Datenschutzverletzung zur Anzeige bringen?

Hallo,

ich wollte um eure Einschätzung bitten, ob ich eine Datenschutzverletzung melden soll. Also ob es der Aufwand wert ist?

Was ist passiert?

Zum 1.1. hat ein neuer Arzt die Praxis von meinem bisherigen Zahnarzt übernommen. Am 3.4. hatte ich dann einen Termin bei dem neuen Arzt für eine professionelle Zahnreinigung. Bei dem Termin hab ich dann eine Einverständniserklärung vorgelegt bekommen, dass meine Forderungen an ein Zahlungsdienstleister (mediserv Bank) weitergegeben werden. Und dass dieser Dienstleister Daten über mich bei einer Auskunftei (infoscore) einholen darf.

Diese Einverständniserklärung habe ich nicht unterschrieben. Ich bin damit an die Rezeption gegangen und habe meine Bedenken geäußert. In das Gespräch waren dann insgesamt drei Personen aus der Praxis eingebunden und wir haben festgehalten, dass ich meine Rechnungen bar bezahlen werde, und dass ich auf keinen Fall mein Einverständnis erteile, dass meine Daten weitergegeben werden und irgendwer Daten bei einer Auskunftei über mich einholt.

Die professionelle Zahnreinigung habe ich dann auch nicht mehr in Anspruch genommen.

Nun habe ich vor ein paar Wochen Schreiben an vier Auskunfteien geschickt und abgefragt, was für Daten die von mir gespeichert haben. Also ich die Antwort von „Infoscore Consumer Data“ erhalten habe, siehe da - Die mediserv Bank hat einen Tag nach meinem Arztbesuch, am 4.4., eine Anfrage an Infoscore geschickt. Infoscore hat dazu geschrieben „… wurden dem anfragenden Unternehmen keine Daten übermittelt.“

Darauf hin habe ich direkt dem Zaharzt eine Email geschickt und protestiert. Er hat zunächst nur geschrieben, dass er sich entschuldigt und den Fall intern (!) mit der mediserv Bank klärt. Ich habe ihm darauf hin geschrieben, dass es da kein „intern“ gibt, da ich nie mein Einverständnis gegeben habe, dass er Daten mit denen über mich austauscht. Er hat sich dann nochmal entschuldigt und geschrieben, dass die Mitarbeiterin im turbulenten Alltag nicht genau darauf geachtet hat, dass ich nicht unterschrieben hätte, und blabla.

Eine Auskunft nach Artikel 15 DSGVO hat er mir zugeschickt und eine Kopie meiner Patientendaten bekomme ich, wenn ich in die Praxis komme.

Ohne dass ich die jetzt schon von meiner Seite her angeschrieben hätte, hat sich jetzt auch die mediserv Bank bei mir gemeldet und sich entschuldigt. Weiter schreiben sie, dass eben die Arztpraxis am 4.4. eine Anfrage geschickt hatte zum Zahlungsausfallrisiko in Höhe von 5000 Euro.
Dann hätte die mediserv Bank eine Anfrage an infoscore geschickt, „die mit folgendem Ergebnis beantwortet wurde, dass dort Ihre Person betreffende negative Eintragungen nicht vorliegen.“ Score-Werte seien nicht abgefragt worden. Die mediserv Bank habe jetzt die zuständige Datenschutzbehörde informiert.

Für mich hat da jede einzelne beteiligte Stelle vollkommen versagt.

Die Arztpraxis gibt meine Daten weiter, obwohl wir meine Bedenken ausgiebig thematisiert hatten. Offen gesagt glaube ich noch nicht einmal, dass dies unbeabsichtigt war - aber sei’s drum. Dann wollte der Zahnarzt erst alles runter spielen mit „wir klären das intern mit dem Zahlungsdienstleister“.

Der Zahlungsdienstleister ist dann aber auch seinen Verpflichtungen nicht nachgekommen. Ich meine, die hätten erst sicherstellen müssen, ob eine Erlaubnis meinerseits vorliegt, bevor irgendwelche Anfragen an eine Auskunftei geschickt werden. Zumindest haben sie den Vorgang selbst gemeldet und spielen mit vermeintlich offenen Karten.

Und die Auskunftei hat mich dann ja auch angelogen, wenn die sagen, dass keine Daten weitergegeben wurden. Die mediserv Bank hat ja geschrieben, welche Infos sie über mich bekommen hatten. Und ist die Auskunftei nicht selbst auch noch einmal verpflichtet, nachzuschauen, ob alle Erlaubnisse vorliegen?

