1. Rechtlich betrachtet
Per E-Mail erreichte mich eine interessante Frage von einem Leser:
Ist es mit geltenden Datenschutzgesetzen zu vereinen, wenn sich ein Berufsgeheimnisträger wie z.B. ein Arzt oder ein Anwalt Notizen mit einem Windows 10-Gerät macht und die Daten auf diesem Gerät speichert?
Wie »datenhungrig« Windows 10 ist und wie schwer es sich bändigen lässt, sollte mittlerweile kein Geheimnis mehr sein. Auf dem Kuketz-Blog erschienen dazu eine ganze Reihe von Beiträgen und auch eine Anleitung, um dem Kontrollverlust entgegenzuwirken. Von rechtlicher Seite wurde das Thema allerdings bisher nur am Rande beleuchtet. Daher habe ich die Frage an Gerald weitergeleitet, der vornehmlich Unternehmen aus der Gesundheitsbranche in rechtlichen Fragestellungen – schwerpunktmäßig im Informations- bzw. Datenschutz, dem (Software-) Medizinprodukterecht und der IT-Forensik – berät.
Gastbeitrag von Gerald Spyra
Gerald Spyra ist Rechtsanwalt mit Spezialisierung auf den Informations- bzw. Datenschutz. Er ist externer betrieblicher Datenschutzbeauftragter und hat eine hohe Affinität für Themen aus dem Bereich der IT-Sicherheit.
Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
2. Windows 10: Es herrscht Unklarheit
Die Frage ist sehr interessant. Jedoch auch sehr schwer zu beantworten, da uns schlicht und einfach die Kenntnis fehlt, was Microsoft alles mit Windows 10 abgreift bzw. welche Daten sie verarbeiten oder an »Kooperationspartner« versenden. Würden wir aber mal annehmen, dass Windows 10 tatsächlich auf Patienten / Mandantendaten zugreift und diese an Microsoft versenden würde, sollten wir die nachfolgenden Überlegungen anstellen.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Datenschutzrecht vs. Verschwiegenheitspflicht
Zunächst einmal gilt es, zwischen Datenschutzrecht und berufsrechtlicher ärztlicher / rechtsanwaltlicher Verschwiegenheitspflicht zu unterscheiden. Schon das wird gerne in der Praxis nicht gemacht. Vielmehr wird gleich mal alles über einen Kamm geschert, was jedoch nicht unproblematisch ist.
Primär sollte man es aus berufsrechtlicher Sicht sehen. Denn wenn etwas aus dieser Sicht schon nicht erlaubt ist, kann es das Datenschutzrecht (abgesehen von ein paar speziellen Ausnahmen im Bereich der ärztlichen Verschwiegenheitspflicht) grundsätzlich auch nicht legitimieren. Sprich: Wenn es berufsrechtlich unzulässig ist, kann es das Datenschutzrecht nicht heilen.
Die ärztliche Verschwiegenheitspflicht oder die rechtsanwaltliche Verschwiegenheitspflicht schützt das (Vertrauens-) Verhältnis zwischen Arzt und Patient, Rechtsanwalt und Mandant. Ein Patient / Mandant muss sich darauf verlassen können, das alles, was er dem Arzt / Rechtsanwalt mitteilt bzw. der Arzt / Rechtsanwalt dokumentiert, auch nur zwischen denen beiden bzw. bei dem vom Arzt zur Behandlung / bzw. vom Rechtsanwalt zur Beratung eingesetzten Personal bleibt. Alle anderen Personen / Organisationen, auch andere Ärzte / Rechtsanwälte, die nicht an der Behandlung / Beratung beteiligt sind, dürfen von diesen Daten grundsätzlich nichts erfahren.
2.2 Patienten- / Mandatsgeheimnis
Das Patienten- / Mandatsgeheimnis ist sehr weitreichend und schützt auch schon die Telefonnummer des Patienten / Mandanten, die ein Arzt / Rechtsanwalt sich im (dienstlichen) Smartphone, in Outlook 365 oder was weiß ich wo gespeichert hat. Der Arzt / Rechtsanwalt muss verhindern, dass diese Informationen an Dritte, wie z. B. Microsoft gelangen bzw. diese Dritten, die nicht an der Behandlung / Beratung beteiligt sind, Kenntnis davon erhalten.
Gelangen diese Daten an diese Dritten, liegt ein Verstoß gegen das Patientengeheimnis / Mandatsgeheimnis vor und wir müssen uns mit dem Straftatbestand des § 203 Strafgesetzbuch (StGB) auseinandersetzen.
Dann gilt es zu fragen, ob der Arzt / Rechtsanwalt diese Daten unbefugt offenbart hat. Ein unbefugtes Offenbaren des Geheimnisses liegt immer dann vor, wenn es diesbezüglich keine entsprechende Legitimation gibt. Einen gesetzlichen Grund zur Offenbarung sehe ich beim Einsatz entsprechender Apps, kommunikationsfreudiger Software usw. grundsätzlich nicht, jedenfalls nicht in der Art und Weise, wie sie die Daten verarbeiten. Verarbeiten sie nämlich Daten zu eigenen geschäftlichen Zwecken, hat das nichts mehr mit der Behandlung / Beratung des Patienten / Mandanten zu tun.
2.3 Liegt eine Einwilligung des Patienten vor?
Der Notanker ist dann immer die Legitimation der Offenbarung durch die Einwilligung des Patienten einzuholen. Für eine Einwilligung ist es jedoch notwendig, dass der Patient / Mandant wissentlich und willentlich (explizit) zustimmt. Er muss insbesondere damit einverstanden sein, dass Microsoft, WhatsApp und Co. seine Daten für ihre (geschäftlichen) Zwecke (wir wissen gar nicht welche das sind) verarbeitet. Gerade weil schon oftmals der Arzt / Rechtsanwalt gar nicht genau weiß, welche seiner Daten, wie von der ihm eingesetzte Software, verarbeitet werden, wird er dieses dem Patienten, inklusive der mit dieser Verarbeitung einhergehenden Risiken gar nicht mitteilen können. Damit fehlt es schon an dem Wissenselement einer wirksamen Einwilligung des Patienten / Mandanten. Ferner würde ich auch eine etwaige Freiwilligkeit des Patienten / Mandanten mal stark in Frage stellen wollen. Somit dürfte, wenn die Software ungefragt auf Daten zugreift und diese munter an die Anbieter versendet, eine unbefugte Offenbarung vorliegen.
