Ich bin Datenschutzbeauftragte einer Behörde. Im unserem Amt stellt sich auf meine Anregung hin nun die Frage, mit welchem Verfahren man zuverlässig gewährleisten kann, die Identität eines Anrufers oder einer Anruferin festzustellen. Es geht vor allem darum, am Telefon Auskunft zu Gesundheitsdaten geben zu können. In diesem Zusammenhang fällt es mir auch schwer plastische Beispiele für die Risiken und Schäden zu geben, die durch eine Information an eine falsche Person zu geben. Insofern wäre ich an Fällen interessiert, die Sie vielleicht kennen.
Die technische Leitung hat mit gegenüber bisher erklärt, dass technische Verfahren aufgrund veralteter Software nicht möglich sind. Mich interessiert aber trotzdem, mit welchen technischen Verfahren Sie gute Erfahrungen haben.
Unabhängig davon stellt sich die Frage, welche Nachfragen (über den Namen und das Geburtsdatum hinaus) gegenüber dem Anrufer bzw. der Anruferin Sie für erforderlich aber auch ausreichend ansehen, um auch bzgl. besonderen personenbezogenen Daten Auskunft geben zu dürfen.
Ich würde mich freuen, wenn Sie Ihre Erfahrungen hier teilen würden.
Je nachdem ob es sowas gibt, könnte man auch ein Kundenkennwort oder eine Kundennummer heranziehen.
Als Risiken könnten Kontrollverlust, je nach Krankheit ggf auch Diskriminierung, Bloßstellung etc. genannt werden.
Als weitere Quellen der LfDI BW hat da einen schönen Text zu auf seiner Website (allerdings nicht bezogen aufs Telefon): https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/
Danke für die Reaktion:) Den Link habe ich gelesen. Gibt tatsächlich einen recht guten Überblick. Ist für allgemeine und spontane Anrufe im Zusammenhang mit Gesundheitsdaten aber nur insofern hilfreich, als man zu dem Ergebnis kommen muss, dass man eigentlich keine Auskunft geben darf, denn die Abfrage von “Geheimnissen” wird nicht als ausreichender Schutz angesehen. Das erscheint mir nicht besonders praxisnah, weil nach meinem Eindruck ein derartiges Verfahren doch häufig praktiziert wird. Deshalb würde ich mich über weitere Reaktionen freuen.
Für die gesetzlichen Krankenkassen gibt es eine Richtlinie mit einem Umsetzungsleitfaden: https://www.gkv-spitzenverband.de/krankenversicherung/digitalisierung_und_innovation/sozialdatenschutz/schutz_der_sozialdaten.jsp
Diese Richtlinie behandelt den Schutz der Sozialdaten im Rahmen der Kommunikation mit den Versicherten, auch telefonisch. Ich denke, das könnte für dich interessant sein.
Hilfreich wäre an dieser Stelle die Durchführung einer Datenschutzfolgenabschätzung, darin sollten Risiken analysiert werden und entsprechende Maßnahmen überlegt werden, die die Risiken entsprechend minimieren.
Ich persönlich sehe die telefonische Übermittlung/Nennung von Gesundheitsdaten als problematisch. Eine technische Lösung ist aus meiner Sicht schwierig. Es gib z.B. Telefonanlagen die die Telefonnummer erkennen (diese muss vorher auf eine sichere Weise vom Betroffenen erhoben worden sein) und den Anrufer nach einem Kennwort fragt (dieses muss ebenfalls vorher auf einem sicheren Wege dem Versicherten zugestellt worden sein → postalisch), das wäre theoretisch eine schöne Lösung. Das Problem bei dieser Lösung ist der aktuelle Stand der Technik → Call ID Spoofing.
