die meisten Anbieter in keinem Verhältnis, um derartiges umsetzen zu können. Somit ist das Barrierefreiheitsstärkungsgesetz ein wichtiger Schritt in die Förderung von mehr Barrierefreiheit, löst aber die für die praktische Umsetzung entscheidenden Fragen nicht.
|
Und mein letzter Gedanke zu dem Thema: Sollte es so kommen, dass man das BFSG sehr strikt auslegt und entschieden umsetzt, dann müsste man auch mal über die Umsetzung der BITV 2.0 sprechen. Viele Körperschaften des öffentlichen Rechts setzen es um, viele aber auch nur zum Teil oder gar nicht. Es gibt kaum Mechanismen, die das überprüfen, und es gibt selten Maßnahmen bei nicht ausreichender Umsetzung gegen eine Behörde.
|
2. Flächendeckende Ausspielung der elektronischen Patientenakte (ePA)
Mit Anfang Mai, tatsächlich soll es der 29. April gewesen sein, ist die ePA jetzt für ganz Deutschland ausgespielt. Passiert ist nichts. Mir ist weiterhin kein Fall bekannt, wo ein Patient von seinem Arzt gewünscht hat, dass er Dokumente in die ePA überträgt. Das wird sich ab dem 1. Oktober 2025 ändern, denn ab diesem Datum soll die ePA verpflichtend sein. Verpflichtend heißt in diesem Zusammenhang, dass die Einspielung von Dokumenten in die ePA für Ärzte verpflichtend wird. Und zwar immer dann, wenn ein Patient eine ePA besitzt, also dieser bei seiner Krankenkasse nicht widersprochen hat.
|
Weiterhin wird die Diskussion um die Sicherheit der Gesundheitsdaten in der ePA geführt. Diese Diskussion ist wichtig und richtig, inhaltlich aber wenig substantiiert. Die ePA ist sehr sicher. Eine absolute Sicherheit gibt es nicht. Ärzte nutzen seit Jahren Praxissoftware, welche die Gesundheitsdaten der Patienten in einer Cloud speichert. Solche Softwarelösungen sind in jedem Fall nicht sicherer als die ePA, einige auch deutlich unsicherer. Die ePa, als auch alle Cloudlösungen, sind ferner erheblich sicherer als die Lösungen, wo Ärzte eigene Server betreiben und Ihre Praxissoftware darauf laufen lassen. Zwar haben diese Ärzte dann die Daten nicht aus dem Haus gegeben, jedoch sind eigene Server in der Sicherheit immer weit hinter dem, was professionelle Anbieter an Sicherheits-standards leisten können. Jedoch gibt es keine Diskussion über diese Problematik, so dass die Sicherheitsdiskussion über die ePA insoweit verzerrt ist.
|
Die ePA soll auch für Physiotherapie, ambulante Pflege und einige weitere Branchen im Rahmen einer Institutionsberechtigung zugänglich werden. Auch das passiert gerade, je nach Bundesland in unterschiedlichem Tempo. Im Grundsatz können diese Institutionen dann auch die gesamten Gesundheitsdaten einer Person einsehen, wenn diese sie nicht für sie gesperrt hat.
|
Die Informationspflicht zur ePA hat der Gesetzgeber den Ärzten auferlegt. Es kann sich dabei nur um eine allgemeine Information handeln, die über das informiert, was laut Gesetz vorgesehen ist. Die Informationspflicht bezieht sich nicht auf spezifische Möglichkeiten einzelner Apps der verschiedenen Kassen und auch nicht darauf, was gerade nicht funktioniert.
|
Mein persönlicher Kenntnisstand ist der, dass die ePA Umsetzung bei den meisten Praxissoftware-Anbietern recht weit ist und die verpflichtende Einspielung ab dem 1. Oktober 2025 zu mindestens technisch möglich sein wird. Wie Ärzte das organisatorisch am besten machen, wirft allerdings noch einige Fragen auf. Bei den Krankenhäusern stellt sich letztere Frage offensichtlich gar nicht. Viele Krankenhäuser, anders als niedergelassene Ärzte, haben derzeit keine technischen Lösungen, die das Auslesen und bespielen der ePA möglich machen. Und einige davon sagen sehr offen, dass sie das auch auf absehbare Zeit nicht kommen sehen.
|
3. Aktuelles aus dem Datenschutz
Ich beginne mal mit einem Fall, der gar nicht so viel mit Datenschutz zu tun hat. Ein 87 Jahre alter Mann wurde von Trickbetrügern angerufen. Sie erzählten ihm, dass sein Bankkonto in einen schweren Betrugsfall verwickelt ist. Mitarbeiter der Bankenaufsicht kommen unmittelbar zu ihm und holen Bankkarte, Geheimcode für die Karte und alle Kontounterlagen von ihm ab. Bis hierhin ist das keine neue Betrugsmasche und passiert täglich in Deutschland. Es kommt dann eine Person und holt die Dinge ab, wenn jemand drauf reinfällt. In diesem Fall kamen aber zwei als Ordnungsamt gekennzeichnete Fahrzeuge mit insgesamt 6 Personen, gefälschten Ausweisen etc. Es macht mich etwas sprachlos. 6 Personen und die Logistik zeigen den hohen Grad der Organisation dieser Betrüger und sind auch Ausdruck dessen, dass diese sich sehr sicher fühlen nicht bei der Abholung gefasst zu werden.
