Geht die Apothekerkammer Nordrhein (AKNR) zu sorglos mit den Daten ihrer Mitglieder um? Das behauptet ein Apotheker, der einen mutmaßlichen Verstoß seiner Kammer beim Datenschutzbeauftragten des Landes gemeldet hat. Dort soll der Vorwurf nun geprüft werden.
Eine Auseinandersetzung mit seiner Kammer bewog den Apotheker, eine Auskunft über seine bei der AKNR gespeicherten Daten zu verlangen. Artikel 15 der Datenschutz-Grundverordnung (DSGVO) regelt dieses „Auskunftsrecht der betroffenen Person“. Diese kann erfragen, ob personenbezogene Daten verarbeitet werden und falls ja, welche das sind und zu welchem Zweck sie verarbeitet wurden. Auch die Empfänger der Daten müssen offengelegt und die geplante Dauer der Speicherung bekannt gegeben werden.
Der Betroffene hat überdies das Recht auf Löschung oder Einschränkung der Verarbeitung. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, hat diese Anspruch auf alle verfügbaren Informationen über die Herkunft der Daten.
Die erste Antwort der Kammer ist irgendwie auf dem Postweg verloren gegangen. Jedenfalls forderte der Apotheker beim zweiten Mal eine digitale Übersendung an und schlug zwei Varianten dafür vor: Die Kammer könne eine verschlüsselte E-Mail schicken oder eine Passwort-geschützte zip-Datei mit seinen Daten. Für die zweite Lösung schickte er der Kammer das zu verwendende Passwort.
Die Kammer entschied sich für den zweiten Weg und übersandte die geforderte Datei. Das Problem: Weil die Geschäftsstelle auf die Mail antwortete, war im unten zitierten Text des Apothekers auch das Passwort zu lesen. Mit anderen Worten: Der Schlüssel zur extra verschlüsselten Datei wurde gleich mitgeliefert – sicherlich ein Versehen, aber datenschutzrechtlich natürlich ein Lapsus.
Doch das war nicht das Einzige, das der Apotheker zu monieren hatte. In den über ihn erhobenen Stammdaten war auch die fünfstellige Web-PIN angegeben, sein Passwort für die Kammerhomepage. Auch nicht gerade das Vorgehen, das vom Bundesamt für Informationssicherheit (BSI) zur Speicherung und Darstellung von Passwörtern empfohlen wird. An anderer Stelle sei der übermittelte Datensatz offensichtlich nicht vollständig, erkennbar etwa das Feld mit der Historie ausgeblendet.
Der Apotheker hat den Fall dem Datenschutzbeauftragten von Nordrhein-Westfalen gemeldet. Hier ist die Sache noch nicht geprüft. Aber einem Sprecher zufolge spricht bei dem geschilderten Sachverhalt schon viel dafür, dass die Kammer hier ein Problem hat. Personenbezogene Daten unverschlüsselt zu verschicken beinhalte das Risiko, dass diese Daten verloren gehen. Und für diesen Fall sieht die DSGVO bei Bekanntwerden vor, dass der Verursacher den Vorfall an seine eigene Aufsichtsbehörde meldet – in diesem Fall dem Sozialministerium von NRW.
Ob die Kammer dies zu tun beabsichtigt oder wie sie mit dem Fall umgeht, ist noch nicht bekannt. Gestern und heute war bislang niemand zu einer Stellungnahme zu erreichen.
Dem Apotheker ist klar, dass er mit seinem Vorgehen penibel wirken kann, aber ihm geht es auch um die Sache: „Es ist generell nicht schlecht zu wissen, was Unternehmen oder Behörden über einen speichern und wie sie damit umgehen. Und das Verhalten der Kammer deutet auf ein massives Unverständnis beim Thema Datenschutz hin.“ Weil er sich und womöglich weniger IT-affine Kollegen schützen möchte, will der Apotheker seinen Fall öffentlich machen.
Und ein – allerdings deutlich anders gelagerter – Fall zeigt, welche gravierenden Folgen ein zu sorgloser Umgang mit personenbezogenen Daten für die Verantwortlichen haben kann. Das soziale Netzwerk „Knuddels“ wurde zu einem ein Bußgeld von 20.000 Euro verdonnert, weil Passwörter von Nutzern unverschlüsselt gespeichert worden waren.
APOTHEKE ADHOC Debatte