※ Bergland ※

Hamburgs Justizsenator Till Steffen (GAL) will nach den Datenskandalen bei der Deutschen Telekom und in der Callcenter-Branche im Datenschutz offensichtlich „ganz neue Wege“ gehen.
Es reicht nicht, die zuständigen Behörden auszubauen, sagte er.

Wir müssen die Bürger zu Datenschützern in eigener Sache machen. Sie sollten selbst gegen Firmen vorgehen können, die ihre Daten unzulässigerweise weitergegeben haben.

Dafür schlägt Steffen in einem Schreiben, welches er in der kommenden Woche an die zuständigen deutschen Behörden und Länderministerien verschicken will, unter anderem die Umkehr der Beweislast vor:

Wer heute gegen ein Unternehmen vor Gericht Klage erhebt, muß den Nachweis führen, dass das Unternehmen private Daten tatsächlich weitergegeben habe. Das ist aber „fast immer unmöglich“. Stattdessen soll die Firma in Zukunft ihre Unschuld beweisen müssen.

Den Opfern von Datenmissbrauch soll überdies ein Schadensersatz von mindestens hundert Euro zustehen. Das Ziel soll sein

dass die Unternehmen ein wirtschaftliches Interesse entwickeln, weitere Datenskandale zu vermeiden.

Auf dem Schwarzmarkt für persönliche Daten sind nach Recherchen der WirtschaftsWoche die Bankverbindungen von 21 Millionen Bundesbürgern im Umlauf. Danach müssen im Extremfall drei von vier Haushalten in Deutschland fürchten, dass Geld von ihrem Girokonto abgebucht wird, ohne dass sie jemals eine Einzugsermächtigung erteilt haben.
Dem Düsseldorfer Magazin wurde die gigantische Datenmenge für knapp zwölf Millionen Euro angeboten. Eine CD mit 1,2 Millionen Kundendaten erhielt die WirtschaftsWoche als Muster. Neben den Angaben zur Person wie etwa Geburtsdaten enthalten die Datensätze die Bankverbindung mit Kontonummer und Bankleitzahl, in einigen Fällen sogar detaillierte Angaben zur Vermögenslage.

Die Düsseldorfer Staatsanwaltschaft, an die die WirtschaftsWoche die brisanten Datensätze am Donnerstag übergeben hat, muss nun klären, wie so viele Kontonummern illegal in Umlauf gelangen konnten. Laut WirtschaftsWoche führen erste Spuren fast durchgängig zu kleinen Callcenter-Betreibern. So bedienen sich vor allem auf umkämpften Massenmärkten wie Telekommunikation, Energieversorgung oder Kabelfernsehen viele Anbieter fast nur noch externer Dienstleister und Callcenter. Diese erhalten die relevanten Kundendaten teilweise vom Auftraggeber. Schalten die Dienstleister ihrerseits Subunternehmer ein, verliert sich die Kontrolle über die Daten irgendwann im Nichts.

Die Unterauftragnehmer ergänzen die Daten ihrer Auftraggeber nicht selten, indem sie weitere Daten zukaufen. Das geschieht nicht nur bei legalen Adresshändlern. Offenbar bessern auch schlecht bezahlte Mitarbeiter insbesondere kleinerer Callcenter ihr Gehalt auf, indem sie Adressdaten auf USB-Sticks oder CDs kopieren und auf eigene Rechnung an Hintermänner weiterverkaufen. Die wiederum führen die Bank- und Adressdaten aus verschiedenen Quellen zusammen, bereinigen sie um Doppelungen und bieten sie im großen Stil zum Kauf an. In Deutschland gibt es rund 5000 Callcenter. Ihnen zahlen beispielsweise Telefongesellschaften 100 Euro und mehr für einen Vertragsabschluss, eine Vertragsverlängerung bringt etwa 50 Euro.

wirtschaftswoche

Die vor einer Woche im Internet veröffentlichten Patientenakten aus Nordhessen waren nach Angaben des Kasseler Klinikums zum Teil 25 Jahre alt. „Bei einer Seite handelt es sich um ein Anschreiben aus dem Jahr 1983, in dem ein Befund angekündigt wurde. Der Befund selbst war nicht dabei“, sagte Kliniksprecherin Gisa Stämm am Donnerstag in Kassel. Ein anderes Blatt habe allerdings ein Untersuchungsergebnis enthalten. „Die Geschäftsführung hat sich inzwischen persönlich bei beiden Patienten entschuldigt, sagte Stämm.

