Fälle aus der Praxis: Datenweitergabe an externen Fahrdienst – Verantwortung auch für die Datenverarbeitung von Dritten?

Fallbeschreibung/Problemstellung

Ein Pflegeheim bestellt regelmässig für die Bewohner bei einem externen Fahrdienst Taxifahrten. Dazu werden über HIN-verschlüsselte Mails der Vorname, Nachname und der Zielort des Bewohners mitgeteilt. Diese Datenübermittlung erfolgt mit Einwilligung der Bewohner.

Der externe Fahrdienst bestätigt die Bestellung des Pflegeheims wiederum mit denselben Daten allerdings, ist für das Pflegeheim nicht erkennbar, ob diese Rückbestätigung ebenfalls verschlüsselt erfolgt.

Fragestellung/Antwort KDSB

Frage an den KDSB

1. In welchem Umfang trägt das Pflegeheim Verantwortung für den Schutz der Daten im Rahmen dieser Rückübermittlung?
   Konkret: Trägt das Pflegeheim auch datenschutzrechtliche Verantwortung, wenn der externe Fahrdienst die personenbezogenen Daten unverschlüsselt an das Pflegeheim zurücksendet?
2. Wie ist die datenschutzrechtliche Einschätzung hinsichtlich der Sensibilität der übermittelten Daten (Name, Vorname, Zielort)? Sind diese Daten Sicht als besonders schützenswert zu bewerten – insbesondere im Hinblick darauf, dass sie zwar keinen direkten, aber möglicherweise indirekten Rückschluss auf Gesundheitsdaten zulassen?

Antwort vom KDSB

1. Das öffentliche Organ, das personenbezogene Daten bearbeitet, ist für den Umgang mit Personendaten gemäss § 6 TG DSG1 verantwortlich. Es bleibt dafür auch verantwortlich, wenn es die Bearbeitung von Daten an Dritte überträgt (§ 12 TG DSG).
2. Wie Sie richtig erkennen, wären die einzelnen Personendaten als nicht besonders schützenswerte Personendaten im Sinne von § 3 Abs. 1 TG DSG zu klassifizieren. Allerdings können aus ihnen Rückschlüsse, beispielsweise auf den seelischen, geistigen oder körperlichen Zustand einer Person, gezogen werden. Insofern fallen Sie doch unter die Kategorie der besonders schützenswerten Personendaten (§ 3 Abs. 2 TG DSG), deren Bearbeitung besonderen Regelungen untersteht (§ 4 Abs. 4 TG DSG).

Kommentar/Empfehlung von Sirius

Unsere Rückfrage beim KDSB entstand aus der Unsicherheit, ob das Pflegeheim weiterhin die Verantwortung für die Datenverarbeitung trägt, obwohl die Daten mit Einwilligung an den Fahrdienst übermittelt werden und somit die Verantwortung eigentlich beim Empfänger liegen könnte.

Da jedoch durch die regelmässigen Rückbestätigungen des Fahrdienstes eine mögliche Datenschutzverletzung offensichtlich war, stellten wir die Frage, ob die Verantwortung in einem solchen Fall dennoch beim übermittelnden Pflegeheim verbleibt.

Die Antwort des KDSB war eindeutig:

Das Pflegeheim bleibt verantwortlich und muss gemeinsam mit dem Fahrdienst sicherstellen, dass die Daten sowohl auf dem Hin- als auch auf dem Rückweg verschlüsselt übermittelt werden.

Der Fall ist auch deshalb interessant, weil ähnliche Situationen in der Praxis häufig vorkommen – z. B. bei Taxidiensten, Mahlzeitendienste, externen Wäschereien etc.

Die Antwort auf die zweite Frage, ob die oben erwähnten Daten als besonders schützenswert angesehen werden, hat uns nicht überrascht, sie war aber relevant, weil ja nur solche verschlüsselt versendet werden müssen.

Unsere Empfehlung:

Prüfen Sie bitte, ob in Ihrer Organisation vergleichbare Datentransfers stattfinden und ob diese den datenschutzrechtlichen Anforderungen entsprechen, insbesondere in Bezug auf Verschlüsselung und auch Datenminimierung.