Im Datenschutz gilt ab dem 25.05.2018 die Beweislastumkehr. Das bedeutet, dass der Nutzer von personenbezogenen Daten beweisen muss, dass er alles getan hat, um diese zu schützen! Dieses muss dokumentiert werden und gilt somit als Beleg/Beweis!
Die Persönlichkeitsrechte sind im Grundgesetz in den Artikeln 1 und 2 beschrieben. Auf diesen Artikeln basiert das Recht auf die Kontrolle der persönlichen Daten (Fotos, Bankdaten, Biometrische Daten, Geburtsdatum, usw.)
Der Datenschutzbeauftragte (DSB) hat die Aufgabe den Unternehmer (aller Branchen) zu beraten, wie er dieses optimiert im Bezug auf seine Prozesse durchführen kann.
Die Basis hierzu ist eine exakte Prozessbeschreibung, bei der eine Qualitätsmanagement sehr helfen kann.
Wir beraten Sie bei kritischen Themen im Rahmen des Bundesdatenschutzgesetzes (BDSG) und der europäischen Datenschutz Grundverordnung (EU-DSGVO):
- Einwilligung
- Informationspflicht
- Prozessbeschreibung
- Impressum auf Internetseite
- Kommunikation (Mail)
- usw.
Wir stellen den externen Datenschutzbeauftragten (DSB) für Ihr Unternehmen, da dieser in vielen Fällen sinnvoller als ein interner DSB sein kann. Hier können Sie über den Vergleich von internen & externen DSB nachlesen.
Unsere Leistung für Sie finden Sie HIER!
Mein Beratungs-Zertifikat vom TüV-Süd finden Sie HIER!
Informationsdatenbank zum Datenschutz (DS):
Betroffenen Rechte:
- Art. 12: Die mitzuteilenden Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorzulegen,
- Art. 13 Informationspflicht des für die Datenverarbeitung Verantwortlichen,
- Art. 14 Auskunft über Weitergabe der persönlichen Daten an Dritte zwecks Verarbeitung,
- Art. 15 Auskunftsrecht,
- Art. 16 Das Recht auf Berichtigung,
- Art. 17 Das Recht auf Datenlöschung,
- Art. 18 Das Recht auf Einschränkung der Verarbeitung,
- Art. 20 Recht auf Datenübertragbarkeit (Formatänderung zur Datenübermittlung),
- Art. 21 Recht auf Widerspruch
Datenschutzbeauftragter für eine Praxis: Grundsätzlich stellt sich für jeden niedergelassenen Arzt die Frage, ob nicht ein Datenschutzbeauftragter im Team eine echte Erleichterung bedeuten würde. Aber rechtlich zwingend ist ein Datenschutzbeauftragter nur dann, wenn die Praxis Teil einer öffentlichen Stelle oder Behörde ist oder wenn in der Praxis die Verarbeitung von personenbezogenen Daten das wichtigste Tätigkeitsfeld ist (Art. 37 Abs.1 DSGVO).
Auch eine Datenschutzfolgen-abschätzung ist nur in besonderen Fällen Thema für eine Arztpraxis: Sie wird notwendig, sobald besonders sensible Daten, die Rechte und Freiheiten von Patienten berühren, verarbeitet werden. Bestes Beispiel sind genetische Daten, die einen ganz besonderen Datenschutz notwendig machen, wie in Art. 35 DSGVO eindeutig beschrieben wird.
Datenschutz-Folgeabschätzung: Das Risiko und die Folge beim Verlust personenbezogener Daten soll eingeschätzt werden. Die Regelung der Datenschutz-Folgeabschätzung ist im Art. 35 der DSGVO geregelt. In Abs. 10 sind die Ausnahmen geregelt. Hiernach ist die Datenschutzfolgeabschätzung nicht verpflichtend, soweit die Datenverarbeitung personenbezogener Daten – egal in welchem Umfang – von Patienten oder Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder einem Anwalt durchgeführt wird.
Datengeheimnis: Nicht nur der oder die Ärzte einer Praxis sind schweigepflichtig hinsichtlich ihrer Patienten. Diese Pflicht gilt darüber hinaus auch für alle Praxismitarbeiter. Lt. § 5 Satz 2 BDSG (neu) müssen diese bei Einstellung schriftlich zur Verschwiegenheit verpflichtet werden.
Einwilligung: Personenbezogene Daten bedürfen nach § 4 DSGVO bei Aufnahme, Verarbeitung und Weitergabe einer Einwilligung.
Erwägungsgründe: Die 173 Erwägungsgründe dienen der Interpretation der Artikel der DSGVO.
Fotonutzung: Die Nutzung von Bildern/Videos und anderen optischen Materialien ist abhängig von der Genehmigung durch die betroffene Person. Diese hat das „Recht auf Vergessen“ und Löschung gemäß Art. 19 DSGVO und bedarf der Einwilligung gemäß Art. 17 DSGVO.