Ende vergangener Woche hatte sich ein Mann Zugang zu einer offenbar ungenügend gesicherten Halle in Leipzig verschafft, in der Patientenakten aus mehreren deutschen Kliniken gelagert waren. Fotos von sechs Krankenblättern von fünf Patienten aus Offenbach, Hofgeismar und Karlsruhe veröffentlichte er im Internet, die Seite wurde jedoch nach wenigen Stunden gesperrt. Das Motiv des Mannes war auch am Donnerstag noch unklar. Es wird vermutet, dass er auf Missstände bei der Verwahrung der sensiblen Daten aufmerksam machen wollte oder einem Konkurrenzunternehmen angehört. Eine Firma aus Münster, die im Auftrag von Krankenhäusern die Daten digitalisieren sollte, hatte ihn wegen Hausfriedensbruchs und Geheimnisverrats angezeigt. Das Kasseler Klinikum lässt die Zusammenarbeit mit der Firma vorerst ruhen: „Wir stehen in Kontakt mit der Kriminalpolizei Leipzig und werden bis zur vollständigen Klärung des Vorfalls keine Akten an die Archivierungsfirma herausgeben“, sagte Gerhard Sontheimer, Vorstandsvorsitzender der Gesundheit Nordhessen.

Nachdem vertrauliche Patientenakten aus Krankenhäusern im Internet aufgetaucht und tagelang einsehbar gewesen sind, ermittelt nun die Staatsanwaltschaft.
Eine Firma aus Münster, die die Akten angeblich digitalisieren und dann vernichten sollte, habe Anzeige gegen „einen namentlich bekannten Tatverdächtigen“ erstattet, sagte ein Behördensprecher am Dienstag in Leipzig.
Dem Mann werden Hausfriedensbruch und Geheimnisverrat vorgeworfen.
Zu den Kunden des Unternehmens gehören Krankenhäuser in Karlsruhe, Kassel, Offenbach und Hofgeismar.
Der angebliche Täter habe die Akten fotografiert und tagelang im Internet veröffentlicht.
Die Papiere lagerten in der Alten Messe Leipzig in einer Halle.
Über die Motive des Mannes lasse sich nur spekulieren, sagte der Sprecher weiter.
Vermutet wird aber, er habe auf Missstände bei der Lagerung der hochsensiblen Akten in den angemieteten Räumen aufmerksam machen wollen.
Der Geschäftsführer des Klinikums in Karlsruhe, Dieter Daub, hatte nach Bekanntwerden der Vorfälle am Wochenende von einer „Katastrophe“ gesprochen.
Die Internetseite, auf der die Patientendaten veröffentlicht wurden, ist inzwischen nicht mehr aufzurufen. Der Geschäftsführer des Klinikums Offenbach, Hans-Ulrich Schmidt sagte,

es handle sich um 10.000 bis 15.000 Akten,

die in Leipzig digitalisiert und auf Film archiviert werden sollten.
Ein Sprecher des Vermieters Alte Messe in Leipzig betonte hingegen, es seien letztlich nur Einzeldokumente aus fünf Patientenakten kurzzeitig im Internet einsehbar gewesen.

Der Vorfall sei äußerst bedauerlich.

Der Branchenverband der Archivierungsunternehmen FMI wertete den Umgang des Dienstleisters aus Münster als eindeutigen Verstoß gegen das Landesdatenschutzgesetz.

Der Arbeitskreis Vorratsdatenspeicherung hat heute die bislang geheime Übereinkunft zur Auslieferung von Informationen über Deutsche an die USA veröffentlicht (www.vorratsdatenspeicherung.de). Die im Arbeitskreis zusammengeschlossenen Bürgerrechtler, Datenschützer und Internetnutzer rufen den Deutschen Bundestag auf, seine Zustimmung zu dem ohne parlamentarische Beteiligung, hinter verschlossenen Türen und im deutschen Alleingang von Wolfgang Schäuble (CDU) und Brigitte Zypries (SPD) ausgehandelten Plan zu verweigern, weil er in Deutschland lebende Menschen in die Gefahr systematischer Menschenrechtsverletzungen durch die USA bringt.
Der heute veröffentlichte Text der Übereinkunft sieht vor, einer ungenannten Zahl US-amerikanischer Behörden (darunter US-Strafverfolger, US-Grenzbehörden und US-Geheimdienste) einen direkten Online-Abgleich von Fingerabdrücken und DNA-Körperproben mit deutschen Datenbanken zu ermöglichen – ein europaweit einzigartiges Vorhaben.
Außerdem sollen deutsche Behörden den USA ungefragt melden dürfen, welche Personen sie der Beteiligung an oder Planung von terroristischen Aktivitäten verdächtigen. Bisher erlaubt das Rechtshilfegesetz eine Weitergabe persönlicher Daten nur an Staaten mit angemessenem Datenschutzniveau (§ 61a IRG).
Hier weiter:

Das Abkommen im Wortlaut:

Abkommen
zwischen
der Regierung der Bundesrepublik Deutschland
und
der Regierung der Vereinigten Staaten von Amerika
über
die Vertiefung der Zusammenarbeit bei der Verhinderung und
Bekämpfung schwerwiegender Kriminalität

