Sie wünschen eine Inhouse-Veranstaltung? Sprechen Sie uns an.

12 + 15 =

Datenschutzgrundverordnung: Neues vom Bundesdatenschutzgesetz (BDSG)

Datenschutzgrundverordnung, bald wird es ernst! Da kommt so einiges auf die Unternehmen zu – egal ob Mittelständische Unternehmen oder Ein-Mann-Frau-Betriebe.

 

Datenschutz ist ein Grundrecht

Grundsätzlich ist der Datenschutz ein Grundrecht aller Menschen. Der Schutz bei der Verarbeitung personenbezogener Daten ist eben ein Grundrecht und nicht wie so manche meinen, ein Recht von Gesundheitsberufen diese Daten einfach an Dritte weiterzugeben. Egal ob über den Arztbrief, dem Überleitungsbogen an den Pflegedienst oder das Krankenhaus, im Telefonat oder auch für wissenschaftliche Zwecke, beim Führen von Kundendaten im Sanitätshaus oder der Apotheke. Die Datenschutz-verordnung ist in vielen Gesetzen verankert.
Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

 

Heißt Datenschutz Schutz der Daten?

Alle Datenschutzgesetze sollen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (vgl. §1 Abs. 1 BDSG a.F.)

Damit ist also nicht der Schutz von Daten gemeint, sondern der Schutz der Entscheidungsbefugnis des Einzelnen über die Verwendung seiner Daten! Deshalb folgen alle Datenschutzgesetze dem Grundsatz:

Die Verarbeitung personenbezogener Daten ohne ausdrückliche gesetzliche Erlaubnis ist verboten!

 

 

Datenschutzgrundverordnung wurde an EU-Verordnung angepasst

Das Gesetz zur Anpassung des Datenschutzes an die EU-Verordnung, die Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUGEU) wurde im April vom Bundestag verabschiedet. Der Bundesrat hat im Mai 2017 dem neuen Datenschutzgesetz seine Zustimmung erteilt. Damit hat er den Weg für eine Reform des deutschen Datenschutzrechts bereitet.

Somit bekommt der Datenschutzbeauftragte eine immer bedeutsamere Stellung in den Gesundheitseinrichtungen. Um wirksam für die Gesundheitseinrichtung tätig zu sein, sollte der Datenschutzbeauftragte und das Risikomanagement auf jeden Fall die zahlreichen regulatorischen Vorgaben des Gesetzgebers im Blick haben.

Beibehalten wird im neuen BDSG, dass verarbeitende Stellen auch im nichtöffentlichen Sektor regelmäßig einen Datenschutzbeauftragten zu benennen haben. Die Benennung eines Datenschutzbeauftragten ist erforderlich, soweit Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Auch für die Website der Gesundheitseinrichtung  gilt es so einiges zu beachten.

Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS- Grundverordnung

Wussten Sie schon, dass Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern ggfs. trotzdem ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen? Das kann auch Sie als Freiberufler, Verein oder Pflegeeinrichtung betreffen.

Werden vom Verantwortlichen bzw. Auftragsverarbeiter personenbezogene Daten verarbeitet,

  • die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen, z.B. Überwachungsmaßnahmen oder
  • die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kundendaten) oder die u.a.
  • die besondere Datenkategorien (Art. 9 Abs. 1 DS-GVO) wie Religionsdaten, Gesundheitsdaten betreffen,

ist dieser verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Darauf weist das Kurzpapier der unabhängigen Datenschutzbehörde des Bundes und der Länder hin.

 

Zeitplan zur Anwendbarkeit der EU- Datenschutzgrundverordnung

Der Zeitplan sieht wie folgt aus:

  • März 2016: offizielle deutsche Fassung der EU-DSGVO
  • April 2016: Beratung des EU-Ministerrats, danach Abstimmung im Europäischen Parlament
  • 25. Mai 2018: Anwendbarkeit der EU-Datenschutz-Grundverordnung

 

Verträge zum Datenschutz beachten!

Die EU- Datenschutzgrundverordnung regelt die Anforderungen bezüglich der vertraglichen Gestaltung von Verträgen zur Auftragsverarbeitung (z.B. Verträge mit Rechenzentren).