Der Arzt / Rechtsanwalt muss diese Offenbarung dann noch (vermeintlich) wissentlich und willentlich vorgenommen haben. Meiner Ansicht nach wissen Ärzte und Rechtsanwälte so langsam von den Datenverarbeitungspraxen der Anbieter. Weil sie dagegen aber nichts tun (wollen und können) und alles, was diese Software tut und macht hinnehmen, lässt sich m.A. nach auch zumindest ein Dulden annehmen. Beliebte Ausrede dabei:
Macht ja sowieso jeder!
Von daher dürfte in diesen Fällen, in denen fremde Software auf Daten zugreift, die das Patienten- Mandatsgeheimnis betreffen und Dritten, nicht an der Behandlung beteiligten Stellen mitteilt, vielfach eine unbefugte und nicht legitimierte Offenbarung vorliegen, die eine Straftat nach § 203 StGB darstellt. Wie dargestellt, kann das Datenschutzrecht diese auch grundsätzlich nicht legitimieren.
2.4 Virtuelle und reale Welt
Jetzt mag man sagen, diese Sichtweise ist ja total überzogen und entspricht nicht mehr der heutigen Realität, wo ja sowieso alles miteinander kommuniziert und Daten austauscht. Darauf kann ich nur antworten, dass eine solche Argumentation zwar nachvollziehbar klingt, aber wenn wir diese so zulassen, mit extremen Konsequenzen einhergehen würde.
Denn wenn wir das (ungefragte) Versenden von Daten an uns unbekannte Organisationen in der virtuellen Welt akzeptieren, dürfen wir uns in Konsequenz auch nicht darüber aufregen, wenn ein Arzt / Rechtsanwalt im richtigen Leben (der realen Welt) alles über unser (intimes) Vertrauensverhältnis ausplaudert oder intime Daten an eine Pinwand heftet, an der es jeder lesen kann.
Dass es in Konsequenz (auch wenn es einige tatsächliche Unterschiede gibt) keinen rechtlichen Unterschied zwischen realer und virtueller Welt geben darf, entspricht ja eigentlich auch der Meinung unserer Politiker, die postulieren, dass das Internet kein rechtsfreier Raum sein darf und die Gesetze der realen Welt unbedingt auch auf die virtuelle Welt angewendet werden müssen.
Es darf daher nicht sein, dass der Einsatz »smarter« Geräte / Software das zwischenmenschliche Vertrauensverhältnis zwischen Arzt / Rechtsanwalt und Patient / Mandant, das essenziell für die Akzeptanz und das Vertrauen in diese Berufsgruppen ist, beschädigt. Das, was sich in der realen Welt seit Jahrtausenden bewährt hat (ärztliche Verschwiegenheitspflicht) darf nicht für die virtuelle (unreale) Welt so einfach negiert werden.
Denn wir müssen uns eines klarmachen. Wir sind Daten, und Daten sind wir. Wenn in der virtuellen Welt unsere Daten (schmerzlos) abhandenkommen, bedeutet das nicht, dass das auch für unsere reale Welt »schmerzlos« ist. Vielmehr kann ein Datenabfluss bzw. falsche, unsachgemäße Datenverarbeitung in der virtuellen Welt für den Patienten / Mandanten in der realen Welt in Konsequenz große, wie auch immer geartete Schmerzen bereiten oder ihm sogar das Leben kosten. Und das Problem bei alledem ist, dass ein Datenverlust NICHT heilbar ist…
2.5 EU-Datenschutzgrundverordnung
Auf die datenschutzrechtlichen Implikationen, die das alles nochmals deutlich verkomplizieren, will ich lieber nicht auch noch eingehen. Spannend ist in diesem Zusammenhang aber, dass bald (ab 25. Mai 2018) die sog. EU-Datenschutzgrundverordnung (DSGVO) gilt, die nicht unbeträchtliche Sanktionsmöglichkeiten für Verstöße gegen wesentliche datenschutzrechtliche Anforderungen bereithält. So kann bspw. eine Behörde bei heftigen Verstößen des Verantwortlichen gegen die datenschutzrechtlichen Bestimmungen, bis zu 20 Mio. € oder 4 % des Gesamtjahresumsatzes des Vorjahres verhängen. Ob und in welchen Fällen die Behörden in Deutschland davon Gebrauch machen, kann man nicht abschätzen. Die DSGVO sagt aber, dass Bußgelder, wenn sie verhängt werden, immer angemessen und abschreckend sein sollen. Daher kann man sagen, dass Datenschutz bald kein »Kindergeburtstag« mehr ist und die Verantwortlichen gut beraten sind, so langsam was zu tun, und den Schutz ihrer Daten ernst zu nehmen. Unserem Credo nach digitalem Minimalismus folgend, sollte das bedeuten, dass sich die Verantwortlichen darüber klar werden, dass weniger oftmals mehr ist. Sprich, je weniger datenhungrige und kommunikationsfreudige Geräte / Software usw. ich einsetze, umso weniger Sorgen muss ich mir machen, dass ich durch den Einsatz gegen geltendes Recht verstoße.
3. Fazit
Das Thema »Schutz von Daten« ist jedenfalls, wenn man sich damit intensiv auseinandersetzt hochkomplex und beinhaltet u.a. so viele unterschiedliche rechtliche, technische, organisatorische, ökonomische, soziologische und psychologische Implikationen, dass es fast unmöglich ist, diese alle vollumfänglich zu erfassen und entsprechend in der Praxis abzubilden.
Jedoch muss man als Geheimnisträger etwas tun, um das Vertrauensverhältnis, das auch sehr stark von Respekt gegenüber dem Patienten / Mandanten geprägt ist, nicht zu schädigen. Der Einsatz der neuesten »smarten« Technik, ist dabei aber vielleicht nicht immer das Allheilmittel. ;-)
So ich hoffe, dass ich ein klein wenig die Probleme anreißen bzw. skizzieren konnte.
