Hessen: Zahlreiche Datenschutzbeschwerden, mehrere Verstöße in Arztpraxen
Der hessische Landesdatenschutzbeauftragte hat seinen Tätigkeitsbericht vorgestellt. Insgesamt sind Bußgelder in Höhe von 545.000 Euro angefallen.
(Bild: Who is Danny/Shutterstock.com)
Der hessische Landesdatenschutzbeauftragte Alexander Roßnagel hat seinen Tätigkeitsbericht für 2024 vorgestellt. Demnach wurde in Hessen mit 2141 Meldungen ein Höchstwert bei den gemeldeten Datenschutzverletzungen erreicht, wobei mit einer hohen Dunkelziffer zu rechnen sei. In 47 Fällen wurden insgesamt in einer Höhe von 545.000 Euro Geldbußen verhängt.
Bußgelder für Arztpraxen
Bußgelder wurden beispielsweise gegen Arztpraxen verhängt, die öffentlich auf negative Google-Bewertungen ihrer Praxis reagiert und dabei sensible Patienten- oder Behandlungsdaten preisgaben. Patienten wurden unter anderem mit ihrem Klarnamen angesprochen, obwohl sie ihre Bewertung unter einem Pseudonym abgegeben hatten. In anderen Fällen wurden Details wie Diagnosen, Befunde, Medikationen, Verordnungen oder weitere behandlungsbezogene Informationen veröffentlicht, die über das hinausgingen, was die Patientinnen und Patienten selbst öffentlich gemacht hatten.
Gegen eine weitere Arztpraxis wurde ein Bußgeld aufgrund einer in einer Wanduhr versteckten Videokamera verhängt, die für die Überwachung des Empfangsbereichs gedacht war. "In einer weiteren Arztpraxis hat der Praxismanager Patientendaten mit nach Hause genommen und dort ungeschützt aufbewahrt, sodass Partygäste die Daten zur Kenntnis nehmen konnten", heißt es in einer Mitteilung der Datenschutzbehörde. Zudem habe der Arzt Fotografien der Patientenakten über WhatsApp ausgetauscht.
Der Einsatz von Handvenenscannern zur Identifikation von Blutspendern bewertete Roßnagel in einem Fall ebenfalls als kritisch. Bemängelt wurde, dass der Blutspendedienst keine Alternativen für die Spender ermöglichte, worüber sich eine Spenderin beschwert hatte. Nachdem Roßnagel das Unternehmen "auf die erheblichen Zweifel bezüglich der Freiwilligkeit der Einwilligung in die Verarbeitung biometrischer Daten" hingewiesen hatte, können Spender sich nun auch mit dem Personalausweis identifizieren.
Laut Bericht wurde im Oktober 2023 ein Ransomware-Angriff auf das Universitätsklinikum Frankfurt rechtzeitig entdeckt und gestoppt, bevor Patientendaten verschlüsselt oder gestohlen werden konnten. Das vorsorgliche Trennen der IT-Infrastruktur vom Internet führte dazu, dass unter anderem Websites, E-Mails und Online-Bestellungen zeitweise nicht mehr funktionierten. Anschließend wurde die IT-Infrastruktur des Uniklinikums neu konzipiert und aufgebaut.
Fehlversand von Daten und offene E-Mail-Verteiler
Die meisten Datenschutzverletzungen gingen jedoch mit einem Fehlversand von Daten und offenen E-Mail-Verteilern einher, unter anderem aber auch durch den Missbrauch von Zugriffsrechten und durch Cyberangriffe. Auffällig sei dabei, dass die Cyberangriffe auf hessische Kommunen zugenommen haben. Es gab zudem 482 Meldungen über Cyberangriffe in Hessen: "Wir analysieren und bewerten alle Meldungen und versuchen, dazu beizutragen, sie in ihrem Schadenspotential zu beschränken und ihre Wiederholung zu verhindern", so Roßnagel.
Videos by heise
Microsoft für Behörden
Darüber hinaus führte Roßnagel Gespräche mit Microsoft für den Einsatz von Teams in der hessischen Landesverwaltung. Demnach ist die datenschutzkonforme Nutzung von Teams möglich, wenn die Nutzer aktiv zusätzliche Maßnahmen ergreifen. Dazu gehört eine "frühzeitige Löschung personenbezogener Daten, die Microsoft nicht durchführt". Ein geeignetes Löschkonzept könne helfen, bei dessen Umsetzung Microsoft entgegenkommen sollte. Eine abschließende datenschutzrechtliche Bewertung steht aber noch aus. Das sei erst nach einer "konkreten Konzipierung und Implementierung dieses Cloud-Dienstes" möglich.
Apps wollen viele Rechte
Zudem gab es mehrere Fälle in denen Android-Apps unangemessen viele oder nicht notwendige Berechtigungen einforderten, wobei nur wenige Fälle tatsächlich überprüft werden können. Eine Online-Banking-App verlangte beispielsweise den Zugriff auf Kontakte, Standort oder Mikrofon, obwohl dies für den eigentlichen Zweck der App nicht erforderlich war. Entwicklern empfiehlt Roßnagel, regelmäßig zu prüfen, "ob Funktionalitäten in Apps weiterhin die angeforderten Berechtigungen benötigen oder diese durch Programmänderungen oder Updates obsolet geworden sind". Elternbeiräte sollten sich zudem Gedanken machen, welchen Messenger sie zur Kommunikation nutzen.
Darüber hinaus gingen beispielsweise 441 Beschwerden im Bereich Kreditwirtschaft ein, 313 im Bereich Adresshandel/Werbung ein, 232 Beschwerden aufgrund von Videoüberwachung und eine wegen des Zensus.
(mack)
