Datenschutz und Cyberschutz bei H&S

Datenschutz-Management-System

Unternehmen produzieren und nutzen im betrieblichen Alltag Unmengen an Daten. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, wie Softwareprogramme, Schriftstücke, Aushänge. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Menschen genießen einen besonderen Schutz, also die Daten von Klienten, Bewohnern, Angehörigen, Mitarbeitern, Lieferanten, Geschäftspartnern.

3147F4C1 CD1B 438A B106 1DCB60303319 - Datenschutz-Management

Hinsichtlich personenbezogener Daten sind Sie spätestens seit dem 25. Mai 2018 an die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) gebunden. Darüber hinaus sind die damit einhergehenden Änderungen des Bundes-Daten-Schutz-Gesetzes (BDSG) einzuhalten. Durch die DSGVO erhalten wir in allen Mitgliedsstaaten ein einheitliches Schutzniveau personenbezogener Daten. In der Pflege verarbeiten Mitarbeiter besondere Kategorien personenbezogener Daten. Insbesondere durch die umfangreiche und regelmäßige Dokumentation des gesamten Gesundheitszustandes der pflegebedürftigen Personen. Deshalb besteht die Pflicht zu einem Datenschutzbeauftragten. Zur Durchsetzung der Vorschriften wurden die Strafen deutlich erhöht.

Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung bzw. Zugang — ob unbeabsichtigt oder unrechtmäßig — sind  nach Mustervorlage unseres Datenschutz-Handbuches zu bewerten. Soweit möglich, ist in ihrer EDV eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten mit Verwendung von Pseudonymen zu erfolgen.

0943E36B BC39 480C 8066 AB553C3D4EE1 - Datenschutz-Management
Frau arbeitet am Datenschutzhandbuch

Grundsätzliche Aufgaben

Die Aufgaben, die Sie als Datenschutz-Beauftragter umsetzen, nennt das Gesetz in Artikel 39 DSGVO. Sie haben bei ihrer Arbeit den spezifischen Risiken im Datenschutz gebührend Rechnung zu tragen (Artikel 39 Absatz 2 DSGVO). Handeln Sie risikoorientiert, indem sie die Risiken beim Umgang mit personenbezogenen Daten berücksichtigen. Die entscheidende Rolle spielt der Umfang, die Umstände und der Zweck der Datenverarbeitung. In der Praxis führt das zu einer Rangfolge des Datenschutz-Risikos der Datenverarbeitung, welches zu prüfen ist. Diese Tätigkeiten und Überlegungen sind zu dokumentieren nach Mustervorlage unseres Datenschutz-Handbuches. Sie senken das Risiko eines Bußgelds und tragen durch die Dokumentation ihren Teil zur generellen Rechenschaftspflicht bei (Artikel 5 Absatz 2 DSGVO).

Überwachung

Sie haben die Einhaltung der Vorschriften zum Datenschutz nach Artikel 39 Absatz 1 Buchstabe b DSGVO zu „überwachen“, wie beispielsweise die DSGVO, Bundes-Daten-Schutz-Gesetz (BDSG), Tele-Medien-Gesetz (TMG), Tele-Kommunikations-Gesetz (TKG) bzw. nach dem Entwurf der  Telekommunikation und bei Telemedien (TTDSG) vom 10.02.2021. Die internen Vorgaben, wie die Strategie des Verantwortlichen zum Datenschutz sind abzugleichen. Die Zuständigkeiten und Abläufe in den Prozessen für die Erhebung und Nutzung von Daten sind regelmäßig zu auditieren nach Mustervorlage unseres Datenschutz-Handbuches. Alle Beschäftigten sind zum Thema zu sensibilisieren und alle Maßnahmen auf Wirksamkeit zu prüfen.

girl 1 1 - Datenschutz-Management

Wie kann die Überwachung erfolgen?

Die Informationen sind zu sammeln, um Datenverarbeitungen in den unterschiedlichen Prozessen zu erkennen und zu analysieren. Im Rahmen unserer Verarbeitungstätigkeiten nach Mustervorlage unseres Datenschutz-Handbuches ergänzend zu den Prozessbeschreibungen aus dem Qualitätsmanagement-Handbuch sind diese mittels Datenschutz-Folgeabschätzung vorzunehmen.

Die Daten- und Auftragsverarbeiter außerhalb des Unternehmens (Software-Firmen, Steuerberater) haben sie auf Rechtmäßigkeit zu prüfen. Es sind entsprechende Auftragsverarbeitungsverträge nach Mustervorlage unseres Datenschutz-Handbuches einzufordern.

Vertrauen

Für die Verarbeitung von personenbezogenen Daten durch externe Dienstleister (Auftragsverarbeiter) sind die Vorschriften von Artikel 30 DSGVO und Artikel 32 DSGVO einzuhalten. Ein geeignetes Vertragsmuster zur Auftragsverarbeitung hat die Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) zur Verfügung gestellt.

Cloud-basierte Management-Systeme

Technische und organisatorische Maßnahmen (TOM)

Nach Stand der Technik hat der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Damit gewährleisten er ein dem Risiko angemessenes Schutzniveau. Als Datenschutz-Beauftragter berücksichtigen Sie Folgendes:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,

  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung bzw. Zugang — ob unbeabsichtigt oder unrechtmäßig — sind  nach Mustervorlage unseres Datenschutz-Handbuches zu bewerten. Soweit möglich, ist in ihrer EDV eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten mit Verwendung von Pseudonymen zu erfolgen.