|
Die Bundesbeauftrage für den Datenschutz und die Informationssicherheit (BfDI), Fr. Prof. Dr. Specht-Riemenschneider, hat eine Rede zum Thema "Die Bedeutung von Datenschutz in der digitalen Ära" gehalten. Sie sieht drei Themenfelder im Fokus: Gesundheit, Künstliche Intelligenz (KI) und Sicherheit. Gesundheit bezieht sich dabei auf Gesundheitsdaten und nicht auf Nutzungsverhaltensstörungen oder psychosoziale digitale Bedrohungen. Aber ich möchte eigentlich auf folgenden Satz aus dem Vortrag eingehen: "m Bereich KI liegt der Schwerpunkt auf der Rechtmäßigkeit von KI-Training und einer Beantwortung der sog.
Infektionsthese. Aus Sicht der BfDI ist auch bei rechtswidrigem KI-Training eine rechtmäßige KI-Nutzung möglich. ... Eine absolut gedachte Infektionsthese, sogenannte fruit-of-the-poisonous-tree Doktrin, sollte es im Datenschutzrecht nicht geben." Das lasse ich zu KI einfach mal so stehen.
|
In einem Beitrag zu KI von Fr. Prof. Dr. Yasmin Weiß wird die Wort-Konstruktion "Doppelte Kommunikationsfähigkeit" genutzt. In der Zukunft müssen Menschen die Kompetenz besitzen mit anderen Menschen, also auf einer sozialen Ebene, kommunizieren zu können, als auch mit Künstlicher Intelligenz, also mit nicht sozialen technischen Wesen kommunizieren können. Der Ansatz, dass es für jede dieser Kommunikationen eine eigene Kompetenz, also Art und Weise des Umgangs, braucht, ist sehr interessant und vermutlich auch sehr richtig gedacht.
|
Und wo wir schon bei KI sind: Die BfDI, das hessische Ministerium für Digitalisierung und die Bundesnetzagentur haben zusammen ein KI-Reallabor gestartet, um so bessere und praxisorientierter Ansätze der sich im Zusammenhang mit dem Einsatz von KI stellenden Fragen zu erlangen. Schauen wir mal, was in Zukunft dabei herauskommt.
|
HateAid, eine gemeinnützige GmbH, die sich dem wichtigen Kampf gegen Hass und Hetze im Netzt verschrieben hat, fordert richtigerweise ein deutlicheres vorgehen gegen sexualisierte Deepfakes und andere solche Methoden. Darunter auch ein wirksames Auskunftsrecht für betroffene, um an die Daten der Täter zu kommen, damit Rechte geltend gemacht werden können. Bei letzterem bin ich ratlos, um ehrlich zu sein. Eine Vielzahl von Tätern, in bestimmten Bereichen von Hass und Hetze über 90%, befinden sich hinter VPN-Mauern. Sie sind nicht zu ermitteln. So habe ich persönlich dieses Jahr bereits eine zweistellige Anzahl von Verfahren eingeleitet. Jedoch war, wie auch in 2024, bisher kein einziger Täter ermittelbar.
|
Im Bereich der Einwilligungen auf Webseiten, der sogenannten Cookie-Banner, gibt es ein neues Urteil des Verwaltungsgerichts Hannover. Letztlich wird das bereits aus den Publikationen der Aufsichtsbehörden bekannte zu dem Thema bestätigt. Um es kurz zu fassen: Wer Cookies oder Skripte in einer Webseite nutzt, die einer Einwilligung bedürfen, der sollte im Einwilligungsformular, auf erster Ebene, einen deutlich erkennbaren "Alles Ablehnen" Button haben.
|
|
Und als letztes noch ein spannendes Zukunftsthema. Die WGDPT, eine internationale Arbeitsgruppe, allgemein als Berlin-Group bekannt, hat ein Arbeitspapier zum Datenschutz bei Neurotechnologien vorgelegt. Es geht dabei um Technologie, die direkt mit dem menschlichen Gehirn verbunden ist. Persönlichere Daten als diese sind kaum vorstellbar. Natürlich muss auch hier Datenschutz eine gewichtige Rolle spielen. Das Arbeitspapier analysiert neurotechnologische Anwendungen in Hinblick auf den Datenschutz und gibt auch Empfehlungen zu notwendigen Regulierungen für den Gesetzgeber.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.
|
Themen für den nächsten Newsletter habe ich mir noch nicht überlegt. Ich bin mir aber sicher, dass bis dahin viel Spannendes im Datenschutz und der digitalen Welt passiert, und es mir nicht an Themen mangeln wird.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Fachkraft für Medienpädagogik
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
