Datenschutzwoche
ePA: Zahlreiche ungelöste (Datenschutz-)Fragen
Ärztinnen und Ärzte in Krankenhäusern und Praxen sollen künftig digitale Dokumente in der elektronischen Patientenakte (ePA) 3.0 ablegen. Bereits ab dem 15. Januar 2025 starten in einigen Bundesländern Testläufe.
Derzeit gibt es eine Vielzahl von Kritikpunkten: der Zugriff von Apotheken und Versandapotheken auf sensible Patientendaten; die Frage, ob die (gesetzlich) Versicherten umfassend über die Risiken informiert werden; das Opt-Out-Verfahren, in dem die Betroffenen der Einführungen für sich widersprechen müssen; sowie Aspekte der ärztlichen Schweigepflicht. Auch die Datensicherheit ist nicht umfassend gewährleistet.
Gesundheitsminister Karl Lauterbach betont dagegen die Vorteile und spricht von einer „Goldgrube“ für Pharmaunternehmen. Er befürwortet, dass Daten aus den ePA Unternehmen wie Google und Meta zur Verfügung gestellt werden, damit diese Künstliche Intelligenzen trainieren können. Außerdem sollen Patientinnen und Patienten die Daten aus der elektronischen Patientenakte als „Datenspende“ dem Bundesinstitut für Arzneimittel und Medizinprodukte zur Verfügung stellen.
Die Daten sollen zwar anonymisiert weitergegeben werden, aber gerade bei Gesundheitsdaten ist die Möglichkeit der De-Anonymisierung nicht nur theoretisch. Gesetzlich soll dies künftig im Gesundheitsdaten-Nutzungsgesetz geregelt werden.
Rechtsprechung stärkt Autonomie der Aufsichtsbehörden
Eine Entscheidung des Verwaltungsgerichts des Saarlandes vom 10. Juli 2024 (Az. 5 K 979/22) stärkt die Autonomie der Datenschutzaufsichtsbehörden: Art. 78 Abs. 1 DSGVO erlaubt den Gerichten, die Maßnahmen der Behörde vollständig zu überprüfen. Die Behörde verfügt bei der Ausübung ihrer Abhilfebefugnisse gemäß Art. 58 Abs. 2 DSGVO über ein Ermessen. Die gerichtliche Prüfung beschränkt sich daher darauf, ob die Behörde in Bezug auf die geeigneten und erforderlichen Mittel innerhalb ihres Ermessensspielraums geblieben ist.
Diese Entscheidung steht im Einklang mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH), der die Befugnisse der Datenschutzaufsichtsbehörden in der Rechtssache C-768/21 weiter präzisiert hat. Der EuGH stellte klar, dass die Behörden ihre Maßnahmen flexibel an die konkrete Situation anpassen dürfen, um den Datenschutz effektiv durchzusetzen. Dies ermöglicht es ihnen, gezielt auf die jeweiligen Umstände eines Falls zu reagieren und eine angemessene sowie wirksame Lösung zu finden.
Internationale Nachrichten
- Australien: Australien verbietet die Social-Media-Nutzung für Kinder und Jugendliche unter 16 Jahren.
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL veröffentlicht Tipps zum Schutz von personenbezogenen Daten bei der Verwendung von KI-Sprachassistenten.
- Europa: Der Europäische Datenschutzausschuss (EDPB) nimmt in einem Antwortschreiben an das AI Office Stellung zur Rolle der Datenschutzbehörden bei der Umsetzung der KI-Verordnung.
- Polen: Die polnische Aufsichtsbehörde (UODO) hat mehrere Bußgelder verhängt, unter anderem wegen Verstößen gegen Benachrichtigungspflichten, unzureichender technischer und organisatorischer Maßnahmen sowie mangelhaften Schutzes einer Unterschriftenliste.
Aktuelle Gerichtsentscheidungen
- VG des Saarlandes, Urteil vom 10.07.2024, Az. 5 K 979/22 (juris), Tätigwerden der Datenschutzaufsichtsbehörden: Aus Art. 78 Abs. 1 DSVGO folgt, dass aufsichtsbehördliche Beschwerdeentscheidungen der Datenschutzbehörde einer vollständigen gerichtlichen Überprüfung unterliegen. Allerdings verfügt die Behörde hinsichtlich der in Art. 58 Abs. 2 DSGVO aufgezählten Abhilfebefugnisse über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel, welches das Gericht nur dahingehend überprüft, ob die Aufsichtsbehörde die Grenze ihres Ermessens eingehalten hat.
- OLG München, Hinweisbeschluss vom 19.11.2024, Az. 27 U 2473/24 e (Volltext), Berechtigtes Interesse: Da alle Interessen im Sinne des Art. 6 DSGVO berechtigt sein können, die rechtlicher, persönlicher, ideeller, aber auch rein wirtschaftlicher Natur sind, stellt auch das rein geschäftliche Interesse der Beklagten an der Speicherung grundsätzlich ein derartiges berechtigtes Interesse dar.
- Schleswig-Holsteinisches OLG, Urteil vom 22.11.2024, Az. 17 U 2/24 (juris), Auskunfteien: Die Rechtmäßigkeit der Einmeldung rückständiger Forderungen an eine Wirtschaftsauskunftei (hier: SCHUFA) bestimmt sich im Ausgangspunkt nach Art. 6 DSGVO. Die in § 31 BDSG für die Zulässigkeit des Scorings enthaltenen Maßstäbe haben insoweit allerdings indizielle Bedeutung.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht Mecklenburg-Vorpommern: „Superpower Medienkompetenz: Fähigkeiten, die schützen und stärken“ – Pressemitteilung vom 25.11.2024
- Datenschutzaufsicht Hamburg: „Orientierungshilfe Datenschutz: Ein Familienguide für den digitalen Dschungel“ – Broschüre vom 25.11.2024
- Datenschutzaufsicht Rheinland-Pfalz: „Kick-off für die neue Runde im Bildungsprojekt MedienTrixx: Datenschutz und Künstliche Intelligenz im Fokus“ – Pressemitteilung vom 26.11.2024
- BfDI: „Fortgesetztes Engagement der BfDI für Datenschutz an den Schengen-Außengrenzen“ – Pressemitteilung vom 26.11.2024
- Datenschutzaufsicht Sachsen: „IFK fordert die Weiterentwicklung der Informationsfreiheit zur Transparenz“ – Pressemitteilung vom 28.11.2024