Pulverfass Datenschutz und BTHG? Ein Experte über schwer kalkulierbare Risiken
Nach dem Hype um neue Datenschutzgesetze in 2018 sind viele Organisationen zur Tagesordnung übergegangen. In letzter Zeit häufen sich Berichte über Datenpannen und Bußgelder. Das Bundesteilhabegesetz (BTHG) und die Umstellung auf Office 365 und Cloud-Angebote bieten zusätzlich Zündstoff. Wir haben mit Thomas Althammer, externer Datenschutzbeauftragter für Einrichtungen und Träger im Gesundheits- und Sozialwesen, über Datenschutz im Rahmen des BTHG gesprochen.
Herr Althammer, ist die Sozialwirtschaft beim Thema Datenschutz gut aufgestellt?
Bei unseren Mandanten schwankt die Stimmung zwischen Verunsicherung, Abwarten und Ernüchterung. Nach anfänglicher Hysterie haben sich viele Einrichtungen und Träger auf den Weg gemacht, die neuen Anforderungen in der Praxis umzusetzen. Es braucht aber noch Zeit, bis alle Vorgaben vollumfänglich abgearbeitet sind.
Wie steht es um die Motivation, gibt es ein Umdenken in Sachen Datenschutz?
Für uns als Datenschutzbeauftragte ist es deutlich einfacher geworden. Noch vor Jahren wollte niemand etwas dazu hören, obwohl die rechtlichen Rahmenbedingungen im Vergleich zur heutigen DSGVO bzw. den geltenden Kirchengesetzen (DSG-EKD und KDG) ganz ähnlich waren. Das Thema ist in der Realität angekommen und viele Unternehmen in der Sozialwirtschaft sehen beim Datenschutz mehr als nur die Erfüllung gesetzlicher Auflagen. Die neuen Bußgelder und Haftungsrisiken haben geholfen, dass das Thema ernster genommen wird.
Was müssen Unternehmen bei Datenschutzverstößen befürchten?
Die vielfach zitierten Bußgelder in Millionenhöhe sind als Strafmaß in der Sozialwirtschaft unrealistisch, aber auch nicht völlig ausgeschlossen. Neben Verfahren gegen internationale Konzerne wie Google oder Facebook rücken die Einschläge auch in Deutschland näher: In der Wohnungswirtschaft liegt ein Bußgeldbescheid über 14,5 Millionen Euro auf dem Tisch. Krankenhäuser sind mit höheren Strafen belegt worden, zuletzt in Rheinland-Pfalz mit über 105.000 Euro. Das ganze Thema kommt jetzt erst so richtig ins Rollen.
Nach welchen Kriterien werden Bußgelder festgelegt?
Die Aufsichtsbehörden der Bundesländer haben sich in der Datenschutzkonferenz auf eine einheitliche Vorgehensweise festgelegt und diese transparent gemacht. Demnach werden eine Reihe von Faktoren einbezogen, um gemessen an Datenarten, Umfang der Datenverarbeitung, Unternehmensgröße, Schwere des Vergehens und einigen anderen Parametern ein nachvollziehbares Bußgeld zu ermitteln. In den nächsten Jahren werden wir eine Vielzahl von Gerichtsprozessen zu diesem Thema sehen.
Ist das nicht ein Thema für die großen Konzerne?
Wer meint, das könnte das eigene Unternehmen nicht betreffen, weil doch alles sicher auf Servern im eigenen Keller lagert, der irrt: Einfachste Konfigurationsfehler können dazu führen, dass Daten unberechtigt eingesehen werden. Wir sind heute bereits sehr weitreichend vernetzt. Die Praxis zeigt leider, dass es jeden treffen kann, vom kleinen Pflegedienst bis zum großen Träger. Fast täglich werden wir mit Datenpannen bei unseren Kunden konfrontiert oder stoßen auf unzureichende Schutzmaßnahmen.
Wo lauern typische Gefahren in der Sozialwirtschaft?
Träger und Einrichtungen im Gesundheits- und Sozialwesen sind besonders exponiert. Die Budgets für IT-Sicherheitsmaßnahmen sind in unserer Branche vergleichsweise niedrig. Die Ausgaben für IT machen in der Regel nicht mehr als 1-1,5 % des Jahresumsatzes aus. Zum Vergleich: Im Bereich der Versicherungen wird je nach Sparte das Zwei- bis Dreifache in IT-Maßnahmen inkl. IT-Sicherheit investiert. Gleichzeitig fallen in der Sozialwirtschaft fast ausschließlich hoch sensible personenbezogene Daten an. Es braucht vielfach pragmatische Konzepte, um dem Schutzbedarf dieser Daten mit den technischen und finanziellen Möglichkeiten gerecht zu werden.
IT-Administratoren geben sich große Mühe, die Arbeitsabläufe in Pflege und Betreuung bestmöglich zu unterstützen. Häufig fehlt es an Zeit und einem durchgehenden Konzept für die regelmäßige Bewertung und Überprüfung von IT-Sicherheitsfragen.
Können Sie Beispiele benennen?
