Aufgrund der aktuellen Ereignisse um das Datenleck bei Dr. Ansay, machen sich viele Patient:innen und elevated.city- Leser:innen Sorgen über ihre Privatsphäre und den potentiellen Folgen, die das Leck für diese haben könnte. Um ein wenig Licht ins Dunkle zu bringen, hat sich der Datenschutzexperte Rechtsanwalt Christian Radermacher bereit erklärt, die am häufigsten gestellten Fragen zu beantworten.
Rechtsanwalt Christian Radermacher ist insbesondere im Bereich des Datenschutz- sowie Urheber- und Medienrechts tätig und betreibt insoweit die Rechtsanwaltskanzlei KANZLEI 441 in Nürnberg.
Durch seine Expertise im Bereich des Datenschutzrechtes, hat Herr Radermacher ein weites Spektrum an Einblicken sammeln können, die ihn nach Einschätzung von elevated.city zu einem der qualifiziertesten Datenschutzexperten auszeichnen. Aber genug vorweg – kommen wir zu den Fragen:
Interview zum Datenleck bei Dr. Ansay – mit Rechtsanwalt Christian Radermacher
Inhalt
Frage 1: Was war Ihre erste Reaktion, als Sie über den Vorfall bei Dr. Ansay gehört haben?
Meine erste Reaktion war insbesondere vor dem Hintergrund der fortschreitenden Digitalisierung im gesamten Gesundheitssektor – Stichwort elektronische Patientenakte – eine Mischung aus Bestürzung und Besorgnis. In meiner Tätigkeit als Anwalt im Datenschutzrecht habe ich schon von vielen Datenlecks gehört, aber jeder Vorfall, bei dem sensible personenbezogene Daten betroffen sind, ist zunächst einmal alarmierend. Besonders in der Telemedizin, wo Patienten sich auf höchste Vertraulichkeit verlassen, ist ein solcher Vorfall besonders schwerwiegend. Ich denke nicht, dass das der letzte Vorfall dieser Art war.
Frage 2: In Ihrer Erfahrung als Anwalt im Datenschutzrecht, wie ist die Schwere dieses Vorfalls einzuschätzen?
Die Schwere des Vorfalls ist meines Erachtens erheblich. Nicht nur die Offenlegung sensibler medizinischer Daten an sich ist problematisch, sondern insbesondere auch die potenziellen Folgen für die betroffenen Personen. Ein Datenleck dieser Art kann nicht nur das Vertrauen der Betroffenen in die Datensicherheit untergraben, sondern auch zu ernsthaften Schäden führen, wie Identitätsdiebstahl oder gezielten Social Engineering Angriffen.
Bedenkt man ferner, dass trotz der fortschreitenden Legalisierung von CannabisCannabis, auch bekannt als Marihuana, ist eine Pflanze, die psychoaktive Verbindungen enthält, darunter Tetrahydrocannabinol (THC) und Cannabidiol (CBD). Diese Verbindungen interagieren mit dem Endocannabinoid-System des Körpers und können eine Vielzahl von Effekten hervorrufen, darunter Entspannung, Euphorie und Schmerzlinderung. Cannabis wird häufig konsumiert, indem die Blüten der weiblichen Pflanze geraucht, verdampft oder gegessen werden und wird sowohl für medizinische als auch für Freizeitzwecke verwendet. More immer noch ein großes Stigma rund um dieses Thema herrscht, so wird die Gefahr konkreter Folgen umso klarer ersichtlich. Nachdem, was bisher bekannt geworden ist, spricht vieles meiner Einschätzung nach dafür, dass ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) zu dem Datenleck geführt hat.
Frage 3. Haben Dr. Ansay Kunden Ihrer Einschätzung nach automatisch einen Schadensersatzanspruch oder muss erst eine Straftat, auf Basis der Daten, verübt werden?
(aus Informationssicherheitsperspektive ist der reine Leak von personenbezogenen Daten schon ein Schaden, in dem Sinne, dass hierdurch das persönliche Sicherheitsniveau sinkt und beispielsweise die öffentliche Verfügbarkeit von persönlichen Daten als Grundlage für Social Engineering, Identitätsdiebstahl, Dictionary-Attacks oder andere Arten von Angriffen genutzt werden kann.)
Bereits der reine Leak von personenbezogenen Daten kann einen Schadensersatzanspruch begründen. Nach der DSGVO besteht ein Anspruch auf Schadensersatz, wenn ein Verstoß gegen den Datenschutz nachweislich zu einem materiellen oder immateriellen Schaden führt.
Die bloße Tatsache, dass personenbezogene Daten ohne ausreichenden Schutz öffentlich zugänglich waren und die ernsthafte Besorgnis über diesen Kontrollverlust, kann bereits einen solchen Schaden darstellen, da dies das Sicherheitsniveau der betroffenen Personen erheblich senkt und sie anfälliger für weitere Angriffe macht. Insbesondere hinsichtlich eines immateriellen Schadensersatzanspruchs zeichnet sich anhand der aktuellen Rechtsprechung des EuGH eine zunehmend freundliche Linie zugunsten der Betroffenen ab. Der Verlust über die Kontrolle der Daten und die nachvollziehbare Besorgnis darüber können – wie eben dargestellt – hiernach bereits als Schaden zu werten sein!
Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet und besorgt darüber ist, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann daher einen „immateriellen Schaden“ im Sinne der DSGVO darstellen. Betroffene können sich für weitere Informationen und bezüglich der etwaigen rechtlichen Geltendmachung gerne an die KANZLEI 441 aus Nürnberg wenden!