Was ich nun gerne von euch wissen würde: Sollte ich da selbst noch einmal auf den Datenschutzbeauftragten zugehen? Kann ich das zur Anzeige bringen? Sollte ich nach einem Anwalt schauen? Ich habe aber keine Rechtschutzversicherung.

Danke, dass du das alles gelesen hast!

Was erhoffst Du Dir davon? Immerhin haben alle Beteiligten ihre Fehler eingeräumt und sich bei der Aufklärung und Korrektur der Fehler aktiv beteiligt. Was willst Du noch erreichen?

Ganz klar, eine Form der Bestrafung. Welchen Sinn ergibt der ganze Spuk mit dem Datenschutz, wenn es bei einem Verstoß genügt, sich zu entschuldigen und Verstöße nicht weiter geahndet werden?

Außerdem, inwiefern hat bspw die Auskunftei Fehler eingeräumt und sich bei der Aufklärung und Korrektur der Fehler aktiv beteiligt?

Ich kann dir aus vielen Jahren Erfahrung aus erster Hand sagen, dass (unabsichtliche) Fehlbedienungen in Arztpraxen keine Seltenheit sind. Damit will ich das nicht kleinreden oder Partei ergreifen, aber ich kenne die andere Seite recht gut. Häufige Personalfluktuation, seit Jahren gestiegene bürokratische und technische Anforderungen (m. E. hat das mit der Telematik-Infrastrutur begonnen und sich mit den e-Diensten und der DSGVO fortgesetzt), aber auch anstrengende Charaktere (vulgo: Patienten) bei sinkenden Ressourcen führen zu permanenter Überlastung und Stress. Auch die Bedienung von Praxisverwaltungssystemen ist teilweise mehr schlecht als recht mitgewachsen.

Ärzte sollen immer fachlich up to date sein und heutzutage am besten noch Juristen und Informatiker. Das sorgt seit längerem für großen Unmut und das kann ich absolut nachvollziehen.

Grundsätzlich würde ich weder Arzt oder MFA eine Absicht bei Datenschutzverstößen, wie etwa von dir beschrieben, unterstellen.

Genauso sollte es auch sein und m.E. sollte das auch der Zahnarzt machen, wenn er von einem Datenschutzverstoß in seiner Praxis Kenntnis erlangt. Das könnte man ihm nun zur Last legen, aber ich würde meinen, ausgehend von dem was ich persönlich an Verstößen und Folgen mitbekommen habe, dass die zuständige Behörde den von dir geschilderten Fall ohne weitere Folgen zu den Akten legt.

Du weißt ja noch nicht mal sicher, ob es Absicht war…du gehst einfach davon aus. Aber auf welcher Grundlage? Wie du schreibst, hat ein neuer Arzt die bisherige Praxis übernommen und nach ~3 Monaten ist ihm bzw. dem Personal dieses Malheur passiert - also noch in der Einarbeitungsphase.

Letztlich würde ich es davon abhängig machen, ob du a) mit ihm fachlich zufrieden bist und weiterhin zu diesem Arzt in Behandlung gehen möchtest (einen guten Zahnarzt zu finden, ist vllt. nicht immer ganz leicht) und b) welcher tatsächliche Schaden dir entstanden ist und ob der Schaden die von dir genannten weiteren Schritte bei objektiver Betrachtung rechtfertigen.

Danke Jogo, für deine informativen und sachlichen Beitrag!

Heißt das, unbeabsichtigte Fehler sollten nicht geahndet werden?

Es geht mir insgesamt ohnehin weniger um die Arztpraxis.

Auch der mediserv Bank kann man jetzt noch zugute halten, dass sie sich sofort um Schadensbegrenzung bemüht hat.

Speziell aber Infoscore hat bislang nichts weiter gemacht, als die Tatsachen falsch dargestellt, indem sie geschrieben haben, dass keine Daten von mir weiter gegeben wurden.

Wenn ich ohnehin nichts dagegen machen kann, dass diese Datengeier Geld mit meinen Daten machen, dann kann ich ihnen wenigstens richtig ans Bein pinkeln, wenn sich herausstellt, dass sie sich dann noch nicht einmal an das Gesetz halten.

Wenn ich Deine Darstellung der Ereignisse richtig lese, dann haben sich die Beteiligten nicht nur entschuldigt sondern aktiv an der Aufklärung des Vorgangs gearbeitet und auch Fehler korrigiert. Das ist nicht selbstverständlich und zeigt, dass sie sich ihrer Verantwortung bewusst sind.

