Datenschutz Basics

Hier haben wir Ihnen einige Basics sowie Ideen und Anregungen zum Datenschutz zusammengestellt, die Sie gerne für Ihre eigenen Zwecke kostenfrei verwenden dürfen.

Starten Sie am besten gleich mit unserem einfachen Self-Assessment-Tool, bei dem Sie die Antworten im Zeitablauf immer wieder aktualisieren können und damit die hoffentlich positive Entwicklung des Datenschutzniveaus in Ihrer Kanzlei dokumentieren können.

Unsere Tools finden Sie hier…

Wichtig

 

  • Es ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, das auf Verlangen der Aufsichtsbehörde vorgelegt werden kann (Übersicht)

  • Dieses sollte auf auf einer Prozess- bzw. Verfahrensaufnahme basieren und daraus schlüssig ableitbar sein (Verfahrens- bzw. Verarbeitungsdokumentation)

  • Eine Aufstellung der technischen und organisatorischen Maßnahmen, die der Verantwortliche zum Schutz von personenbezogenen Daten ergreift, muss ebenfalls auf Verlangen vorgelegt werden können. Diese Dokumentation sollte daher den aktuellen Istzustand wiedergeben

  • Vorteilhaft ist auch eine Dokumentation der Datenschutzorganisation beim Verantwortlichen (Aufgabenverteilung, Kommunikationsvorgaben, etc.)

  • Unbedingt notwendig ist die Bereitstellung der Informationen zum Datenschutz für Betroffene z.B. im Internet (web-Auftritt). Dies gilt besonders für die digitale Kommunikation (E-Mail, web-Formulare).
    Sind Kinder betroffen, muss die Information zur Datenverarbeitung besonders einfach und kindgerecht sein  (Art. 12 Abs. 1 DSGVO, EG 58)

  • Empfehlenswert ist auch eine (interne) Aufstellung zur Weitergabe personenbezogener Daten an externe Stellen (Art. 26 bis 28 DSGVO)

  • Vereinbarungen zur Auftragsverarbeitung (z.B. mit Softwareanbietern und anderen Dienstleistern, wenn diese auf personenbezogene Daten zugreifen können müssen verfügbar sein (Auftragsverarbeiter nach Art. 28 DSGVO) 

  • Die nachweisbare Unterweisung der Mitarbeiter zur Verschwiegenheit und zum Datenschutz sichert vor und gegen Vorwürfe der Nachlässigkeit. Regelmäßige (z.B. jährliche) Schulungen hierzu werden empfohlen

  • Ein interner oder externer Datenschutzbeauftragter ist auf alle Fälle zu benennen (und zu bestellen), wenn mindestens zwanzig Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind

Übersicht der Verarbeitungstätigkeiten

Zu jeder Tätigkeit (Verarbeitung) sind die in der DSGVO geforderten Angaben zu erfassen. Das sind:

  • Rechtsgrundlage

  • Zweck der Verarbeitung (z.B. ärztliche Dokumentation)

  • betroffene Personengruppen (z.B. Patienten, Beschäftigte)

  • Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)

  • Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)

  • Fristen für die Löschung (z.B. zehn Jahre)

Verfahren, die in fast jedem Unternehmen anfallen

  • Personalverwaltung und Personalabrechnung

  • Mitarbeiter-Bewerbermanagement

  • Geschäftspartner-Verwaltung

Diese bestehen grds. aus mehreren Prozessen und geben Ihnen einen Anhaltspunkt, ob in Ihrer Praxis noch weitere datenschutzrelevante Prozesse zu beachten sind.

Rechtsgrundlagen

Der Datenschutz versteht sich generell als „Verbot mit Erlaubnisvorbehalt“, wie auch besonders im Fall der besonderen Kategorien personenbezogener Daten nochmals deutlich wird. Es gibt also Ausnahmen von dem Verbot der Datenverarbeitung.

Die möglichen Rechtsgrundlagen sind:

  • Gesetzliche Anforderungen

  • Vertragliche Vereinbarungen

  • Freiwillige Einwilligungen

  • Interessenabwägungen

…mit jeweils unterschiedlichen Folgen hinsichtlich Anwendbarkeit, Belastbarkeit und Dokumentationsanforderungen.

Sie sollten sich in allen Stufen des Behandlungsprozesses darüber im Klaren sein, auf welcher Rechtsgrundlage Sie Daten verarbeiten!

Sonderfall Einwilligung

Eine wesentliche Rechtsgrundlage ist das Vorliegen einer Einwilligung von Patienten. Die Einwilligung darf aber nicht „nebenbei“ erfolgen und nicht mit anderen Angeboten verbunden sein.

Die DSGVO nennt als eine Voraussetzung zur Verarbeitung von Gesundheitsdaten: „Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt“. Dabei ist es wichtig, dass diese Einwilligung freiwillig erfolgt und auch nachweisbar dokumentiert wird.

Praxen, die mit Einwilligungserklärungen des Patienten arbeiten, zum Beispiel bei der Weitergabe von Daten an eine privatärztliche Verrechnungsstelle, müssen die Erklärung um einen Hinweis auf Widerrufbarkeit ergänzen.

Sonderfall Interessenabwägung

Wenn Sie keine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten finden, können Sie ggf. auf das relativ neue Instrument der Interessenabwägung zurückgreifen. Dabei handelt es sich quasi um einen Fall der Gerätemedizin, der den geschulten Spezialisten (hier allerdings zum Datenschutz) überlassen werden sollte.

Datenschutz Qualität

Es versteht sich fast von selbst, dass die Sicherheit der Verarbeitung bei besonderen Kategorien personenbezogener Daten höheren Ansprüchen genügen muss, da die Maßnahmen insbesondere unter Berücksichtigung der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen auszuwählen sind.

Besonders Anbieter in der Gesundheitsbranche sollten somit nach DSGVO regelmäßig prüfen, wie es um ihre Datensicherheit steht.

Web-Auftritte und Social Media Angebote

Praxen, die eine Internet- oder Facebook-Seite anbieten, sollten die Datenschutzerklärung prüfen und gegebenenfalls anpassen; dies gilt ebenso, wenn personenbezogene Daten zum Beispiel über Kontaktformulare oder für einen Praxis-Newsletter erfasst und gespeichert werden.