Griechenland-Blog

Die griechische Datenschutzbehörde charakterisiert das Sicherheitsniveau beim Umgang mit persönlichen Gesundheitsdaten in Krankenhäusern in Griechenland als unzulänglich.

“Obwohl die meisten Datenverarbeitungssystem der kontrollierten Krankenhäuser über Sicherheitsmechanismen verfügen, waren diese nicht hinreichend aktiviert worden“, führt die Behörde unter anderem an und spricht ebenfalls von fehlender Organisation und nicht existenten Strategien.

Die Behörde für Datenschutz führte in zehn öffentlichen und privaten Krankenhäusern sowie auch Kliniken Kontrollen durch, um deren Rechner und Netzwerke auf das Niveau ihrer Sicherheit zu überprüfen. Die Kontrollen konzentrierten sich auf die Nutzung elektronischer Netze und Kommunikationen zur Verwaltung der Gesundheitsdaten der Patienten, die Führung der elektronischen ärztlichen Akten der Patienten und auch die Gewährleistung des Datengeheimnisses und der Sicherheit bei der Verarbeitung persönlicher Daten.

Laut einer Bekanntmachung der Behörde “zeigen die Schlussfolgerungen aus den Kontrollen, dass das Sicherheitsniveau insbesondere in den öffentlichen Krankenhäusern allgemein unzulänglich ist, was primär auf das Fehlen von Organisation und Verfahren und weniger auf rein technische Mängel zurückzuführen ist. Charakteristisches Beispiel stellen die nicht existenten oder unzureichenden Sicherheitsstrategien und die Unzulänglichkeiten bei der Handhabung der Kommunikationsmittel, den Benutzern der Datenverarbeitungssysteme und des physischen Archivs ärztlicher Akten dar“.

Die Datenschutzbehörde schritt zu Erteilung von Hinweisen und wird sowohl in den selben als auch anderen Krankenhäusern einen zweiten Kontrollzyklus durchführen. Der Vollständigkeit halber sei angemerkt, dass in Griechenland in der Vergangenheit wiederholt Fälle ans Licht der Öffentlichkeit gerieten, in denen vertrauliche Gesundheitsdaten und Patientenakten ohne weiteres illegal weitergegeben und nicht zuletzt für wirtschaftliche Zwecke missbraucht worden waren.

Der Besitzer eines Strandhotels in Griechenland muss auf Beschluss der griechischen Datenschutzbehörde in seiner Hotelanlage installierte Überwachungskameras entfernen.

Konkret monierten die Datenschützer sowohl die Kameras auf den Gängen vor den Zimmern der Gäste als auch jene, die den Bereich am Swimmingpool und die Straße erfassten. Die Videoüberwachung wurde in diesen Fällen als unangemessener Eingriff in die Privatsphäre und Persönlichkeit der Gäste, des Personals und Dritter befunden.

In dem einschlägigen Beschluss der Datenschutzbehörde wird hinsichtlich der außerhalb des Hotels platzierten Kamera betont, dass “die Möglichkeit, mit der Außenkamera Bilder des Areals über den Eingangsbereich und den Parkplatz hinaus aufzuzeichnen, den in Artikel 1 Paragraph 2b der Verordnung 1122/26.09.200 der Behörde vorgesehenen Bestimmungen widerspricht“.

Zu den Kameras innerhalb des Hotelgebäudes entschied die Behörde, dass die Videoüberwachung der Zimmereingänge auf den Korridoren “eine übermäßige Beeinträchtigung des Privatlebens und der Persönlichkeit der Gäste, des Personals und dritter Personen und somit eine Verletzung des Grundsatzes der Verhältnismäßigkeit darstellt“.

Ebenfalls befand die Behörde bezüglich der Kamera im Bereich des Swimmingpools, dass “der angestrebte Zweck, also der Schutz der Gäste, im Fall des Poolbereichs durch weniger belästigende Mittel wie durch die physische Anwesenheit eines Hotelangestellten mit Rettungskenntnissen erreicht werden kann“.

