Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Gesundheitsdaten
Mitarbeitervorteile – Win-win für alle Beteiligten bei Einhaltung datenschutzrechtlicher Vorgaben
Von Rabatten in Onlineshops über Zuschüsse zu ÖPNV-Tickets, Fahrrädern oder Fitnesskursen, bis hin zu Kostenbeteiligungen bei Schönheits-OPs und medizinischen Behandlungen – die Bandbreite von Vorteilen und Vergünstigungen, die Arbeitgeber ihren Beschäftigten gewähren, ist groß. Die sog. Mitarbeitervorteile/-rabatte/-angebote oder Employee Benefits erfreuen sich steigender Beliebtheit, da sie die Mitarbeiterbindung und -zufriedenheit fördern und gleichzeitig für die […]
Sensible Daten per WhatsApp-Gruppe geteilt: Bußgeld für Taxiunternehmen?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) informiert auf ihrer Website über einen Fall der unberechtigten Versendung personenbezogener Daten in WhatsApp-Gruppen. Was war geschehen? Ein Taxiunternehmen in Nordrhein-Westfalen hat über zwei WhatsApp-Gruppen („Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“) Daten von Kund*innen mit allen seinen Fahrer*innen geteilt – darunter Fotos der Personen […]
Datenpannen-Klassiker im Gesundheitswesen – reale Fälle, Lehren und Schutzmaßnahmen
Medizinische Unterlagen gehören zur sensibelsten Kategorie personenbezogener Daten. Missbrauch kann dramatische Folgen haben – von Identitätsdiebstahl bis zu Gesundheits- oder Versicherungsnachteilen. Als externe Datenschutzbeauftragte begleiten wir unterschiedliche Gesundheitseinrichtungen bei immer wieder ähnlich gelagerten Datenschutzvorfällen – manche banal, andere erschreckend. Heute möchte wir daher von einigen typischen Datenschutzpannen aus dem Alltag erzählen, ihre Ursachen bewerten und […]
Datenschutzrechtliche Einordnung einer Treuhandstelle am Beispiel klinischer Forschung
Treuhandstellen können in unterschiedlichen Bereichen auftreten, wie bei der Vermögensverwaltung oder auch als Immobilien-Treuhand. Insbesondere Krankenhäuser und Universitätskliniken nutzen Treuhandstellen. Zweck der Treuhandstelle im Rahmen von klinischen Studien ist es, Forschung mit Gesundheitsdaten von Probanden durchzuführen, gleichzeitig die Identität der Probanden zu schützen (Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f […]
BEM-Verfahren: Datenschutzverstöße durch den Dienstleister führen zur Unwirksamkeit der Kündigung
Seit einigen Jahren können wir in der Beratung vor allem bei größeren Unternehmen den Trend erkennen das gesetzlich vorgesehene betriebliche Eingliederungsmanagement (BEM) an externe Dienstleister auszugliedern. Dies sorgt u. a. für eine Arbeitsentlastung beim Arbeitgeber, da die Durchführung von BEM-Verfahren mit einem großen Aufwand verbunden sein kann. Des Weiteren kann es für betroffene Beschäftigte unter […]
Die elektronische Patientenakte – ein aktueller Stand
Auch Monate nach Einführung der elektronischen Patientenakte (ePA) wird vor einer „Bruchlandung“ gewarnt. Wir haben hier bereits über die Einführung sowie die inhaltliche Ausgestaltung der „ePA für alle“ informiert. Auch die geäußerte Kritik an möglichen Sicherheitslücken, welche die Gematik – verantwortlich für die Telematikinfrastruktur im deutschen Gesundheitswesen – entschieden zurückwies, wurde in diesem Beitrag thematisiert. […]
Krankenrückkehrgespräche: Was ist erlaubt und was nicht?
