aus "freiheitsfoo Wiki"

Main: DKMS

Inhaltsverzeichnis (hide)

  1.   1.  24.4.2008 - Antwort der DKMS auf eine Anfrage
  2.   2.  18.4.2017 - Presseanfrage an die DKMS
  3.   3.  2.5.2017 - Antworten von der DKMS
  4.   4.  6.5.2017 - Nachfragen an die DKMS
  5.   5.  7.5.2017 - Zwei zusätzliche Fragen an die DKMS
  6.   6.  16.5.2017 - Antworten von der DKMS
  7.   7.  7.6.2017 - Verbloggen unserer Recherche-Ergebnisse
  8.   8.  16.7.2017 - Anrufung des baden-württembergischen Landesdatenschutzbeauftragten

1.  24.4.2008 - Antwort der DKMS auf eine Anfrage


Sehr geehrter Herr xxx,

vielen Dank für Ihre Email und Ihr Interesse an der DKMS.

Durch die große Hilfsbereitschaft in der Bevölkerung konnte schon vielen Leukämiepatienten geholfen werden.

Die Typisierung und die Aufnahme in die DKMS dient allein dazu, um für einen an Leukämie erkrankten Patienten einen passenden Stammzell- oder Knochenmarkspender zu finden. Eine Weitergabe an Dritte ist von der DKMS aus nicht vorgesehen und die Spender erteilen nur für die Speicherung bei der DKMS und die anonymisierte Weitergabe der Gewebemerkmale ihr Einverständnis.

Die DNS-Analyse, um eine Übereinstimmung mit den Gewebemerkmalen eines Patienten zu finden, beschränkt sich auf die Bestimmung der HLA-Merkmale und bezieht sich nicht auf das gesamte Genom, d. h. es wird damit kein "genetischer Fingerabdruck" vorgenommen!

Eine nahezu 100-prozentige Übereinstimmung der HLA-Merkmale muss vorliegen, damit es beim Patienten nicht zu für ihn gefährlichen Abstossungsreaktionen kommt.

Die Gewebemerkmale werden in anonymisierter Form an nationale und internationale Knochenmarkspenderregister übermittelt.

Das bedeutet, dass nur solche Daten übermittelt werden, die für wichtige Entscheidungen bei der Spendersuche relevant sind.

Dazu zählen im Wesentlichen Spendernummer, Geschlecht, Geburtsdatum und Gewebemerkmale, die Anzahl bisher durchgeführter Typisierungen und der Spenderstatus, im Sinne von verfügbar oder nicht.

Namen, Adressen oder ähnliche identifizierende Daten werden nicht übermittelt!

Für weitere Fragen stehe ich Ihnen gerne zur Verfügung!

Mit freundlichen Grüßen

xxx

xxx
Datenschutzbeauftragter
DKMS Deutsche Knochenmarkspenderdatei
gemeinnützige Gesellschaft mbH
Kressbach 1
72072 Tübingen


2.  18.4.2017 - Presseanfrage an die DKMS


Sehr geehrte Damen und Herren,

Ihre Gesellschaft sammelt "Gewebemerkmale" von möglichst vielen Menschen, um anderen Menschen, bei denen Blutkrebs diagnostiziert worden ist, einen möglichst geeigneten Stammzellen-, Nabelblut- bzw. Knochenmarkspender zu finden und somit ihnen zu helfen.

In Ihrem letztveröffentlichten Geschäftsbericht 2015 heißt es, dass es sich bei der Erfassung personenbezogener Daten um eine "hochauflösende Typisierung" handelt. Es würden bei jeder Typisierung eines Menschen seine fünf Merkmale HL-A-A, -B, -C, -DRB1, -DQB1 und -DBP1 und darüber hinaus auch noch die Blutgruppe, der Rhesusfaktor sowie die Genorte KIR und CCR5 erfasst und gespeidert. Es würden - so an anderer Stelle - insgesamt sogar bis zu zwölf HLA-Merkmale ermittelt und gespeichert.

Weiter heißt es im Geschäftsbericht:

"Die in bei der DKMS entwickelte Such-Software "Hap-E-Search" ermöglicht es, sehr schnell einen Spender mit passenden Gewebemerkmalen innerhalb des DKMS-Spenderpools zu finden. Den entscheidenden Unterschied macht ein Haplotypen-basierter Such-Algorithmus."

Als eine Ihrer Aufgaben definieren sie:

"Wir motivieren die Öffentlichkeit und Unternehmen, Registrierungsaktionen zu organisieren."

DKMS sammelt Typisierungsdaten inzwischen nicht nur in Deutschland, sondern auch international, in den USA, Polen, Spanien und Großbritannien. In Ihrer Unternehmensbroschüre 2016 heißt es:

"Lediglich die suchrelevanten Spenderdaten wie Gewebemerkmale, Alter und Geschlecht übermitteln wir pseudonymisiert mit der zugewiesenen Spendernummer an Suchregister wie das Zentrale Knochenmarkspender-Register Deutschland (ZKRD) und das National Marrow Donor Program (NMDP) in den USA."