Als Hilfestellung sollten dabei die technischen Richtlinien des BSI beachtet werden: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr-nach-thema-sortiert_node.html
Hier wurde ja schon einiges Gutes geschrieben, auch speziell zu Krankenkassen, da kann man bestimmt einiges rausziehen. Ganz allgemein würde ich noch ergänzen, dass man generell zwei Arten von zusätzlichen Informationen am Telefon abfragen kann, um die Identität zu bestätigen. Geheimwissen und Spezialwissen. Geheimwissen ist Wissen, das nach aller erwartbarer Wahrscheinlichkeit ausschließlich der Betroffene haben kann. Hierzu gehören die bereits von @joeDS erwähnten Kundenkennwörter oder ähnliches. Antworten auf Geheimfragen sind sicher auch denkbar. Hier reicht häufig alleine dieser zusätzliche Datenpunkt, um die Identität des Anrufers hinreichend zu bestätigen (eine 100%tige Sicherheit gibt es eh nicht und ist auch nicht erforderlich). Etwas anderes gilt nur, wenn andere Störfaktoren hinzutreten (Männerstimme statt Frauenstimme oder so). Problem: Das Geheimwissen muss natürlich irgendwie zum Betroffenen. Da muss der Verantwortliche erst einen Prozess aufziehen (der kann papiernern sein). Die Alternative ist das Abfragen von Spezialwissen. Das ist Wissen, das überwiegend nur beim Betroffenen vorhanden sein dürfte. Hier kann es je nach Schwere des Risikos auch nötig sein mehrere Datenpunkte aus dem Pool abzufragen. Beispiele für Spezialwissen sind Aktenzeichen, Kennnummern, Daten der letzten Bescheide/Kommunikationen, Überschriften der letzten Bescheide/Kommunikationen; letztlich alles was von Verantwortlicher Seite offen(!) abgefragt werden kann, ohne also schon Daten preiszugeben, und überwiegend wahrscheinlich nur dem Betroffenen bekannt ist (Auch hier gilt: Eine 100%tige Sicherheit gibt es nicht). Am Ende des Tages ist es wie beim Beweismaß im Zivilrecht. Ein vernünftiges Maß an Sicherheit muss hergestellt werden.
Die Durchführung einer Datenschutzfolgenabschätzung ist ausgesprochen hilfreich. Wir haben das für Schullösungen gemacht, bei denen die Identifikation z.B. von Eltern oder Schülern teilweise ebenfalls kritisch ist. Hier geht es auch um ähnliche Risiken für die Betroffenen, wie Bloßstellung, Benachteiligung etc.
Wir haben hierzu übrigens auch andere DSFA aus D und GB analysiert und können bei Bedarf unsere Hilfe anbieten.
Nachtrag: Die DSFA muss natürlich um ein Lösungsdesign ergänzt werden.
Binavi:
Das erscheint mir nicht besonders praxisnah, weil nach meinem
Eindruck ein derartiges Verfahren doch häufig praktiziert wird.
Was soll denn das für ein Argumentation werden?
Vielen Dank für die differenzierte Darstellung von Geheim- und Spezialwissen. Das hilft sehr weiter und zeigt auch gute Erfahrungen für den Wegfindungsprozess auf.
Danke an alle!
Hallo Binavi,
ich bin Datenschutzbeauftragter in einem Krankenhaus. Insbesondere zu den Zeiten in denen Besucherkontakte sehr stark eingeschränkt bzw. gar nicht möglich waren, haben Angehörige auf den Stationen angerufen, um sich über den Gesundheitszustand der entsprechenden Patienten zu informieren. Bei der Aufnahme in die Klinik wird mit dem Patient ein Passwort vereinbart, welches der Patient an Angehörige weiter geben kann.
Daher wäre es auch interessant zu wissen, wer die Gesundheitsdaten abfragt. Das Amt beim Klienten oder ruft der Klient beim Amt an?
Es rufen bei unserem Amt die Antragsteller und Antragstellerinnen an, um sich nach dem Sachstand zu erkundigen und zu erfahren, was sie veranlassen/einreichen können, um eine günstigere Entscheidung zu erhalten. Hierzu muss in vielen Fällen über den gesundheitlichen Zustand gesprochen werde. Bisher war bei uns kein Passwort vereinbart. Und bei 1000den von Fällen kann das auch nicht ohne Weiteres nachgeholt werden. Außerdem ist es auch an der Tagesordnung, dass “Vertreter” der betroffenen Personen anrufen, weil sie z.B. die deutsche Sprache besser beherrschen. Im Grunde muss man sagen, dass hier ein bürgerfreundliches Beratungsverhalten der Behörde mit datenschutzrechtlichen Anforderungen in Einklang zu bringen sind.
