Datenschutz und Cyberschutz bei H&S

Datenschutz-Management-System

Unternehmen produzieren und nutzen im betrieblichen Alltag Unmengen an Daten. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, wie Softwareprogramme, Schriftstücke, Aushänge. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Menschen genießen einen besonderen Schutz, also die Daten von Klienten, Bewohnern, Angehörigen, Mitarbeitern, Lieferanten, Geschäftspartnern.

3147F4C1 CD1B 438A B106 1DCB60303319 - Datenschutz-Management

Hinsichtlich personenbezogener Daten sind Sie spätestens seit dem 25. Mai 2018 an die Regeln der EU-Datenschutz-Grundverordnung (DSGVO) gebunden. Darüber hinaus sind die damit einhergehenden Änderungen des Bundes-Daten-Schutz-Gesetzes (BDSG) einzuhalten. Durch die DSGVO erhalten wir in allen Mitgliedsstaaten ein einheitliches Schutzniveau personenbezogener Daten. In der Pflege verarbeiten Mitarbeiter besondere Kategorien personenbezogener Daten. Insbesondere durch die umfangreiche und regelmäßige Dokumentation des gesamten Gesundheitszustandes der pflegebedürftigen Personen. Deshalb besteht die Pflicht zu einem Datenschutzbeauftragten. Zur Durchsetzung der Vorschriften wurden die Strafen deutlich erhöht.

Besondere Kategorien personenbezogener Daten in der Pflege.

Die Rechtsgrundlage für die Pflicht zur Benennung eines Datenschutz-Beauftragten ist im Artikel 37, Absatz 1, Buchstabe c der DSGVO gefordert. Diese Pflicht ist vorrangig von folgenden Kriterien abhängig:

  • Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO (hier Gesundheitsdaten) und Artikel 10 DSGVO

  • als Kerntätigkeit und

  • im Rahmen einer umfangreichen Verarbeitung.

Nachrangig ist die „Regel von mindestens zwanzig Personen“, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

0943E36B BC39 480C 8066 AB553C3D4EE1 - Datenschutz-Management

Grundsätzliche Aufgaben

Die Aufgaben, die Sie als Datenschutz-Beauftragter umsetzen, nennt das Gesetz in Artikel 39 DSGVO. Sie haben bei ihrer Arbeit den spezifischen Risiken im Datenschutz gebührend Rechnung zu tragen (Artikel 39 Absatz 2 DSGVO). Handeln Sie risikoorientiert, indem sie die Risiken beim Umgang mit personenbezogenen Daten berücksichtigen. Die entscheidende Rolle spielt der Umfang, die Umstände und der Zweck der Datenverarbeitung. In der Praxis führt das zu einer Rangfolge des Datenschutz-Risikos der Datenverarbeitung, welches zu prüfen ist. Diese Tätigkeiten und Überlegungen sind zu dokumentieren. Sie senken das Risiko eines Bußgelds und tragen durch die Dokumentation ihren Teil zur generellen Rechenschaftspflicht bei (Artikel 5 Absatz 2 DSGVO).

Überwachung

Sie haben die Einhaltung der Vorschriften zum Datenschutz nach Artikel 39 Absatz 1 Buchstabe b DSGVO zu „überwachen“, wie beispielsweise die DSGVO, Bundes-Daten-Schutz-Gesetz (BDSG), Tele-Medien-Gesetz (TMG), Tele-Kommunikations-Gesetz (TKG). Die internen Vorgaben, wie die Strategie des Verantwortlichen zum Datenschutz sind abzugleichen. Die Zuständigkeiten und Abläufe in den Prozessen für die Erhebung und Nutzung von Daten sind regelmäßig zu auditieren. Alle Beschäftigten sind zum Thema zu sensibilisieren und alle Maßnahmen auf Wirksamkeit zu prüfen.

Wie kann die Überwachung erfolgen?

Die Informationen sind zu sammeln, um Datenverarbeitungen in den unterschiedlichen Prozessen zu erkennen und zu analysieren. Die Daten- und Auftragsverarbeiter außerhalb des Unternehmens (Software-Firmen, Steuerberater) haben sie auf Rechtmäßigkeit zu prüfen. Es sind entsprechende Auftragsverarbeitungsverträge einzufordern.

Auftragsverarbeitung

Für die Verarbeitung von personenbezogenen Daten durch externe Dienstleister (Auftragsverarbeiter) sind die Vorschriften von Artikel 30 DSGVO und Artikel 32 DSGVO einzuhalten. Ein geeignetes Vertragsmuster zur Auftragsverarbeitung hat die Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) zur Verfügung gestellt.

Technische und organisatorische Maßnahmen (TOM)

Nach Stand der Technik hat der Verantwortliche geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Damit gewährleisten er ein dem Risiko angemessenes Schutzniveau. Als Datenschutz-Beauftragter berücksichtigen Folgendes:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,

  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung bzw. Zugang — ob unbeabsichtigt oder unrechtmäßig — sind zu bewerten. Soweit möglich, ist in ihrer EDV eine Trennung zwischen personenbezogenen Merkmalen und Inhaltsdaten mit Verwendung von Pseudonymen zu erfolgen.