Der Sinn von Gesetzen ist es nicht, Strafen oder Bußgelder zu verhängen. Es geht immer auch darum, warum ein Gesetz nicht eingehalten wurde, ob ein Schaden entstanden ist und ob jemand Schuld trägt. Wenn der entstandene Schaden geheilt werden kann spielt das eine Rolle.

Natürlich müssen immer alle Beteiligten darin übereinstimmen, dass eine für alle akzeptable Lösung gefunden wurde. Jeder Rechtsanwalt wird dazu raten, einen Ausgleich zu suchen und auch zu akzeptieren. Spätestens ein Gericht wird darauf hinwirken.

Infoscore hat doch auch keine Daten weitergegeben. Die Formulierung „die mit folgendem Ergebnis beantwortet wurde, dass dort Ihre Person betreffende negative Eintragungen nicht vorliegen“ bedeutet doch genau das. Es gab keine Daten über dich.

Also mal etwas entspannen. Die Praxis hat sich entschuldigt und fertig.
Ansonsten bist du leider einer dieser Typen, die vom Rest der Welt als „notorische Nervensäge“ wahrgenommen werden und dafür sorgen, dass Datenschutz als Nervensägending angesehen werden.

Hier wäre mir die Verhältnismäßigkeit in erster Linie wichtig, wenn ich das für mich entscheiden müsste. Und - das Ganze erst mal sacken lassen. Oft bewertet man Situationen, die persönlichen Unmut erzeugen, nach einigen Tagen gelassener. Wenn also kein faktischer Schaden entstanden ist, bin ich der Meinung, dass dieser (höchst wahrscheinlich unbeabsichtigte) Fehler nicht geahndet werden muss.

Bei dir spielt vermutlich einfach noch Zorn mit rein, weil du zu Beginn ja ganz klar kommuniziert hast, dass du eben der Datenweitergabe nicht zustimmst. Das ist schiefgegangen und der Zorn ist nachvollziehbar; eine „Bestrafung“ würde dir (vielleicht) persönliche Genugtuung verschaffen, mehr auch nicht.

+1

Also pädagogischer Wert (genau dazu sind Sanktionen nämlich da) gleich null!

Genau: das muss er vorher prüfen, bevor er derartige Routinen überhaupt auslöst – bei jedem einzelnen Patienten, denn es könnte der eine unter Tausenden sein, der das nicht erlaubt!
Sonst bräuchte es auch keine Patientenverfügungen, wenn sie einfach mal übersehen werden könnten!
Das Gesetz oder die Verordnung ist nicht dazu da, bequem zu sein, sondern Patienten zu schützen!

Das ist aber sein Problem und offensichtlich reicht seine Motivation zur Beachtung der korrekten Abläufe nicht aus und muss erhöht werden. Dazu sind Sanktionen da.

Ich gehe davon aus, daß die Bank bei Erhalt der Anfrage von ihrer Rechtmäßigkeit ausgehen konnte und nicht selbst überprüfen muss, ob Deine Unterschrift vorliegt.
Es wäre aber zu prüfen! Es kann auch sein, daß der Nachweis obligatorisch ist.
Das macht alles die Behörde (oder sollte sie zumindest), Du musst nur Deinen Fall vortragen.

Solltest Du, denn Du bist der Geschädigte und genau das hätte eben verhindert werden sollen und wenn ein Kettenversagen stattfindet, ist das ein Zeichen für eine fehlerhafte Methodik. Die muss grundsätzlich und effektiv aufgearbeitet werden und das bedarf offensichtlich der Aufsicht durch die Behörde.
Die Anzeige ist vor allem relevant (auch wenn das Verfahren eingestellt würde), wenn Du Schadenersatz verlangen willst und da wäre ein Anwalt hilfreich. Beim Obsiegen zahlt den die Gegenseite. Nur Du kannst wissen, wie hoch Dein Schaden (auch für die Zukunft) ist und ob sich das für Dich lohnt. Vor dem Amtsgericht kannst Du aber auch alleine vortragen und beantragen. Das wird von den Richtern oft honoriert.

Ich wundere mich. daß hier gleich drei gestandene Teilnehmer die Gegenposition einnehmen und bingbing den Wind aus den Segeln nehmen wollen. Da fragt man sich doch, wozu wir dieses Forum haben.
Wir haben es eben, um Betroffene gegen solche Fälle aus der Solidarität der Betroffenen stark zu machen und nicht, um uns gegenseitig zu schwächen!

Das mag sich ggf. „strafmildernd“ also in der Sanktionshöhe auswirken und das ist ja auch gut so.

Da stimme ich Dir vollkommen zu, aber darum geht es hier nicht.
Hier geht es um einen Anspruch des Betroffenen, der systemisch nicht erfüllt wurde.

