#39 - Kokain, Klinik und ein kurzer Dienstweg

00:00:06: Ja, herzlich willkommen liebe Damen und Herren!

00:00:18: Heute bei Folge neununddreißig.

00:00:20: Wir haben uns ganz was arges ausgedacht in einen ganz agen Titel.

00:00:24: Servus lieber Murphy!

00:00:25: Servus liebe Wiggit!

00:00:26: Ist immer super mit dem Studium zu sein?

00:00:28: Gleichfalls!

00:00:31: Ja... Und heute heißt der Titel Kokain, Klinik und ein kurzer Dienstweg.

00:00:37: Das sind aber andere Drogen?

00:00:38: Ja komplett wie Gesundheitsdaten in Österreich bei der Polizei landeten.

00:00:42: ja also entspannender Fall der ist auch durch die Medien begeistert als Datenschutzkandal in Tirol sozusagen Und wir haben ihnen diesen mitgebracht weil wir auch immer wieder Anfragen bekommen.

00:00:55: Naja wenn sie die Polizei mödet muss ich eh alles rausrücken oder?

00:00:59: Immer gleich und jedem

00:01:00: Genau.

00:01:01: Und das lösen der Murphy und ich heute, jetzt in dieser Folge mit Ihnen gemeinsam auf.

00:01:06: Darf ich das wirklich nur weil sie die Polizei meldet oder nicht?

00:01:09: Ja also was muss ich, was darf ich

00:01:11: und wann nicht fallen genau.

00:01:15: Also es gab eine Person, die vor Gericht erfahren hatte dass ihre Gesundheitsdaten insbesondere die Krankenakte ohne das Wissen an die Polizei weitergegeben worden war.

00:01:28: Das war wie man schon im In der Überschrift gesehen haben ein bisschen

00:01:33: speziell,

00:01:35: weil es um einen Kokainmissbrauch gegangen ist.

00:01:39: Der dann dazu geführt hat dass die Person im Notfallbereich der Innsbrucker Universitätsklinik behandelt wurde

00:01:48: und

00:01:49: diese Daten die da erfasst wurden während dieser beiden Aufenthalte wurden dann offensichtlich an einem Polizeibeamten weitergegeben und nicht nur diese Erstberichte, sondern auch den vollständigen Notfallbericht der sich dann insgesamt zusammengetragen hatte.

00:02:09: Auch der wurde noch weitergegeben.

00:02:11: Ja und klarerweise hat die Person dann einmal eine Feststellung begehrt an der Verletzung seines Rechts auf Geheimhaltung.

00:02:20: und das ist so einmal die initiale Kurzzusammenfassung worum es jetzt gehen wird

00:02:25: Und ich erzähle mir immer die langen Fassungen, weil es heute mein Fall ist.

00:02:29: Also das ist halt einer meiner Fälle... Ich hab Ihnen das so ein bisschen... Wenig

00:02:32: Technik heute wiederum dabei?

00:02:35: Ja!

00:02:36: Bissi.

00:02:37: Bissichon, weil die anderen Personen sind auch welche, die vielleicht so ein bissel in Deinen Bereich nicht verkannten, wo Du ja als T-So auch sehr viel tätig bist.

00:02:49: Die Sache hat sich so zugetragen, der Murphy hat schon gesagt ins Brugger Universitätsklinik.

00:02:54: Da haben wir neben DSG und DSGVO ein Spezialgesetz des Tiroler

00:03:01: Anstaltengesetzes.

00:03:02: Danke

00:03:02: schön!

00:03:03: Ich hab gerade noch geschaut, bis ganz genau heißt.

00:03:06: Dort wurde jedenfalls der Beschwerdeführer behandelt.

00:03:09: Offensichtlich hat er zweimal notfallmäßig behandelt werden müssen nachdem man Kokain konsumiert hatte.

00:03:15: Wir wissen nicht ob es öfter konsumierte und auch... Also wir wissen das ergibt sich aus diesem Fall.

00:03:22: Zweimal hat er offensichtlich zu viel erwischt und musste in die Notaufnahme der Innsbrucker Uniklinik dort behandeln.

00:03:29: Naja!

00:03:30: Und wenn man sich diese Entscheidung Öster Datenschutzbehörde wieder durchschaut, ist er offensichtlich auf das draufgekommen dass die Daten weiter gegeben waren in einem arbeitsrechtlichen Verfahren.

00:03:42: Also das sieht man, wenn man sich die Geschäftszahl dieses Gerichtsverfahrens dann zitiert wird anschaut.

00:03:49: Das war offensichtlich ein arbeitsgerichtliches Verfahren.

00:03:53: Vielleicht ist er rausgeschmissen worden?

00:03:54: Das wissen wir nicht.

00:03:55: Gut,

00:03:55: das hätte ich nicht gesehen aber... Nein,

00:03:57: das musst du auch nicht sehen!

00:03:58: Ich hätte in einer Lockdatei was gefunden aber...

00:04:00: Ja genau, deshalb haben wir unterschiedliche Ausbildungen und Wissen und Fähigkeiten nachdem ich ja manchmal als Leinrichterin am Oberlandesgericht tätig bin.

00:04:12: Ist das eine einschlägige Information?

00:04:14: Ein einschlägiges Datum für mich ist eine Geschäftszahl einer Gerichtsverhandlung.

00:04:19: Was war passiert?

00:04:20: Offenbar hat ein Inspektor, die Rollerpolizei, einen Abteilungsinspektor an den Sicherheitsbeauftragten – das muss man sich auf der Zunge zergehen lassen – an den sicherheitsbe Auftragten des Landesklinikums geschrieben

00:04:40: Wobei ein Unterschied ist zwischen einem Sicherheitsbeauftragten und einem Informationssicherheitsbeaftragten.

00:04:46: Ja, das werden wir dann auch noch sehen.

00:04:48: Jetzt kannst du vielleicht ein bisschen auch erörtern was ist denn da der Unterschied?

00:04:52: aber es war jedenfalls Das Sicherheitsbeauftragte hatte als Job-Titel wunderbar auf Neuhauchdeutsch Security Manager und er war für alles zuständig.

00:05:02: Also nicht nur, dass die Skibeltüren am Abend zugesperrt werden sondern wirklich... also für die gesamte Informationssicherheit kann man wirklich so sagen.

00:05:11: Jedenfalls und ich zitiere jetzt aus der Entscheidung der Datenschutzbehörde Ich mache jetzt keinen Datenschutzzverstoß weil ich den Namen nenne Hallo Karl Josef.

00:05:22: Die Person heißt A. abgekürzt, möglich auch A. Andreas geboren – das wurde dann natürlich alles pseudonymisiert und soll eigenen Angaben zufolge vor ca.

00:05:32: zwei Monaten wegen Verdacht auf Kokain über Dosis in die Klinik Innsbruck eingeliefert worden sein.

00:05:37: Vielleicht kannst du mir das unverbindlich prüfen!

00:05:41: Also das finde ich vom Satz her schon.

00:05:42: Unverbindliches.

00:05:43: Das ist super, gell?

00:05:43: Das ist echt österreichisch.

00:05:45: Aber nur falls du keine Schwierigkeiten bekommst, ich weiß ja dass der Weg jetzt an das laufen sollte.

00:05:51: Vielen Dank im Voraus!

00:05:53: Richard, Abteilungssinspektor.

00:05:56: Also das war der Initial, der Start quasi die Initiative, dass es überhaupt zu diesem Fall gekommen ist?

00:06:03: Naja... Und der Karl Josef, das ist unser Sicherheitsbeauftragter.

00:06:07: Er ist einer der Protagonisten im Spital, also er war der Sicherheits beauftragte der Klinik hat dann tatsächlich eine Antwort geschrieben nämlich am nächsten Tag an diesen Inspektor und hat hineingeschrieben Guten Morgen!

00:06:25: Die unten genannte Person war am neunten Sechsten und am siebzehnten Neunten jeweils wegen Substanzmissbrauch Klammer auf Kokain, vier bis zehn Gramm Klammern zu zur ambulanten Notfallbehandlung im LKI.

00:06:40: Also Landeskrankenhaus Innsbruck P., das nehme ich an, das heißt Patient gab jeweils an dass die Symptome beim bisherigen Konsum von Kokain nicht aufgetreten sind also spätestens jetzt wie es man.

00:06:52: daher hat das efter gemacht.

00:06:54: weiter sagte er dass die Quelle des aktuell konsumierten Kokains unbekannt

00:06:58: sei oder gefunden

00:07:00: Möglicherweise.

00:07:01: Vielleicht schaut ihr dann die Polizei an, wo es stark verunreinigt ist, Kokain irgendwie im Umlauf von den Menschen zu beschützen?

00:07:08: Für weitere medizinische Informationen bitte den üblichen Weg Klammer-Anfrage per Fax mit Formularklammer zu wählen.

00:07:16: Find ich spannend.

00:07:16: Anfrage per fax.

00:07:18: Ich find ja super!

00:07:19: Dass

00:07:20: das ja noch gibt.

00:07:21: Ja, aber im Jahr war es ausgegangen und Fax ist viel sicherer als ihm.

00:07:25: Natürlich!

00:07:26: Das glaube ich.

00:07:26: deshalb mehr per Fax.

00:07:28: Du kannst dich sicher erinnern wir hatten damals diese Themen Ärzte dürfen faxen, aber nicht melken.

00:07:33: Genau, solche

00:07:33: Faxen machen wir heute nicht mehr.

00:07:36: Für alltägliche Fragen stehe ich gerne zur Verfügung.

00:07:39: Beste Grüße Karli Josef.

00:07:42: Und somit gingen jetzt da natürlich personenbezogene Daten mit besonderem Schutzcharakter aus der Landesklinik, aus dem Landesklingikum Innsbruck hinaus und bei der Polizei hinein.