3850834 s - Datenschutz-Management

Unterrichtung und Beratung

Eine weitere Aufgabe ist die Unterrichtung und Beratung in allen Fragen zum Datenschutz (Artikel 39 Absatz 1 Buchstabe a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interner Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Sie klären über den Umgang mit personenbezogenen Daten auf und erläutern gesetzliche Vorgaben. Die Beschäftigten sind über den richtigen Umgang mit personenbezogenen Daten nach Mustervorlage unseres Datenschutz-Handbuches zu schulen.

Datenschutz-Folgenabschätzung

Sie haben an der Datenschutz-Folgenabschätzung (Artikel 39 Absatz 1 Buchstabe c DSGVO) mitzuwirken. Es geht um die Abschätzung und Minimierung möglicher Folgen, wenn sie eine risikobehaftete Verarbeitung planen oder ändern (Artikel 35 DSGVO) nach Mustervorlage unseres Datenschutz-Handbuches.

Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde

Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass sie unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommunizieren. Sie dienen gegenüber den Behörden als Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Dies stärkt ihre Position mit der Verantwortung nach außen hin aufzutreten. Und die Behörde kann direkt auf die fachkundigste Person der Stelle zugreifen. Sie sind den Behörden als Datenschutzbeauftragter zu melden (Meldebescheinigung) nach Mustervorlage unseres Datenschutz-Handbuches.

Weitere Aufgaben (Auszugsweise)

Neben den gesetzlich zugewiesenen Aufgaben überträgt der Verantwortliche auf freiwillige Basis zusätzliche Funktionen. Das Gesetz lässt die Übertragung von weiteren Aufgaben zu (vgl. Artikel 39 Absatz 1 Satz 1 und Artikel 38 Absatz 6 DSGVO). Interessenskonflikte sind zu vermeiden. In Betracht kommen die nachfolgenden Aufgaben.

  • Verzeichnis der Verarbeitungstätigkeiten

    Nach Artikel 30 DSGVO führen sie ein Verzeichnis nach Mustervorlage unseres Datenschutz-Handbuches. Sie listen die personenbezogenen Daten auf, wie und zu welchen Zweck die Daten zu verarbeiten sind. Dieses Verzeichnis haben Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten zu führen. Zu berücksichtigen ist die Ausnahme des Absatz 5: Sie führen das Verzeichnis, sobald sie „besondere Datenkategorien“ bearbeiten (Artikel 9 Absatz 1 DSGVO). Hierzu zählen Gesundheitsdaten, Angaben über Krankheitstage und beispielsweise Schwerbehinderungen.

  • Erstellung von Tätigkeitsberichten

    Es besteht keine gesetzliche Pflicht für sie regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Aus Haftungsgründen gilt für die gesamte Organisation die Rechenschaftspflicht des Artikel 5 Absatz 2 DSGVO. Darin führen sie den Nachweis, ob und wie das Unternehmen oder Einrichtung alle Datenschutzvorgaben einhält. Sie erhalten nach Mustervorlage unseres Datenschutz-Handbuches ein Auditbericht, der einmal jährlich als Tätigkeitsnachweis zu führen ist.

  • Meldung von Datenschutzverstößen

    Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, ist die Aufsichtsbehörde und die davon betroffenen Personen (Artikel 33, 34 DSGVO) mittels Meldeformular nach Mustervorlage unseres Datenschutz-Handbuches zu unterrichten. Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung und haben binnen 72 Stunden zu erfolgen. Sie übernehmen diese Aufgabe von vornherein. Bei Rückfragen wendet sich die Aufsichtsbehörden an Sie (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Im Übrigen sind sie nur dann gesetzlich verpflichtet, wenn sie frühzeitig über derartige Vorgänge informiert sind.

Mitwirkung bei der Realisierung von Betroffenenrechten

Die Betroffenen besitzen vielfältige Rechte gegenüber dem Unternehmen oder Einrichtungen der von ihnen gespeicherten personenbezogene Daten. Dazu zählen vor allem …

  • das Recht auf Auskunft (Artikel 15 DSGVO)

  • das Recht auf Berichtigung (Artikel 16 DSGVO)

  • das Recht auf Löschung („Recht auf Vergessenwerden“, Artikel 17 DSGVO)

  • das Recht auf Einschränkung der Artikel 15 DSGVO (Artikel 18 DSGVO)

  • das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

  • das Widerspruchsrecht (Artikel 21 DSGVO)

Frau mit Pflegerin mit jeweils Daumen hoch

Sie achten darauf, dass die gesetzliche Aufgabe beachtet und umgesetzt sind nach Mustervorlage unseres Datenschutz-Handbuches. Die Anfragen der Betroffenen sind entgegen zu nehmen, zu bearbeiten und zu beantworten. Das begehrte Recht des Betroffenen ist unmittelbar zu prüfen.

Sie besitzen als Datenschutz-Beauftragter vielfältige Aufgaben und Pflichten. Ohne eine Fachausbildung oder Unterstützung von außen ist das Pensum der Gesetzeskonformität kaum zu erfüllen. Dazu bieten wir entsprechende Weiterbildungen an.

Die Tätigkeiten sind verstärkt zu dokumentieren.

Dies ist sinnvoll, um sich gegen mögliche Haftungsansprüche zu schützen und um der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachzukommen. Schließlich drohen bei Verstößen erheblich höhere Bußgelder. Informieren Sie sich über unsere Lizenzen für das Datenschutz-Management-Handbuch, indem alle Anforderungen mit entsprechenden Dokumenten beschrieben sind.