Da fällt mir ein Unternehmen der Sozialwirtschaft ein, dass mir stolz seinen biometrisch abgesicherten Zugang zum Serverraum zeigte, um die Daten der rund 3.000 Klient*innen zu schützen. Auf den ersten Blick eine tolle Lösung, war doch der Zutritt zu zentralen IT-Systemen gut abgeschirmt und kontrolliert. Erst auf den zweiten Blick fiel auf, dass der Backup-Server mit sämtlichen Daten wenige Kilometer weiter im Zimmer des Hausmeisters einer Einrichtung untergebracht war. Der Raum war meist unverschlossen und nicht besonders im Schließkonzept berücksichtigt.
Erst kürzlich wurde bei einem Mandanten ein Notebook mit sensiblen Klientendaten entwendet, die unverschlüsselt auf der Festplatte gespeichert waren. Das wird wahrscheinlich ein Bußgeld nach sich ziehen.
Also sollte man derartige Fälle besser für sich behalten?
Die DSGVO sieht eine gesetzliche Meldepflicht innerhalb von 72 Stunden vor. Vergleichbare Regelungen gibt es in den beiden Kirchgengesetzen zum Datenschutz. Unterbleibt die Meldung oder wird erst verzögert die Aufsichtsbehörde informiert, ist auch hier ein Bußgeld fällig. Melden Sie lieber selbst, bevor es andere tun. In den vergangenen Monaten treten verstärkt Mitarbeitende und Kunden mit Beschwerden an Aufsichtsbehörden heran.
Welche Neuerungen und Herausforderungen beim Datenschutz erwarten Sie für das Jahr 2020?
Das Bundesteilhabegesetz (BTHG) stellt viele Organisationen vor große Veränderungen, leider auch beim Datenschutz. Ein Austausch sensibler Informationen zwischen Trägern wird unvermeidlich sein und muss im Interesse der Betroffenen gestaltet werden. Hier werden Einwilligungen, Kommunikationsplattformen und Verträge zur gemeinsamen Verantwortung im Datenschutz zu gestalten sein. Aktuell beschäftigen wir uns mit „Leichter Sprache“ und der Verständlichkeit solcher Texte.
In Sachen IT-Strategie interessieren sich viele Organisationen für Cloud-Angebote wie beispielsweise Office 365 von Microsoft. Wir haben in Zusammenarbeit mit Vediso e.V./mitunsleben GmbH gesehen, wie schwierig eine Auslagerung von IT-Ressourcen auf Cloud-Dienste im Kontext vertraulicher Daten zu gestalten ist. Aktuell erarbeiten wir mit mehreren Kunden entsprechende Lösungsansätze.
Viele Einrichtungen fragen sich, ob das Erforderliche im Datenschutz getan ist. Wo sind typische Lücken und in welcher Reihenfolge sollte ich bei der Abarbeitung am besten vorgehen?
Die Grundzüge der DSGVO erinnern an die Vorgehensweise in QM-Systemen. Es geht also weniger um ein einmaliges Abarbeiten, als vielmehr um eine kontinuierliche Bearbeitung und Verbesserung der datenschutzrechtlichen Belange. Dabei hat sich – gemessen an der Prüfpraxis der Behörden und sich ergänzenden Anforderungen – folgende Reihenfolge bewährt:
- Benennen Sie eine*n Datenschutzbeauftragte*n
- Schulen Sie Ihre Mitarbeitenden zum Datenschutz (Schulung/Merkblätter) und verpflichten Sie sie auf die Vertraulichkeit
- Legen Sie ein Verzeichnis verarbeiteter Datenarten und zugehöriger Rechtsgrundlagen an
- Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten
- Erstellen Sie ein Verzeichnis von technischen und organisatorischen Maßnahmen
- Führen Sie, bei entsprechenden Risiken (z. B. Videoüberwachung, Klientendokumentation), eine Datenschutz-Folgenabschätzung durch
- Informieren Sie Klient*innen, Angehörige und Mitarbeitende zur Datenverarbeitung und kommen Sie auf Anfrage den weiteren Betroffenenrechten nach
- Regeln Sie Prozesse zur Bearbeitung einer Datenpanne mit Meldung innerhalb von 72 Stunden
- Dokumentieren Sie die Einhaltung der Vorgaben in einem Datenschutzkonzept
- Überprüfen und aktualisieren Sie Impressum und Datenschutzerklärung auf Ihrer Homepage und bei Ihren Social Media-Aktivitäten
Thomas Althammer ist studierter Wirtschaftsinformatiker. Zusammen mit seinem 30-köpfigen Team berät er Träger und Einrichtungen im Bundesgebiet zu den Themen Datenschutz, Informationssicherheit und IT-Compliance. Neben seiner Tätigkeit als Geschäftsführer von Althammer & Kill ist er zugleich als Lehrbeauftragter an der Fachhochschule der Diakonie in Bielefeld und an der Kath. Universität Eichstätt-Ingolstadt im Master-Studiengang Sozialinformatik aktiv. https://www.althammer-kill.de
Text: Thomas Althammer/Marie Kramp
© Photo by Markus Spiske on Unsplash