|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 04. Februar 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Auskunftsersuchen
- E-Rezept
- Aktuelles aus dem Datenschutz
|
1. Auskunftsersuchen
Es ist heutzutage leider so, dass es immer wieder einen gewissen Bodensatz an Menschen gibt, die sich gezielt Dinge suchen, um damit auf subtile Weise Geld zu verdienen. Wir haben das in der Vergangenheit zum Beispiel mit Google Fonts auf Webseiten und einer damit verbundenen, wenig professionellen noch legitimen Abmahnwelle gesehen. Leider ist es auch bei den Auskunftsersuchen gelegentlich so, dass die nicht so wirklich "weißen Schafe" in unserer Gesellschaft sich dieses Instrument für einen kleinen Nebenverdienst zu Nutze machen. Dieser Ansatz hatte sich schon Ende 2021 gezeigt und nimmt seitdem moderat zu.
|
Die Geschichte geht regelmäßig so: Eine Anfrage kommt von jemanden, der mit dem Unternehmen so gar nichts zu tun hat. Oftmals mit dem Text: "Ich habe Ihre Webseite besucht, um mich zu informieren, und frage mich nun, ob Sie personenbezogene Daten von mir erhoben und gespeichert haben. Ich bitte um unverzügliche Auskunft nach Art. 15 DS-GVO." Oder: "Mir ist von einer dritten Quelle, die ich nicht nennen möchte, mitgeteilt worden, dass Sie personenbezogene Daten von mir speichern. Ich bitte um unverzügliche Auskunft nach Art. 15 DS-GVO." Die Auskunftsanfrage kommt dann auch nicht per Brief, sondern per E-Mail. Oftmals landet dieses E-Mail im Spam oder wird durch Junk-Filter blockiert, weil der Inhalt als Spam eingestuft wird. Ob diese E-Mails extra so verfasst werden, dass sie leicht als Spam eingestuft werden, sei einmal dahingestellt. Jedenfalls wird eine unverzügliche Auskunft verlangt. Eigentlich hat man 30 Tage hierfür Zeit, aber es ist rechtlich nicht genau festgelegt und etwas schwammig. Hat man binnen 14 Tagen nicht geantwortet, bekommt man gleich Post vom Anwalt und eine Aufforderung die Kosten des Anwalts, nebst einer kleinen Strafe, zu zahlen. Und einige zahlen dann. Ein Geschäftsmodell der anderen Art.
|
Gängig ist aber auch, selbst wenn man unverzüglich geantwortet hat, dass man trotzdem sofort Post vom Anwalt bekommt, und zwar wegen einer Falschauskunft. Hierbei werden, so meine Erfahrungen, vor allem zwei Punkte bevorzugt argumentiert: Zum einen bei einer Negativauskunft, dass man die Auskunftsanfrage in der Auskunft nicht nochmal in Kopie angehangen und explizit erwähnt hat. Ob man die Kopie wirklich anhängen muss, ist meines Erachtens sehr fraglich, aber man sollte es im Text erwähnen. Der andere Punkt sind Metadaten, die vergessen worden sein sollen, zum Beispiel zur E-Mail, mit welcher die Auskunftsanfrage gestellt wurde. Macht man sonst irgendwas anderes, ebenso völlig Unbedeutendes falsch, sprich anders als in Art. 15 DS-GVO vorgegeben, bekommt man es sowieso gleich um die Ohren gehauen. Genau hierfür haben wir die DS-GVO nicht erfunden!
|
Was soll ich dazu raten? Was im Spam landet und niemand liest, kann man auch nicht beantworten. Und diese Behauptungen einer Falschauskunft sind in meinen Augen eher lächerlich. Ich rate dazu so etwas nicht zu zahlen und dagegen anzugehen. Bisher kenne ich keinen Fall, wo am Ende der Anfragesteller wirklich geklagt hat. Unglücklich ist hierbei aber immer, dass natürlich eine Beschwerde an die Aufsichtsbehörde und ggf. ein kleineres Bußgeld drohen kann. Mit diesem Risiko für die verantwortlichen Stellen wird wohl spekuliert, und man hofft deswegen eine Zahlung zu bekommen. Ich würde im Zweifel lieber an die Aufsichtsbehörde zahlen als an diese unredlichen Menschen, die das Auskunftsersuchen missbrauchen.
|
2. E-Rezept
Das E-Rezept ist dieses Jahr bisher das Thema, nicht nur bei mir, sondern offensichtlich auch beim BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit). Ich zitiere einmal den BfDI: "Aufgrund der vielen Nachfragen zur Einführung des E-Rezepts haben wir eine Übersicht mit den Antworten auf die am häufigsten gestellten Fragen veröffentlicht."