Die Regierung der Bundesrepublik Deutschland
und
die Regierung der Vereinigten Staaten von Amerika -</center

in dem Bestreben, durch partnerschaftliche Zusammenarbeit schwerwiegende Kriminalität, insbesondere den Terrorismus, wirksamer zu bekämpfen,

in dem Bewusstsein, dass der Austausch von Informationen ein wesentlicher Faktor bei der Bekämpfung schwerwiegender Kriminalität, insbesondere des Terrorismus ist,

in Anerkennung der Bedeutung der Verhütung und Bekämpfung schwerwiegender Kriminalität, insbesondere des Terrorismus, bei gleichzeitiger Achtung der Grundrechte und -freiheiten, insbesondere des Schutzes der Privatsphäre,

dem Beispiel des Vertrags von Prüm über die Vertiefung der grenzüberschreitenden Zusammenarbeit folgend,

in der Erwartung, dass die Vereinigten Staaten von Amerika und andere Mitgliedstaaten der Europäischen Union dieses Abkommen als Beispiel für vergleichbare Abkommen zwischen den Vereinigten Staaten von Amerika und diesen anderen Mitgliedstaaten ansehen könnten,

in dem Bestreben, die Zusammenarbeit zwischen den Vertragsparteien im Geist der transatlantischen Partnerschaft zu verstärken und zu stimulieren -

sind wie folgt übereingekommen:

Artikel 1
Begriffsbestimmungen

Für die Zwecke dieses Abkommens bedeuten

1. „DNA-Profile“ (für die Bundesrepublik Deutschland DNA-Identifizierungsmuster) einen Buchstaben- beziehungsweise Zahlencode, der eine Reihe von Identifizierungsmerkmalen des nicht codierenden Teils einer analysierten menschlichen DNA-Probe, das heißt der speziellen chemischen Form an den verschiedenen DNA-Loci, abbildet;

2. „Fundstellendatensätze“ ein DNA-Profil und die damit verbundene Kennung (DNA-Fundstellendatensatz) oder daktyloskopische Daten und die damit verbundene Kennung (daktyloskopischer Fundstellendatensatz). Fundstellendatensätze dürfen keine den Betroffenen unmittelbar identifizierenden Daten enthalten, Fundstellendatensätze, die keiner Person zugeordnet werden können (offene Spuren), müssen als solche erkennbar sein;

3. „Personenbezogene Daten“ Informationen über eine bestimmte oder bestimmbare natürliche Person („Betroffener“);

4. „Verarbeitung personenbezogener Daten“ jede Verarbeitung oder jede Vorgangsreihe von Verarbeitungen im Zusammenhang mit personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, das Konsultieren, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren oder Löschen durch Unkenntlichmachen oder Vernichten von personenbezogenen Daten.

Artikel 2
Zweck dieses Abkommens

Zweck dieses Abkommens ist die Verbesserung der Zusammenarbeit zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika bei der Bekämpfung und Verhinderung schwerwiegender Kriminalität.

Artikel 3
Daktyloskopische Daten

Zur Durchführung dieses Abkommens gewährleisten die Vertragsparteien, dass Fundstellen-datensätze zu dem Bestand der zum Zweck der Verhinderung und Verfolgung von Straftaten errichteten nationalen automatisierten daktyloskopischen Identifizierungssysteme vorhanden sind. Fundstellendatensätze enthalten ausschließlich daktyloskopische Daten und eine Kennung.

Artikel 4
Automatisierter Abruf daktyloskopischer Daten

(1) Zur Verhinderung und Verfolgung von schwerwiegender Kriminalität gestatten die Vertragsparteien den in Artikel 6 bezeichneten nationalen Kontaktstellen der anderen Vertragspartei, auf die Fundstellendatensätze ihrer zu diesen Zwecken eingerichteten automatisierten daktyloskopischen Identifizierungssysteme mit dem Recht zuzugreifen, diese automatisiert mittels eines Vergleichs der daktyloskopischen Daten abzurufen. Die Anfrage darf nur im Einzelfall und nach Maßgabe des innerstaatlichen Rechts der abrufenden Vertragspartei erfolgen.

(2) Die endgültige Zuordnung eines daktyloskopischen Datensatzes zu einem Fundstellendatensatz der die Datei führenden Vertragspartei erfolgt durch die abrufenden nationalen Kontaktstellen anhand der automatisiert übermittelten Fundstellendatensätze, die für die eindeutige Zuordnung erforderlich sind.

Artikel 5
Übermittlung weiterer personenbezogener und sonstiger Daten

Im Fall der Feststellung einer Übereinstimmung von daktyloskopischen Daten im Verfahren nach Artikel 4 richtet sich die Übermittlung weiterer zu den Fundstellendatensätzen vorhandener personenbezogener und sonstiger Daten nach dem innerstaatlichen Recht einschließlich der Vorschriften über die Rechtshilfe der ersuchten Vertragspartei.