Bildquellen:
Doctor: DinosoftLabs from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Windows 10: Dem Kontrollverlust entgegenwirken
Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
Digitalisierung des Gesundheitswesens: Datenschutz, ist was Doc?
Bildungswesen: Entlarvung der häufigsten Microsoft-Mythen
Datenkörper und Volksgesundheit: Debatte um Gesundheitsdaten & Datenschutz
36 Ergänzungen zu “Windows 10: Verarbeitung von Patienten- und Mandantendaten”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Sehr guter Beitrag, direkt geteilt. Gerade das Negieren von Unterschieden zwischen realer und virtueller Realität bekomme ich immer zu Hören. Diese Unterscheidung ist naiv wie falsch. Wir sind umgeben von Daten genauso wie wir von elektromagnetischen Wellen umgeben sind. Nur sehen wir diese nicht weil wir die passenden Instrumente dazu brauchen. Bei elektromagnetischen Wellen sind das Kompass oder Radio sein. Bei Daten sind es nunmal Smartphones oder iGadgets. Eine Frage in die Runde: Wer ist Arzt und synct via Cloud Daten zwischen Homeoffice und Praxis?
Jedes Mal, wenn ich die Phrase »virtuelle Realität« in Bezug auf das Internet höre, wende ich mich ab, weil darauf nur noch politischer oder parawissenschaftlicher (zuweilen als Sozialwissenschaft getarnter) Unsinn folgen kann. Das Internet ist nicht virtuell, sondern genau so real wie die Mücke, deren Stich von gestern mir noch juckt. Im Gegensatz zu den Blähköpfen, die von einer »virtuellen Realität« sprechen, wissen die meisten Menschen das auch sehr genau und profitieren von dieser Realität, die sehr reale Auswirkungen in ihrem Leben hat.
Das Problem ist nicht, dass die Realität des Internet nicht real wäre, sondern dass die Menschen die Möglichkeiten und Gefahren dieses Teiles der nunmehr bestehenden (und überwiegend segensreichen) Realität noch nicht ausgelotet haben. Deshalb treffen sie zu häufig naive und gefährliche Entscheidungen, und es sind einige Verhaltensweisen eingerissen (und damit zur Normalität geworden), zum Beispiel die häufigste Lüge im Internet: Die angeklickte Checkbox vor »Ich habe die Nutzungsbedingungen gelesen und bin damit einverstanden«. Auf Grundlage dieser recht regelmäßigen Lüge werden allerdings Verträge wirksam, mit oft schwer absehbaren Konsequenzen. Das ist ein wirkliches und wirksames Problem, und meiner Meinung nach ist die Behandlung dieses Problems sehr viel wichtiger als das ständige und oft dumme »Cybern« in Politik und Presse. Von diesem Problem sind auch Ärzte, Rechtsanwälte, Pastoren, Sozialarbeiter und Journalisten betroffen, und zwar oft mit einem erschreckenden Mangel an Bewusstsein.
Wenn ich eine gute Lösung für dieses Problem hätte, würde ich sie hier gern preisgeben. Ich habe sie nicht. An einen Bewusstseinsprozess, der alle (oder doch wenigstens die meisten) Menschen erfasst, kann ich jedenfalls nicht mehr glauben. Vermutlich müssen dafür erst einmal richtige Katastrophen passieren, die so viele Menschen so existenziell betreffen, dass es niemand mehr ignorieren kann. Aber dann ist es zu spät. Unterdessen hat die schwedische Verwaltung militärische Geheimnisse und personenbezogene Daten in der »Cloud« gespeichert… :(
„..und meiner Meinung nach ist die Behandlung dieses Problems sehr viel wichtiger als das ständige und oft dumme »Cybern« in Politik und Presse. Von diesem Problem sind auch Ärzte, Rechtsanwälte, Pastoren, Sozialarbeiter und Journalisten betroffen, und zwar oft mit einem erschreckenden Mangel an Bewusstsein…“
Genau so ist es!
Aber die Politiker hatten nichts Wichtigeres zu tun, als sich vor Fakenews zu schützen. SICH! Anstatt unseren Datenschutz ernst zu nehmen. U.a. dafür haben WIR, die Wähler, sie gewählt.
Das ganze Problem kann man eigentlich nur politisch verbessern. Technische Ratschläge sind marginal hilfreich, aber selbst EDV/IT Leute sind letztendlich machtlos. Man denke an die versteckten Handy“Bänder“.
Ich habe dazu H. jan.albrecht@europarl.europa.eu /Grüne Partei, angemailt (über Umwege) mit Hinweis auf den Blog hier. Er ist zuständig. Mal sehen.
Hallo Teejay,
kurze Anmerkung meinerseits. Daten sind m.A. nach das, was Computer bzw. entsprechende Geräte aus den Signalen (Schwingungen usw.) der realen Welt machen.
Sie sind quasi eine digitale Interpretation der realen Welt. Die „smarten“ Smartphones mit ihren Sensoren sind daher m.A. nach als Mittler / Übersetzer zwischen realer und virtueller Welt zu sehen…
Super Beitrag. Vielen Dank an die Autoren.
Schon länger lese ich diesen Blog und verbreite die Informationen im Bekanntenkreis. Man merkt wie selten sich die Personen damit beschäftigen. Umso wichtiger sind solche Informationsseiten.
Vielen Dank
Geldfuchs
Ich war ebenfalls schon oft in der Situation, dass ich gesehen habe wie in Apotheken oder bei Ärzten Windows XP eingesetzt wird. Ich habe dann gefragt ob das Gerät am Internet hängt und ob Ihnen bewusst ist dass die Daten (acuh meine Daten) damit einer großen Gefahr ausgesetzt werden da es für XP keine Sicherheitsupdates mehr gibt.
Die Antwort ist meist ein Schulterzucken und Verweis auf den Chef (den man nicht sprechen kann) etc. daher hab ich mich auch regelmäßig gefragt ob und wie man da Anzeigen erstatten könnte. Eventuell kann man erst einmal einen Datenschutzbeauftragten des Landes zu ansprechen und rausfinden ob da etwas bei heraus kommt.
