4.4          Soziales

4.4.1       Nur eine Datenpanne? Bei Fehlverhalten droht Beschäftigten ein Bußgeld!

Wiederholt schilderten im letzten Jahr Jobcenter, dass Mitarbeiterinnen und Mitarbeiter zu privaten Zwecken auf Kundendaten (Sozialdaten) in den zentralen Systemen der Bundesagentur für Arbeit (BA) zugegriffen haben, ohne dass hierfür ein dienstliches Erfordernis bestanden habe. Mal wollte ein Beschäftigter etwas über die Ex-Frau erfahren, ein anderes Mal herausfinden, ob eine attraktive Antragstellerin als neue Partnerin infrage kommt. Die Neugier war größer als die Angst vor dem Verbot. Dieses Fehlverhalten der Beschäftigten wird als Mitarbeiterexzess bezeichnet.

Keine Frage, solche privaten Recherchen stellen einen gravierenden Verstoß gegen das Sozialgeheimnis und eine Datenschutzverletzung dar.

Zuständige Aufsichtsbehörde für die Datenpannenmeldungen ist in diesen Fällen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Das Jobcenter muss darlegen, welche technischen und organisatorischen Maßnahmen getroffen wurden, um derartige unbefugte Zugriffe zu verhindern.

Aber auch den Beschäftigten, die gegen das Sozialgeheimnis verstoßen, drohen Konsequenzen – in manchen Fällen sogar die Kündigung. Damit aber nicht genug. Die Beschäftigten müssen zudem mit einem hohen Bußgeld rechnen. Als zuständige Behörde prüfen wir bei entsprechenden Hinweisen der Jobcenter die Einleitung eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten.

Was ist zu tun?
Sozialleistungsträger dürfen nicht alleine darauf vertrauen, dass Mitarbeiterinnen und Mitarbeiter ausschließlich auf Sozialdaten zugreifen, wenn dies dienstlich erforderlich ist. Neben organisatorischen Vorgaben müssen auch technische Vorkehrungen getroffen werden, damit Beschäftigte gar nicht die Möglichkeit haben, auf Sozialdaten zuzugreifen, die sie nichts angehen. Besonders wichtig sind das Rollen- und Berechtigungskonzept und regelmäßige Kontrollen der zu protokollierenden Zugriffe. Beschäftigte müssen geschult und auf die Konsequenzen von Fehlverhalten hingewiesen werden.

4.4.2       Hackerangriff in einer Jugendhilfeeinrichtung

Hacker machen vor niemandem halt. Auch nicht vor Jugendhilfeeinrichtungen. In diesem Fall verschlüsselten die Hacker mit einer Malware eine Netzwerkfestplatte. Die Einrichtung konnte nicht mehr auf die Daten ihrer Mitarbeitenden und auf die besonders sensiblen Daten der betreuten Jugendlichen und deren Familien zugreifen. Über 160 Personen waren betroffen.

Ärgerlich war, dass der Infektionsweg nicht ermittelt werden konnte. So konnte man nur vermuten, wie die Hacker auf die IT zugreifen konnten. Vielleicht hing es damit zusammen, dass Beschäftigten im Homeoffice der direkte Zugriff auf das System ermöglicht wurde?

Zudem konnte nicht mit Sicherheit ausgeschlossen werden, dass die Hacker die Daten nur verschlüsselten oder womöglich sogar kopierten. Die Einrichtung ging auf Nummer sicher und meldete uns diese Datenschutzverletzung.

 

4.4.3       Datenschutz bei der „Arztsuche“ der KVSH verbessert

Die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) bietet auf ihrer Homepage für Patienten die Möglichkeit einer „Arztsuche“ an. Wer den Namen einer Ärztin oder eines Arztes in die Suchmaske eingibt, dem wird die aktuelle Anschrift der Praxis angezeigt. Bei einer Eingabe eines Ortes werden die in diesem Ort tätigen Ärztinnen und Ärzte sowie Psychotherapeutinnen und Psychotherapeuten angezeigt.

Bei der Nutzung dieser Suchfunktion erfolgte bislang eine automatisierte Einbindung von Google Maps. Bei einem Suchergebnis wurde automatisch eine Karte von Google Maps mit dem Standort der Praxis eingeblendet. Um diesen Service zu ermöglichen, wurden zumindest die IP-Adressen der Nutzenden automatisiert und ohne Einflussmöglichkeit der Patientinnen und Patienten an die Firma Google übertragen. Eine Befugnis für diese Datenübermittlung war nicht zu erkennen.

Unsere Nachfrage nahm die KVSH sofort zum Anlass, die „arztsuche.kvsh.de“ neu aufzusetzen. Zukünftig werden Patientinnen und Patienten gefragt, ob eine Google-Karte angezeigt werden soll, verbunden mit dem Hinweis, dass bei Zustimmung Daten an Google übermittelt werden. Die Suchergebnisse, also die Praxisnamen und -anschriften, können zukünftig aber auch ohne die Google-Karte angezeigt werden.

Was ist zu tun?
Wenn externe Dienste von Anbietern wie Google in das Informationsangebot einer Homepage eingebunden werden, muss die verantwortliche Stelle prüfen, ob, in welchem Umfang und mit welcher Befugnis personenbezogene oder personenbeziehbare Daten an diesen externen Dienstleister übermittelt werden. Für die Übermittlung dieser Daten wird immer eine Befugnis, z. B. die Einwilligung der Betroffenen, benötigt.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel