Als ob wir nicht ohnehin schon verraten und verkauft wären. Die NSA interessiert sich selbst für unsere Einkaufszettel, durch die Funkzellenabfrage wird jeder Bürger im Schnitt vier mal pro Jahr Teil eines Ermittlungsverfahrens, die grossen Internetdienstleister durchstöbern unsere Mail und Suchabfragen, Meldeämter verkaufen unsere Daten an Adresshändler, während die Regierung darauf beharrt, dass das alles seine Richtigkeit hat.
Nun wurde bekannt, dass auch Patientendaten ihren Weg in den Wirtschaftskreislauf fanden. Über eine “unzureichende Verschlüsslung”, eigentlich nur eine Verschleierung, gab das Deutsche Apothekenzentrum in München vor allem Daten von bayrischen und baden-württembergischen Kranken weiter. Betroffen ist potentiell jeder, der in den letzten Jahrzehnten in Bayern oder Baden-Würtemmberg ein Rezept einlöste – unanhängig vom Wohnort.
Derzeit hagelt es Dementies aus der Unternehmenszentrale. Auch die bayerische Datenschutzaufsicht hat das süddeutsche Apothekenrechenzentrum gegen Vorwürfe in Schutz genommen. Um zu erfahren welche Daten tatsächlich gespeichert oder weitergegeben wurden kennt das Bundesdatenschutzgesetz BDSG das Recht auf Selbstauskunft. Dies dient, ganz unabhängig davon ob die Vorwürfe des Datenhandels mit Krankendaten zutreffen oder, bei entsprechender Sichtweise, neu zu bewerten sind, als Grundlage eines Auskunftsersuchens:
§ 19 BDSG – Auskunft an den Betroffenen (1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. […]
§ 34 BDSG – Auskunft an den Betroffenen (1) Der Betroffene kann Auskunft verlangen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. […]
Während sich § 19 auf öffentliche Stellen, also Behörden und Verwaltungen bezieht, hat § 34 seinen Wirkungskreis bei Privatunternehmen und damit auch bei der VSA.
Jeder, der potentiell betroffen sein könnte kann mit einem formlosen Schreiben Auskunft verlangen. Die Flaschenpost hat ein Musterschreiben angepasst, das urspünglich für andere Auskunftsersuchen entworfen wurde. Es wird, mit dem eigenen Absender und einer 58 Ct Briefmarke versehen, an die VSA-Zentrale in München geschickt. Dazu muss unbedingt eine Kopie des Personalausweises zum Nachweis der Identität gelegt werden. [Update]Da auf dem Personalausweis die Berechtigungsnummer und andere Daten stehen die niemandem etwas angehen sollten alle nicht relevanten Stellen geschwärzt und dieses geschwärzte Version erneut kopiert werden[/Update]. Vorlagen des Auskunftsersuchens erstellten wir im Word- und Libre-Office Format, als LaTeX-Template sowie als pdf mit leeren Absenderfeld, das nach dem Ausdrucken leicht mit Kugelschreiber ausgefüllt werden kann.
Wer keine vorgefertigten Briefe mag, formuliert das Anliegen selbst und richtet das Schreiben an die
VSA GmbH Hauptniederlassung, Tomannweg 6, 81673 München
Die Antwort wird, falls sie nicht verschlüsselt ist, Interessantes für jeden enthalten.
About Michael Renner
Meine Karriere als Redakteur bei der Piratenpartei startete 2009 beim Bundesnewsletter, aus dem 2010 die Flaschenpost hervor ging. Im Sommer 2012 wurde ich stellvertretender Chefredakteur, Anfang 2014 Chefredakteur. Da die unzähligen Aufgaben an der Spitze der Flaschenpost einen Vollzeitjob in der Freizeit mit sich bringen machte ich nach zwei guten, aber auch stressigen Jahren zwei Schritte zurück und gab die Redaktionsleitung ab. Die gewonnene Freizeit wird in die Familie und mein zweites grosses Hobby, den Amateurfunk, investiert.
- Web |
- More Posts (485)
Kommentare
9 Kommentare zu Verkaufte Patientendaten? Antrag auf Selbstauskunft stellen!
Hier steht, das Kopieren des PA ist rechtswidrig: http://www.datenschutzbeauftragter-info.de/nicht-bemerkt-personalausweis-kopieren-verboten/
Andere Quellen weisen darauf hin, bestimmte Daten des PA zu schwärzen, nämlich die, die nicht benötigt werden. z.B. Ausweisnummer.
Was gilt denn nun?
Moin,
Danke für den Hinweis. Auf http://www.datenschutzbeauftragter-info.de wird das Bundesinnenministerium zitiert:
Auf dem neuen Personalausweis ist die Berechtigungs-Nummer abgedruckt. Diese soll grundsätzlich nur dem Ausweisinhaber bekannt sein, könnte durch Kopieren des Ausweises aber in Umlauf geraten.
Durch die Schwärzung, idealerweise sollte die geschwärzte Kopie erneut kopiert werden, ist die Berechtigungsnummer nach meinem Verständnis ausreichend geschützt. Diesen Aspekt bekam im Artikel nun als Update noch Raum.
CU
Wenn das BDSG denn anwendbar ist – § 1 Abs. 3 S. 1 BDSG i.V.m. §§ 81 ff. SGB X spricht eher dagegen. Es erscheint auch fraglich, ob das Apothekenrechenzentrum überhaupt der richtige Adressat eines Auskunftsersuchens, das dann auf § 83 SGB X zu stützen wäre, ist; denn die Regelung in § 300 Abs. 2 SGB V über die Apothekenrechenzentren (“soweit sie dazu von einer berechtigten Stelle beauftragt worden sind”) lässt sich durchaus auch als Auftragsdatenverarbeitung im Sinne von § 80 SGB X verstehen. Dann wäre der Auskunftsanspruch wohl an den Apotheker zu richten, siehe § 80 Abs. 1 SGB X.
Aber ich gehe davon aus, dass diese – nicht ganz einfach – sozialrechtlichen Fragen umfassend geprüft worden sind, bevor die entsprechenden Musterbriefe veröffentlicht wurden – schließlich wäre es eher unschön, wenn man dem interessierten Leser einen Auskunftsanspruch erläuterte, für den er dann (wenn auch geringe) Kosten und Mühen investiert, der vielleicht gar nicht besteht.
Moin,
es geht der Flaschenpost-Redaktion wie den meisten Bürgern: Wir haben keine grosse Rechtsabteilung die uns unterstützt. Immerhin haben, ich kann hier ein wenig aus dem Nähkästchen plaudern, an dem Musterschreiben ein Volljustist, ein Arzt und zwei auf Gesundheitspolitik spezialisierte Piraten mitgewirkt. Ob das Apothekenrechenzentrum die Auskunft ganz oder teilweise erteilt werden wir erfahren. Möglich, aber nicht sehr wahrscheinlich, ist auch, dass ein Ping-Pong-Spiel beginnt, das beispielsweise mit der der Aussage “das BDSG ist hier nicht anwendbar” beginnt. Tatsächlich lässt das BDSG hier einige Möglichkeiten offen da es viel Raum für Interpretationen lässt. Das ist, leider, bei Gesetzen oft der Fall. Wäre es anders, würde nicht so häufig und unerbittlich vor Gerichten prozessiert werden wie diese oder jene Regelung anzuwenden ist. Ob bei einer Ablehnung der Klageweg lohnt ist dann tatsächlich etwas, das sehr eingehend geprüft werden muss. Für mich selbst bedeutet das: Mit dem Anwalt meines Vertrauens sowie mit meiner Rechtsschutzversicherung.
Mich persönlich würde es freuen wenn Leser berichten, ob und wie umfangreich eine Auskunft gegeben wurde. Mein Schreiben an das VSA ging gestern raus. Auf die Reaktion bin ich sehr gespannt!
CU
Ich finde den Musterbrief sehr nützlich und werde ihn nutzen.
Für mich erfüllt er 2 Zwecke:
Seit neuestem ist das Kopieren des Personalausweises illegal.
Danke für die Idee und den Beitrag!
Hab die Info mal an https://selbstauskunft.net weitergeleitet, vielleicht lässt sich das ganze ja automatisieren…
Grüße, SBartsch
Nach den vielen Kommentaren hier wollten wir es ganz genau wissen und fragten bei der obersten Instanz in Sachen Datenschutz nach: Beim Bundesdatenschutzbeauftragen. Von der Pressestelle bekamen wir eine ausführliche Antwort.
vielen Dank für Ihre E-Mail. Ihre Fragen zum generellen Umgang mit Personalausweiskopien beantworte ich gern.
Die Anfertigung von Ausweiskopien ist nicht generell verboten. So sind sie etwa im Rahmen einer Selbstauskunft denkbar, wenn und soweit die zur Auskunft verpflichtete Stelle Zweifel an der Identität des Anfragenden hat bzw. die zu übermittelnden Daten einen erhöhten Schutzbedarf aufweisen. Damit soll im Sinne des Datenschutzes vermieden werden, dass personenbezogene Daten von der zur Auskunft verpflichteten Stelle an unbefugte Dritte herausgegeben werden.
Die Datenschutzufsichtsbehörden der Länder vertreten einheitlich zur Frage der Auskunftsersuchen bei der SCHUFA oder anderen Auskunfteien die Auffassung, dass Ausweiskopien im Einzelfall zulässig sind, aber nicht den Regelfall darstellen sollten.
Unabhängig davon gibt es einige Spezialgesetze, die die Anfertigung von Ausweiskopien vorsehen (z. B. das Telekommunikationsgesetz beim Abschluss eines Telefon- oder Handyvertrages). Außerhalb dieser Spezialgesetze halte ich das Kopieren von Ausweisen im Einzelfall unter folgenden Bedingungen für zulässig:
Die hier aufgestellten Rahmenbedingungen wurden vom Bundesministerium des Innern (als das für das Personalausweisrecht zuständige Ministerium) entwickelt.
Ob seitens des von Ihnen angesprochenen Apothekenrechenzentrums eine Kopie verlangt werden wird, kann ich nicht beurteilen. Ebensowenig kann ich Ihnen eine Auskunft dazu geben, ob ein entsprechendes Verlangen des Unternehmens im Einzelfall aus datenschutzrechtlicher Sicht akzeptabel ist. Diese Fragen können letztlich nur von der jeweils zuständigen Datenschutzaufsichtsbehörde in den Ländern beantwortet werden. Der BfDI hat hier keine Zuständigkeiten. In jedem Falle lässt sich aber sagen, dass das Kopieren von Ausweisen kein Automatismus sein sollte, sondern nur dann erfolgen sollte, wenn die Identität auf andere Weise nicht zweifelsfrei festgestellt werden kann.
Sofern sich nicht aus den Umständen der Anfrage (Angaben, die nur der Betroffene zum Sachverhalt wissen und machen kann) von vornherein die Identität eindeutig ergibt, käme als Alternative das sog. “Einschreiben eigenhändig” in Betracht. Soweit die bei der Stelle gespeicherte Adresse mit der Adresse des Anfragenden übereinstimmt, wird mit dem Einschreiben eigenhändig gewährleistet, dass nur der Emfpänger oder eine von diesem schriftlich bevollmächtigte Person die Anwort mit den personenbezogenen Daten enhält.
Ich hoffe, dass ich Ihre Fragen beantworten konnte. Für weitere Fragen stehe ich Ihnen selbstverständlich gern zur Verfügung.
Mit freundlichen Grüßen
Mich würde mal interessieren was passiert ist. Gab es eine Antwort der VSA? Ist VSA zuständig? Sind die Musterbriefe immer noch aktuell? Grüße, CA