Artikel 6
Nationale Kontaktstellen und Durchführungsvereinbarungen

(1) Zur Durchführung der Datenübermittlungen nach Artikel 4 benennt jede Vertragspartei eine oder mehrere nationale Kontaktstellen, Die Befugnisse der nationalen Kontaktstellen richten sich nach dem für sie geltenden innerstaatlichen Recht.

(2) Die Einzelheiten der technischen Ausgestaltung und des Ablaufs eines nach Artikel 4 durchgeführten Abrufverfahrens werden in einer oder mehreren Durchführungsvereinbarungen geregelt.

Artikel 7
Automatisierter Abruf von DNA-Profilen

(1) Soweit dies nach dem innerstaatlichen Recht beider Vertragsparteien zulässig ist und auf der Basis der Gegenseitigkeit können die Vertragsparteien der in Artikel 9 bezeichneten nationalen Kontaktstelle der anderen Vertragspartei zum Zweck der Verfolgung schwerwiegender Kriminalität den Zugriff auf die Fundstellendatensätze ihrer DNA-Analyse-Dateien mit dem Recht gestatten, diese automatisiert mittels eines Vergleichs der DNA-Profile abzurufen. Die Anfrage darf nur im Einzelfall und nach Maßgabe des innerstaatlichen Rechts der abrufenden Vertragspartei erfolgen.

(2) Wird im Zuge eines automatisierten Abrufs die Übereinstimmung eines übermittelten DNA-Profils mit einem in der Datei der empfangenden Vertragspartei gespeicherten DNA-Profil festgestellt, so erhält die anfragende nationale Kontaktstelle automatisiert die Fundstellendatensätze, hinsichtlich derer eine Übereinstimmung festgestellt worden ist. Kann keine Übereinstimmung festgestellt werden, so wird dies automatisiert mitgeteilt.

Artikel 8
Übermittlung weiterer personenbezogener und sonstiger Daten

Im Fall der Feststellung einer Übereinstimmung von DNA-Profilen im Verfahren nach Artikel 7 richtet sich die Übermittlung weiterer zu den Fundstellendatensätzen vorhandener personenbezogener und sonstiger Daten nach dem innerstaatlichen Recht einschließlich der Vorschriften über die Rechtshilfe der ersuchten Vertragspartei.

Artikel 9
Nationale Kontaktstelle und Durchführungsvereinbarungen

(1) Zur Durchführung der Datenübermittlungen nach Artikel 7 benennt jede Vertragspartei eine nationale Kontaktstelle. Die Befugnisse der nationalen Kontaktstelle richten sich nach dem für sie geltenden innerstaatlichen Recht.

(2) Die Einzelheiten der technischen Ausgestaltung und des Ablaufs eines nach Artikel 7 durchgeführten Abrufverfahrens werden in einer oder mehreren Durchführungsvereinbarungen geregelt.

Artikel 10
Übermittlung personenbezogener und anderer Daten zur Verhinderung terroristischer Straftaten

(1) Die Vertragsparteien können zum Zweck der Verhinderung terroristischer Straftaten der betreffenden in Absatz 7 bezeichneten nationalen Kontaktstelle der anderen Vertragspartei nach Maßgabe des innerstaatlichen Rechts im Einzelfall auch ohne Ersuchen die in Absatz 2 genannten personenbezogenen Daten übermitteln, soweit dies erforderlich ist, weil bestimmte Tatsachen die Annahme rechtfertigen, dass der oder die Betroffenen

a) terroristische Straftaten oder Straftaten, die mit Terrorismus oder einer terroristischen Gruppe oder Vereinigung in Zusammenhang stehen, begehen werden, soweit solche Straftaten nach dem innerstaatlichen Recht der übermittelnden Vertragspartei definiert sind, oder

b) eine Ausbildung zur Begehung der unter Buchstabe a genannten Straftaten durchlaufen oder durchlaufen haben.

(2) Die zu übermittelnden personenbezogenen Daten umfassen, soweit vorhanden, Familiennamen, Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Geschlecht, Geburtsdatum, Geburtsort, aktuelle und frühere Staatsangehörigkeiten, Reisepassnummer, Nummern anderer Ausweispapiere und Fingerabdruckdaten sowie die Darstellung der Tatsachen, aus denen sich die Annahme nach Absatz 1 ergibt.

(3) Mit der Notifikation nach Artikel 24 Satz 1 können die Vertragsparteien einander in einer gesonderten Erklärung die Straftaten notifizieren, die nach ihrem innerstaatlichen Recht als Straftaten im Sinne des Absatzes 1 gelten. Die Erklärung nach Satz 1 kann jederzeit durch eine Notifikation gegenüber der anderen Vertragspartei geändert werden.