Es seien 6,4 Millionen Stammzellenspender weltweit bei DKMS registriert, davon 4,6 Millionen alleine in Deutschland (Stand Juli 2016):

Zu den sich fast automatisch eröffenenden Fragen zum Thema Privatsphäre und Datenschutz heißt es auf Ihrer FAQ-Seite zur Frage "Wie wird die Sicherheit meiner Daten gewährleistet?":

"Datenschutz und Datensicherheit sind für die DKMS und damit für jeden Mitarbeiter oberstes Gebot. Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Für die Gewährleistung des Datenschutzes gibt es bei der DKMS einen eigenen betrieblichen Datenschutzbeauftragten, der auf die Einhaltung des Bundesdatenschutzgesetzes achtet.
Die DKMS erhebt, verarbeitet und nutzt Ihre personenbezogenen Daten entsprechend Ihrer Einverständniserklärung nur (soweit dies gesetzlich zulässig und notwendig ist) um geeignete Stammzellspender zu finden.
Ihre persönlichen Daten werden ausschließlich bei der DKMS und bei unserem offiziellen Partner Cellex/CMS bzw. den Entnahmekliniken gespeichert. Lediglich die suchrelevanten Daten wie HLA-Gewebemerkmale, Alter und Geschlecht übermitteln wir mit der zugewiesenen Spendernummer an nationale bzw. internationale Suchregister wie das ZKRD (Zentrales Knochenmarkspenderregister für Deutschland) und das National Marrow Donor Program in den USA (NMDP)."

Wir haben aus dem hervorgehend für eine geplante Berichterstattung folgende Fragen und würden uns über eine baldige Beantwortung - soweit Ihnen möglich - sehr freuen:

1.) An welche weiteren Stellen außer den genannten ZKRD und NMDP werden pseudonymisierte Daten aus dem DKMS-Datenpool im Rahmen der regulären üblichen Arbeit übermittelt? Gehören auch Kliniken, andere Organisationen oder staatliche Stellen beispielsweise dazu und wenn ja, welche? Wie viele "offizielle Partner" (Cellex/CMS und Entnahmekliniken) gibt es insgesamt und welche sind dieses im Detail?

2.) Welche genauen Daten oder Datensätze werden an ZKRD und NMDP übermittelt?

3.) Stimmt es, dass Daten wie Geburtsdatum und Geschlecht der an der Typisierung teilgenommenen Menschen an nationale und internationale Knochenmarkspenderregister übermittelt werden? Wie viele Register sind das und welche sind das im Detail?

4.) Mittels welcher Maßnahmen oder Vereinbarungen ist gewährleistet, dass in die USA übertragene, pseudonmisierte personenbezogene Daten (Stichwort NMDP) dort nicht aufgrund der in den USA geltenden Rechtslage, von staatlichen Behörden wie Polizei oder Geheimdienste abgegriffen oder abgefragt werden können?

5.) Inwieweit ist Ihnen bekannt, dass Strafverfolgungsbehörden oder Geheimdienste durch DKMS ermittelte personenbezogene Daten für Ihre Tätigkeiten verwenden oder verwendet haben?

6.) Gab oder gibt die DKMS personenbezogene Daten (mit oder ohne vorherige Pseudonymisierung) an staatliche Strafverfolgsstellen (Polizeien, Staatsanwaltschaften, Gerichte) oder an deutsche Geheimdienste (Bundes- und Landesämter "für Verfassungsschutz", BND, MAD) weiter und falls ja, wie häufig (also Daten von wie vielen Personen) ist das jährlich in den vergangenen fünf Jahren jeweils summarisch der Fall gewesen?

7.) Wie lautet die von Ihnen erwähnte Standard-Einverständniserklärung der Typisierungs-Teilnehmer im Detail?

8.) Ist es möglich, dass Typisierungs-Teilnehmer eine modifizierte oder ergänzte Einverständniserklärung abgeben und falls ja, in wie vielen Fällen ist das konkret bislang geschehen?

9.) Können Sie gewährleisten, dass die von Ihnen erfassten und innerhalb Ihrer eigenen IT-Strukturen gespeicherten Typisierungs-Teilnehmer-Daten sicher vor Abgriff oder Manipulation sind?

10.) Gab es in der vergangenen Zeit erfolglose oder erfolgreiche Angriffe auf Ihre IT-Strukturen?

11.) Verwendet die DKMS-IT Cloud-Dienste?

12.) Sind die nicht-pseudonymisierten Daten der Typisierungs-Teilnehmer ausschließlich auf Datenträgern abgelegt, die keinerlei Verbindung zum Internet aufweisen? Falls nein, warum nicht?