Tja, da haben Armin Gärtner und ich im Jahre 2013 schon zwei Beiträge zu verfasst. Ausschlaggebend war hierbei der Befall eines Linearbeschleunigers mit dem Conficker-Wurm in einer Klinik.
Wen es interessiert, der kann sich die beiden Beiträge gerne durchlesen und hier kommentieren.
https://e-health-com.de/fileadmin/user_upload/dateien/Downloads/Gaertner_Spyra_2013_06_06_Teil_1_-_Windows_XP_in_der_Medizintechnik.pdf
https://e-health-com.de/fileadmin/user_upload/dateien/Downloads/Gaertner_Spyra_2013_09_16_Betreiberaufgaben_Teil_2_Windows_XP_in_der_Medizintechnik.pdf
Danke für den Beitrag. Ich habe in den letzten Jahren mit drei RechtsanwältInnen zu tun gehabt. Eine Rechtsanwältin sagte mir, sie wäre gezwungen Windows zu nutzen wegen der Programme und Schnittstellen zum Gericht.
Ich sehe nicht, dass RechtsanwältInnen für das Thema Datenschutz sensibilisiert sind.
Eine Zeitlang habe ich vor Kontakt immer geschaut, wo ihre Webseite und E-Mailadresse gehostet sind. Das waren schon mal No-Name Billiganbieter ohne Zertifizierungen, die durch Datenbankverluste aufgefallen sind. Trotz meiner Anweisung, keine E-Mails zu schicken, werden welche versendet mit der Begründung, es stände ja nichts Sensibles drin. Mittlerweile gebe ich gar keine E-Mail Adresse mehr an.
Die scheinbar „datenschutzbewussteren“ RechtsanwältInnen lagern gleich den Kontakt über Internet an Dienstleister aus, z.B. WebAkte – dort lassen sich Dokumente hochladen. Bei Klick auf den Button ist erstmal nicht ersichtlich,dass es sich um einen externen Dienstleister handelt (www.e-consult.de). Die Dokumente werden unverschlüsselt auf deren Servern gespeichert, und tausende RechtsanwältInnen machen mit.
Einerseits ist es so, dass der Schutz meiner Daten in den Händen anderer immer noch meine eigene Verantwortung bleibt; und damit bin ich diejenige, die Zeit und Nerven in die Recherche stecken muss.
Andererseits komme ich mir auch blöd vor, wenn ich zu Beginn eines Beratungsgesprächs fragen muss, ob Cortana läuft! (Ich habe es noch nicht über mich gebracht).
Ich habe in dem Bereich nur massive Unwissenheit beobachtet, bzw. im Gespräch gehört. Nicht mal ganz einfache Zusammenhänge wurden verstanden. Das hat mich schon manches Mal ziemlich frustriert.
Ja da habe ich auch eine schöne Story.
Da bin ich auf der Seite einer Anwaltskanzlei, weil deren Server meinen „angegriffen“ hat und ich diese Kanzlei über das unerhörte Verhalten ihres Servers informieren wollte ;).
Da lese ich dann so einen Spruch in der „Datenschutzerklärung“.
„Wenn Sie mit uns per E-Mail unverschlüsselt kontaktieren, gehen wir davon aus, dass wir unverschlüsselt antworten dürfen“.
So weit so gut. Das Beste daran war aber, dass man gar nicht die Möglichkeit hatte, mit denen verschlüsselt in Kontakt zu treten. Auf der Webseite befand sich kein PGP-Key, kein S/MIME-Key, nada…
Und auf ’nem offiziellen Key-Server wie dem vom MIT?
Das reicht m.A. nach nicht aus. Ich muss ja direkt mit den Anwälten in Kontakt treten können. Ich weiß ja auch nicht, wie sie ihren PGP-KEy gebaut haben. Daher sollte man m.A. nach den Key „prominent“ mit Fingerprint auf der Kontaktseite veröffentlichen. Wie sonst kann die Kontaktaufnahme direkt „verschlüsselt“ erfolgen.
Anwälte werden sogar rechtlich gezwungen, elektronisch zu kommunizieren. Die Überwachung wird immer enger. Das heißt nun beA, ein besonderes elektronisches Anwaltspostfach. Alles hoch offiziell vom Gesetzgeber verlangt. So wie frueher mit Papierakte und ohne Internet ist leider ab Ende des Jahres Geschichte.
Leider wahr. Doch wenn man mitbekommen hat, wie lange sich die Einführung hingezogen hat, weil keiner für das Hosting die Verantwortung übernehmen wollte, sieht man schon, was da für eine Unsicherheit besteht.
Gleiches gilt für die elektronische Gesundheitskarte oder den Heilberufsausweis.
Keiner will die Verantwortung übernehmen…so trusted scheinen die Clouds dann wohl alle nicht zu sein ;)
Dem stimme ich zu… glücklicherweise ist der Staat so wenig kompetent, dass sich zumindest der eBA und die neue Gesundheitskarte, die ja beide ab 1.7. genutzt werden sollten, verzögern ;).
Ich war im April auf einer Infoveranstaltung der Zahnärztekammer, da wurde dies das erste Mal offiziell angekündigt. Bei der Terminvorgabe ging ein schallendes Lachen durch den Raum…
Hast Du einen Tipp, welche Software im Anwaltsbüro Anwendung finden sollte wegen Berufspflichten und Datenschutz? Wie machst Du das?
Hallo Andreas,
tja das ist schon eine Krux.
Ich denke es hilft schon ungemein, wenn man die Kommunikationsfreudigkeit der Software auf ein Minimum z. B. mit entsprechenden iptables Regelungen usw. begrenzt. Virtuelle Maschinen sind auch was Feines. Hinsichtlich Smartphones haben und geben Mike und ich ja entsprechende Tipps und Anleitungen, wie man die Herrschaft halbwegs über die digitalen Taschenspione zurückerlangen kann (Your Phone You Data, Android unter Kontrolle).
Ferner sollte man sich immer auch überlegen, ob man wirklich alle dieser angebotenen Services braucht. Wenn ich „Klaut“ lese, mache ich jedenfalls einen großen Bogen um dieses Programm.