(4) Die übermittelnde Behörde kann nach Maßgabe des innerstaatlichen Rechts Bedingungen für die Verwendung dieser Daten durch die empfangende Behörde festlegen. Wenn die empfangende Behörde die Daten annimmt, ist sie an diese Bedingungen gebunden,

(5) Allgemeine Einschränkungen in Bezug auf die Rechtsnormen der empfangenden Vertragspartei für die Verarbeitung personenbezogener Daten können von der übermittelnden Vertragspartei nicht als Bedingung im Sinne des Absatzes 4 für die Übermittlung von Daten auferlegt werden.

(6) Zusätzlich zu den in Absatz 2 bezeichneten personenbezogenen Daten können die Vertragsparteien auch nicht personenbezogene Daten mit Terrorismusbezug übermitteln.

(7) Jede Vertragspartei benennt eine oder mehrere nationale Kontaktstellen für den Austausch personenbezogener und anderer Daten mit der nationalen Kontaktstelle der anderen Vertragspartei nach diesem Artikel. Die Befugnisse der nationalen Kontaktstelle richten sich nach dem für sie geltenden innerstaatlichen Recht.

Artikel 11
Schutz der Privatsphäre und Datenschutz

(1) Die Vertragsparteien erkennen an, dass der Umgang mit und die Verarbeitung von personenbezogenen Daten, die sie voneinander erhalten, für den Schutz des Vertrauens bei der Durchführung dieses Abkommens von entscheidender Bedeutung sind.

(2) Die Vertragsparteien verpflichten sich, personenbezogene Daten nach Treu und Glauben und nach ihren jeweiligen Rechtsvorschriften zu verarbeiten und

a) sicherzustellen, dass die bereitgestellten personenbezogenen Daten im Verhältnis zu dem konkreten Zweck der Übermittlung angemessen und relevant sind,

b) die personenbezogenen Daten nur so lange aufzubewahren, als dies für den Zweck, zu dem die Daten in Übereinstimmung mit diesem Abkommen bereitgestellt oder weiter verarbeitet wurden, nötig ist, und

c) sicherzustellen, dass die empfangende Vertragspartei rechtzeitig auf eventuell unrichtige personenbezogene Daten hingewiesen wird, damit geeignete Korrekturen durchgeführt werden können.

(3) Aus diesem Abkommen erwachsen Privatpersonen keine Rechte, auch nicht das Recht Beweismittel zu erlangen, zu unterdrücken oder auszuschließen oder den Austausch personenbezogener Daten zu behindern. Unabhängig von diesem Abkommen bestehende Rechte bleiben jedoch unberührt.

Artikel 12
Übermittlung von personenbezogenen Daten besonderer Kategorien

(1) Personenbezogene Daten, aus denen die Rasse oder ethnische Herkunft, politische Anschauungen, religiöse oder sonstige Überzeugungen oder die Mitgliedschaft in Gewerkschaften hervorgeht oder die die Gesundheit und das Sexualleben betreffen, dürfen nur zur Verfügung gestellt werden, wenn sie für die Zwecke dieses Abkommens besonders relevant sind.

(2) In Anerkennung der besonderen Schutzbedürftigkeit der in Absatz 1 genannten Kategorien personenbezogener Daten treffen die Vertragsparteien geeignete Schutzvorkehrungen, insbesondere geeignete Sicherheitsmaßnahmen, um diese Daten zu schützen.

Artikel 13
Verwendungsbeschränkungen zum Schutz personenbezogener und sonstiger Daten

(1) Unbeschadet des Artikels 10 Absatz 4 dürfen die Vertragsparteien Daten, die sie nach diesem Abkommen gewonnen haben, verarbeiten

a) für den Zweck ihrer strafrechtlichen Ermittlungen;

b) zur Verhinderung einer ernsthaften Bedrohung ihrer öffentlichen Sicherheit;

c) in ihren nicht strafrechtlichen Gerichts- oder Verwaltungsverfahren, die in direktem Zusammenhang mit den unter Buchstabe a genannten Ermittlungen stehen, sowie

d) für jeden anderen Zweck, jedoch nur mit der vorherigen Zustimmung der Vertragspartei, die die Daten übermittelt hat.

(2) Die Vertragsparteien geben Daten, die nach diesem Abkommen bereitgestellt wurden, ohne die Zustimmung der Vertragspartei, die die Daten bereitgestellt hat und ohne geeignete Schutzvorkehrungen nicht an Drittstaaten, internationale Organe oder private Körperschaften weiter.