00:07:56: Ohne jegliche Formellenanfragen!

00:07:58: Genau also das war alles.

00:08:00: zwei Mails Ja und die Beschwerde für eine Person in diesem Fall daher.

00:08:05: Andreas hat dann eben in diesem Gerichtsverfahren herausgefunden, dass das so ein bisschen der Polizei bekannt ist und vielleicht auch seinem Arbeitgeber.

00:08:13: Man weiß es nicht.

00:08:14: jedenfalls er sagte – und das hat war auch Inhalt der Beschwerde.

00:08:18: nur die Klinik und sein Hausarzt wussten übrigens darüber Bescheid, dass er Kokainmissbrauch begangen habe!

00:08:25: Und er versteht jetzt nicht warum diese Gesundheitsdaten da überhaupt weitergegangen sind, er hat sein Einverständnis nicht gegeben und natürlich sei das ein unzulässiger Eingriff in sein Recht auf Geheimhaltung.

00:08:39: Und dann hat er noch gesagt so quasi Ich oute mich jetzt, ich bin der Patient, der die Tirolklinik-Datenaffäre ausgelöst hat.

00:08:49: Und diese unter diesem Titel Tirolklinik Datenaffäre – das ist wirklich durch alle Medien begeistert.

00:08:54: da findet man heute noch den einen oder anderen Artikel dazu!

00:08:58: Ja er hat sich dann an die Klinik gewarnt und hat sich dort beschwert und die waren super super super kooperativ.

00:09:05: also die waren wahrscheinlich erst einmal total schockiert Völlig.

00:09:08: Und dann haben sie einmal versucht diesen Fall aufzuarbeiten und Sie haben, das finde ich auch super aber nicht zynisch super sondern wirklich super.

00:09:21: die Landesklinik hat dann sogar in einer Pressekonferenz die Medien darüber informiert was bei ihnen passiert ist.

00:09:29: macht nicht jeder?

00:09:30: Nein, macht nicht jeden und es ist interessant.

00:09:32: wirst du vielleicht auch gleich sagen dass das nicht zu privaten Zwecken passiert ist?

00:09:37: Du spätelst das in der ... Wir können schon haben.

00:09:40: So schlimm ist es noch nicht.

00:09:42: In diesem Zusammenhang, und das ist dieses wirklich interessante... Es gibt natürlich wie immer mehrere interessante Punkte in diesem Fall.

00:09:49: Das eine ist darauf die Polizei alles bekommen aber es geht natürlich auch darum muss sich jetzt dass die Klinik das Verhalten diese Sicherheitsbeauftragten zurechnen lassen oder nicht?

00:10:01: Weil diese Argumentation gibt's ja sehr oft, dass dann ein Unternehmen sagt naja das waren meine Mitarbeiter ich habe eher Richtlinie daß man das nicht darf.

00:10:09: Das kann mir nicht zugerechnet werden.

00:10:11: Ich bin also nicht rechtsbrechend unterwegs, man kann keine Strafe

00:10:15: verhängen.".

00:10:16: Also das schauen wir uns auch in diesem Fall an.

00:10:18: Ja was haben die von der Klinik noch alles gemacht?

00:10:21: Sie haben den Beschwerdeführer sogar die Zugriffsprotokollierung auf seine Krankengeschichte ausgehändigt.

00:10:27: Also die haben wirklich alles alles offen gelegt, was ihnen halt möglich war und... Was haben sie noch gemacht?

00:10:33: Die haben auch etwas gemeldet!

00:10:38: Also wie sich der Beschwerdeführer bei Ihnen, also da war er ja noch kein Beschwerdeführer vor der Datenschutzbehörde sondern er hat sich nur in der Klinik gegenüber beschwert.

00:10:47: Dass er dann gemeldet hatte haben sie sogar eine Datenpannenmeldung an die Datenschutzbehörden gemacht.

00:10:54: Ohne zu wissen glaube ich trotzdem Zeitpunkt auf welchem Weg das übermittelt wurde?

00:10:58: Ja!

00:11:00: Sie haben diese E-Mails gefunden und es ist dann auch herausgekommen dass die gesamte Patientenakte übermittelt wurde, nur wie das geschehen konnte.

00:11:11: Das haben sie nicht herausfinden können.

00:11:13: Ich glaube bis heute nichts.

00:11:14: Ja,

00:11:14: das ist spannend!

00:11:15: Ja.

00:11:16: Aufgerollt wurde der Fall dann insofern, dass man mal überhaupt geschaut hat – Wie konnte das Ganze passieren?

00:11:22: Jetzt haben die.

00:11:23: Berechtigungssysteme.

00:11:24: Sie haben ein Datenschutzkommissioner intern, sie haben ein Security-Manager – Sie haben eine Leiterin des Beschwerdemanagements, Sie haben einen Datenschurzbeauftragten und trotzdem

00:11:35: … Also organisatorisch alles umgesetzt was geht?

