Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?

Mit der elektronischen Patientenakte soll die medizinische Versorgung verbessert werden, behandelnde Ärzte sollen Zugriff auf alle Befunde, erfolgte Impfungen und verordnete Medikamente erhalten.

Soweit so gut.

Aber verbessert sich die medizinische Versorgung dadurch wirklich für die Patienten?

„Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?“ weiterlesen

Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden. „Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie“ weiterlesen

Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?

Frage:
Von unserem Bereich wurden im Rahmen von Veranstaltungen und anderen Aktivitäten E-Mail-Adressen von Interessenten erhoben, die wir jetzt für unseren neuen Newsletter verwenden wollen. Ist das datenschutzrechtlich zulässig?

Die kurze Antwort:

Nur dann, wenn eine Einwilligung für den Newsletter erteilt wurde.

Außerdem dürfen Daten nicht länger gespeichert werden als für die ursprüngliche Zweckerfüllung erforderlich ist.

Daten dürfen nicht länger als erforderlich gespeichert werden.

Sofern sie darüber hinaus gespeichert werden, ist das bereits ein Datenschutzverstoss.

Rückfrage:
Gibt es nicht eine Ausnahme für Direktwerbung?

Anwort:
Ja, aber nur in sehr engen Grenzen: Eine weitere Kontaktaufnahme ist nach §7 Absatz 3 UWG zulässig, wenn die E-Mail-Adresse im Zusammenhang mit einem Kauf oder einer Dienstleistung erhoben wurde und auf eigene ähnliche Waren oder Dienstleistungen aufmerksam gemacht werden soll. Die Verwendung für einen Newsletter geht nach üblicher Rechtssprechung darüber hinaus.

Die ausführliche Antwort:

„Kann ich gesammelte E-Mail-Adressen für einen Newsletter oder für Direktwerbung nutzen?“ weiterlesen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Kurzpapier: Einordnung der datenschutzrechtlichen Stellungnahme des behördlichen Datenschutzes

Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.

Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.

Weitere Informationen

Digitale Souveränität: Wie sie an Hochschulen gelingen kann

Der Begriff der digitalen Souveränität geistert schon länger durch die Medien, aber was bedeutet es und gibt es bereits Erfolge? Wie tragen auch deutsche Hochschulen dazu bei, diese zu stärken?

Digitale Souveränität bedeutet, nicht abhängig zu sein von einzelnen Anbietern und deren digitalen Produkten, sondern selbst über IT-Systeme und Daten zu bestimmen.

Das Thema wird verstärkt im europäischen und nationalen Kontext angesprochen, da die Politik mittlerweile erkannt hat, dass es großer Anstrengungen bedarf um in der IT unabhängiger von den US-IT-Giganten zu werden. Die Versäumnisse der letzten Jahrzehnte werden daran deutlich, dass weder Verwaltung und  Unternehmen noch die Bürger*innen kaum mehr ohne US-amerikanische Dienste auskommen: Angefangen von Betriebssystemen wie Windows, MacOS und Android über Standardsoftware wie MS Office und Chrome hin zu Cloud-basierten Services wie Social Media oder Videokonferenztools.

Es ist zu befürchten, dass die gewachsene Marktmacht in den nächsten Jahren nicht gebrochen werden kann. Die Frage bleibt, welche Gestaltungsspielräume jetzt und in Zukunft existieren – ob man den Anbietern auf Gedeih und Verderb ausgeliefert ist, so dass diese die Bedingungen diktieren können, oder ob Alternativen bestehen.

Es gibt seit langem Initiativen, in denen eigene Wege beschritten und alternative Angebote entwickelt werden – vornehmlich handelt es sich um Open Source Projekte, die eine größere Verbreitung finden und zumeist spendenbasiert an Qualkität gewinnen und in einigen Fällen gute Substitute für kommerzielle Produkte sind. Die (technischen) Hochschulen können hier mit Ihrer Kompetenz punkten und zur  Verbesserung der Produkte beitragen, indem sie künftig Mittel umschichten und stärker in Open Source Software investieren.

Mit BigBlueButton und Nextcloud sind bereits angegangene Wege zu einer zunehmenden digitalen Souveränität an den Hochschulen sichtbar, die wir näher beschreiben.

„Digitale Souveränität: Wie sie an Hochschulen gelingen kann“ weiterlesen

Online-Whiteboards in der Lehre datenschutzgerecht nutzen

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der Zentraleinrichtung Wissenschaftliche Weiterbildung und Kooperation an der TU (ZEWK) auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern genutzt. Online-Whiteboards eignen sich zur Visualisierung von Abläufen und Zusammenhängen sowie zur Gestaltung digitaler Poster oder Präsentationen. Ein Teilen und kollaboratives Bearbeiten der Boards ist in der Regel möglich.

Die Tools können direkt im Browser aufgerufen werden, einige gibt es auch als App.

Wir haben uns drei Tools (Miro, Conceptboard und Collaboard) näher angesehen und konnten einen der Anbieter sogar motivieren, sein Tool (Collaboard) datenschutzfreundlich anzupassen.

„Online-Whiteboards in der Lehre datenschutzgerecht nutzen“ weiterlesen

Crypto Wars – der Kampf um Verschlüsselung

Als Crypto Wars werden die Auseinandersetzungen zwischen staatlichen und zivilgesellschaftlichen Akteuren bezeichnet, in denen es um vertrauliche Kommunikation geht. Den staatlichen Stellen geht es darum, Vertraulichkeit technisch und rechtlich zu erschweren und diese letztendlich unmöglich zu machen. Vertrauliche, verschlüsselte Kommunikation wird dabei als problematisch, wenn nicht sogar als gefährlich und kriminell eingestuft, die gesamte Kommunikation soll abgehört und mitgelesen werden können. Gegner sind dabei Akteure der Zivilgesellschaft, die teilweise auch Unterstützung in Politik und Wirtschaft finden.

Verschlüsselung ist mittlerweile weitverbreitet:
  • Webseiten und E-Mails werden überwiegend mit SSL/TLS verschlüsselt übertragen,
  • Messenger wenden Ende-zu-Ende-Verschlüsselung an,
  • VoIP-Telefonie und Videokonferenzen erlauben Verschlüsselung und
  • selbst E-Mails werden zunehmend mit S/Mime oder PGP verschlüsselt statt als Klartext gesendet

„Crypto Wars – der Kampf um Verschlüsselung“ weiterlesen

Wie können geheime Online-Abstimmungen durchgeführt werden?

In Pandemiezeiten sind wir gezwungen, Gremiensitzungen und die darin notwendigen Abstimmungen online durchzuführen.

Wir diskutieren hier, wie geheime Abstimmungen online durchgeführt werden können und zeigen einige Grenzen auf.

Außerdem verweisen wir auf eine ausführliche Anleitung für das Abstimmungstool in Webex.

„Wie können geheime Online-Abstimmungen durchgeführt werden?“ weiterlesen

Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus

Obwohl an der TU Berlin unseres Wissens nach keine Videoüberwachung bei Online-Klausuren praktiziert wird, haben wir uns der Fragestellung angenommen und geprüft, inwieweit diese möglich wäre.

Wir kommen zur folgenden datenschutzrechtlichen Einschätzung:

Derzeit ist eine Videoüberwachung von Online-Klausuren nicht zulässig.

Und:

Soweit eine solche geplant ist, bedarf es einer landesgesetzlichen Rechtsgrundlage.

„Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus“ weiterlesen