Das muss das Problem der Dienstleister bleiben und sollte eben nicht von den Betroffenen gnädig und großzügig oder devot im Hinblick auf das weitere Verhältnis übernommen werden.
Genau um das zu vermeiden, wurden und werden solche Verordnungen doch geschaffen: um für klare Verhältnisse zu sorgen. Ob man sie nun mag, oder nicht.

Das kann ja sein, aber alleine das Verfahren und der zunächst ungewisse Ausgang hat einen wichtigen pädagogischen Wert! Deswegen sollte man auf Beschwerden (und ggf. Anzeigen) nicht verzichten!

Es ist auch gar nicht die Aufgabe des Betroffenen, das zu wissen!

Im offiziellen Dialog sollte der Betroffene seine diesbezüglichen Annahmen nicht äußern, da sie ihm sonst nicht nur moralisch als Unterstellung, sondern auch juristisch als Verleumdung oder „üble Nachrede“ angelastet werden könnten. Das würde dann auch mindestens sanktionsmildernd Verwendung finden.
Nur der Sachverhalt ist präzise und emotionslos darzustellen.

Das ist ein Betroffenenproblem und wohl dem, der sich eine Alternative suchen kann!
Denn devoter Rechtsverlust aufgrund solcher Abhängigkeiten ist wirklich schlimm.
Deswegen wurde zum Beispiel ein Whistleblower-Gesetz geschaffen …

Das macht ja mal Hoffnung für den Betroffenen.

Richtig: vielmehr ist der Sinn von Strafen oder Bußgeldern, für die Einhaltung und Befolgung von Gesetzen und Verordnungen zu sorgen!

Das ist deren Interesse und hier nicht von Belang.

Es ist besser, seine Standpunkte und Interessen zu vertreten, als ständig angepasst, sich alles gefallen zu lassen.

Das ist richtig und ergibt sich auch aus der Zähigkeit der Verfahren.
Dennoch ist der „Schuss vor den Bug“ in Form der Verfahrenseröffnung wichtig für die Zukunft, im Hinblick auf den Umgang mit uns, den Betroffenen!

Das ist mir neu. Und selbst wenn das so wäre wird „stark machen“ hier offensichtlich unterschiedlich verstanden. Die Empfehlung, sich nicht in eine Sache zu verrennen und nicht unbedingt ein Exempel statuieren zu wollen, allgemein maßvoll und auf Ausgleich bedacht zu sein, scheint mir eine zulässige Form der Stärkung zu sein.

Die Frage war ja schließlich nicht: „Wie sorge ich dafür, dass Arzt und beteiligte Firmen bluten“. Sondern (Hervorhebungen durch mich):

Auf diese Fragen ist meine Antwort: Nein, ich denke nicht, dass Du das tun solltest.

Der einzige Daseinszweck dieses Forums ist das Diskutieren über Themen, die mit Datenschutz und Sicherheit zu tun haben. Und zwar vollkommen frei. Ich erachte es nicht als gegenseitige Schwächung, wenn man zur Gnade rät. Das Forum ist aus meiner Sicht keine Stätte, wo man jeden dazu anraten muss in solchen Fällen das Kriegsbeil auszugraben. Wenn man diese Meinung vertritt, ist das genauso in Ordnung wie anders herum.

Die gestellte Frage, ob @bingbing diesen Fall zur Anzeige bringen sollte, kann auch nur bingbing für sich entscheiden. bingbing wird die Person sein, die diesen Weg dann beschreiten würde. Wir können nur sagen, was wir machen würden.

Ich würde es tatsächlich dabei belassen. Mir stellt sich der Fall so dar, dass dir kein großer Schaden/Nachteil entstanden ist. Die Parteien sind soweit einsichtig und haben um Entschuldigung gebeten und sich zum Teil auch selbst bei der Datenschutzbehörde gemeldet. Es können immer Fehler passieren, dies ist menschlich. Wenn du also keinen Anlass zur Annahme von Absicht hast, würde ich es dabei belassen. Es hätte auch den Vorteil, dass du dir möglicherweise keinen neuen Zahnarzt suchen müsstest. Denn ich würde mich nicht von einem Arzt behandeln lassen wollen, mit dem ich mich in einem Rechtsstreit befinde.

Letzten Endes musst du entscheiden, mit welchem Weg du dich wohler fühlst. Hör einfach, auch wenn es möglicherweise kitschig klingen mag, auf dein Herz.