|
Ich nehme dieses einmal zum Anlass das Thema etwas detaillierter zu behandeln. Seit dem 1.1.2024 werden verschreibungspflichtige Medikamente per E-Rezept und nur noch per E-Rezept verordnet. Niemand hat eine grundsätzliche Wahl. Ein E-Rezept kann man mit der elektronischen Gesundheitskarte (eGK), mit der E-Rezept App (Gematik App) oder mit einem Papierausdruck vom Arzt einlösen. Letzteres heißt, sie bekommen beim Arzt kein Rezept, sondern einen ausgedruckten 2D-Code in die Hand. Damit oder mit Ihrer Gesundheitskarte (das ist ihre Versicherungskarte, die jetzt anders heißt) gehen sie zur Apotheke. Die Apotheke kann Ihre Gesundheitskarte einlesen und auf alle Ihre Rezepte Zugriff nehmen. Diese sind allerdings nicht auf der Karte gespeichert, sondern in einem sicheren Rechenzentrum in Deutschland, wo sie abgerufen werden. Die Karte bzw. der 2D-Code dient lediglich als Legitimation für den Abruf durch die Apotheke. Die Apotheke kann das Papier nicht abrechnen, wenn das Rezept inzwischen gesperrt wurde oder aus sonstigen Gründen nicht im System ist.
|
An dieser Stelle muss man zwei Dinge anmerken. Für den Abruf in einer Apotheke mit der Gesundheitskarte oder dem Code brauchen Sie keinen zusätzlichen PIN. Eine Apotheke kann grundsätzlich alle in Ihrem Gesundheitskonto gespeicherten Rezepte sehen. Das ganze bedeutet auch, dass wenn Sie die Karte verlieren, jeder, der die Karte findet, damit Ihre Rezepte abrufen kann. Es wird daher empfohlen, bei Verlust, eine Karte sofort zu sperren. Dass jemand mit einer verlorenen Karte ein Rezept außerhalb einer Apotheke abrufen kann, würde nur mit einem entsprechend legitimierten Endgerät gehen. Dieser Fall ist eher theoretischer Natur. Es wird grundsätzlich empfohlen die E-Rezepte App zu nutzen, um so genauen Überblick über seine Rezepte zu haben und diese auch einzeln Apotheken zuweisen zu können. Das Prozedere ist damit grundsätzlich sicherer als ein Rezept zuvor, denn bei einem verlorenen Rezept sahen Finder*innen sofort, was verschrieben wurde und konnten das Rezept problemlos einlösen. Mit dem E-Rezept, wenn nicht ausgedruckt, sieht niemand etwas außer die Apotheken und man kann es sperren als auch neu erstellen und ändern, ohne dass man immer zum Arzt laufen muss. Das ist schon eine gute Sache. Die zweite Anmerkung an dieser Stelle ist hingegen nicht so eine gute Sache: Wenn der Arzt das e-Rezept erstellt und an die "gematik" übertragen hat, sollte man sehr langsam und nicht sofort zur Apotheke gehen. Immerhin muss das Rezept erst nach Berlin, dort stehen die Server, und zurück übertragen werden. Rechnen Sie dafür am besten immer eine Stunde ein. Wenn man den Sarkasmus weglässt, ist das echt mies, denn oftmals ist das Medikament sehr wichtig, man braucht es sofort und die Apotheke macht gleich zu. Das Rezept ist hingegen auf irgendeiner Datenautobahn und keine Chance daran zukommen. Es empfiehlt sich hier die App, um zu gucken, ob das Rezept zum Abruf bereit steht.