13.) Nach welchem Verfahren erfolgt die Pseudonymisierung der Daten und welche Stellen verfügen über Zuordnungsinformationen, um diese Pseudonymisierung rückgängig zu machen?

14.) Wie viele Nabelschnur-Typisierungen gibt es derzeit?

Vielen Dank für die Arbeit mit unseren Fragen und viele gute Grüße,


3.  2.5.2017 - Antworten von der DKMS


Sehr geehrter Herr xxx,

vielen Dank für Ihre Fragen, die wir gerne - hoffentlich zu Ihrer Zufriedenheit - beantworten. Sie finden unsere Antworten in roter Schrift unter Ihrer jeweiligen Frage.

Beste Grüße

xxx

Medien- und Öffentlichkeitsarbeit


1.) An welche weiteren Stellen außer den genannten ZKRD und NMDP werden pseudonymisierte Daten aus dem DKMS-Datenpool im Rahmen der regulären üblichen Arbeit übermittelt? Gehören auch Kliniken, andere Organisationen oder staatliche Stellen beispielsweise dazu und wenn ja, welche? Wie viele "offizielle Partner" (Cellex/CMS und Entnahmekliniken) gibt es insgesamt und welche sind diese im Detail?

Die DKMS arbeitet mit Dienstleistern und Partnern zusammen. Das Datenschutzniveau wird hierbei durch Datenverschlüsselung und Auftragsdatenverarbeitungsverträge sichergestellt und regelmäßig überprüft.

2.) Welche genauen Daten oder Datensätze werden an ZKRD und NMDP übermittelt?

An das ZKRD und NMDP werden lediglich die suchrelevanten Spenderdaten in pseudonymisierter Form übermittelt. Dabei handelt es sich neben der Spendernummer um die Gewebemerkmale sowie das Geburtsdatum und Geschlecht des potenziellen Stammzellspenders. Zu keinem Zeitpunkt werden an Register nicht-pseudonymisierte Daten übermittelt. Mit diesen pseudonymisierten Daten ist seitens der Register kein Rückschluss auf eine betroffene Person möglich. Eine Referenzdatei oder eine Zuordnungsvorschrift, um einen Personenbezug herzustellen, gibt es im Zusammenhang mit den Registern nicht. Nur die DKMS kennt die betroffene Person und nimmt zu dieser Kontakt auf.

3.) Stimmt es, dass Daten wie Geburtsdatum und Geschlecht der an der Typisierung teilgenommenen Menschen an nationale und internationale Knochenmarkspenderregister übermittelt werden? Wie viele Register sind das und welche sind das im Detail?

Die pseudonymisierten Spenderdaten werden an nationale und internationale Register übermittelt. Die erfassten Daten können Sie unserer Einverständniserklärung (siehe Anhang) entnehmen. Die Stammzellspender stehen für Patienten weltweit zur Verfügung.

4.) Mittels welcher Maßnahmen oder Vereinbarungen ist gewährleistet, dass in die USA übertragene, pseudonymisierte personenbezogene Daten (Stichwort NMDP) dort nicht aufgrund der in den USA geltenden Rechtslage, von staatlichen Behörden wie Polizei oder Geheimdienste abgegriffen oder abgefragt werden können?

Die DKMS folgt internen Datenschutzstandards, die auf dem deutschen und europäischen Recht basieren. Diese gelten auch für die DKMS-Organisation in den USA.

5.) Inwieweit ist Ihnen bekannt, dass Strafverfolgungsbehörden oder Geheimdienste durch DKMS ermittelte personenbezogene Daten für Ihre Tätigkeiten verwenden oder verwendet haben?

Auf die Datenbank der DKMS haben Dritte, insbesondere Strafverfolgungsbehörden oder Geheimdienste, keinen Zugriff.

6.) Gab oder gibt die DKMS personenbezogene Daten (mit oder ohne vorherige Pseudonymisierung) an staatliche Strafverfolgsstellen (Polizeien, Staatsanwaltschaften, Gerichte) oder an deutsche Geheimdienste (Bundes- und Landesämter "für Verfassungsschutz", BND, MAD) weiter und falls ja, wie häufig (also Daten von wie vielen Personen) ist das jährlich in den vergangenen fünf Jahren jeweils summarisch der Fall gewesen?

Die DKMS gibt keine Daten an Dritte, insbesondere Ermittlungsbehörden oder Geheimdienste, weiter. Aufgrund eines Ermittlungsverfahrens gegen eine einzelne Person kann auf richterlichen Beschluss hin die Datenherausgabe zu dieser Person verlangt werden. In diesem Fall prüft die DKMS diesen einzelnen Vorgang auf Rechtmäßigkeit.

7.) Wie lautet die von Ihnen erwähnte Standard-Einverständniserklärung der Typisierungs-Teilnehmer im Detail?

Ein Exemplar der DKMS-Einverständniserklärung hängt als PDF-Datei der E-Mail an.

