ich habe eine Frage zu Auskunftsersuchen. Einige Auskunftsersuchen, habe ich schon bearbeitet, aber die “Qualität” bei meinem aktuellen Fall ist neu und ich brauche etwas Hilfe…
Ein Patient einer Arztpraxis hat sich über etwas geärgert und möchte nun das Behandlungsverhältnis beenden und stellt ein Auskunftsersuchen. Soweit so gut, jedoch fordert er neben seiner Patientenakte auch die folgenden Informationen an:
- Sämtliche Audit-Logs zu allen über das Praxis-Portal an ihn gesendeten, geöffneten oder elektronisch signierten Dokumente
- Zeitstempel, Dokumentversionen, vollständige Änderungs- und Zugriffshistorie (Audit-Trail)
- Technische Metadaten
Ich bin nun zwiegespalten:
Wahrscheinlich gehört eine Log-Datei zu einem bestimmten Dokument, dass den Antragsteller betrifft zu diesem Dokument und damit zu seinen Daten
die Aussage in dieser Information liegt aber eher darauf WANN WELCHE Mitarbeiterin das Dokument geöffnet, bearbeitet,… hat
Die Mitarbeiterin / Useraccount in den Logdateien, die dieses Dokument bearbeitet hat, müsste entfernt werden (diese Informationen berühren schließlich personenbezogene Daten der Praxismitarbeiter)
Hat ein Auskunftsersuchender Anspruch auf diese Log-Dateien? Wie wird dies allgemein gesehen?
Was denkt Ihr darüber? Gibt es belastbare Argumentationen für die eine oder die andere Richtung?
Ich lasse auch immer ALLES zusammensuchen, und dann Daten zu Dritten bzw. Geschäftsgeheimnissen entfernen.
Z. B. Zugriffe: Hier muss sich der Arbeitgeber (die Praxis) drüberschreiben und dürfte einzelne Beschäftigte erst ans Messer liefern, nachdem ihnen was vorzuwerfen wäre. Bis dahin ist alles dem “Verantwortlichen” zuzurechnen. Das könnte man eigentlich auch über Auftragsverarbeiter sagen, die nur als solche mit ihrem “Gewerk” zu nennen sind.
Bei der Herausgabe von Protokolllen würde ich sie so aufarbeiten, dass sich nicht auf konkrete Sicherheitsvorkehrungen, Software, Version, Konfiguration schließen lässt. Mit diesem Wissen ließe sich der Verantwortliche angreifen, was seine Rechte beeinträchtigt, auch wenn es sich (GeschGehG) nicht als richtiges Geschäftsgeheimnis definieren ließe.
(Technische und organisatorische Maßnahmen sind ja nicht Bestandteil der Pflichten aus Art. 13, 14, 15, können aber für die Aufsichtsbehörden oder Gerichte interessant werden.)
D., der die Existenz solcher Daten nicht unerwähnt lassen möchte, der aber in den meisen Fällen keinen Vorteil für die Auskunft sieht. (Ein Punkt, den der Gesetzgeber einschränken und nur per Eskalation zur Pflicht machen könnte, wenn’s wirklich mal genau darauf ankommt.)
Ein bisschen spezieller ist es, wenn Zugriffe durch die betroffene Person protokolliert wurden. Hier kann man sie mit minütlichen Zugriffen fluten, wann sie was getan bzw. auf ihre Daten zugegriffen hat. Datei öffnen, Refresh, Refresh, schreiben, Refresh, schließen. Wird ihr oft nicht wirklich weiterhelfen. Bei umfangreichen Daten kann es genügen, zunächst das Vorhandensein mit einem erläuterten Mustereintrag darzustellen. Dann kann sie immer noch “Alles” anfordern.
Ich werde also von Seiten IT mal alles anfordern, was vorhanden ist und das erstmal durchschauen. Einen Teil kann ich dann aussortieren oder schwärzen.
Aber es ist generell so, dass der Antragsteller Recht auf Logdateien hat? Ich habe nur etwas von der finnischen Behörde gefunden, die in etwa so sagte, dass die Natur solcher Logs nicht unbedingt den personenbezogenen Daten des Betroffenen zuzuordnen wäre, sondern eher den technischen Prozessen des Unternehmens. Es sagt mehr über den zugreifenden Mitarbeiter oder so ähnlich aus.
Muss es für solche Logdateien nicht vielleicht auch eine Begründung des Antragstellers geben? Wäre das nicht “unbegründet”, wenn es nur darum geht, weil er sich über etwas geärgert hat ?
Ich würde mir aber erstmal ansehen, was überhaupt zur Verfügung gestellt werden kann…
Logs sind auskunftsrelevant, weil Angaben zur betroffenen Person drin stehen: Name, Benutzername, Dateiinhalt, wann die Person oder bestimmte Nutzer auf ihre Daten zugegriffen haben, an welche Systeme Daten übermittelt wurden usw.