Ferner mögen mich einige Anbieter von Rechtsanwaltssoftware nicht mehr so richtig, weil ich denen immer Fragen stelle, die sie nicht wirklich beantworten wollen / können. Darüber hinaus wollen die dann auch nicht meine Verträge (Auftragsverarbeitungsverträge) unterzeichnen, die ich speziell auf meine Bedürfnisse zugeschnitten habe ;). Ich habe das Gefühl, dass die dabei insbesondere meine Haftungsregelungen nicht lustig finden ;). Ich verweise dann immer nur auf die Datenschutzgrundverordnung und dann bekommen die Pickel ;).
Durch die Gesetzesnovelligerung des § 203 StGB müssen die Geheimnisträger die Dienstleister jedoch noch mehr an die Kandarre nehmen, auch wenn denen das gar nicht schmeckt.
Für Geheimnisträger sehe ich aber keine andere Möglichkeit, als im Vorhinein die Anbieter entsprechend zu verpflichten und klare (Haftungs-) Regelungen zu treffen, damit man, wenn es irgendwie in die Binsen gehen sollte, ihnen nicht vorwerfen kann, dass sie sich nicht um den Schutz von Daten gekümmert hätten.
Ja das ist alles ein ziemlicher Aufwand aber wir können uns halt nicht immer die Rosinen der digitalen Nutzung rauspicken und die Risiken, die mit dem Einsatz immer smarterer Soft- und Hardware einhergehen, links liegenlassen.
Das klappt bei 99 % der normalen Anwälte, die keine Computerfreaks sind ,nicht. Das geht noch mehr in die Tiefe als hier im Blog in den Beitägen angerissen. Kannst Du Vorschläge Deiner Vereinbarungen online stellen und dem 0815-Büro Lösungen aufzeigen, die idiotensicher nachgeahmt werden können? Hier beißen sich Gesetze. Einerseits werden alle und alles gläsern – andererseits machen sich die Berufsgeheimnisträger strafbar und haftbar, wenn sie mit den angebotenen Computern und der Software arbeiten….
Hallo Conny,
berechtigter Wunsch, dem man jedoch nicht wirklich entsprechen kann. Im Datenschutz und in der IT-Sicherheit gibt es leider keine 0815 Lösung. Vielmehr muss man die Maßnahmen (und das wird durch die Datenschutzgrundverordung auch deutlich / Art. 32 DSGVO) immer bezogen auf den jeweiligen Einzelfall treffen.
Das bedeutet, dass man sich (bevor man eine Software beschafft) darüber informieren muss, was die Software und der Anbieter damit so macht. Bedeutet, ich sollte ein Datenschutz- / IT-Sicherheitskonzept des Anbieters einfordern und mich von der Erforderlichkeit der Maßnahmen überzeugen.
Ferner muss ich die Anbieter in meine Pflichten mit einbeziehen. Nach der Novellierung des § 203 StGB muss ich die Mitarbeiter des Unternehmens entsprechend verpflichten. Die Einhaltung der Pflichten gilt es, um einem Organisationsverschulden vorzubeugen, entsprechend (auf welche Art auch immer) zu kontrollieren bzw. bestätigen zu lassen. Das sind alles mehr oder weniger Anforderungen, die auf jeden Verantwortlichen (Geheimnisträger) jetzt zukommen, der seine Daten von „Externen“ verarbeiten lassen will.
Das ist „Privacy by Design“, wo ich nach der DSGVO gesetzlich gefordert bin, von Beginn an, Datenschutz in meine Prozesse zu implementierenn.
Ja ich weiß, dass das eine ziemliche Arbeit / Aufgabe ist bzw. sein kann. Aber das ist halt die logische Konsequenz, wenn ich immer „smartere“ IT einsetze. Man kann auch sagen, das ist die „bittere Pille“, die ich schlucken muss, wenn ich moderne, vernetzte IT einsetzen will….
Und ja, diese „Pille“ schmeckt auch nicht jedem ;)
https://www.brak.de/fuer-anwaelte/bea-das-besondere-elektronische-anwaltspostfach/
Das soll sicher sein… Mit Windows und Browser. Da lachen ja die Hühner. Schaut mal bei der Bundesrechtsanwaltskammer und bei der Bundesnotarkammer. Was „modern“ aussieht beeindruckt die Laien eben.
Damit besteht die Gefahr, die gesamte Justiz auf Knopfdruck lahm zu legen. Da freuen sich die Potentaten der Welt, wenn sie ein Land ohne Waffen platt machen können. Wie dumm und technikgläubig sind die Berufsorganisationen der Anwälte eigentlich? Oder steckt da System dahinter, die Rechtsgelehrtenelite noch besser kontrollieren zu können?
Hallo Ralf,
diese und noch weitere Fragen stelle ich mir des Öfteren besonders im Zusammenhang mit dem Einsatz von „trusted clouds“, „Blockchains“, Big Data, (ok ich höre mit dem Bullshitbingo lieber auf).
Diese Technikhörigkeit kennt irgendwie keine Grenzen mehr und das halte ich persönlich für sehr gefährlich.
Wenn man nicht nur immer die Vorteile sehen würde, sondern sich mal offen und ehrlich auch mit den Risiken auseinandersetzen würde, müsste man jedenfalls im Bereich der Geheimnisträger vielfach zum Ergebnis kommen, gewisse „smarte Technik“ und sonstige „smarte Anwendungen“ gar nicht einsetzen zu dürfen.
Zahnarzt hier. Ich habe überhaupt keine Wahl: Die Praxissoftware gibt es nur mit garantierter Wartung, wenn man auch gleich die ganze IT in fremde Hände – sprich Dental – Depot – gibt. Nahezu jede nutzbare Praxissoftware wird regelmäßig ferngewartet (und das ohne mein Zutun), es muss auf Windows 7 laufen (mindestens), es muss ein Virenscanner installiert sein (ich halte ihn für sinnlos…) etc.
Ich arbeite also an einem Arbeitsplatz, an dem. Ich zwar die Geräte und die Software gekauft habe, aber aufgrund einer Vielzahl an rechtlichen Regelungen kaum Möglichkeiten habe, zu beeinflussen, was die Software kann und was nicht.