(3) Eine Vertragspartei darf in den daktyloskopischen Dateien oder DNA-Dateien der anderen Vertragspartei einen automatisierten Abruf nach Artikel 4 oder 7 lediglich dazu durchführen und die als Ergebnis eines solchen Abrufs erhaltenen Daten, einschließlich der Mitteilung über das Vorliegen oder Nichtvorliegen eines Treffers, lediglich dazu verarbeiten, um

a) festzustellen, ob die verglichenen DNA-Profile oder daktyloskopischen Daten übereinstimmen,

b) im Fall einer Übereinstimmung der Daten ein Folgeersuchen um Hilfe nach Maßgabe des innerstaatlichen Rechts einschließlich der Vorschriften über die Rechtshilfe vorzubereiten und einzureichen oder

c) Dokumentationsmaßnahmen durchzuführen, soweit diese durch innerstaatliches Recht verlangt oder gestattet werden.

Die Datei führende Vertragspartei darf die ihr nach den Artikeln 4 und 7 von der abrufenden Vertragspartei im Zuge eines automatisierten Abrufs übermittelten Daten lediglich verarbeiten, soweit dies zur Durchführung des Abgleichs, zur automatisierten Beantwortung der Anfrage oder zur Protokollierung nach Artikel 15 erforderlich ist. Nach Beendigung des Datenabgleichs oder nach der automatisierten Beantwortung der Anfrage werden die zu Vergleichszwecken übermittelten Daten unverzüglich gelöscht, soweit nicht die Weiterverarbeitung zu den in Satz 1 Buchstaben b und c genannten Zwecken erforderlich ist.

Artikel 14
Berichtigung, Sperrung und Löschung von Daten

(1) Auf Verlangen der übermittelnden Vertragspartei ist die empfangende Vertragspartei verpflichtet, Daten, die sie nach diesem Abkommen erlangt hat, in Übereinstimmung mit ihrem innerstaatlichen Recht zu korrigieren, zu sperren oder zu löschen, wenn sie unrichtig oder unvollständig sind oder ihre Erhebung, Weiterverarbeitung im Widerspruch zu diesem Abkommen oder zu den für die übermittelnde Vertragspartei geltenden Vorschriften steht.

(2) Stellt eine Vertragspartei fest, dass Daten, die sie von der anderen Vertragspartei nach diesem Abkommen erhalten hat, unrichtig sind, ergreift sie alle geeigneten Maßnahmen zum Schutz vor fälschlichem Vertrauen auf diese Daten; dies umfasst insbesondere die Ergänzung, Löschung oder Berichtigung solcher Daten.

(3) Stellt eine Vertragspartei fest, dass wesentliche Daten, die sie nach diesem Abkommen der anderen Vertragspartei übermittelt oder von ihr empfangen hat, unrichtig oder nicht verlässlich oder Gegenstand erheblicher Zweifel sind, teilt sie dies der anderen Vertragspartei mit.

Artikel 15
Dokumentation

(1) Jede Vertragspartei führt ein Protokoll der nach diesem Abkommen an die andere Vertragspartei übermittelten und von ihr erhaltenen Daten. Dieses Protokoll dient dazu,

a) eine wirksame Datenschutzkontrolle nach Maßgabe des nationalen Rechts der jeweiligen Vertragspartei zu gewährleisten;

b) die Vertragsparteien in die Lage zu versetzen, die sich aus den Artikeln 14 und 18 ergebenden Rechte wirksam wahrnehmen zu können;

c) Datensicherheit zu gewährleisten.

(2) Das Protokoll umfasst

a) die übermittelten Daten,

b) das Datum der Übermittlung sowie

c) im Fall der Weitergabe der Daten an andere Stellen den Empfänger der Daten.

(3) Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen und zwei Jahre aufzubewahren. Nach Ablauf der Aufbewahrungsfrist sind die Protokolldaten unverzüglich zu löschen, soweit innerstaatliches Recht einschließlich anwendbarer Datenschutz- und Datenaufbewahrungsvorschriften nicht entgegensteht.

Artikel 16
Datensicherheit

(1) Die Vertragsparteien gewährleisten die notwendigen technischen Maßnahmen und organisatorischen Vorkehrungen, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust oder unbefugte Bekanntgabe, unbefugte Veränderung, unbefugten Zugang oder jede unbefugte Form der Verarbeitung zu schützen. Insbesondere gewährleisten die Vertragsparteien, dass nur besonders dazu befugte Personen Zugang zu diesen personenbezogenen Daten haben.

(2) Die Durchführungsvereinbarungen, die das Verfahren für den automatisierten Abruf von daktyloskopischen Daten und DNA-Daten nach den Artikeln 4 und 7 regeln, sehen vor, dass

a) moderne Technologie in geeigneter Weise eingesetzt wird, um den Schute, die Sicherheit, die Vertraulichkeit und die Integrität der Daten sicherzustellen,

b) bei der Nutzung allgemein zugänglicher Netze Verschlüsselungs- und Authentifizierungsverfahren angewendet werden, die von den dafür zuständigen Stellen anerkannt worden sind, und

c) ein Mechanismus besteht um sicherzustellen, dass nur erlaubte Abrufe durchgeführt werden.