00:11:38: Ja geht nicht aus meiner Sicht!

00:11:40: Aber wie man sieht es kann trotzdem etwas passieren weil manchmal Menschel zu halt.

00:11:43: Genau

00:11:44: Wie ist jetzt dieser Security Manager zu diesen Daten gekommen?

00:11:48: Das war einmal die Hauptfrage

00:11:50: Und dann lustiges nicht.

00:11:52: Aber es war auch wiederum so, kannst du mir nicht bitte in diese Richtung gehen?

00:11:57: Ja genau.

00:11:58: Kannst man ja bitte Ihnen an einen Gefallen tun?

00:12:00: Offensichtlich kannte er die Leiterin des Beschwerdemanagements-Richtgurt, hat sich an die gewarnt und hat sie gebeten ihm diese Patientendaten aus dem Krankenhausinformationssystem zur Verfügung zu stellen.

00:12:12: Also dort sind wir wiederum beim Schulungsbedarf...

00:12:16: Sie waren sicher auch geschult!

00:12:18: Also ich kann mal nicht vorstellen, wenn eine Klinik so viel zum Datenschutz und zur Informationssicherheit umsetzt, dass keine Schulungen gegeben hätte.

00:12:26: Dann gibt es jetzt Nachschulungen?

00:12:27: Ja die hat's dann sicher gegeben!

00:12:30: Die Leiterin des Beschwerdemanagements, die hat Zugriff auf das Krankenhausinformationssystem.

00:12:35: Was Sinn macht?

00:12:37: Wenn sie wer beschwert, dass er schlecht behandelt wurde in jeglicher Hinsicht persönlich oder medizinisch dann muss da ja jemand aufarbeiten und die Dame hatte Zugriffs auf alle Patientendaten.

00:12:48: der Security Manager nicht auch irgendwie logisch.

00:12:52: Weil wenn ich dafür zuständig bin, dass meine Daten und alles gesichert wird oder sicher ist und mein Haus sicher ist dann muss ich nicht unbedingt reinschauen.

00:13:02: Und die Daten auf gar keinen Fall?

00:13:04: Schon gar nicht in Gesundheitsdaten.

00:13:05: also das lässt sich nicht argumentieren und das gab es auch nicht.

00:13:09: In der Aufarbeitung dieser ganzen Causa hat dann sozusagen die Klinik auch so ein bisschen Hände hoch gemacht weil dieses Mail mit diesen ersten Infos an den Abteilungsinspektor, das haben sie gefunden.

00:13:23: Aber das gesamte Dokument, die Sammelmappe mit Notfallbericht, Arztberichtler, Bohrbefund entlassungsrevers und Konziliar befunden.

00:13:34: Mit Therapievorschlag und Übernahme in die Psychiatrie – wenn das muss man sich einmal vorstellen, das ist ja keine Kleinigkeit -, dass das auch aus dem Haus gegangen ist und nämlich dann Vorlage in diesem Verfahren.

00:13:46: Da hat die Klinik dann gemeint, na das kann ja wohl auch nur der Security Manager gewesen sein?

00:13:50: Wer hätte es sonst machen sollen.

00:13:53: Aber sie konnten nicht nachweisen, dass er das aus dem Krankenhaus-E-Mailsystem geschickt

00:13:59: hat.

00:13:59: Die Frage wäre dann ob die Datenschutzbehörde bei der Polizei zum Beispiel nachgefragt hat woher ihr das bekommt?

00:14:06: Ja haben Sie aber die Infos haben es nicht gekriegt.

00:14:09: Also die Datenschutzbehörden hat um Amtshilfe ersucht und die Polizei sagt jetzt untersucht mittlerweile die Staatsanwaltschaft und das Amt zur Korruption zu bekämpfen.

00:14:21: Das hat das auch noch untersucht, diesen Fall.

00:14:23: Also das hat offensichtlich weitaus weitere Kreise gezogen.

00:14:26: Vielleicht hören

00:14:27: wir noch

00:14:28: irgendwann etwas davon?

00:14:29: Das kann schon sein!

00:14:29: Ich habe es jetzt nicht bei der Vorbereitung zu dieser Aufnahme herausgefunden.

00:14:34: und was ich ja auch cool finde – und es wird da Murphy gleich als sie so mir sagen passt es sowas oder passt es nicht?

00:14:40: – was hat das Krankenhaus denn alles gehabt?

00:14:43: Sie hatten ein Berichtigungskonzept ausgearbeitet.

00:14:48: dem Security Manager Oblag das Sicherstellen der täglichen Geschäftsabläufe.

00:14:53: Das heißt, operationelle Security-Ebene, das Erheben und das Bewerten des Security ist Situation die Planung und Durchführung geeigneter Maßnahmen zur Ereichung der definierten Schutzziele, die Entwicklungen eines Service- und Sicherheitskommensets, die Umsetzung des Ganzen.