8.) Ist es möglich, dass Typisierungs-Teilnehmer eine modifizierte oder ergänzte Einverständniserklärung abgeben und falls ja, in wie vielen Fällen ist das konkret bislang geschehen?

Nein, dies ist nicht möglich.

9.) Können Sie gewährleisten, dass die von Ihnen erfassten und innerhalb Ihrer eigenen IT-Strukturen gespeicherten Typisierungs-Teilnehmer-Daten sicher vor Abgriff oder Manipulation sind?

Ja. Sämtliche technischen und organisatorischen Maßnahmen zum Schutz der Daten werden laufend überprüft und optimiert. Auf diese Weise stellt die DKMS seit mehr als 25 Jahren sicher, dass kein Unbefugter Zugriff auf diese Daten erlangt.

10.) Gab es in der vergangenen Zeit erfolglose oder erfolgreiche Angriffe auf Ihre IT-Strukturen?

Es gab bis dato keinen erfolgreichen Angriff auf die IT-Strukturen der DKMS.

11.) Verwendet die DKMS-IT Cloud-Dienste?

Ja. Die Zugangs- und Zugriffskontrolle auf Daten in der Cloud erfolgt nach aktuellem Stand der Technik.

12.) Sind die nicht-pseudonymisierten Daten der Typisierungs-Teilnehmer ausschließlich auf Datenträgern abgelegt, die keinerlei Verbindung zum Internet aufweisen? Falls nein, warum nicht?

Nein. Mit einer Insellösung ist nicht gewährleistet, dass passende Spender zeitnah kontaktiert werden können. Im Kampf gegen Blutkrebs ist Zeit ausschlaggebend.

13.) Nach welchem Verfahren erfolgt die Pseudonymisierung der Daten und welche Stellen verfügen über Zuordnungsinformationen, um diese Pseudonymisierung rückgängig zu machen?

Sämtliche Daten, die auf einen konkreten Spender schließen lassen, werden durch eine Spendernummer ersetzt. Ausschließlich die Personen bei der DKMS, die persönlichen Kontakt zu Spendern haben müssen, können diese Pseudonymisierung rückgängig machen.

14.) Wie viele Nabelschnur-Typisierungen gibt es derzeit?

Stand Juli 2016 waren mehr als 8.800 Nabelschnurblutpräparate in der DKMS-Nabelschnurblutbank eingelagert.


4.  6.5.2017 - Nachfragen an die DKMS


Sehr geehrter Herr xxx,

vielen Dank für die Rückmeldung und die Antworten. Leider sehen wir aber an einigen Stellen die Fragen nicht wirklich beantwortet.

Wo wir das so sehen, haben wir das im folgenden markiert/notiert und würden uns freuen, von Ihnen noch die vervollständigenden Antworten zu erhalten.

Der Übersichtlichkeit halber haben wir die Nachfragen nun alphabetisch gelistet.

Vielen Dank für die Mühe und viele gute Grüße,

xxx
Redaktion freiheitsfoo.de


Am 02.05.2017 um xxx schrieb xxx@dkms.de:

1.) An welche weiteren Stellen außer den genannten ZKRD und NMDP werden pseudonymisierte Daten aus dem DKMS-Datenpool im Rahmen der regulären üblichen Arbeit übermittelt? Gehören auch Kliniken, andere Organisationen oder staatliche Stellen beispielsweise dazu und wenn ja, welche? Wie viele "offizielle Partner" (Cellex/CMS und Entnahmekliniken) gibt es insgesamt und welche sind diese im Detail?
Die DKMS arbeitet mit Dienstleistern und Partnern zusammen. Das Datenschutzniveau wird hierbei durch Datenverschlüsselung und Auftragsdatenverarbeitungsverträge sichergestellt und regelmäßig überprüft.

a.) Wie viel weitere Stellen sind es genau, an die die DKMS pseudonymisierte Daten überträgt?

b.) Welches sind die Empfänger dieser Daten im einzelnen?


2.) Welche genauen Daten oder Datensätze werden an ZKRD und NMDP übermittelt?
An das ZKRD und NMDP werden lediglich die suchrelevanten Spenderdaten in pseudonymisierter Form übermittelt. Dabei handelt es sich neben der Spendernummer um die Gewebemerkmale sowie das Geburtsdatum und Geschlecht des potenziellen Stammzellspenders. Zu keinem Zeitpunkt werden an Register nicht-pseudonymisierte Daten übermittelt. Mit diesen pseudonymisierten Daten ist seitens der Register kein Rückschluss auf eine betroffene Person möglich. Eine Referenzdatei oder eine Zuordnungsvorschrift, um einen Personenbezug herzustellen, gibt es im Zusammenhang mit den Registern nicht. Nur die DKMS kennt die betroffene Person und nimmt zu dieser Kontakt auf.

c.) Werden die numerischen Anteile der Spendennummern fortlaufend nummeriert oder nach einem stochastischem Verfahren ausgewählt und vergeben?

d.) Weisen die ersten fünf alphabetischen Zeichen evtl. auf die Nationalität des Spenders oder auf das Land der Typisierungsaktion oder auf andere Informationen (bspw. typisierende Organistion) hin?