|
Die E-Rezepte App ist etwas komplizierter: Sie laden sich die E-Rezept App herunter und melden sich an. Dazu brauchen Sie Ihre Gesundheitskarte, also Ihre Versicherungskarte. Oben rechts ist eine sechsstellige Nummer, die sie eingeben, danach Ihre PIN. Das ist die PIN, die Sie nicht zugeschickt bekommen haben und nicht besitzen, es sei denn Sie hatten sich schon einmal für die ePA, die elektronische Patientenakte, angemeldet. Der Gesetz-geber hat vorgesehen, dass man diese PIN nicht einfach so zugeschickt bekommen darf, sondern mit einem Identifikationsverfahren über den elektronischen Personalausweis beantragen muss. In Person in einer Filiale geht die Beantragung natürlich auch, aber wer will da schon hin. Bei der AOK, ich nehme diese einmal als Beispiel, können Sie sich den PIN online bestellen. Sie lesen da als ersten Satz, dass die Beantragung der PINs 10 Minuten dauert. Der Satz steht gleich hinter dem Hinweis, dass aus technischen Gründen die Online-Beantragung mit Smartphones oder Tablets nicht möglich ist, sie aber ein solches NFC-fähiges Gerät dazu brauchen. Man muss also zuerst einen Desktop-PC oder Laptop nutzen. Man braucht für die Online-Beantragung auch seinen Personalausweis mit aktivierter Online-Funktion. Achten Sie bei der Eingabe darauf alle Cookies zu akzeptieren und darauf keine Leerzeichen hinter Ihrem Namen zu haben. Sie bekommen dann einen Code für die WebID App. Sie laden sich die App auf ihr NFC-fähiges Smartphone herunter. Jedes Smartphone, dass Zahlungsfunktion hat, hat NFC. 10 Minuten sind jetzt vorbei und der aufregende Teil beginnt nun. Wenn Sie zum ersten Mal die e-Funktion Ihres Personalausweises nutzen, dann rubbeln sie eine ganze Weile das Feld mit dem PIN für den Personalausweis frei und Ihre Hand ist voll Glitzer. Die Bundesdruckerei ist hier eigen und hat für die Sicherheit ganze Arbeit geleistet. Sie starten dann mit einem fünfstelligen PIN, scannen Ihren Personalausweis und müssen sich einen sechsstelligen PIN selbst vergeben. Manchmal klappt das sofort, meistens nicht. Manchmal steht dort dann auch "Ihr neuer PIN wurde gespeichert", ohne dass es tatsächlich der Fall ist. Als ich das zum ersten Mal gemacht habe, habe ich meinen Perso 4x gesperrt und mit der PUK wieder entsperrt, und 3x den sechsstelligen PIN mit dem Startcode neu angelegt, obwohl das gar nicht gehen dürfte. Immer wenn es PING macht, wurde die Karte oder der Perso übrigens korrekt ausgelesen. Wenn Sie dann Prozente laufen sehen, dann war auch der PIN richtig und es funktioniert. Rechnen Sie hierfür mit 30 Minuten. Danach bekommen Sie den PIN für Ihre Gesundheitskarte binnen 10 Tagen per Post zugeschickt und können sich dann in der App anmelden.
|
Was man sonst noch zum E-Rezept wissen sollte: Die gematik GmbH in Berlin ist für alles technische zuständig, eingeschlossen der Server und der App. Verantwortliche Stelle im Sinne des Datenschutzes sind aber die einzelnen Ärzte, die die Rezepte ausstellen. Ich kommentiere das nicht. Abrufbare, im Konto gespeicherte Rezepte löschen sich automatisiert nach 100 Tagen. Die Übertragung vom Arzt zur Apotheke dauert in der Regel, wie schon gesagt, keine 100 Tage, allerdings sollten Sie nach einem Arztbesuch langsam gehen und nicht die nächstliegende Apotheke nehmen. Ab dem 1.1.2025 sollen die E-Rezepte dann auch in der elektronischen Patientenakte gespeichert und einsehbar werden.
|
Ich werde im nächsten Newsletter mehr zu dem Thema e-Rezept und ePA schreiben.
|
3. Aktuelles aus dem Datenschutz
Beginnen wir diesen Teil auch ein wenig humorvoll: Wie Sie vielleicht in den Nachrichten gehört oder gesehen haben, neigen Boeing 737-Max Flugzeuge neuerdings dazu nach dem Start ein wenig auseinanderzufallen. So verlor jüngst eine solche Boeing im Steigflug das Notausstiegsfenster samt umgebenden Rumpfelement. Zum Glück wurde niemand aus dem Flugzeug gesogen, da alle Passagiere noch angeschnallt waren. Jedoch verschwanden mehrere Smartphones durch dieses riesige Loch. Eines davon, ein iPhone neuster Bauart, wurde auf dem Boden wiedergefunden. Es war weich gefallen und tatsächlich kaum beschädigt. Der Finder hat dann die Frau des Besitzers angerufen und darüber informiert, dass er das Telefon gefunden hat. Er konnte das tun, weil der Besitzer des iPhones keine Bildschirmsperre aktiviert hatte. Das Gerät ließ sich einfach entsperren. Mein Tipp also: Aktivieren Sie die Bildschirmsperre, und nicht nur, wenn Sie in eine Boeing 737-Max steigen, sondern generell, denn Sie wissen nie, wann und wie man sein Telefon mit allen persönlichen Daten verlieren kann.