Gutes Beispiel: Scanner, die langfristig den Abdruck im Mund ersetzen sollen. Alle Hersteller senden die Rohdaten in ihre Cloud und dann zurück. Alle Patienten lesen das Marketing und wollen das Teil haben, auch wenn die Dinger noch 5 Jahre brauchen…
Oder versuchen Sie mal, Röntgenaufnahmen unkompliziert und standardkonform (DICOM) elektronisch zu versenden. Ich kriege den verschlüsselten Versand hin, aber alle anderen den Empfang nicht. Auf DVD ist keine Option, die können/wollen immer weniger Patienten und Praxen lesen.
Nächster Punkt: Bei uns kann man online den Termin buchen… da ist es schon vorbei mit dem Datenschutz.
Die Krönung habe ich aber woanders gesehen: Exceltabelle mit Terminen zur Abstimmung dreier Ärzte – liegt in der Dropbox. Aber eine echte, datenschutzrechtlich unbedenkliche Lösung gibt es meines Wissens nach nicht, die sowas online regelt.
Kurzum: Der Kampf ist vorbei. Die Patienten wollen alles volldigital (nicht die Leser hier, das ist eine spezielle Gruppe) und es interessiert sie überhaupt nicht, wie und wo die Daten liegen. Hauptsache alles sofort und es darf nix kosten. Der Staat reguliert fast alles, die KZV bestimmt den Datenaustausch zur Abrechnung, die Krankenkasse prüft ab demnächst elektronisch direkt die Versichertenkarte… wir kommen hier mit analogem Datenschutz und der analogen Anwendung der Schweigepflicht nicht weiter.
@ Hans: Das was da geschildert wird ist schon nachvollziehbar. Auch wenn bei den Entscheidern / den handelnden Personen das Bewusstsein geschärft ist, dass da etwas schief läuft so gibt es auf der technischen Seite keine wirkliche Alternative. Damit wird Win xyz quasi zum „Stand der Technik“ erkoren.
Man muss sich jetzt nicht unbedingt eine Arztpraxis mit der schon speziellen Software anschauen. Auch der „normale“ Mittelständler und auch Kleinunternehmer hat hier fast keine Alternative. Alles was über Textverarbeitung, Tabellenkalkulation und Co. hinaus geht ist z.B. unter Linux nur schwer oder gar nicht zu finden.
Wo ist die regelgerechte Buchhaltungssoftware für Bilanzen unter Linux?
Wo ist die regelgerechte Lohnabrechnungsssoftware unter Linux?
Wo ist die regelgerechte Software zur Abwicklung der Sozialversicherungsmeldungen unter Linux?
Wo ist die Software zur Reisekostenabrechnung unter Linux?
Wo ist die Zeiterfassungssoftware für Mitarbeiter unter Linux?
…
Das ist jetzt nur mal so eine kleine Grundausstattung ohne branchenspezifische Lösungen. Gut das findet man auch irgendwo als Online-Lösung; aber das soll es dann auch nicht sein.
Was ich auch schon gesehen habe, ist dass Lieferanten der Automobilindustrie von den OEMs Vorgaben bekommen: Präsentationen sind in PowerPoint 2010 zu erstellen und auszutauschen, Terminpläne sind in MS Project zu erstellen und auszutauschen, Gewichstlisten sind in Excel 2010 zu pflegen und auszutauschen, usw.
Auch wenn der Wille da ist, so werden die Entscheider leider immer wieder bei Win landen (müssen). Es fehlt an wirklichen technischen Alternativen.
Und meinen Arzt / Zahnarzt versuche ich regelmässig auf das Thema zu sensibilisieren. Aber wie gesagt es fehlt an wirklichen Alternativen.
Ich hoffe, der Kampf ist noch nicht vorbei. Wenn das Bewusstsein geschärft wird und vielleicht das ein oder andere IT-Thema schief läuft dann tun sich auch Alternativen auf. Denn irgendwie wird sich der Markt ganz sicher regulieren; „steter Tropfen höhlt den Stein“. Bis dahin durchhalten und Überzeugungsarbeit leisten.
Kurze Anmerkung zu § 203 StGB.
Eine Strafbarkeit für fahrlässiges Handeln sieht das Strafrecht gemäß § 15 StGB nur vor, wenn die ausdrücklich mit Strafe bedroht wird: „Strafbar ist nur vorsätzliches Handeln, wenn nicht das Gesetz fahrlässiges Handeln ausdrücklich mit Strafe bedroht.“
In aller Regel steht in einem gesonderten Absatz: Der Versuch ist strafbar.
Verbrechenstatbestände (Freiheitsstrafen nicht unter einem Jahr) sind jedoch stets im Versuch strafbar.
Insoweit müsste also zumindest dolus eventialis des Täters treffen. Für ein Betriebssystem und seiner möglichen Datenspionagefunktion trifft den Betreiber somit kaum eine strafrechtliche Verantwortung.
Hallo Jeff,
alles korrekt. Ich wollte halt nur nicht zu sehr in die Tiefe gehen und habe die beiden Wissens- und Wollenselemente lieber „amateurhaft“ umschrieben.
Einen dolus eventualis sehe ich aber schon in einem Verhalten, bei dem man einfach etwas toleriert, obwohl man weiß, dass mit der Duldung, die einem aktiven Tun gleichgesetzt werden kann, gegen geltendes Recht verstößt. Wir gehen ja, wie Anfangs beschrieben davon aus, dass Microsoft auf die Daten zugreift und die Geheimnisträger das wissen.
Ich mache da auch keinen Unterschied, ob es ein Betriebssystem oder eine „normale“ Software ist.
Ein kleiner Hinweis noch: Man munkelt in entsprechenden Kreisen, dass Microsoft plant für Geheimnisträger eine „freundlichere“ Betriebssystemlösung bereitzustellen. Kostet halt mehr, aber Datenschutz darf ja auch nicht kostenlos sein ;).