00:15:11: zusätzlich das Mitwirken bei Baumaßnahmen in Blick Richtung Objekt.

00:15:18: Er hatte eine Weisungsbefugnis gegenüber dem externen Wach- und Sicherheitspersonal.

00:15:24: Er war eingebunden in Risikokrisenerreignisse und Notfallmanagement, er hat selber die Durchführung von internem Service und Sicherheitsaudit zu verantworten –

00:15:35: und noch

00:15:35: eines hatte er zu ver Antworten das Durchführen von Schulungen!

00:15:40: Ist das nicht cool?

00:15:42: Das ist schon mal insgesamt sehr viel.

00:15:43: Ja.

00:15:44: Das war so auf den ersten Blick.

00:15:46: Failed ist irgendein Konzept für die zu Data loss prevention.

00:15:51: Also wenn Daten das Unternehmen verlassen, wie wird es gehandhabt?

00:15:58: Möglicherweise

00:16:00: wäre man... Das war alles in seinem Sicherheitskonzept erfasst!

00:16:03: Ja

00:16:04: und wenn das drin war, ist nochmal gut vom Konzept her.

00:16:07: dann ist halt nur die Frage und da stehen wir wiederum am Anfang Wie ist das passiert Wenn's eben wie du sagst menschelt

00:16:15: Höfen die ganzen Richtlinien

00:16:17: nicht.

00:16:17: Die richtigen müssen von den Personen, die die richtigen lesen und verstehen auch gehandhabt werden so wie das was drinsteht.

00:16:26: Also

00:16:26: eingehalten?

00:16:27: Wenn das eingehalten, danke!

00:16:29: Wenn das nicht so passiert dann hüpft uns sowas

00:16:31: nix.

00:16:31: Nein jetzt hüpfe es sowas

00:16:32: nichts.

00:16:32: Irgendwann habe ich eine Grenze die technisch nicht mehr nachvollziehbar ist.

00:16:36: Auch

00:16:37: organisatorisch nicht?

00:16:38: Das

00:16:38: geht's ja nicht.

00:16:38: Organisatorisch würde es ja gehen aber...

00:16:41: Naja, wenn ich Richtlinien habe und die sich niemand hält dann hüßt man das alles nix.

00:16:45: Ja genau!

00:16:46: Also und technisch kann ich es nicht anders darstellen außer ich verbiete E-Mail Es wird dann nicht ganz optimal sein

00:16:53: Was noch super ist.

00:16:54: also das ist ein Lehrbeispiel dafür was man alles umsetzen kann Und es trotzdem zu einem solchen Vorfall kommt, weil Menschen handeln.

00:17:03: Es gab ein Berechtigungskonzept das regelmäßig durch die interne Datenschutzkommission des Krankenhauses angepasst und freigegeben wurde – und der Datenschuzbeauftragte hat regelmässig überprüft wer auf welche Krankengeschichten wann zugegriffen hat.

00:17:20: Und wenn es da einen Zugriff gab, der nicht plausibilisierbar wurde sofort die Datenschutzkommission, die interne einberufen und dort über dienstrechtliche Konsequenz entschieden.

00:17:30: Also ich glaube mehr gibt's

00:17:32: nicht!

00:17:32: Diese Sicherheitskonzepte, die haben muss tausend Seiten haben...

00:17:36: Die können sich gut an andere Krankenhäuser verkaufen.

00:17:40: Das ist

00:17:41: sehr ausführlich und so wie wir das hier lesen was wir in den Fragen bringen konnten.

00:17:47: Ja, also

00:17:49: von der Umsetzung her.

00:17:51: Von den Gedanken die man sich gemacht hat auch von den Funktionen die alle bestellt wurden super gemacht und das hat am Ende des Tages jetzt nicht sehr viel geholfen weil halt der Security Manager gemahnt hat er muss jetzt einen Abteilungsinspektoren gefreundet haben.

00:18:05: Was

00:18:05: es jetzt nicht heißt wie ich so in meinem Ohr höre von manchen Kunden und dann brauchen wir sie nicht.

00:18:12: Das heißt jetzt deswegen nicht?

00:18:13: Nein, natürlich nicht!

00:18:15: Also man muss schon alles Mögliche tun um solche Fälle zu verhindern.

00:18:20: Ja dienstrechtlich ist das natürlich auch immer Thema.

00:18:23: die Mitarbeiter müssen darüber Bescheid wissen.

00:18:26: wenn ich gegen diese Richtlinien oder gegen Gesetze verstoße dann kann mir dienstrechtlich also was passieren.

00:18:31: es ist auch etwas passiert nämlich... Lassung.

00:18:36: Ja, sowohl der Security Manager als auch die Leiterin des Beschwerdemanagements wurden beide fristlos entlassen.

00:18:41: aufgrund dieses Vorfalls und im Zuge was ich je vorher auch gesagt habe in Zuge der Aufarbeitung dieses ganzen Falls hat die Klinik dann gemeint es kann ja wohl nur das Security Beauftragte gewesen sein der den gesamten die gesamte Patientenakte weitergegeben hat nicht nur dieses eine E-Mail.