3.) Stimmt es, dass Daten wie Geburtsdatum und Geschlecht der an der Typisierung teilgenommenen Menschen an nationale und internationale Knochenmarkspenderregister übermittelt werden? Wie viele Register sind das und welche sind das im Detail?
Die pseudonymisierten Spenderdaten werden an nationale und internationale Register übermittelt. Die erfassten Daten können Sie unserer Einverständniserklärung (siehe Anhang) entnehmen. Die Stammzellspender stehen für Patienten weltweit zur Verfügung.

Ihr Datenschutzrechtliche Einverständniserklärung lautet im Volltext:

"Ich erkläre die Richtigkeit meiner obigen persönlichen Angaben und willige freiwillig in die Erhebung, Verarbeitung und Nutzung dieser Daten sowie der Ergebnisse der oben genannten Laboruntersuchungen des Probenmaterials (zusammen „personenbezogene Daten“) durch die DKMS zum Zweck der weltweiten Suche nach passenden Stammzell spendern für Patienten ein. Dies schließt auch besonders schützenswerte personenbezogene Daten (Abstammung, Laborergebnisse, medizinische Diagnosen) mit ein. Für diese Zwecke dürfen dieses Formular und die darin gemachten Angaben durch einen Auftragsdatenverarbeiter nach § 11 Bundesdatenschutzgesetz im Auftrag der DKMS elektronisch erfasst und verarbeitet werden. Die personenbezogenen Daten dürfen an internationale Organisationen der DKMS-Gruppe zum Zweck der weltweiten Suche nach passenden Stammzellspendern für Patienten übermittelt werden. Die suchrelevanten Daten (z. B. Laborergebnisse, Spendernummer, Angaben zu Geburtsdatum und Geschlecht) dürfen ohne Angaben, mit deren Hilfe meine Identität bestimmt werden könnte, an nationale und internationale Knochenmarkspenderregister zum Zweck der weltweiten Suche nach passenden Stammzellspendern für Patienten übermittelt werden. Die personenbezogenen Daten können im Rahmen von wissenschaftlichen Auswertungen zur Verbesserung der Heilungschancen von Patienten innerhalb der internationalen Organisationen der DKMS-Gruppe verwendet werden. Um die Spenderdatei immer auf dem aktuellen Stand zu halten, werde ich der DKMS eine Adressänderung mitteilen. Falls ich dies versäumen sollte bzw. der DKMS Anhaltspunkte für die Unrichtigkeit vorliegen, erkläre ich mich mit einer Nachfrage beim zuständigen Einwohnermeldeamt einverstanden. Ich willige darin ein, dass die DKMS meine E-Mail-Adresse nutzt, um mich über Ihre Arbeit auf dem Laufenden zu halten (auch in Form digitaler Newsletter) und dass dabei personenbezogene Daten zur Qualitätssicherung erhoben und gespeichert werden. Ich kann diese Einwilligung jederzeit schriftlich gegenüber der DKMS, Kressbach 1, 72072 Tübingen oder in Textform (z. B. per E-Mail an post@dkms.de) widerrufen. Eine Kopie dieser Einverständniserklärung habe ich erhalten."

e.) Ist diese Einverständniserklärung im Laufe der Zeit schon einmal seitens des zuständigen Landesdatenschutzbeauftragten oder seitens des BfDI auf ihre Zulässigkeit überprüft worden?


4.) Mittels welcher Maßnahmen oder Vereinbarungen ist gewährleistet, dass in die USA übertragene, pseudonymisierte personenbezogene Daten (Stichwort NMDP) dort nicht aufgrund der in den USA geltenden Rechtslage, von staatlichen Behörden wie Polizei oder Geheimdienste abgegriffen oder abgefragt werden können?
Die DKMS folgt internen Datenschutzstandards, die auf dem deutschen und europäischen Recht basieren. Diese gelten auch für die DKMS-Organisation in den USA.

f.) Welche "internen Datenschutzstandards" sind damit konkret gemeint?

g.) Können Sie gewährleisten, dass die in die USA übertrogenen personenbezogenen oder personenbeziehbaren Daten (und darunter fallen auch die pseudonymisierten Datensätze) nicht US-staatliche Behörden wie z.B. US-Polizeien und US-Geheimdienste abgegriffen werden? Falls ja: Anhand welcher Vereinbarungen oder anderer Maßnahmen soll das verhindert werden?