Ich habe meine Meinung plus eigene Erfahrung zu einer gestellten Frage/ einem Sachverhalt zum Besten gegeben. Dazu ist ein Internetforum per Definition da. Diese Meinung muss nicht jedem gefallen und darf/kann auch kritisiert werden. Aber muss gleich die Forenexistenz in Frage gestellt werden? Dazu ergänzend der nächste Abschnitt:

Da ergibt sich für mich ein pot. Bild der Projizierung, die eine Erklärung für deine absolute Position in dem Thema sein könnten. Eine pauschale und nicht nicht zu hinterfragende Solidarität hilft einem Betroffenen jedoch auch nicht weiter und würde die Frage nach Meinungen ad absurdum führen.

Bei der sachlichen Bewertung einer Situation geht es auch darum, die andere Seite zu sehen, eine andere Perspektive wahrzunehmen und in die Entscheidungsfindung mit einzubeziehen. Das gilt für die weitere Vorgehensweise als Betroffener genauso wie im Idealfall auch für Behörden und Justiz. Daher kann er ja ungeachtet meiner Laienmeinung dennoch weitere Schritte einleiten, um einen eventuell vorhandenen Anspruch prüfen zu lassen. Ausgehend von der geschilderten Situation und eigener Erfahrung ist und bleibt meine Meinung aber, es dabei zu belassen.

Finde ich hinsichtlich der Frage nach der Absichtlichkeit des Vorfalls schon, vor allem wenn die dahinter stehende Motivation des Betroffenen eine „Bestrafung“ (also keine sachliche, sondern emotionale Involviertheit) ist. Daher mein Rat, es sacken zu lassen und dann zu bewerten, damit eben nicht die initialen Emotionen das weitere Vorgehen bestimmen.

Das sind die Gründe warum ich hier ein Fass aufmachen würde.

Wir werden von den Firmen behandelt wie die letzten Idioten wenn wir auf unsere Rechte bestehen, Absprachen werden nicht eingehalten, Haken gesetzt wo niemand eingewilligt hat, alles über unsere Köpfe hinaus weil es ja alle so machen.
Kollektiver Rechtsbruch kann ja nicht strafbar sein, die wissen schon was sie tun, das wird alles seine Richtigkeit haben.
Wen man dagegen nicht vorgeht, dann frage ich mich, warum Du nicht auch einfach unterschreibst wenn Dir das sowieso nichts bedeutet.
Ich hätte da nicht lange gewartet, direkt mit den Beweisen zum Anwalt und/oder Datenschutzbehörde.

Ich ziehe da eine Nulltoleranz Haltung durch.

Wo wurde der TE als letzter Idiot behandelt?
Nur weil es Unternehmen gibt, die das genauso wie von dir beschrieben handhaben, muss man ja nicht mit Schaum vor dem Mund und Benzin in der Hand durch die Welt laufen.

Die Welt ist nicht schwarz und weiß. Dazwischen gibt es einen Haufen Grautöne.
Wenn jemand um die Erläuterung der Grautöne bittet, dann darf man die auch erklären.
Deine schwarz/weiß Haltung darfst du natürlich ebenso verfolgen.

Belogen,hingehalten und Entschuldigung die nichts Wert ist, Sachma lest Ihr andere Texte als ich?

Ich kann sehr wohl unterscheiden, aber die Situation ist doch hier eindeutig, Rechnungswesen outgesourct, der Dienstleister sichert sich mit Scorewerten ab, kann man ja günstig einkaufen. Zahnarzt happy viele Sorgen weniger und weniger Arbeit für alle, den Dienstleister müssen halt die Patienten bezahlen, einmal mit der Rechnung und ein weiteres Mal mit seinen Daten.

Der TE bingbing schreibt ja auch

und das denke ich auch, egal wie viel Stress man hat, so eine besondere Situation die extra noch ausdiskutiert werden musste, übersieht man nicht, da wurde später einfach Schema 0815 verwendet, so wie bei allen, wo kommen wir denn da hin, wenn hier jeder macht was er will und Sonderwünsche hat.

Wenn ich mir manchmal den Schwachsinn geben muss, den man vom Kundendienst zu hören bekommt, mit welcher Inbrunst die Dir durch Telefon lügen, was man alles zu tun hätte um eine Auskunft zu bekommen und 80% wissen mit solchen Anfragen nichts anzufangen, die gehen dann in die Hilfe Seiten und suchen Dir irgendein Thema raus copy/paste Ticket beantwortet nächster…Das sind die Erfahrungen die ich hauptsächlich mache, ja es gibt auch positive Erfahrungen…aber meistens ist man lästig wenn man Dinge hinterfragt und bei Unsicherheiten dann lieber eine Anfrage stellt.