Ich finde es gut dass du dir bei deiner Dienststelle Gedanken um den Datenschutz machst. Die Idee von @Zealord mit den Aktenzeichen als Geheimnis zur überprüfung der Identität halte ich für einen guten Ansatz.
Leider muss ich aber auch erwähnen, dass ich ein Telefonat für nicht sicher genug für die Übertragung von Gesundheitsdaten bzw. besonderer Kategorien personenbezogener Daten halte. Der Bremer LfDI hat diese Frage für das Fax vor ein paar Monaten beantwortet.
Telefongespräche laufen heute überwiegend über IP (digital) und nicht mehr analog ab aber es lässt sich nicht feststellen ob die Gegenseite eine Verschlüsselung aktiviert hat oder überhaupt unterstützt. Daher müssten Telefongespräche von der Sicherheit ähnlich wie unverschlüsselte E-Mails oder Postkarten betrachtet werden.
Ich würde dir empfehlen für diese Frage auch mal eure zuständige Aufsichtsbehörde zu konsultieren, die wird euch bestimmt gerne beraten.
Bei dem Thema mit dem sicheren Übertragungsweg bin ich noch in einer echten Sinnkrise. Ist die Briefpost wirklich sicherer im vergleich zur E-Mail oder dem Telefon? Die Briefpost ist auch nicht verschlüsselt und kann sogar theoretisch komplett entwendet werden. Den einzigen Vorteil, den die Briefpost hat, ist, dass man halbwegs sicher den Empfänger authentifizieren kann (zumindest auf Familienebene, aber reicht das?!). Diese Hürde ist aber auch sehr einfach für Telefon und E-Mail zu meistern. Also darauf kommt es nicht so wirklich an. Ich tendiere mittlerweile dazu, ähnlich wie der BGH zum bEA im Verhältnis zu den standesrechtlichen Datenschutzanforderungen, dass Kommunikationskanäle, die einem eigenen Recht unterliegen (wie eben Post und Telekommunikation), gar nicht mehr anhand der allgemeinen Anforderungen (in unserem Fall der DSGVO) zu prüfen sind. Man prüft im Grunde nur, ob das Kommunikationsmittel den Anforderungen an sein Spezialrecht genügt und wenn das der Fall ist, dann gilt es als fingiert sicher im Rahmen des allgemeinen Rechts, also bei uns der DSGVO, Alles andere führt ehrlich gesagt nur zu blödsinnigen Ergebnissen bei der alles außer der persönlichen Übergabe datenschutzrechtswidrig ist.
Man sollte die Zugangsschwelle nicht zu hoch machen. Als Verbraucher erlebe ich es öfter, dass ich vor Datenschutzhürden gestellt werde, die oft in keiner Weise dem Schutzbedarf der Daten entsprechen, um die es geht. Auch bei Gesundheitsdaten sollte nicht zu pauschal vorgegangen werden. Gerade hier ist manchmal schnelle Hilfe besonders wichtig.
Die technische Leitung hat mit gegenüber bisher erklärt, dass technische Verfahren aufgrund veralteter Software nicht möglich sind.- Deutschland das High Tech Land …wie einfach sich eine DSGVO samt BDSG aus den Angeln heben lässt ist mehr als erschreckend. Das man Sie mit dem wirklich akuten Problem einfach so abspeist ist schon heftig…
Die Frage nach Name und Geburtstag ist inzwischen auf jeden Fall lächerlich da man diese schon an zig Firmen oder Onlinedienste verraten hat. Vielleicgt via Kundennummer oder zusätzlich hinterlegtem Kennwort versuchen? Das könnte sogar ganz klassisch sein wie : Name des Großvaters, Name der Grundschule oder Mädchenname der Mutter? Das wäre zumindest etwas was nicht an jeder Ecke erfragt wird…