In meinem letzten Fall musste ich nur 2 Zeilen beilegen, weil ältere Ereignisse schon gelöscht waren. (Je kürzer, desto besser…) Auch Löschprotokolle können Angaben zur Person enthalten. Kann man 3 Jahre (Verjährungsfrist Ordnungswidrigkeiten) aufbewahren; muss man aber nicht.
Für den eigentlichen Sinn der Auskunft lassen sich durchaus Erkenntnise daraus ableiten, dass und wann zugegriffen wurde. Z. B. unnötige Zugriffe, während einer reinen Dokumentationsfrist, wo kein vernünftiger Zweck plausibel ist. Oder Zugriffe kurz vor einer belästigenden Kontaktaufnahme mit Insiderwissen.
Begründungen über die Verwendung der Datenkopie braucht man ja noch keine. Bis dahin lese ich Erwägungsgrund 63 S. 7 DSGVO so, dass nur nach der Art der Daten oder dem Kontext der Verarbeitung gefragt werden darf; nicht nach der Motivation für den Auskunftsantrag. Im Endeffekt dürfen die Betroffenen dann immer noch sagen, dass sei “Alles” wollen.
(Meistens sind Logs ja langweilig. Wenn man nicht gerade Datenschutzverletzungen recherchiert.)
D., der auch Logdateien gern mit seinem “Auskunftsknopf” anfordern würde. Aber wie gesagt wegen des Umfangs und geringen Aussagewerts oft nur in der 2. Stufe sinnvoll heraus zu geben.
Anders kann es aussehen, wenn der Auskunftsverlangende selbst dort beschäftigt ist oder war und der Name in den internen Log-Files auftaucht. Aber dann würde ich es, genauso wie Domasla aufgeführt, erst in einem 2.Schritt herausgeben, wenn explizit angefordert.
diese Ausführung hatte ich auch zuerst gefunden, allerdings ist sie von der finnischen Datenschutzbehörde. Kann man sich bei einigen Daten darauf beziehen obwohl es eine ausländische Behörde ist?
Das Auskunftsersuchen ist nicht von einer ehemaligen Beschäftigten, sondern einem Patienten, der sich über etwas in der Behandlung geärgert hat und nach Aussage des Arztes nun größtmöglichen Aufwand verursachen möchte.
In einem Nachtrag hat er deshalb auch noch gefordert: sämtliche Terminvergabedaten (Erstellung, Änderung, Umbuchung, Stornierung), alle internen Vermerke, Bearbeitungsschritte oder Nachrichten, die im Zusammenhang mit meinen Terminen, Rückrufbitten oder organisatorischen Abläufen stehen, sämtliche internen Daten zur Zuordnung eines Behandlers, interne Dokumentationspunkte zur Kommunikation der Praxis mit mir (z. B. interne Hinweise zu eingegangenen oder nicht weitergeleiteten E-Mails)
Zumindest verursacht er tatsächlich einen ziemlichen Aufwand damit.
Genau. Zugriffe sind dem Verantwortlichen zuzurechnen. (Außer es gibt Anhaltspunkte für Exzess zur Beschäftigte oder Datenmissbrauch durch Auftragsverarbeiter.)
Dass und wann auf ihre Daten zugegriffen wurde ist aber eine Angabe zur Person. Kann relevant sein; meistens käme es aber mehr auf die Art oder den Zweck der Nutzung an. Ist das schon in der Auskunft abgedeckt, muss nur 1 x drin stehen, was man mit den Daten macht; nicht zu welcher Minute.
D., der diesen Fall ab und zu hat, wenn die betroffene Person das System selbst nutzt. Auch dann ist die Erkenntnis aus einzelnen Zugriffen selten erhellend. Bei Nutzung durch Beschäftigte für Zwecke des Arbeitgebers kommen wir in den Bereich, wo schon Kopien aller geschickten und erhaltenen E-Mails verlangt wurden, was i. d. R. zu weit geht.
Ja, da habe ich echt drüber nachgedacht, was das denn sein soll… eine Verarbeitung, die vielleicht hätte stattgefunden, aber dann doch nicht… das wäre wirklich schwer zu ermitteln…
Es geht immer über “Informationen über die Person”. Wenn Angaben über die Person auch in internen Vermerken enthalten sind, sind auch diese herauszugeben. Was “interne Daten zur Zuordnung eines Behandlers” oder “interne Dokumentationspunkte zur Kommunikation” bedeutet, kann ich jetzt nicht beurteilen
Es ist sicher sinnvoll, sich auch grundsätzlich nochmal Gedanken zu machen, wo welche Daten anfallen könnten. Wenn man z.B. konsequent die Inhalte von E-Mail-Kommunikationen immer in die Fachprogramme der Praxis oder in vorderfinierte Dateiablagen/Datenspeicher übernimmt und danach die Mails und sämtliche damit in Zusammenhang stehenden internen Bemerkungen, die nicht relevant für den Behandlungsprozess sind, nicht speichert oder nach der Übernahme oder Ablage in Datenspeichern aus dem Mailsystem löscht, braucht man sich keine Gedanken über die Beauskunftung bezüglich des E-Mail-Systems machen (so ähnlich machen wir es selbst)…