Hallo Gerald,
nein, nein, es ist alles gut. Es ist wichtig dieses Thema näher zu beleuchten und gegebenenfalls Unsicherheiten zu beseitigen. Auch Juristen tun sich in der Abgrenzung des dolus eventualis zur luxuria (also der bewussten Fahrlässigkeit) mit unter schwer. Nach der h.M. ist Fahrlässigkeit die ungewollte Verwirklichung des gesetzlichen Tatbestandes durch eine pflichtwidrige Vernachlässigung der im Verkehr erforderlichen Sorgfalt. In der Gesetzesnorm des § 203 StGB wird fahrlässiges handeln nicht erwähnt. Kommt also noch das „Begehen durch Unterlassen“ nach §13 StGB in Betracht. Ein sogenanntes unechtes Unterlassungsdelikt, weil die Gebotsnorm nicht wie z.B. der „Unterlassenen Hilfeleistung“ als Gesetz normiert ist. Viele Tatbestände können natürlich durch Unterlassen begangen werden.
Um beim Tatbestand des §203 StGB schuldhaftes Handeln vorzuwerfen, müsste der Arzt schon nachweisbare Belege gegen den Softwarehersteller haben oder Kenntnis von belegbaren Vorfällen haben, daß personenbezogene Daten kompromittiert wurden. Erst dann käme die Hilfsformel des dolus eventualis zur Anwendung „Ist mir bekannt, aber egal“. Damit wäre ein indirekter Vorsatz zu unterstellen. Dann ist eine mögliche Strafbarkeit gegeben.
Bei der bewussten Fahflässigkeit lautet die vereinfachte Formel: „Es wird schon gut gehen“
Die Elemente tatbestandsmäßiges Handeln, Rechtswidrigkeit und Schuldhaftigkeit sind damit nicht erfüllt und somit liegt keine Straftat vor.
Jetzt müsste man sich den Lizenzbedingungen näher widmen und hier insbesondere die „Privacy Statements“. Der Schutz ihrer Daten ist uns wichtig kennt jeder – und lacht. Aber ein Nachweis über konkrete Mißbrauchsfälle sind mir nicht bekannt.
MS schreibt:
„Wie wir personenbezogene Daten nutzen“
Auszug:
„Wir verwenden jedoch weder Ihre Inhalte aus E-Mails, Chats, Videoanrufen oder Voicemails noch aus Ihren Dokumenten, Fotos oder anderen persönlichen Dateien, um damit auf Sie gezielte Werbung zu senden.“
Das sind vertragliche Zusagen die Bestandteil des Lizenzvertages sind. Dazu muss man Beweise anführen können, wenn eine mißbräuchliche Verwendung vermutet wird. Aber das ist ein noch sehr viel komplexeres Thema.
Ich hoffe, die Infos sind zumindest hinsichtlich der strafrechtlichen Verantwortung hilfreich.
Auszug:
„Wir verwenden jedoch weder Ihre Inhalte aus E-Mails, Chats, Videoanrufen oder Voicemails noch aus Ihren Dokumenten, Fotos oder anderen persönlichen Dateien, um damit auf Sie gezielte Werbung zu senden.“
Korrektur meiner Angabe zum obigen Absatz!
Diese Aussage bezieht sich nur auf „gezielte Werbung“ und lässt daher offen, ob Inhalte für andere Zwecke verwendet werden.
Raffiniert, aber denkbar.
Hallo Jeff,
nun komme ich auch endlich zum Antworten :).
Die von dir zitierte und korrigierte Passage ist genau die, bei der ich auch Bauchschmerzen habe. Diese Passage ist auf den EU-Raum zugeschnitten. In Amiland schaltet Microsoft nämlich Werbung hinsichtlich der „Gesundheit“. Ich glaube nicht, dass die für die EU ein anderes Produkt verwenden. Sprich die Datenverarbeitungsprozesse sind weltweit die gleichen, nur die Auswertung / weitere Verarbeitung mag vermeintlich eine andere sein.
Daraus kann man schlussfolgern, dass sie auf die Daten zugreifen, sie jedoch nicht für gezielte Werbung nutzen, da sie dafür keinen gesetzlichen Legitimationstatbestand hätten.
Was sie aber sonst mit den Daten machen bzw. wie sie die Daten verwenden, wird halt nicht klar. Ob eine solche Beschreibung mit der Datenverarbeitung die neuen Anforderungen der Datenschutzgrundverordnung erfüllt, will ich mal in Zweifel ziehen.
Dass es aber zu einer (möglicherweise) unbefugten Offenbarung kommt bzw. kommen kann, ist durch diese Formulierung nicht unwahrscheinlich…
Hallo Gerald,
die Antwortfunktion war nicht in deinem Kommentar verfügbar, deswegen hier die Antwort.
Festzustellen bleibt abschließend, das BDSG gilt auch für MS in Deutschland, das einen Auskunftsanspruch auch zur Verwendung mit Dritten beinhaltet. Zu prüfen wäre auch, ob eine Abmahnung mit einer strafbewehrten Unterlassungserklärung möglich ist, wenn Verstösse nachweisbar sind.
Hallo Jeff,
gleiches Problem hier ;). Ich glaube, dass es an der Limitierung in WP liegt. Aber kein Thema. Aus datenschutzrechtlicher Sicht wird m.A. nach Microsoft zu einem (weiteren) Verantwortlichen, besonders wenn sie Daten so verarbeiten, wie es ihnen passt.
Damit sind sie voll in der Verantwortlichkeit und Haftung drinnen. Mithin haften sie auch für Verstöße gegen das Datenschutzrecht usw.
Doch wie will man etwaige konkrete Verstöße nachweisen? Die Intrapsnarenz der Datenverarbeitung ist frappierend…
Aber das ist halt das Dilemma der heutigen, „smarten“ und „cloudbestimmten“ Zeit
Für Verstöße gegen die Verschwiegenheitspflicht können sie m.A. nach nicht haftbar gemacht werden bzw. strafbar machen, da sie nicht zu dem Kreis der Geheimnisträger zählen. Sie werden sich auch nicht entsprechend verpflichten lassen.
Uns bleibt nichts anderes übrig als zu vertrauen…mit all den damit einhergehenden Konsequenzen. Daher gilt nach wie vor, Vertrauen ist gut, Kontrolle ist besser. Wenn ich nicht kontrollieren kann, sollte ich den Einsatz daher ganz genau überdenken oder entsprechende Maßnahmen treffen. Denn ich als Geheimnisträger bin und bleibe für die Wahrung des Geheimnisses verantwortlich…
Wie sieht das eigentlich mit den guten alten analogen Daten aus. Wenn an den die gleichen Anforderungen gelegt werden.