Geltung ab 25.05.2018: Bisher galt das Bundesdatenschutzgesetz (BDSG) und seit dem 25.05.2016 auf europäischer Ebene die europäische Datenschutzrichtlinie, die ab dem 25.05.2018 zum Gesetz gilt und europäische Datenschutzgrundverordnung (EU-DSGVO) heißt. Das BDSG tritt analog zum selben Datum als BDSG-neu in Kraft. Der Arbeitnehmerschutz und die Bestellung zum DSB in der BDSG-neu sind EU-rechtskonform.
Kündigungsschutz: Der interne DSB hat besonderen Kündigungsschutz (§6 Abs. 4 BDSG-neu in entsprechender Anwendung des § 626 BGB) da er unabhängig von der Geschäftsführung beratend tätig sein muss. Eine außerordentliche Kündigung aus wichtigem Grund (Unzumutbarkeit) ist hiervon unberührt.
Mailversand: Mails müssen von Anfang bis Ende verschlüsselt sein. Das ist allerdings im normalen Mailversand kaum möglich. Somit sind die personenbezogenen Daten hier auch nicht sicher. Dieses gilt auch für Anhänge (Rechnungen) dieser Mail (auch pdf). Diese müssen gesondert verschlüsselt werden und der Schlüssel mus auf einem anderen Weg übermittelt werden (Mündlich, postalisch, etc.) Eine Alternative stellt folgende Möglichkeit dar: Die Rechnungen in eine sichere cloud hochladen, die mit einem individuellen Paßwort zu öffnen ist.
Technisch-organisatorsiche-Maßnahmen (TOM): Dokumenation der Sicherheit bei der Verarbeitung von personenbezogenen Daten. „Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,...BDSG Anlage (zu § 9 Satz 1)“: (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, getrennt Verarbeitung.)
Öffnungsklauseln: Ziel der DSGVO ist die Vollharmonisierung des DS in Europa. Es gibt in der DSGVO 73 Öffnungsklauseln, die den Mitgliedsstaaten die Möglichkeit geben, durch ihre Gesetzgebung zu konkretisieren.
Patienteneinwilligung: Gemäß Artikel 13 EU-DSGVO informieren wie Sie, dass wir personenbezogene Daten zur Terminierung, Dokumentation gemäß BGB §§ 630ff („Patientenrechtegesetz“) und Rechnungsstellung gemäß GOBD erheben. Ihre Daten werden elektronisch verarbeitet und nicht an Dritte weiter geleitet, wenn Sie nicht ausdrücklich zustimmen. Gemäß § 4a EU-DSGVO müssen Sie zu dieser Nutzung vorher einwilligen.
Strafen: Die DSGVO sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Das Bußgeld soll dabei verhältnismäßig und abschreckend sein!
Videoüberwachung: Eine Kameraüberwachung (egal aus welchem Grund) ist ein Eingriff in die Persönlichkeitsrechte, der Personen, die sich in dem Aufnahmebereich dieser Kamera befinden. Vor Betreten dieses Bereichs muss gemäß BDSG-neu § 32 und Artikel 13 DSGVO darauf sachgerecht (Betreiber, ggf. DSB, Speicherdauer, Löschfrist, Zweck der Überwachung, Kamera-Typ, Lage der Kamera, etc.) hingewiesen werden. Dieses betrifft nicht die verdeckte Überwachung. In den TOM`s (siehe oben) muss eine Bezeichnung der Kameralage und der Bewachungsbereich entsprechend aufgeführt werden.
Vorvertraglicher Prozess: Kunden, die sich zu einem Termin telefonisch anmelden und hier Ihre Kontaktdaten bekannt geben, müssen nicht vorher eine schriftliche Einwilligung einholen, da sich diese Kontaktaufnahme noch vor vertragsabschluß statt findet!
Werbezweck: Dürfen gespeicherte Daten zum Werbezweck verwendet werden? Die Daten müssen nach Ablauf der Veranstaltung (die zum Erwerb dieser Daten führte) mit einem Sperrvermerk versehen werden. Auch bei einer zulässigen, pflichtgemäßen Datenspeicherung gibt es sonst keinerlei rechtliche Basis für die Verwendung dieser Daten zu Werbezwecken. (Tätigkeitsbericht der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg zum 31. Dezember 2015, Seite 163, sowie Urteil des Landgerichts München I vom 08. April 2010, 17 HK O 138/10)
WhatsApp: Sofern Messangerdienste auf die Kotaktdaten eines Gerätes zugreifen ist der DS schon verletzt, da das „Recht auf Information“ und „Recht auf Vergessen werden“ des einzelnen Bürgers nicht möglich ist (Artikel 15 DSGVO). Wenn diese Daten dann noch in das Nicht-EU-Ausland gelangen und dort gespeichert werden, ist das rechtlich nicht zulässig.