5.) Inwieweit ist Ihnen bekannt, dass Strafverfolgungsbehörden oder Geheimdienste durch DKMS ermittelte personenbezogene Daten für Ihre Tätigkeiten verwenden oder verwendet haben?
Auf die Datenbank der DKMS haben Dritte, insbesondere Strafverfolgungsbehörden oder Geheimdienste, keinen Zugriff.

h.) Die Frage war nicht auf den "Zugriff auf die DKMS-Datenbank" bezogen, sondern auf durch die DKMS erfassten personenbezogenen Daten. Können Sie die Antwort hierzu noch nachliefern?


6.) Gab oder gibt die DKMS personenbezogene Daten (mit oder ohne vorherige Pseudonymisierung) an staatliche Strafverfolgsstellen (Polizeien, Staatsanwaltschaften, Gerichte) oder an deutsche Geheimdienste (Bundes- und Landesämter "für Verfassungsschutz", BND, MAD) weiter und falls ja, wie häufig (also Daten von wie vielen Personen) ist das jährlich in den vergangenen fünf Jahren jeweils summarisch der Fall gewesen?
Die DKMS gibt keine Daten an Dritte, insbesondere Ermittlungsbehörden oder Geheimdienste, weiter. Aufgrund eines Ermittlungsverfahrens gegen eine einzelne Person kann auf richterlichen Beschluss hin die Datenherausgabe zu dieser Person verlangt werden. In diesem Fall prüft die DKMS diesen einzelnen Vorgang auf Rechtmäßigkeit.

i.) Wie oft hat dann eine Datenherausgabe in der von Ihnen beschriebenen Form jährlich in den vergangenen fünf Jahren jeweils summarisch der Fall stattgefunden?


11.) Verwendet die DKMS-IT Cloud-Dienste?
Ja. Die Zugangs- und Zugriffskontrolle auf Daten in der Cloud erfolgt nach aktuellem Stand der Technik.

j.) Können Sie uns mitteilen, welche oder welcher Anteil der bei DKMS gespeicherten und verarbeiteten Daten in Cloud-Speichern abgelegt ist?


13.) Nach welchem Verfahren erfolgt die Pseudonymisierung der Daten und welche Stellen verfügen über Zuordnungsinformationen, um diese Pseudonymisierung rückgängig zu machen?
Sämtliche Daten, die auf einen konkreten Spender schließen lassen, werden durch eine Spendernummer ersetzt. Ausschließlich die Personen bei der DKMS, die persönlichen Kontakt zu Spendern haben müssen, können diese Pseudonymisierung rückgängig machen.

k.) Wie viele Personen sind das bei der DKMS, die die administrativen Rechte oder Zugrifssmöglichkeiten besitzen, um im Einzelfall eine De-Pseudonymisierung durchführen zu können?


5.  7.5.2017 - Zwei zusätzliche Fragen an die DKMS


Sehr geehrter Herr xxx,

gerne möchten wir noch die folgenden zwei Fragen ergänzen:

l.) Entsprechen die von DKMS genutzten Cloud-Dienste dem BSI-Anforderungskatalog Cloud Computing (C5)?

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html

m.) Welche Gründe gibt es dafür, im Rahmen der pseudonymisierten Weitergabe personenbezogener Daten auch das tag-genaue Geburtsdatum der typisierten Personen an Dritte weiterzugeben? Würde mit Blick auf medizinische oder erfolgstechnische Gründe nicht auch bspw. die Angabe von Geburtsmonat und -jahr genügen?

Vielen Dank und viele gute Grüße,


6.  16.5.2017 - Antworten von der DKMS


Sehr geehrter Herr xxx,

untenstehend finden Sie die Ausführungen zu Ihrer Anfrage.

Viele Grüße,

Ihr DKMS-Presseteam


a.) Wie viel weitere Stellen sind es genau, an die die DKMS pseudonymisierte Daten überträgt?

Die DKMS arbeitet in verschiedenen Bereichen mit Dienstleistern zusammen. Entscheidend aus Datenschutzsicht ist, dass diese Dienstleister von der DKMS vorher sorgfältig ausgewählt werden. Ihre Eignung für die jeweilige Aufgabe wird angemessen nach den zu treffenden technischen und organisatorischen Anforderungen für jeden Auftrag gewissenhaft geprüft.

Gleiches gilt für die an der Stammzellspende beteiligten Stellen. Diese müssen international akkreditiert sein und sind im internationalen Verbund vertraglich verpflichtet sein.

Die Auflistung aller Dienstleister der DKMS wird aus Gründen der Vertraulichkeit nicht extern kommuniziert.


b.) Welches sind die Empfänger dieser Daten im einzelnen?

Aus Gründen der Vertraulichkeit nennt die DKMS keine Dienstleister in der Öffentlichkeit.


c.) Werden die numerischen Anteile der Spendennummern fortlaufend nummeriert oder nach einem stochastischem Verfahren ausgewählt und vergeben?