Krankenrückkehrgespräche (manchmal auch z. B. „Fürsorgegespräch“ genannt) sind in vielen Unternehmen ein gängiges Mittel, um nach einer Krankmeldung mit Mitarbeitenden ins Gespräch zu kommen. Ziel ist es oft, die Gesundheit zu fördern, Ursachen für Fehlzeiten zu verstehen und Unterstützung anzubieten. Doch was gibt es datenschutzrechtlich zu beachten? Anders als für das sog. BEM-Gespräch (Betriebliches Wiedereingliederungsmanagement […]
Europäische Infrastruktur zur gemeinsamen Verarbeitung von Gesundheitsdaten schreitet voran
In der Vergangenheit haben wir bereits darüber berichtet (abrufbar hier), dass ein neuer einheitlicher europäischer Rechtsrahmen für die Verarbeitung von Gesundheitsdaten geschaffen wurde: der sog. Europäische Gesundheitsdatenraum oder European Health Data Space („EHDS“). Der EHDS ergänzt die DSGVO im Rahmen von Datenverarbeitungen im Gesundheits- und Forschungssektor und soll eine grenzüberschreitende Infrastruktur für die Verarbeitung elektronischer […]
Mitarbeiterexzesse und Meldepflichten bei Datenpannen
Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen […]
HmbBfDI zu Meldepflichten bei Festplattendiebstahl in Arztpraxen
In dem vor kurzem vorgestellten Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wird ein interessanter und für viele Unternehmen vermutlich sehr relevanter Fall zum Umgang mit Datenschutzverletzungen besprochen. Wie die Aufsichtsbehörde mitteilt, wurden in zwei Arztpraxen, die zum selben Träger gehören, jeweils Festplatten mit Daten von Patient:innen gestohlen. Dabei soll der Täter die […]
Tratsch über Beschäftigte – ein DSGVO-Verstoß?
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert in ihrem Tätigkeitsbericht Datenschutz 2024 (S. 45-48) häufige Beschwerden aufgrund mündlicher Äußerungen im Beschäftigungskontext. Dies betraf in den ihr vorliegenden Fällen bspw. Aussagen über Gründe (fristloser) Kündigung oder zu ärztlichen Diagnosen bei Arbeitsunfähigkeit. Dabei stellt sich die Frage, ob/wann der Anwendungsbereich der DSGVO eröffnet ist, wenn über einzelne […]
Arbeitsunfähigkeit – was muss ich meinem Arbeitgeber mitteilen?
Mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) zum 1. Januar 2023 wurde der Prozess der Krankmeldung digitalisiert, um sowohl den administrativen Aufwand zu reduzieren als auch den Datenschutz besser zu gewährleisten. Nachfolgend wollen wir die datenschutzrechtlichen Rahmenbedingungen erörtern, die bei der Mitteilung einer Arbeitsunfähigkeit an den Arbeitgeber zu beachten sind, insbesondere in Bezug auf die […]
Alexa, ich erzähl dir alles?! Sprachassistenten im Visier der CNIL
Als Ausprägung des Rechts auf informationelle Selbstbestimmung gewährleistet das Datenschutzrecht natürlichen Personen einen grundsätzlichen Schutz ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten. Doch wer schützt uns als Personen vor uns selbst? Genau diesen Gedanken nahm die französische Aufsichtsbehörde CNIL zum Anlass, in einem Experiment zur Nutzung von Sprachassistenten aufzuzeigen, wie gedankenlos der Umgang mit innovativen […]
Databroker und Standortdaten – Ausverkauf des Datenschutzes?
Die Recherche von netzpolitik.org und dem BR zum Handel mit Standortdaten (sog. „Databroker Files“) Mitte dieses Jahres hat gezeigt, dass Daten in unserer digitalen Welt immer mehr Begehrlichkeiten wecken und aufgrund der Vielzahl an verfügbaren Datensätzen sogar zu einer Bedrohung der inneren Sicherheit führen können. Die Enthüllungen verdeutlichen wieder einmal, dass Datenschutz nicht als Lästigkeit […]