00:18:59: Jo da haben sie halt wirklich die Gesamtverantwortung sozusagen übernommen Und das Ganze beruht auf einer plausiblen von der Beschwerdegegnerin in diesem Fall die Landesklinik selbst ausgesprochenen Vermutung, dass es aufgrund der professionellen Bekanntschaft zwischen dem Karl Josef und dem Richard dazu gekommen ist, dass eben unter Umgehung interner Vorschriften Daten ausgetauscht wurden.

00:19:30: Allein schon dieses Zitat des Abteilungsinspektors, ich weiß ja dass der Weg jetzt an das laufen sollte.

00:19:37: Also da gab es sicher auch disziplinäre Konsequenzen für den Polizisten weil das kann's ja wohl nicht sein, dass ein Polizist den kurzen Dienstweg wählt.

00:19:45: Das mache ich sonst nur Privatpersonen die sich da etwas erhoffen können

00:19:49: was uns genossen film

00:19:50: genau Und was auch noch möglich ist, das können wir auch nicht ganz nachvollziehen.

00:19:56: Dass eben dann aus dem Wirkungsbereich der Beschwerdegegnerinnen und da steht eben auch der Security Manager im Verdacht eventuell sogar direkt an diesen Rechtsanwalt, der den Dienstgeber offensichtlich des Beschwerdeführers vertreten hat, der gesamte Akt gesendet wurde.

00:20:12: Also schon arg, gell?

00:20:14: Und da denke ich mir ja das ist toll wenn man so viele Sicherheitsmaßnahmen hat.

00:20:18: Dass die dann am Ende des Tages nichts helfen wenn sich Leute darüber hinweg setzen.

00:20:25: und jetzt kommt.

00:20:26: also jetzt wissen wir es gab ein riesen Konzept einen Riesen-Sicherheitskonzept.

00:20:32: Es hat sich ein Polizist daran versucht auf kurzem Weg was zu erhalten und er war total erfolgreich.

00:20:38: Genau!

00:20:38: Wenn die Polizei kommt dann

00:20:40: sehen wir mal dem alles weiter.

00:20:41: Genau, wie wir vorhin gesagt haben.

00:20:43: Angst und ich gebe mal was weiter.

00:20:45: In dem Fall waren auch zusätzlich vielleicht voreinschaftlich aber irgendeine Art von Verbundenheit

00:20:50: da?

00:20:51: Ja nachdem Security und Polizei auf Zusammenarbeiten ging man davon aus dass man sich eben sehr gut kannte.

00:20:58: Und dann muss es auch noch eine sehr gute Beziehung zwischen dem Security Manager und der Leiterin des Beschwerdemenagements geben haben weil warum gibt die einfacher Krankenakte her im Manvossamerten nämlich auch so offenbar ohne irgendwie dann eine Plausibilisierung zu verlangen.

00:21:15: Das kann es einfach

00:21:16: nicht

00:21:16: sein.".

00:21:16: Und auch im Wissen, dass sie vielleicht kontrolliert wird im Nachhinein, den wir gehört haben also das ist auch eine spannende Nebengeschichte?

00:21:23: Ja

00:21:23: genau und das ist zum Beispiel auch bei den Banken oder so da hat's einen großen Fall jetzt in Italien gegeben wo ein Bankmitarbeiter auf dreieinhalb tausend Kundentaten Zugriff hatte die nichts seine Kunden waren.

00:21:34: Da hat ihn deren Revision versagt aber es war auch so eine Eingerichtung bei denen.

00:21:40: Und selbst das hat nicht dazu geführt, dass sich die Dame gedacht hat natürlich mache ich sicher nicht weil wenn ihr erwischt wäre habe ich vielleicht instrechtliche Konsequenzen zu befürchten Ja, was hat dann die Beschwerdegegnerin also in dem Fall die Klinik versucht um so ein bisschen aus dieser Riesenverantwortung hinauszukommen?

00:21:58: Sie hat dann gesagt naja der hat ja im Eigeninteresse gehandelt.

00:22:03: Er hat unseren Verantwortungsbereich überschritten.

00:22:07: Also wir müssen uns sein Verhalten nicht mehr zurechnen lassen weil das hat mit uns eigentlich überhaupt nichts zu tun gehabt.

00:22:14: er hat die Daten für eigene Zwecke verwendet und entfremdet.

00:22:19: Ja, nur das ist sich halt leider auch nicht ausgegangen.

00:22:22: Weil ich hatte überhaupt keinen Eigeninteresse!

00:22:26: Zumindest keines, das nachgewiesen wurde.

00:22:28: Vielleicht wollte er sich mit den Polizisten gutstellen – das wiss man nicht!