Artikel 17
Transparenz – Information der Betroffenen

(1) Dieses Abkommen ist nicht so auszulegen, dass dadurch die nach ihren jeweiligen Rechtsvorschriften bestehenden gesetzlichen Verpflichtungen der Vertragsparteien beeinträchtigt werden, wonach sie die betroffene Person über die Zwecke der Datenverarbeitung, die Identität des für die Datenverarbeitung Verantwortliche, die Empfänger oder Empfängerkategorien sowie über ihr Recht, die sie betreffenden Daten einzusehen und zu berichtigen, zu informieren haben, sowie ihr jede weitere Information zu geben, wie Informationen über die Rechtsgrundlage des Verarbeitungsvorgangs, für den die Daten vorgesehen sind, über die Fristen für die Datenspeicherung und das Recht, Rechtsmittel einzulegen, soweit solche weiteren Informationen notwendig sind, unter Berücksichtigung der Zwecke und konkreten Umstände, unter denen die Daten verarbeitet werden, um gegenüber der betroffenen Person eine faire Verarbeitung zu gewährleisten.

(2) Solche Informationen dürfen in Übereinstimmung mit den jeweiligen Rechtsvorschriften der Vertragsparteien verweigert werden, einschließlich der Fälle, in denen

a) die Zwecke der Verarbeitung,

b) Ermittlungen oder strafrechtliche Verfolgungsmaßnahmen der zuständigen Behörden in der Bundesrepublik Deutschland oder in den Vereinigten Staaten von Amerika oder

c) die Rechte und Freiheiten Dritter durch die Bereitstellung dieser Informationen gefährdet würden.

Artikel 18
Unterrichtung

Die empfangende Vertragspartei unterrichtet die übermittelnde Vertragspartei auf Anfrage über die Verarbeitung der übermittelten Daten und das dadurch erzielte Ergebnis. Die empfangende Vertragspartei stellt sicher, dass ihre Antwort der übermittelnden Vertragspartei zeitnah mitgeteilt wird.

Artikel 19
Verhältnis zu anderen Übereinkünften

Dieses Abkommen ist nicht so auszulegen, dass es Bestimmungen anderer Verträge, Abkommen oder bestehender Strafverfolgungsbeziehungen oder des innerstaatlichen Rechts, die den Austausch von Informationen zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika zulassen, beschränkt oder beeinträchtigt.

Artikel 20
Konsultationen

(1) Die Vertragsparteien konsultieren sich gegenseitig regelmäßig über die Durchführung dieses Abkommens.

(2) Im Fall von Streitigkeiten über die Auslegung oder Anwendung dieses Abkommens konsultieren sich die Vertragsparteien, um deren Beilegung zu erleichtern.

Artikel 21
Ausgaben

Jede Vertragspartei trägt die Ausgaben, die ihren Behörden bei der Umsetzung dieses Abkommens entstehen. In Sonderfällen können die Vertragsparteien andere Regelungen vereinbaren.

Artikel 22
Kündigung des Abkommens

Dieses Abkommen kann von jeder Vertragspartei unter Einhaltung einer dreimonatigen Kündigungsfrist schriftlich gekündigt werden. Auf die bereits übermittelten Daten findet dieses Abkommen weiter Anwendung.

Artikel 23
Änderungen

(1) Die Vertragsparteien nehmen auf Ersuchen einer Vertragspartei Konsultationen über Änderungen dieses Abkommens auf.

(2) Dieses Abkommen kann jederzeit durch schriftliche Übereinkunft der Vertragsparteien geändert werden.

Artikel 24
Inkrafttreten

Dieses Abkommen tritt, mit Ausnahme der Artikel 7 bis 9, an dem Tag des Eingangs der letzten Note in Kraft, die den diplomatischen Notenwechsel abschließt, mit dem die Vertragsparteien einander notifizieren, dass sie die für das Inkrafttreten des Abkommens erforderlichen Schritte unternommen haben, Die Artikel 7 bis 9 dieses Abkommens treten nach dem Abschluss der in Artikel 9 genannten Durchführungsvereinbarung oder Durchführungsvereinbarungen und an dem Tag des Eingangs der letzten Note in Kraft, die den diplomatischen Notenwechsel zwischen den Vertragsparteien abschließt, mit dem festgestellt wird, dass jede Vertragspartei in der Lage ist, diese Artikel auf der Basis der Gegenseitigkeit durchzuführen. Dies erfolgt, wenn das Recht beider Vertragsparteien den DNA-Datenaustausch nach den Artikeln 7 bis 9 erlaubt.

