Über die Telefonnummer 1177 können in Schweden medizinische Einrichtungen kontaktiert werden und es können Konsultationen über Krankheiten und Beschwerden eingeholt werden.

2019 berichteten schwedische Medien darüber, dass über die Telefonnummer 1177 gewählte Anrufe als aufgezeichnete Audiodateien auf Webservern ohne Passwortschutz offengelegt wurden. Diese unrechtmäßige Offenlegung von personenbezogenen Daten stellt eine Verletzung des Schutzes personenbezogener Daten (Datenschutzvorfall) sowie eine Verletzung gegen die datenschutzrechtlichen Vorgaben nach der Datenschutz-Grundverordnung (DSGVO) dar.

Rechtmäßigkeit der Aufzeichnung von Gesprächen

Wir haben bereits in vergangenen Beiträgen (u. a. https://www.datenschutz-notizen.de/aufzeichnungen-im-callcenter-5026846/) die Anforderungen an die Rechtmäßigkeit der Aufzeichnung von Telefongesprächen ausgeführt sowie auf die strafrechtlichen Konsequenzen hingewiesen. Vorliegend kommt als Besonderheit die Verarbeitung von Gesundheitsdaten, also sensiblen Daten, der betroffenen Personen hinzu.

Grundsätzlich ist insbesondere Folgendes zu beachten:

  • Für die Rechtmäßigkeit der Datenverarbeitung (Gesprächsaufzeichnung) bedarf es nicht nur einer Rechtsgrundlage, sondern auch der Einhaltung der Informationspflichten. Die betroffenen Personen müssen also vor allem über Umfang und Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage, Datenweitergabe, Speicherdauer, Betroffenenrechte usw. informiert werden.
  • Für die Rechtmäßigkeit der Datenweitergabe (Offenlegung der Gesprächsaufzeichnung) bedarf es ebenfalls einer Rechtsgrundlage sowie der Einhaltung der Informationspflichten. Es kann an dieser Stelle bereits festgehalten werden, dass eine Offenlegung von personenbezogenen Daten einer unbestimmten Anzahl von Empfängern gegenüber unzulässig ist. Die vorliegende ungeschützte Zugriffsmöglichkeit auf Gesprächsaufzeichnungen, die sensible Daten beinhalten, ist mithin unzulässig und es kommt keine Rechtsgrundlage (weder Einwilligung noch gesetzliche Grundlage) in Betracht, auf Grundlage derer eine solche Datenweitergabe zulässig wäre.
  • Es sind technische und organisatorische Maßnahmen zu treffen, die die Datensicherheit gewährleisten.

Diese Vorgaben sind vom Verantwortlichen der Datenverarbeitung zu erfüllen; also von dem Unternehmen, welches die Zwecke und Mittel der Datenverarbeitung festlegt. Die DSGVO legt aber auch weiteren Akteuren (Auftragsverarbeitern usw.) Pflichten auf. In diesem Fall sind mehrere Akteure beteiligt, die jeweils die Ihnen auferlegten Pflichten der DSGVO verletzten.

Datenschutzrechtliche Pflichten von Verantwortlichen und Auftragsverarbeitern

Bei dem medizinischen Beratungsdienst, welcher über die Telefonnummer 1177 erreichbar ist, handelt es sich um einen Service, der Informationen über Gesundheit und medizinische Versorgung sammelt und diese online als auch telefonisch zur Verfügung stellt. Während der Pandemie werden auch Informationen zu COVID-19 über die Hotline bereitgestellt. Jede Region führt ihre eigene medizinische Beratungstätigkeit entweder selbst oder durch (Sub-)Unternehmer durch, aber alle sind Teil eines nationalen Netzwerks.

Die schwedische Datenschutzaufsichtsbehörde stellte in umfangreichen Ermittlungen fest, dass in diesen Fällen Verantwortliche sowie (Unter-) Auftragsverarbeiter (u. a. mit Sitz in Thailand) beteiligt waren.

Sowohl Verantwortliche als auch Auftragsverarbeiter haben, wie oben ausgeführt, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei darf der Verantwortliche auch nur die Auftragsverarbeiter einsetzen, die dies sicherstellen können. Zudem ist zwischen Verantwortlichem und Auftragsverarbeiter ein Auftragsverarbeitungsvertrag zur datenschutzrechtlichen Absicherung abzuschließen. Bei einer Datenübermittlung in Drittländer sind zusätzlich geeignete Garantien vorzusehen. Diese Voraussetzungen wurden hier nicht erfüllt.

Der Datenschutzvorfall war auf die Fehlkonfiguration eines Network-Attached-Storage-Geräts zurückzuführen, welches ungeschützt an das Internet angebunden wurde. Aufgrund der Sicherheitslücke wurde auf eine große Anzahl der Gesprächsaufzeichnungen unautorisiert zugegriffen. Des Weiteren war die Beauftragung eines thailändischen Dienstleisters ebenfalls nicht rechtmäßig erfolgt.

Hinzu kommt, dass auch die oben genannten Informationspflichten nicht erfüllt wurden.

Es wurde also mehrere Verstöße gegen die datenschutzrechtlichen Vorgaben festgestellt, die u. a. eine Geldbuße in Höhe von 1.193.412 EUR zur Folge hatten.

Dieser Fall zeigt erneut auf, dass die Verantwortlichen nicht nur bei der Datenverarbeitung im Rahmen von Gesprächsaufzeichnungen die ihnen auferlegten datenschutzrechtlichen Pflichten beachten müssen. Sie haben zudem geeignete Maßnahmen bzgl. der Gewährleistung der Datensicherheit sowie bzgl. der Auswahl geeigneter (Unter-)Auftragsverarbeiter zu treffen und sollten regelmäßige Kontrollen bzgl. der Einhaltung der Pflichten durchführen.

| | , | , , , , , , ,