Frage 4. Nicht alle Patienten waren direkt über Bing/DuckDuckGo auffindbar, dennoch war eine 8-stellige Kombination aus Zahlen und Großbuchstaben die einzige Hürde. Welche Ansprüche haben diese semi-betroffenen Kunden gegen Dr. Ansay?
(dient der Vorfall über Bing als genereller Nachweis eines mangelnden Schutzes)?
Auch semi-betroffene Kunden können meiner Einschätzung nach Ansprüche haben, wenn ihre Daten aufgrund unzureichender Sicherheitsvorkehrungen gefährdet waren. Die Auffindbarkeit sensibler personenbezogener Daten mittels Eingabe einer einfachen Kombination aus Zahlen und Großbuchstaben als einzige Hürde entspricht meiner Meinung nach ziemlich offensichtlich nicht den Schutzanforderungen der DSGVO.
Auch in einem solchen Fall muss meines Erachtens zum einen eine Mitteilung an die Betroffenen gemacht werden durch das von einem Datenleck betroffene Unternehmen, zum anderen sehe ich auch hier gute Chancen auf einen Schadensersatz, wenn die oben bereits dargestellten Voraussetzungen vorliegen. Daneben dürften auch Unterlassungsansprüche sowie ein sog. Feststellungsanspruch hinsichtlich der Verpflichtung zum Ersatz etwaiger zukünftiger Schäden bestehen. Ein Nachweis z.B. mittels Screenshot, aus dem sich ergibt, dass die betreffenden Daten abrufbar waren und insoweit verbreitet wurden, ist in jedem Fall hilfreich.
Frage 5: Wer haftet in diesem Fall: Dr. An. Ltd. in Malta (im Impressum angegeben), Dr. An. AU-GmbH in Deutschland oder Dr. jur. An. als Geschäftsführer?
Grundsätzlich haftet der „Verantwortliche“ im Sinne der DSGVO. Nach Art. 4 Nr. 7 DSGVO ist dies die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Grundsätzlich handelt es sich hierbei um das Unternehmen. In der Datenschutzerklärung auf der Website dransay.com wird die Dr. Ansay AU-Schein GmbH mit Sitz in Hamburg als verantwortlich für den Datenschutz benannt, sodass ich hier auch in erster Linie eine etwaige Haftung sehe. In bestimmten Konstellationen kann aber auch der Geschäftsführer persönlich haften. Eine nähere Erläuterung würde hier allerdings zu weit führen.
Frage 6: Ist eine Durchsetzung ohne Anwalt und Rechtsschutzversicherung aussichtsreich oder kann so etwas risikoarm durch Sammelklagen durchgesetzt werden? Wie sollte man konkret vorgehen, um die Forderung zu stellen?
Die Durchsetzung von Ansprüchen ohne Anwalt ist meiner Einschätzung nach oft schwierig und wenig aussichtsreich. Oftmals erfolgt eine Reaktion durch die Gegenseite doch erst nach Hinzuziehung eines Anwalts. Eine Sammelklage auf Schadensersatz im hier wohl verstandenen Sinne einer Massenklage gibt es im deutschen Recht derzeit so noch nicht. Betroffene sollten sich an eine auf Datenschutzrecht ausgerichtete Rechtsanwaltskanzlei wenden, um ihre Chancen auf eine erfolgreiche Durchsetzung zu maximieren.
Eine Rechtsschutzversicherung ist selbstverständlich unter dem Gesichtspunkt eines in juristischen Auseinandersetzungen immer gegebenen Kostenrisikos von Vorteil, wenn man nicht gewillt ist, irgendein Kostenrisiko auf sich zu nehmen. Gleichwohl halte ich das Risiko vorliegend für überschau- und kalkulierbar.
Frage 7: Wäre eine Verwertung legal oder sind die Betroffenen durch das Datenschutzgesetz vor Auswertung und Gebrauch der Daten geschützt?
(z.B. Arbeitgeber oder Fahrerlaubnisbehörden)
Die Verwertung von geleakten Daten durch Dritte wäre meiner Einschätzung nach grundsätzlich illegal. Betroffene sind durch die Datenschutzgesetze vor der unerlaubten Auswertung und dem Gebrauch ihrer Daten geschützt. Jegliche Verarbeitung der Daten ohne Einwilligung der Betroffenen oder eine etwaige rechtliche Grundlage ist im Grundsatz rechtswidrig.
Dritte, einschließlich Arbeitgeber oder Fahrerlaubnisbehörden, dürfen die geleakten Daten meiner Meinung nach nicht ohne weiteres verwerten. Solche Handlungen wären meiner Ansicht nach in der Regel ihrerseits ein Verstoß gegen die DSGVO. Selbst wenn die Daten bekannt werden, dürfen sie vor dem Hintergrund des Rechtsstaatsgebots von Behörden grundsätzlich und im Regelfall nicht einfach für hierauf basierende Entscheidungen genutzt werden, die die Betroffenen benachteiligen.
Schlusswort
An der Stelle, einmal vielen Dank an Herrn Christian Radermacher für die Zeit, die er sich für uns genommen hat.
Hoffentlich konnte dieses Interview einige deiner offenen Fragen beantworten und für etwas mehr Klarheit sorgen. Wenn du von dem Datenleck bei Dr. Ansay betroffen bist, und auf der Suche nach rechtlicher Beratung und Vertretung bist, kannst du dich gerne per E-Mail, oder über die offizielle Website der KANZLEI 4411 von Rechtsanwalt Christian Radermacher melden!
- Dieser Beitrag stellt keine bezahlte Werbung dar, sondern eine Empfehlung als Dank für die Zeit, die Rechtsanwalt, Herr Christian Radermacher, sich für unser Interview genommen hat. ↩︎