Post-Mortem-Analyse
Die DSGVO verlangt eigentlich lauter vernünftige und einleuchtende Dinge. Stark vereinfacht: Wenn jemand die Daten anderer Personen verarbeitet, trägt er für diese Daten auch Verantwortung – auch wenn die eigentliche Verarbeitung delegiert wird. Zur Verantwortung gehört auch, die Sicherheitsmaßnahmen so zu wählen, dass sie mögliche Risiken und Schäden auf dem Stand der Technik abwehren und Missbrauch erkannt werden kann.
Die betroffenen Personen müssen über Art und Umfang der Verarbeitung wahrheitsgemäß und verständlich informiert werden, ebenso über die Rechtsgrundlage der Verarbeitung und ihre Rechte. Der Gebrauch von Rechten – insbesondere des Rechts des Nein – darf nicht in Diskriminierung enden. Sollte Missbrauch erkannt werden, müssen die Datenschutzaufsicht und die Betroffenen darüber informiert werden, damit Letztere sich schützen und den Schaden begrenzen können.
IMHO absolut vernünftig und einleuchtend: Einzelne Bürger werden hier vor stärkeren Institutionen geschützt – so wie wir es auch vom Verbraucherschutz kennen und schätzen.
Die DSGVO trägt der bitteren Wahrheit Rechnung: Es gibt immer Menschen, die – als des Menschen Wolf – andere Menschen ihrem Profit opfern – sei es als externe Kriminelle oder als Innentäter. Beiden auf dem Stand der Technik hohe Hürden entgegenzustellen, ist die Pflicht dessen, der personenbezogene Daten erheben und verwenden will – keine optionale Gefälligkeit, sondern der faire Preis, der für den viel reklamierten großen Nutzen aus der Datenverarbeitung zu zahlen ist.
Datenminimierung – sowohl in der Bereitstellung wie in der Erhebung – ist dabei offensichtlich das stärkste Instrument: Daten, die nicht vorliegen, können nicht missbraucht werden. Dem Risiko der Datenbereitstellung und -verarbeitung sollte also immer ein klar erkennbarer, benennbarer und überwiegender Nutzen gegenüberstehen.
Im Fall der Schule mangelte es daran. Zudem handelte es sich um Daten von Kindern, für die die DSGVO besondere Sorgfalt und langfristiges Risikobewusstsein einfordert – auch wieder vernünftig und einleuchtend (Erwägungsgründe 38, 58, 71, 75; Art. 6 Abs. 1 f). Hilft uns das?
Jetzt komme ich aus der IT- und Informationssicherheit – bin also im technischen Datenschutz unterwegs – und kann damit nur juristische Laienmeinungen äußern. Ich mag mich also irren, aber nach meiner Einschätzung wäre die Schule, auch wenn es zum Schlimmsten gekommen wäre, fein raus: Wenn die Einwilligungen der Eltern der betroffenen Kinder vorliegen, hat die Schule formal nichts falsch gemacht. Sie hat transparent über die beabsichtigte Veröffentlichung informiert und "die Risiken hätten ja jedem aus Fernsehen und Zeitung bekannt sein müssen". Der einzige Wermutstropfen in diesem juristischen Idyll: die unerwünschte und unwillkommene Intervention meines Kollegen.
Aus der Schulanekdote können wir lernen: Einwilligungen sollten sehr sorgfältig überlegt werden! Man sollte sich keineswegs darauf verlassen, dass es keine Risiken gibt, weil doch bestimmt irgendjemand Kompetentes sie abgewogen hat und einen darauf hingewiesen hätte. Der Nutzen sollte jedenfalls die Risiken klar übersteigen – und wenn es keine professionelle Datenschutz-Folgeabschätzung mit einer Risikoanalyse gibt und man selbst die Risiken nicht abschätzen kann, dann müsste der Nutzen extrem sein – eigentlich sogar unendlich.
Spannender ist der Fall der Taxifahraufträge. Der Nutzen ist hier recht klar – auch der Nutzen, dass die Fahrer die Patienten namentlich ansprechen können. Aber: Es handelt sich um Gesundheitsdaten, die zu den besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO gehören. Aus purem Eigeninteresse sollte ein Taxiunternehmer solche Daten gar nicht haben wollen: Sie steigern die Anforderungen an die Sicherheitsmaßnahmen, erfordern potenziell eine Datenschutz-Folgenabschätzung, fließen in die Bemessung etwaiger Bußgelder und so weiter.
Und auch wenn die Klinik die Rechtmäßigkeit dieser Datenweitergabe korrekt gelöst hat, bleibt sie in der Pflicht, die Sicherheit der Weiterverarbeitung zu prüfen. Für beide Seiten ist das ein unnötiges Unterhaltungspotenzial, das nicht nur im Interesse der Patienten, sondern aus purem Eigennutz vermieden werden sollte.
Und das wäre auch nicht schwierig: Statt des Namens im Fahrauftrag könnte etwa eine Nummerierung innerhalb des Tages verwendet werden. Damit kann der Fahrer sich bei der Station melden und den richtigen Patienten zugewiesen bekommen. Gleichzeitig ist damit eine gewisse Kontrolle hinsichtlich des Verbleibs von hilfsbedürftigen Patienten oder Kindern durch das Klinikpersonal gegeben. Ein bisschen Sicherheitsreserve schadet nie.
Natürlich sind verschiedene Varianten denkbar, das hängt auch davon ab, wie die Klinik Patienten und Vorgänge intern identifiziert. Patientennummern (Pseudonyme) führen aber zu einer Re-Identifizierbarkeit und sind damit heikler als ein Zähler oder eine Nonce. Kann der Name gegenüber dem konkreten Fahrer genannt werden? Die Datenschutzaufsichtsbehörden beraten in solchen Fällen durchaus. Man fragt sie aber am besten, bevor man Fakten schafft.
Anekdoten erlauben eine lebendige, konkrete und anschauliche Diskussion, sind aber potenziell nur Einzelfälle. Wenden wir uns also erwiesenen Massenfällen zu.