Die Spendernummern der DKMS sind bisher fortlaufend nummeriert. Es ergeben sich aus der Spendernummer allein keine Rückschlüsse auf einen Spender und seine personenbezogenen Daten.


d.) Weisen die ersten fünf alphabetischen Zeichen evtl. auf die Nationalität des Spenders oder auf das Land der Typisierungsaktion oder auf andere Informationen (bspw. typisierende Organistion) hin?

Nein.


e.) Ist diese Einverständniserklärung im Laufe der Zeit schon einmal seitens des zuständigen Landesdatenschutzbeauftragten oder seitens des BfDI auf ihre Zulässigkeit überprüft worden?

Nein.


f.) Welche "internen Datenschutzstandards" sind damit konkret gemeint?

Die interne DKMS-Datenschutzrichtlinie, die auf europäischem Datenschutzrecht basiert, und dieses auch für DKMS USA festlegt.


g.) Können Sie gewährleisten, dass die in die USA übertrogenen personenbezogenen oder personenbeziehbaren Daten (und darunter fallen auch die pseudonymisierten Datensätze) nicht US-staatliche Behörden wie z.B. US-Polizeien und US-Geheimdienste abgegriffen werden? Falls ja: Anhand welcher Vereinbarungen oder anderer Maßnahmen soll das verhindert werden?

Die DKMS überträgt nur pseudonymisierte Daten in die USA. Das dortige Register erhält diese Daten mit dem Zweck, passende Stammzellspender-Patienten-Kombinationen ausfindig zu machen.


h.) Die Frage war nicht auf den "Zugriff auf die DKMS-Datenbank" bezogen, sondern auf durch die DKMS erfassten personenbezogenen Daten. Können Sie die Antwort hierzu noch nachliefern?

Die von der DKMS gespeicherten personenbezogenen Daten befinden sich in der DKMS-Datenbank. Auf diese haben Dritte keinen Zugriff.


i.) Wie oft hat dann eine Datenherausgabe in der von Ihnen beschriebenen Form jährlich in den vergangenen fünf Jahren jeweils summarisch der Fall stattgefunden?

Für den Fall, dass die DKMS rechtmäßig Daten zur Strafverfolgung herausgeben müsste, besteht von unserer Seite keine Erforderlichkeit, dies statistisch zu erfassen oder extern zu kommunizieren.


j.) Können Sie uns mitteilen, welche oder welcher Anteil der bei DKMS gespeicherten und verarbeiteten Daten in Cloud-Speichern abgelegt ist?

Die DKMS macht aus Gründen der Vertraulichkeit keine Angaben in welchem Umfang welche Technik verwendet wird. Entscheidend ist, dass ausschließlich zulässige und geeignete Technik(en) erlaubt sind und in angemessener Weise gesichert sein müssen.


k.) Wie viele Personen sind das bei der DKMS, die die administrativen Rechte oder Zugrifssmöglichkeiten besitzen, um im Einzelfall eine De-Pseudonymisierung durchführen zu können?

Die DKMS ist eine Verantwortliche Stelle. Rechtmäßigerweise dürften daher alle Mitarbeiter der DKMS gemeinnützige GmbH die durch die Einwilligungserklärung erhobenen Daten einsehen. In der Praxis und gemäß dem Prinzip der Datensparsamkeit tun dies indes nur Personen, für deren tägliche Arbeit dies relevant ist. Eine genaue Personenanzahl geben wir nicht an.


l.) Entsprechen die von DKMS genutzten Cloud-Dienste dem BSI-Anforderungskatalog Cloud Computing (C5)?

Die DKMS trifft in Zusammenarbeit mit Ihren Dienstleistern die für den Schutz von personenbezogen Daten angemessenen Schutzvorkehrungen. Dabei wird darauf geachtet, dass die Schutzvorkehrungen dem aktuellen Stand der Technik sowie den gesetzlichen Anforderungen vollumfänglich entsprechen.


m.) Welche Gründe gibt es dafür, im Rahmen der pseudonymisierten Weitergabe personenbezogener Daten auch das tag-genaue Geburtsdatum der typisierten Personen an Dritte weiterzugeben? Würde mit Blick auf medizinische oder erfolgstechnische Gründe nicht auch bspw. die Angabe von Geburtsmonat und -jahr genügen?

Für die Auswahl zur Stammzellspende ist das genaue Geburtsdatum erforderlich. Diese Entscheidung wurde im internationalen Verbund für die Suche und Vermittlung eines passenden Stammzellspenders getroffen. Auch mit vollständigem Geburtsdatum gelten die Daten als pseudonymisiert, da keine weiteren Angaben vorhanden sind, die eine Bestimmbarkeit einer Person möglich machen würde.