|
Der Spiegel berichtet von einem Hackerangriff auf Microsoft. Es handelt sich, laut Angaben von Microsoft, um die Gruppe APT29, oftmals auch als Midnight Blizzard oder Cozy Bear bezeichnet. Diese soll der russischen Regierung nahestehen. Der Angriff erfolgte nicht über eine Schwachstelle. Es wurde kurzfristig ein Zugriff auf die E-Mailkonten von einigen Microsoft Führungsmitarbeiter*innen möglich. Diese Darstellung deutet daraufhin, dass es sich mutmaßlich um einen Spear-Phishing Angriff mit einem Identitätsdiebstahl oder ähnliches handelt. Es wurden keine Kunden- oder relevante Daten erlangt. Der Angriff konnte schnell erkannt und unterbunden werden.
|
Die BaFin, das BfJ, das BSI, der BfDI, das BKartA und die BNetzA arbeiten jetzt im "Digital Cluster Bonn" zusammen, um die Digitalisierung besser umzusetzen. Schauen wir mal, was sich in Bonn entwickelt und ob es ein Model für die Zukunft ist.
|
Beim Phishing gibt es einen neuen Ansatz: Elster ist jetzt angesagt und man bekommt Mails, die so aussehen, als sind sie von der Steuerkasse oder Finanzverwaltung. In der Regel heißt der Betreff dieser E-Mails "Letztmalige Aufforderung - Steuerrestbetrag aus dem Jahr 2022". Es werden dann nur kleine Summen gefordert und man setzt darauf, dass die Opfer es nicht erkennen und zahlen. Vermutlich wird es des Öfteren auch so sein.
|
Der TÜV warnt vor Datenraub von Fitnessgeräten, den sogenannten Wearables. Eine solche Uhr hat heute eigentlich jeder am Handgelenk. Es werden umfangreiche Gesundheitsdaten aufgezeichnet. Auch diese können natürlich gestohlen werden. Der TÜV sieht eine hohe Motivation Cyberkrimineller in diesen Besitz zu kommen, denn auch diese Daten können missbraucht und für die Opfer zu persönlichen oder finanziellem Schaden führen. Das lassen wir mal so stehen. Ich kann das aus der Praxis, was der Tüv dazu sagt, so bisher nicht bestätigen, behalte das aber mal im Auge.
|
Im §9 IHKG (Gesetz über die Industrie- und Handelskammern) steht übrigens drinnen, dass man für die Wahlwerbung seitens der IHK E-Mailadressen sammeln und verwenden darf, danach aber bitte wieder löschen. Ich würde ja gerne diesen §9 löschen, dafür aber den Ansatz nutzen und diesen Text in einige andere Gesetze reinschreiben, wo es Sinn macht. Aber für sinnvolle Dinge sind solche Texte in Gesetzen meistens leider unmöglich.
|
Die irländische Aufsichtsbehörde und der META-Konzern ist die Geschichte einer ganz besonderen Liebe. Man kann es zusammenfassen in: Ganz Europa möchte gegen den Konzern vorgehen, Irland nicht, weil es deren größte Einnahmequelle ist. Und so gibt es eine neue Runde in diesem Spiel. Am 1.4.2022 hatte die irische Behörde einen Beschlussentwurf zu WhatsApp vorgelegt. Zahlreiche andere europäische Länder legten Wiederspruch ein. Die EDSA musste schlichten und es kam zu einem verbindlichen Schlichtungsbeschluss. Diesem kommt man in Dublin jetzt nicht nach und dagegen beschweren sich wieder alle übrigen Aufsichtsbehörden. Wenn es um viel Geld geht, ist Datenschutz nicht so angesagt.
|
|
Und zuletzt, unter Bezug auf McAfee, mal wieder die Warnung vor dem Google Playstore. Einige Apps, McAfee hatte 25 gefunden, haben Sicherheitslücken, insbesondere Backdoors. Diese sind kaum zu finden und es gibt die gleiche Problematik natürlich auch bei Apple und Microsoft Apps. Über die Backdoors kann Schadsoftware auf die Geräte geschleust werden. Man sollte daher immer nur Apps bekannter renommierter Anbieter installieren. Mal eben die Bereinigungs-App von irgendjemanden aus Asien herunterladen etc. ist also im Sinne der Sicherheit keine so gute Idee.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es dann weiter mit dem e-Rezept und der elektronischen Patientenakte.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