Folglich können laut der Beurteilung der Datenschutzbehörde die strittigen Kameras “für die Erzielung des Zwecks der Verarbeitung der Daten der internen Video-Überwachungsanlage nicht als absolut notwendig angesehen werden“.

Griechenland plant, trotz datenschutzrechtlicher Barrieren das Steuergeheimnis aufzuheben und die persönlichen Daten aller Steuerpflichtigen der Öffentlichkeit zugänglich zu machen.

Wie aus einem Runderlass zur Anwendung des neuen Steuergesetzes in Griechenland hervorgeht, beabsichtigt der griechische Finanzminister G. Papakonstantinou die Zustimmung der Datenschutzbehörde zu dem Vorhaben zu erwirken, das bisherige Steuergeheimnis global aufzuheben und die persönlichen und steuerrelevanten Daten aller Steuerpflichtigen im Internet zu publizieren.

Gemäß dem in Rede stehenden Vorschlag sollen die registrierten User des TAXIS-Systems bzw. Portals der Datenverarbeitungszentrale des griechischen Finanzministeriums freien Zugang zu den Daten aller anderen Steuerpflichtigen erhalten. Dieser Plan wird jedoch natürlich höchstwahrscheinlich mit dem Datenschutzgesetz kollidieren.

Mit dem neuen Steuergesetz wurde jedenfalls bereits gesetzlich die Möglichkeit etabliert, steuerrelevante persönliche Daten sowie auch einen Katalog der Steuerpflichtigen zu publizieren, der jedes Jahr von allen Finanzämtern erstellt wird und allen Inhabern eines gesetzlichen Interesses (unter anderem Rechtsanwälten, Banken, Untersuchungsbehörden usw.) zugänglich ist. Die zu diesem Zweck erstellten Auflistungen umfassen:

• Vor- und Nachnamen sowie bei Unternehmen die Firmierung
• Den Titel und die Personendaten des Steuerpflichten
• Das Nettoeinkommen aus unternehmerischen und freiberuflichen Aktivitäten
• Das steuerpflichtige Gesamteinkommen
• Die aus allen Einkommensquellen resultierende Steuerschuld

Das Finanzministerium zielt nun darauf ab, den auf diese Weise erstellten Katalog im Internet zu publizieren und allgemein zugänglich zu machen. Die Datenschutzbehörde hat allerdings bereits einen einschlägigen Beschluss erlassen, der die Veröffentlichung solcher Daten untersagt. Konkret bezieht sich dieser Beschluss auf die (in Griechenland formal seit Jahren obligatorischen) Deklarationen der Parlamentarier bezüglich ihrer Einkommens- und Vermögensverhältnisse und das Vorhaben, diese Erklärungen über das Internet-Portal des griechischen Parlaments zu publizieren.

Da es nun global um die Veröffentlichung der Daten aller Steuerpflichtigen geht, ist auf jeden Fall erst einmal mit einem negativen Gutachten der Datenschutzbehörde zu rechnen. Andererseits hat jedoch bisher auch die derzeitige griechische Regierung im altbekannten Stil immer wieder selbst eindeutig rechts- bzw. sogar definitiv verfassungswidrige Maßnahmen einfach im Hau-Ruck-Verfahren durchgesetzt und damit erheblich zur Kumulierung eines besorgniserregenden Potentials gesellschaftlichen und politischen Sprengstoffs beigetragen. In diesem Sinn bleibt abzuwarten, ob und wann das inzwischen bedrohlich brodelnde Fass explodieren wird.

Das Plenum der Behörde für den Schutz von Daten persönlicher Natur wies den Antrag des Verbandes touristischer Autovermieter in Griechenland auf Führung einer Liste unseriöser Kunden ab.