Jeder mit einem Dreikantschlüssel kann sich Post aus dem Postbriefkasten holen. Jeder kann dem Briefträger aus seiner Fahrradtasche Post rausfischen. Oder dem Aktenschiebern in den Gerichten eine Akte vom Haufen klauen. Oder im Hausbriefkasten lange Finger machen. Wie ist das mit den Faxsignalen. Oder der Telefonleitungen. Oder beim Arzt die an der Rezeption liegenden Patientenkarteien. Die abends in Schränke gepackt werden, die mit einer Büroklammer geöffnet werden können.
Mit Fahrzeugen können Menschen getötet werden. Also darf nur mit 100% sicheren Fahrzeugen transportiert werden. Was machen wir realistisch, bis die gebaut sind?
Es ist schon ein Unterschied, ob gezielt ein Briefkasten geleert wird oder ob „schmerzlos“, ohne dass es jemand merkt, die gesamte Kommunikation von allen Rechtsanwälten in Deutschland (beA = besonderes Anwaltspostfach) auf einmal abgegriffen oder geplättet werden kann…
Hallo Markus,
auch eine sehr berechtigte Frage. Vielen Dank hierfür.
Ich könnte das sogar noch weiter ziehen. Wie sieht es mit dem gesprochenen Wort aus? Auch das ist von der Geheimnispflicht erfasst. Und da muss man z. B. in Krankenhäusern sagen, dass man den „Flurfunk“ nicht abstellen können wird.
Auch bei analogen Daten kann man nicht wirklich verhindern, dass diese durch die von dir beschriebenen Methoden abhandenkommen.
Den maßgeblichen Unterschied, den ich bei digitalen Daten und analogen Daten sehe ist, dass ein Verlust von analogen Daten, für Betroffene vielfach (ja es gibt auch Ausnahmen) mit weniger einschneidenden Konsequenzen einhergehen dürfte. Dieses Problem hatten wir auch schon in den Zeiten von Hippokrates, wo es jedoch noch keine digitalen Daten gab ;).
Ferner, und das muss man auch klar sagen, macht es halt einen deutlich höheren Aufwand, analoge Daten „gewinnbringend“ einzusetzen. Zumeist müsste man diese Daten nämlich digitalisieren.
Das Wesentliche an digitalen Daten ist m.A. nach, dass sie ohne Qualitätsverlust „dupliziert“ werden und sich damit in Windeseile verbreiten können. Ferner sind sie durch das Dateisystem eines Computers oder durch das Datenbanksystem geordnet gespeichert. Somit sind sie auch jederzeit durchsuchbar und kategorisierbar und können mit anderen Daten z. B. von anderen Patienten usw. zusammengefügt, verglichen und abgeglichen werden. Damit kann ich aus gewissen Daten Informationen ableiten (Wissen generieren), die ich einem Datum vorher nicht angesehen hätte.
Dieses Problem adressiert das Datenschutzrecht m.A. nach auch. So findet die Datenschutzgrundverordnung grundsätzlich keine Anwendung auf die Verarbeitung analoger Daten. Sie findet jedoch Anwendung auf analoge Daten, die in einem Dateisystem gespeichert sind (wie z. B. in einer Tabelle). In einem solchen Dateisystem sind die Daten geordnet und schnell nach entsprechenden Kriterien durchsuchbar, weshalb von denen dann auch ein höheres Gefährdungspotenzial für die Betroffenen ausgeht, weshalb dann auch das Datenschutzrecht zum Schutz der Betroffenen zur Anwendung kommen muss.
Sie haben den Artikel offenbar nicht verstanden. Zumal die Metaphern nicht passen. Anders als in der realen Welt, liegt im Falle von Windows 10 eine Offenbarung von sensiblen Daten vor, die billigend in Kauf genommen wird. Was zur Folge hat, dass automatisch dritte Parteien an Daten kommen, die sie niemals haben sollten. Umso schlimmer, dass diese Daten zu kommerziellen Zwecken genutzt werden. Übertragen auf die reale Welt währen das dann ganze andere Analogien als die Ihrigen.
Und das Beispiel mit den Fahrzeugen ist einfach nur absurd.
Hallo Markus,
und wo sehen sie das Motiv für alle angeführten Beispiele?
Für jedes Beispiel gibt es übrigens einen Straftatbestand. Sollte sich nicht ein „vernünftiges“ Tatmotiv ergeben, kämen unter Umständen psychiatrisch pathologische Gründe zum tragen, die ggfs. untersucht würden.
„Ihre Privatsphäre ist uns wichtig!“ … steht gleich ganz am Anfang und kann, nein MUSS man auch zweideutig lesen. Das geht sogar so weit, das mit ungefragten, ungewollten, uneingeladenen Windows-ZWANGS-Updates zuvor getätigte Systemeinstellungen einfach ohne Nachfrage und/oder Rückmeldung verstellt, gelöscht und/oder auf irgendwelche Microsoft-konformen Defaultwerte zurückgesetzt werden (können).
Stellt Euch mal vor ein Autohersteller würde die Durchsage machen, während der fahrt die Reifen wechsel zu wollen oder ausgerechnet jetzt am Motor schrauben zu müssen, obwohl der im Augenblick gut läuft.
Die haben neuerdings sogar etwas mehr „Transparenz“, aber erst nachdem Win10 schon mehr als 1 Jahr auf dem Markt ist und sogar das KOSTENLOSE Verschenken nicht so richtig funktioniert hatte. Also mir machen ja schon alleine nur DIE DIAGNOSEDATEN die da heutzutage einfach so nebenbei beim Anwender/Benutzer abgegriffen werden Angst: https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data-1703
Aber das ist bestimmt alles ganz harmlos… machen doch FB, Google und Konsorten schon seit Anbeginn und Microsoft hat hier natürlich erst sehr spät kapiert welche Möglichkeiten sich dadurch/damit eröffnen (BIG DATA) und das das ganze nebenbei auch noch eine Menge Geld in die Kassen spült.