Um den Umgang mit diesen Anforderungen zu erleichtern, wurde  der „Muster-ADV-Vertrag für das Gesundheitswesen“ hinsichtlich dieser Anforderungen von fünf Verbände aus dem Gesundheitswesen, unter anderem auch die Deutsche Krankenhausgesellschaft (DKG), angepasst. Dieser Muster-Vertrag zur Auftragsverarbeitung (ADV) sowie ein Hinweispapier zum Umgang mit bereits bestehenden Datenverarbeitungsverträgen steht zur freien Verfügung

pdf -Datei >>>> Download

word-Datei >>> Download

 

Beachte: mit der EU- Datenschutzgrundverordnung werden die nationalen Regelungen für die Datenverarbeitung abgelöst.

So müssen beispielsweise alle Verträge geprüft werden, ob diese den neuen Anforderungen der EU-Datenschutzgrundverordnung entsprechen und ggfs. geändert werden! Die Bundesländer haben bereits darauf hingewiesen, dass diese ihre Datenschutzverordnungen anpassen werden sowie ihre gesetzlichen Vorgaben.

 

Löschkonzepte

Schon gewusst? Eine automatisierte Datenverarbeitung benötigt auch eine automatisierte Datenlöschung. Alle Unternehmen sind verpflichtet personenbezogene Daten zu löschen, wenn diese nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen. In der Praxis haben jedoch die wenigsten Unternehmen diesbezüglich ein etabliertes Löschkonzept. Mit Einführung der Datenschutz-Grundverordnung kann ein solches Versäumnis ein hohes Bußgeld nach sich ziehen. Somit sind nicht nur die gesetzlichen Aufbewahrungsfristen zu beachten, es muss auch stichhaltig begründet werden, warum ggfs. personenbezogene Daten länger als die vorgegebenen Archivierungsfristen aufbewahrt und nicht  gelöscht werden. Es kann aber auch notwendig werden, das Daten gesperrt und nicht gelöscht werden.

Ja, richtig gelesen, gelöscht werden. Ist Ihr Software-Anbieter darauf vorbereitet?

 

 

Aufbewahrungsfristen

Hier gibt es eine Auflistung der wichtigsten gesetzlichen Aufbewahrungsfristen von A bis Z. Wichtiger Hinweis vorab: die Auflistung kann nur einen Überblick über die Informationspflichten geben. Diese Liste ist nicht vollständig! Deshalb sollte jedes Unternehmen sich am besten an die zuständige IHK sowie an den Datenschutzbeauftragten ihres Bundeslandes wenden. Diese geben Ihnen sicherlich gerne auf ihre Situation bezogene Informationen.

Eine Auflistung über Aufbewahrungsfristen nach der DSGVO vom juraforum.de:  >>> gibt es hier.

 

Digitalisierung, Datenschutz und Schweigepflicht

Der § 203 des Strafgesetzbuches (StGB) stellt den Schutz von Geheimnissen vor unbefugter Offenbarung sicher. Das heißt, dass bestimmten Berufsgruppe, wie Ärzten, Rechtsanwälten, Steuerberatern oder Wirtschaftsprüfern im Rahmen ihrer beruflichen Tätigkeit Informationen anvertraut werden die einem besonderen Schutz bedürfen.

Digitalisierung gerät in den Fokus

Die Digitalisierung gerät nun in den Fokus. Patientenakten werden zu Archivierungszwecken digitalisiert, Daten werden in der Cloud abgelegt, medizintechnische Geräte gewartet. Diese Arbeiten werden in weiterem Umfang als bisher als anfallende Unterstützungstätigkeiten nicht durch eigenes Personal erledigt, sondern oft durch darauf spezialisierte Unternehmen  vorgenommen.

Berufsgeheimnisträger, wie eben auch Ärzte, stehen ggfs. vor einem bisher nicht wahrgenommenen Risiko.
So steht in der Drucksache der Bundesregierung 18/11936: „Im Zusammenhang mit auf Datenverarbeitungsanlagen und -systeme bezogenen Dienstleistungen (Einrichtung, Betrieb, Wartung und Anpassung) liegt zwar der Gedanke einer konkludenten Einwilligung der Berechtigten nicht ganz fern, da für die Berechtigten offensichtlich sein dürfte, dass der Arzt, Anwalt etc., den sie aufsuchen, sich einer IT-Anlage bedient, diese gewartet werden muss und dass dies in der Regel mangels Fachkenntnissen weder von dem Berufsgeheimnisträger selbst noch von dessen Gehilfen erledigt werden kann. Die Annahme einer konkludenten Einwilligung dürfte aber ebenfalls nicht zu ausreichender Rechtssicherheit führen.“

 

Datenschutz: Entgegennahme von Visitenkarten ein Thema für den Datenschutz?