00:22:32: Aber ein echtes Eigeninteresse zum Beispiel um Daten wirtschaftlich zu verwerten eine persönliche Neugier zu befriedigen oder etwas zum Tratsch im eigenen Fekantenkreis beizutragen?

00:22:45: Das wäre eine Zweckänderung.

00:22:47: Das war alles nicht nachweisbar.

00:22:50: Also

00:22:50: d.h.,

00:22:51: dass sagt die Datenschutzbehörde entfremder der Zweck.

00:22:55: Also das heißt ein wirtschaftliches Interesse, ich verkaufe die Daten irgendwo hin.

00:22:59: Ich habe eine persönliche Neugier oder ich will einfach Tratsch und Klatsch verbreiten.

00:23:04: Das würde dann wirklich darüber hinausgehen wofür die Verantwortlichen haftet.

00:23:11: In diesem Fall hat er aber keine eigenen Zwecke verfolgt Sondern?

00:23:15: Es musste dann also die Klinik sich das Verhalten völlig zurechnen lassen, also vollständig.

00:23:21: Weil er hat ja Interesse dagegen handelt.

00:23:23: Er hat geglaubt in Interesse, genau.

00:23:24: Interesse da ging ihm zu handeln.

00:23:27: Das finde ich sehr lustig aber er hat halt gemeint so er fühlt jetzt seine dienstlichen Aufgaben.

00:23:32: wenn die Polizei schreibt dann kriegt die Daten und das er hat überhaupt kein eigenes privates Interesse daran.

00:23:39: Ja, also das haben wir jetzt auch gewusst oder auch herausgefunden und selbstverständlich ist er die Datensurzbehörde dann noch ausgeführt.

00:23:47: Darf eine Klinik Gesundheitsdaten verarbeiten?

00:23:50: Das überrascht uns jetzt doch etwas weniger.

00:23:53: jedoch worauf sie sich dann noch ein bisschen konzentriert hat war dieses Thema darf die Polizei Daten anfordern?

00:24:02: Ja, wenn sie es braucht.

00:24:03: Das ist gar kein Thema.

00:24:05: auch da gibt's natürlich Gesetze dafür Strafgesetzbuch und andere.

00:24:10: aber wann darf denn jetzt der verantwortliche Daten und vor allem sensible Daten an die Polizei herausgehen?

00:24:19: Grundsätzlich braucht man mal irgendeine Art von Dokument damit wir erst einmal weiß worum geht.

00:24:25: das

00:24:25: war E-Mail

00:24:27: Ja.

00:24:27: Es klappt das Dokument!

00:24:28: Dieses Dokument allein wird nicht reichen, sondern man wird einfach irgendeinen vielleicht richterlichen Beschluss brauchen?

00:24:37: Vielleicht ja

00:24:38: oder eine zumindest formelle begründete Anfrage der Polizei.

00:24:42: Begründetes Ersuchen.

00:24:43: Das ist der Fach, den wir uns in diesem Zusammenhang und die also ich muss ein begründetes ersuchen haben.

00:24:50: und in diesem Fall gibt es dann oder gab's zu dem Zeitpunkt noch dazu die formelle Anforderung einen

00:24:55: Fax zu schicken.

00:24:57: Es gab ein eigenes Formular, ein Fax-Formular das man schicken hätte müssen in diesem Fall.

00:25:03: Und dann muss sich natürlich die Verantwortliche, also in diesem fall die Klinik, mal schauen!

00:25:10: In welcher Angelegenheit verlangt denn die Polizei der genaue Auskunft, ist es eine Entscheidung oder Verfügung im öffentlichen Interesse?

00:25:19: und da muss es sich um ein erhebliches öffentliche Interesse handeln.

00:25:23: Und euer erhebelches öffentliches Interesse ist dann vorhanden wenn die Polizei amts handelt.

00:25:30: aber das geht heute nicht mit einem Dreizeitler per E-Mail sondern da muss ich schon ein ordentliches Holze wahrscheinlich PDF kriegen.

00:25:37: früher war's halt auf Fax

00:25:39: oder E-Mail mit, wie auch immer das dann gestaltet ist.

00:25:42: Da wird es wahrscheinlich Auffalllagen geben wo dann das E-mail rausgeht mit den ganzen Informationen die noch nicht sind und dem Ende des Tages wenn wir wissen auch dokumentiert werden müssen, wo man diese Prüfung im Bezug auf das Krankenanstaltengesetz dann dokumentieren muss.

00:25:58: Ja,

00:25:59: also das heißt wenn so eine Anfrage ins Haus kommt gerade da in einer Klinik was um sensible Daten geht es muss intern entsprechend dokumentiert werden und es darf auch nicht eine Person allein darüber entscheiden ob jetzt Daten rausgehen wären.

00:26:11: Also das heißt da hätte müssen die Internedatenschutzkommission mit diesem Fall befasst werden.

00:26:16: Das ist ja nie so dringend dass das sofort sein muss.

00:26:19: also da hat man schon zwei drei Tage Zeit dort entschieden werden, dokumentiert werden und dann auf einem sicheren Weg übermittelt werden.