Geschehen zu … am … in zwei Urschriften, jede in deutscher und englischer Sprache, wobei jeder Wortlaut gleichermaßen verbindlich ist.

Für die Regierung der
Bundesrepublik Deutschland

Für die Regierung der
Vereinigten Staaten von Amerika

Microsoft wird in den lukrativen Markt der Verarbeitung von Gesundheitsdaten einsteigen, hat das Unternehmen gestern angekündigt. Im Rahmen des HealthVault-Programmes werden die persönlichen Gesundheitsdaten verschlüsselt und in einer zentralen Datenbank bei Microsoft gespeichert. Microsoft betont in seiner Ankündigung die Bedeutung von Datenschutz, Kompatibilität und Sicherheit: „Entwickelt in Zusammenarbeit mit führenden Datenschützern, respektierten Sicherheitsexperten und Dutzenden der führenden Gesundheitsorganisationen, wurde HealthVault so gestaltet und gebaut, dass der Datenschutz erweitert und den Menschen die Kontrolle gegeben wird, die sie erwarten und einfordern.“ Zum Start des Programmes ist es Microsoft gelungen, unter anderem die American Heart Association, Johnson & Johnson LifeScan, Hersteller von Blutzuckermessgeräten, das NewYork-Presbyterian Hospital, den Klinik-Konzern Mayo Clinic und MedStar Health, ein Netzwerk von Krankenhäusern, für die Zusammenarbeit zu gewinnen.

Auf der Homepage von HealthVault wirbt der Software-Gigant mit folgenden Worten um Kunden: „Wenn es Ihre Verantwortung ist, die Gesundheit Ihrer Familie zu schützen, können Sie jeden Vorteil gebrauchen. Stellen Sie sich vor, Sie hätten eine Möglichkeit, die wichtigen Gesundheitsdaten Ihrer Familie zu sammeln, zu speichern und weiterzugeben. HealthVault ist der neue, kostenlose Weg, das zu tun. Stellen Sie sich vor, den Fluss Ihrer Gesundheitsdaten zu kontrollieren. Ganz gleich, ob Sie im Internet nach den neuesten Behandlungsmöglichkeiten suchen wollen, vorhandene Gesundheitsdaten katalogisieren, Testergebnisse bekommen oder Trainingsresultate überwachen wollen – HealthVault gibt Ihnen die Kontrolle, die Sie brauchen.“ Was sich Microsoft darunter vorstellt, geht aus einem Bericht der New York Times hervor. So können in Zukunft EKG-Befunde und andere Patientendaten automatisch vom Krankenhaus an HealthVault geliefert werden, von wo die Patienten sie dann abrufen können.
Microsofts Vorhaben ähnelt der in Deutschland von den Krankenkassen und dem Gesundheitsministerium vorangetriebenen Gesundheitskarte oder der ELGA in Österreich.
Nicht zuletzt monieren Ärzteverbände immer wieder, dass die Datenschutzproblematik nicht zufriedenstellend gelöst worden ist. Sie sehen dadurch das Vertrauensverhältnis zwischen Arzt und Patient gefährdet.
Wie steht es um den Datenschutz beim HealthVault? Microsoft erklärt dazu: „1. Die Microsoft-HealthVault-Daten werden von Ihnen kontrolliert. 2. Sie entscheiden, was in Ihren HealthVault-Daten gespeichert wird. 3. Sie entscheiden von Fall zu Fall, wer Ihre Informationen sehen und nutzen darf. 4. Wir werden Ihre Gesundheitsdaten nicht für kommerzielle Zwecke nutzen, ohne vorher Ihre Erlaubnis eingeholt zu haben.“
Das ist die Kurzfassung von der HealthVault-Homepage.
Die Langfassung ist dann etliche Seiten lang und verrät beispielsweise, dass die bei der Anmeldung angegebene E-Mail-Adresse zugleich als Windows-Live-ID zugewiesen wird. Um die wiederholte Anmeldung zu vereinfachen, setzt Microsoft auf Cookies. Da HealthVault nicht nur als Datenspeicher fungiert, sondern auch als Suchmaschine, gibt es auch eine Datenschutzerklärung für die Suchmaschine. In beiden Datenschutzerklärungen wird auf weitere, externe Datenschutzerklärungen verwiesen.

Für die Firma Microsoft und ihre Partner eröffnet der zentrale Zugang zu den Gesundheitsdaten vieler Menschen ganz neue Geschäftsmöglichkeiten. Denkbar wären etwa in Zusammenarbeit mit Versicherungen maßgeschneiderte Verträge und Prämien. Wer gesund ist und fleißig Sport treibt, würde dann sehr kostengünstig eine Lebensversicherung abschließen können. Oder es wäre eine individuelle Dynamisierung von Krankenversicherungsprämien möglich: Steigt der durchschnittliche Cholesterin-Wert, steigt auch die Versicherungsprämie.