Wer hat sie nicht schon erhalten, die Visitenkarte eines Vertrieblers, Geschäftsführers usw..
Mit Barcode versehen, können die Daten noch einfacher im Smartphone hinterlegt werden. Gilt hier auch die DSGVO?
Welt.de  berichtet in seinem Artikel u.a. über die neue DSGVO zum Umgang mit der Entgegennahme von Visitenkarten. Darin heißt es: „Die Entgegennahme der Visitenkarte für sich genommen löst noch keine Informationspflicht aus“, sagte ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Erst wenn die darauf enthaltenen Daten gespeichert würden, sehe die Verordnung vor, dass der Betroffene informiert werden müsse.

Deshalb empfiehlt die Bitkom-Geschäftsleiterin Dehmel, „dem Visitenkarteninhaber eine E-Mail zu schicken, in der er Pflichtangaben über die Verarbeitung seiner Daten bekommt und in der er darüber aufgeklärt wird, wie er gegebenenfalls der Verarbeitung widersprechen kann.“

Das muss man sich nun mal vorstellen. Jemand gibt einem die Kontaktdaten, und dann soll man eine Mail hinterher schicken, um den Visitenkartengeber über die Datenverarbeitung zu informieren.
Vielleicht so? „Vielen Dank, dass Sie mir Ihre Kontaktdaten freiwillig gegeben haben. Diese Daten habe ich in meinem Smartphone hinterlegt und werde diese Daten in meiner Kundenkartei aufnehmen, um mit Ihnen in Kontakt treten zu können. Ggfs. sende ich Ihnen, wie besprochen, Informationen zu unserem neuen Produkt zu. Sollten Sie der Datenspeicherung widersprechen, dann senden Sie mir bitte eine Mail, diese werde ich dann umgehend löschen und Ihre Kontaktdaten ebenfalls.“
Auf weiterhin gute Zusammenarbeit!

Wichtig zu wissen: Zur Abwicklung eines Geschäfts braucht man keine Einwilligung für die Kontaktaufnahmen; aber über die Umstände der Datenerhebung. Das kann man auch mündlich, aber wie will man das ggfs. nachweisen, sollte ein Unternehmen sich über die Kontaktaufnahme beschweren?

Mal sehen, was sich die Juristen hierzu einfallen lassen werden. Es gibt eben doch noch Unklarheiten.

 

EU-Kommission: häufige Fragen

Hier eine Interessante Zusammenstellung der EU-Kommission. Kleine Handwerksunternehmen müssen nicht viel tun

„In der Datenschutz-Grundverordnung wurden für kleinere Unternehmen ganz bewusst weniger Verpflichtungen vorgesehen. Wenn ein kleineres Unternehmen nicht primär in der Verarbeitung personenbezogener Daten tätig ist, braucht es beispielsweise keinen Datenschutzbeauftragten einzusetzen und muss auch keine detaillierte Datenschutz-Folgeabschätzung erstellen. Solche Unternehmen müssen zwar in der Regel ihre Datenverarbeitung dokumentieren, wenn sie regelmäßig personenbezogene Daten verarbeiten, und diese der Datenschutzbehörde auf Anfrage zur Verfügung stellen. Hier wird jedoch eine einfache einseitige Aufstellung reichen.

So muss beispielsweise ein Handwerksbetrieb der nur für eigene Zwecke Informationen über seine Mitarbeiter oder Kunden speichert und diese nicht weiterverkauft, im Grunde nur dafür sorgen, dass diese Daten sicher aufbewahrt sind. Eine kleine Bäckerei braucht keine Datenschutzfolgenabschätzung. Anderslautende Behauptungen sind Humbug.“ Quelle: juris

>>> Weiterlesen

Alles nicht so einfach mit der DSGVO.