Unterrichtung und Beratung

Eine weitere Aufgabe ist die Unterrichtung und Beratung in allen Fragen zum Datenschutz (Artikel 39 Absatz 1 Buchstabe a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interner Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Sie klären über den Umgang mit personenbezogenen Daten auf und erläutern gesetzliche Vorgaben. Die Beschäftigten sind über den richtigen Umgang mit personenbezogenen Daten zu schulen.

Datenschutz-Folgenabschätzung

Sie haben an der Datenschutz-Folgenabschätzung (Artikel 39 Absatz 1 Buchstabe c DSGVO) mitzuwirken. Es geht um die Abschätzung und Minimierung möglicher Folgen, wenn sie eine risikobehaftete Verarbeitung planen oder ändern (Artikel 35 DSGVO).

Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde

Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass sie unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommunizieren. Sie dienen gegenüber den Behörden als Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Dies stärkt ihre Position mit der Verantwortung nach außen hin aufzutreten. Und die Behörde kann direkt auf die fachkundigste Person der Stelle zugreifen. Sie sind den Behörden als Datenschutzbeauftragter zu melden (Meldebescheinigung).

Weitere Aufgaben (Auszugsweise)

Neben den gesetzlich zugewiesenen Aufgaben überträgt der Verantwortliche auf freiwillige Basis zusätzliche Funktionen. Das Gesetz lässt die Übertragung von weiteren Aufgaben zu (vgl. Artikel 39 Absatz 1 Satz 1 und Artikel 38 Absatz 6 DSGVO). Interessenskonflikte sind zu vermeiden. In Betracht kommen die nachfolgenden Aufgaben.

Verzeichnis der Verarbeitungstätigkeiten

Nach Artikel 30 DSGVO führen sie ein Verzeichnis. Sie listen die personen-bezogenen Daten auf, wie und zu welchen Zweck die Daten zu verarbeiten sind. Dieses Verzeichnis haben Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten zu führen. Zu berücksichtigen ist die Ausnahme des Absatz 5: Sie führen das Verzeichnis, sobald sie „besondere Datenkategorien“ bearbeiten (Artikel 9 Absatz 1 DSGVO). Hierzu zählen Gesundheitsdaten, Angaben über Krankheitstage und beispielsweise Schwerbehinderungen

Erstellung von Tätigkeitsberichten

Es besteht keine gesetzliche Pflicht für sie regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Aus Haftungsgründen gilt für die gesamte Organisation die Rechenschaftspflicht des Artikel 5 Absatz 2 DSGVO. Darin führen sie den Nachweis, ob und wie das Unternehmen oder Einrichtung alle Datenschutzvorgaben einhält.

Meldung von Datenschutzverstößen

Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, ist die Aufsichtsbehörde und die davon betroffenen Personen (Artikel 33, 34 DSGVO) zu unterrichten. Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung und haben binnen 72 Stunden zu erfolgen. Sie übernehmen diese Aufgabe von vornherein. Bei Rückfragen wendet sich die Aufsichtsbehörden an Sie (Artikel 39 Absatz 1 Buchstabe d und e DSGVO). Im Übrigen sind sie nur dann gesetzlich verpflichtet, wenn sie frühzeitig über derartige Vorgänge informiert sind.

Mitwirkung bei der Realisierung von Betroffenenrechten

Die Betroffenen besitzen vielfältige Rechte gegenüber dem Unternehmen oder Einrichtungen der von ihnen gespeicherten personenbezogene Daten. Dazu zählen vor allem …

  • das Recht auf Auskunft (Artikel 15 DSGVO)

  • das Recht auf Berichtigung (Artikel 16 DSGVO)

  • das Recht auf Löschung („Recht auf Vergessenwerden“, Artikel 17 DSGVO)

  • das Recht auf Einschränkung der Artikel 15 DSGVO (Artikel 18 DSGVO)

  • das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

  • das Widerspruchsrecht (Artikel 21 DSGVO)

Sie achten darauf, dass die gesetzliche Aufgabe beachtet und umgesetzt sind. Die Anfragen der Betroffenen sind entgegen zu nehmen, zu bearbeiten und zu beantworten. Das begehrte Recht des Betroffenen ist unmittelbar zu prüfen.

Sie besitzen als Datenschutz-Beauftragter vielfältige Aufgaben und Pflichten. Ohne eine Fachausbildung oder Unterstützung von außen ist das Pensum der Gesetzeskonformität kaum zu erfüllen.

Die Tätigkeiten sind verstärkt zu dokumentieren.

Dies ist sinnvoll, um sich gegen mögliche Haftungsansprüche zu schützen und um der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachzukommen. Schließlich drohen bei Verstößen erheblich höhere Bußgelder. Informieren Sie sich über unsere Lizenzen für das Datenschutz-Management-Handbuch, indem alle Anforderungen mit entsprechenden Dokumenten beschrieben sind.