Konkret wollte der Verband touristischer Autovermietungsunternehmen (STEEA) in Griechenland eine Datenbank mit den persönlichen Daten “fauler” bzw. unseriöser Kunden anlegen und den Mitgliedern des Verbandes per Internet (sprich über einen passwortgeschützten Mitgliederbereich) exklusiven Zugriff auf diese kontinuierlich und zeitnah aktualisierte Datenbank gewähren.

Laut dem STEEA sollte diese Datenbank dem Zweck dienen, das Vermögen seiner Mitglieder bzw. letztere vor Verträgen mit “faulen” Kunden – Mietern zu schützen. Der STEEA erachtete die Führung der Datenbank und die Verarbeitung der Daten als notwendig, um seine Mitglieder unmittelbar informieren und warnen und folglich analogen Fällen vorbeugen zu können.

Die Datenschutzbehörde argumentierte dagegen, dass die Erstellung einer Datenbank mit den Daten unseriöser Kunden nur dann gerechtfertigt werden könne, wenn der von der Branche der Leihwagenvermieter erlittene Schaden dermaßen hoch sei, dass damit die Einschränkung der Person in ihrer Privatsphäre fortan notwendig werde.

Gemäß einem Urteil des Areopag vom 16. Februar 2010 dürfen Versicherer in Griechenland gesundheitsbezogene perönliche Daten nur mit Zustimmung sowohl der Versicherten als auch der Behörde für Datenschutz sammeln.

Der Areopag (= oberster Gerichtshof in Griechenland für Zivil- und Strafsachen) wies den Antrag einer Versicherungsgesellschaft auf die Aufhebung eines Berufungsurteils ab, mit dem die Gesellschaft zur Zahlung eines Betrages in Höhe von 15.000 Euro als finanzielle Entschädigung an eine Versicherte für deren immateriellen Schaden verurteilt worden war, den die Betroffene durch die rechtswidrige Beeinträchtigung ihrer Persönlichkeit erlitten hatte. Laut der Urteilsbegründung ist die Beeinträchtigung darauf zurückzuführen, dass sich die Versicherungsgesellschaft von einem Diagnosezentrum auf illegale Weise die Ultraschallbilder der Eileiter nebst der begleitenden ärztlichen Begutachtung verschafft hatte.

Eingangs befand das Gericht, dass aus der geltenden Gesetzgebung hervorgeht, “dass, damit die in Form der Zusammentragung oder Nutzung oder in Korrelation oder Verknüpfung gebrachte einhergehende Verarbeitung sensibler Daten persönlichen Charakters, die sich – unter anderem – auf die Gesundheit beziehen, gesetzlich gestattet ist, nicht die vorherige Erteilung der Zustimmung des von der Auswertung Betroffenen durch seine freie, ausdrückliche, spezielle und in vollem Bewusstsein abgegebene Willenserklärung an den für die Verarbeitung (der Daten) Verantwortlichen ausreiche, sondern auch die Genehmigung der Behörde für den Schutz von Daten persönlichen Charakters erforderlich ist, welche (Genehmigung) auf einen diesbezüglichen Antrag des für die Datenverarbeitung Verantwortlichen  erteilt wird.“

Indem laut dem Urteil des Areopag die Versicherungsgesellschaft auf rechtswidrige Weise persönliche Gesundheitsdaten zusammentrug, “beeinträchtigte sie die Persönlichkeit der Betroffenen hinsichtlich der Offenbarung der informationsrelevanten Selbstverfügung, eliminierte die Individualität und verursachte einen unlauteren Eingriff in deren Privatleben durch die Kommerzialisierung ihrer Gesundheitsdaten und mit dem Ergebnis, die Zerrüttung ihrer psychischen Ruhe herbeizuführen,  aber ihr auch immateriellen Schaden zuzufügen“.

Als rechtswidrig wird in dem Urteil auch die in den Lebensversicherungsverträgen vorhandene Klausel bezeichnet, welche die Versicherungsgesellschaften berechtigt, Archive persönlicher und sensibler Daten zusammenzutragen, zu bearbeiten und zu führen, aber auch von Krankenhäusern, Diagnosezentren usw. anzufordern.