00:26:28: Nicht bei ungeschützten E-Mail oder wir wissen ja nicht wie der Gesamte die gesamte Akte dann hinausgegangen ist.

00:26:34: Ja und die Datenschutzbehörde hat in dem Fall dann gesagt, die Beschwerdegegnerinnen, also die Klinik hat gegen die Grundsätze der Rechnmäßigkeit und Transparenz im Zusammenhang natürlich verstoßen und daraus folgt ein Verstoß gegen Materielles Datenschutzericht.

00:26:50: Und zusätzlich haben sie gegen die besonderen Anforderungen für Gesundheitsdaten noch verstoßen.

00:26:56: Die wurden eben nicht eingehalten,

00:26:59: also

00:26:59: sichere Transport

00:27:00: und so.

00:27:00: Ja den handelten Personen egal.

00:27:04: Was ist unser Fazit aus dem Ganzen?

00:27:06: Die Folge war mal dass der Beschwerde stattgegeben wurde und eine Verletzung des Rechts auf Geheimhaltung festgestellt worden ist von der Datenschutzbehörde.

00:27:16: Das ist das Ergebnis!

00:27:18: Jetzt kommen wir zum Fazit.

00:27:20: Ja, das Fazit ist wenn man glaubt dass man im Interesse des Unternehmens handelt.

00:27:27: Handelt man rechtswidrig wenn man einfach zum Beispiel Gesundheitsdaten ohne formelle Grundlage weiter gibt und nur weil irgendjemand ein freundliches E-Mail schickt hast es nicht da sich dieses Gesetz jetzt damit umgehen kann?

00:27:41: Ja erschwerend würde ich meinen Fazit.

00:27:44: so ziehen Sie kennen mich eh Fazit nach dem Fazit Nur weil die Polizei was will kriegt sie es nicht Genau.

00:27:50: Das wäre so meine Zusammenfassung des Ganzen, wir bekommen wie ich heute schon gesagt habe hin und wieder solche Anfragen.

00:27:57: hin- und wieder bekommen unsere Kunden tatsächlich E-Mails.

00:28:00: bitte verifizieren sie das.

00:28:02: ist das wirklich die Polizei die schreibt?

00:28:04: es kann man auch fäken.

00:28:05: rufen Sie dort an wenn nur drinnen steht.

00:28:09: es möchte die Polizei wissen.

00:28:11: ist ein Mitarbeiter zu einer bestimmten Zeit an einem bestimmten Ort gewesen?

00:28:15: nicht so einfach beauskunften sie brauchen eine Geschäftszeit wirklich dieses öffentliche Interesse einen Hinweis auf ein Verfahren.

00:28:23: Also das unterliegt natürlich der Verschwiegenheit, aber es muss schon ein bisschen vermelder sein.

00:28:28: und wenn Sie so eine E-Mail im Postengang vorfinden rufen sie dort an schauen Sie ist das wirklich die Polizei?

00:28:35: Und wenn Sie Daten übermitteln dokumentieren Sie das machen Sie das nicht einfach selber sondern intern mit einem vier Augenprinzip.

00:28:42: auf jeden Fall außer sie war man Datenschutzkommissioner interne dann muss die das behandeln sicheren Weg übermitteln.

00:28:51: Also wir hatten solche Fälle schon, die wir dann behandelt haben

00:28:54: wo

00:28:55: geglaubt worden ist dass die Polizei das ist und dann weiß wer ganz anderer?

00:28:59: Genau es kommt auch vor oder auch dass die Polizei anruft und sagt ich bin die Polizei

00:29:04: ja

00:29:05: ich brauche jetzt ein paar Daten von ein paar Mitarbeitern von ihnen.

00:29:07: Ganz so besonders wenn es mit Unterdrück der Nummer passiert.

00:29:10: genau

00:29:10: bitte einfach nicht glauben sondern vorsichtig sein

00:29:13: sowie bei Spam Emails also auch dort schauen.

00:29:16: genauso kann das passieren.

00:29:18: Ja, genau.

00:29:19: Und bitte nicht einfach glauben.

00:29:21: nur wer sagt ich bin Revierenspektor sowieso dass das tatsächlich die Polizei ist die Anruft.

00:29:26: ja ein schöner Fall wie ich finde sehr interessant.

00:29:29: da gibt sich auch noch etliche Folgefälle rund um diesen Datenschutzkandal in Tirol.

00:29:36: wir haben ihnen die Entscheidung der Datenschutzbehörde mitgebracht

00:29:39: Ja!

00:29:40: Und am Ende unseres Podcasts sagen wir fast immer das, was wir jetzt sagen.

00:29:44: Ich sage jetzt noch etwas Neues.

00:29:45: Nämlich hören Sie wieder rein wenn es auch zum vierzigsten Mal wieder heißt...

00:29:50: Mein Datenschutztheater der Podcast von meine Pirata.