7.  7.6.2017 - Verbloggen unserer Recherche-Ergebnisse


https://freiheitsfoo.de/2017/06/07/dkms/


8.  16.7.2017 - Anrufung des baden-württembergischen Landesdatenschutzbeauftragten


Sehr geehrte Damen und Herren,

im Rahmen einer Recherche

https://freiheitsfoo.de/2017/06/07/dkms/

zu den Erfassungen, Speicherungen und Verarbeitungen der DKMS gGmbH

https://www.dkms.de/de

sind wir von der Redaktion des Blogs freiheitsfoo.de auf einige DV-Vorgänge bei der Gesellschaft gestoßen, die wir für fragwürdig wenn nicht gar rechtswidrig halten.

Wir möchten Sie hiermit darauf hinweisen und an Sie als für die gGmbH zuständige Datenschutzbehörde appellieren, die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten bei der DKMS hinsichtlich der Konformität mit deutschem und EU-europäischen Recht zu überprüfen.

Insbesondere (aber nicht andere Punkte ausschließend) möchten wir auf folgende Punkte hinweisen:

- Uneindeutigkeit gegenüber den von der DKMS typisierten Menschen darüber, in welchem Umfang personenbezogenen Daten von ihnen bei der DKMS gespeichert werden. Konkret geht es um die im Rahmen einer Registrierungs-Vorabfrage ermittelten Angaben zu Krankheiten und Allergien der Personen.

- Die Unmöglichkeit für die Registrierten bzw. Registrierungswilligen, Ausnahmen zur Datenerhebung und -verarbeitung vorzunehmen bzw. einzufordern. Grundlage ist die allgemeine "Datenschutzrechtlichen Einwilligung" der DKMS: https://www.dkms.de/de/datenschutzbestimmungen-der-dkms Nach eigenen Angaben der DKMS ist es für die Betroffenen nicht möglich, eine Modifizierung oder Ergänzung dieser Vorgaben und Befugniserteilung zur Verarbeitung der personenbezogenen Daten vorzunehmen, siehe DKMS-eigene Auskunft zu unserer Frage Nr. 8 hier: https://wiki.freiheitsfoo.de/pmwiki.php?n=Main.DKMS#toc3

- Die fragwürdige Gewährleistung der Sicherheit und Authentizität sensibler personenbezogener Daten, die die DKMS in Cloud-Diensten auslagert. Auf die Frage, ob diese Datenspeicherung dem BSI-Anforderungskatalog Cloud Computing (C5) entspräche, wollte uns die DKMS keine Antwort erteilen.

- Aus unserer Sicht weiterhin überprüfenswert ist die Frage, ob die seitens DKMS vorgenommene Pseudonymisierung ausreicht, um eine nachträgliche Identifizierung der zu den Daten gehörenen Personen mit großer Sicherheit ausgeschlossen werden kann. Wir möchten darauf hinweisen, dass das tag-genaue Geburtsdatum ein Teil des pseudonymisierten Datensatzes ist.

- Die vollständigen, nicht-pseudonymisierten Daten werden u.a. in die USA übertragen. Wir fragen uns, ob die Übertragung der Daten angesichts der in den USA herrschenden Zugriffsrechte staatlicher Institutionen wie Geheimdienste und Polizeien mit deutschem und europäischen Recht vereinbar ist. Auch gegen diese Datenweitergabe kann sich ein bei der DKMS registrierter oder registrierender Mensch übrigens nicht verwehren.

- Als unzulässig empfinden wir zudem das mittels der ebenfalls pauschalen Einverständniserklärung pauschal eingeholte Recht der DKMS, zu jedem der registrierten Menschen Datenabfragen beim Einwohnermeldeamt durchführen zu dürfen. Mindestens hier wäre aus unserer Sicht ein Opt-In-Verfahren notwendig.

- Ähnliches, wenn auch inhaltlich etwas weniger gewichtig, gilt für die pauschale Newsletter-Abonnierung, die mit der Registrierung zwangsweise verbunden ist.

- Ob der DKMS-Webauftritt in seiner jetzigen Form zulässig ist, können wir nicht beurteilen. Wir halten ihn im Zusammenhang mit einer sich als gemeinnützig verstehenden Organisation und mit Blick auf die sensiblen Daten, die in diesem Zusammenhang verarbeitet werden, zumindest für völlig unangemessen privatsphären-invasiv. Vielleicht können Sie auch dieses untersuchen.

- Unklar blieb bei unseren Nachfragen an die DKMS und deren Beantwortung, inwiefern (und ob überhaupt im konkreten Fall auf Rechtsgrundlagen beruhend oder nicht) die DKMS personenbezogene Daten an Polizeien oder Geheimdienste weitergegeben hat.

Wir würden uns freuen, von Ihnen zu hören, was eine etwaige Überprüfung zur Einhaltung von Datenschutzgrundsätzen bei der DKMS ergeben hat.

Vielen Dank für Ihre Arbeit und viele gute Grüße,


URL: https://wiki.freiheitsfoo.de/pmwiki.php?n=Main.DKMS
Zuletzt geändert am 16.07.2017 19:18 Uhr