Haben Sie schon alles getan?

Ab 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedsstaaten. Mit der neuen Datenschutzverordnung wird das Datenschutzrecht innerhalb Europas vereinheitlicht, um dem Einzelnen mehr Kontrolle über seine Daten zu verschaffen. Es gelten künftig in allen EU-Staaten die gleichen Standards in Sachen Datenschutz – datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es nicht mehr geben. Zusammen mit der DSGVO wird auch eine Neufassung des Bundesdatenschutzgesetzes in Kraft treten.

Ziel der DSGVO ist die transparente und faire Verarbeitung personenbezogener Daten. Die Betroffenen sollen zukünftig besser in der Lage sein, zu prüfen, ob eine Datenerhebung, -verarbeitung oder –nutzung datenschutzrechtlichen Vorschriften genügt.

Was bedeutet das für Ihre Praxis/Krankenhaus/Unternehmen:

Was ist neu?

Neu ist, und deshalb sollte ein besonderes Augenmerk auf die neue DSGVO gerichtet werden, die deutliche Erhöhung des Bußgeldrahmens von bis zu 20 Million Euro bzw. sogar bis zu 4 % eines weltweiten Konzernumsatzes.

Neu ist außerdem, die Umkehr der Beweislast. Nach Art. 5 DSGVO unterliegt fortan jedes Unternehmen einer „Rechenschaftspflicht“ und muss die Einhaltung des Datenschutzes aktiv durch Vorlage von Dokumenten nachweisen können. Die DSGVO schreibt für jedes Datenverarbeitungsverfahren ein Verzeichnis von Verarbeitungstätigkeiten vor. Für die Verzeichnisse ist keine bestimmte Form vorgeschrieben. Bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist es hilfreich stets die Verarbeitungszwecke zu definieren, und die Festlegung von Löschfristen gibt Anlass, Daten nicht unüberlegt für immer auf Datenträgern zu speichern.

Braucht meine Praxis/Krankenhaus/Unternehmen einen Datenschutzbeauftragten?

Nach neuem Recht ist ab 10 Mitarbeitern, die mit der Datenverarbeitung beschäftigt sind, ein Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte ist der Datenschutzbehörde zu melden. Außerdem sind die Kontaktdaten des Datenschutzbeauftragten durch Angabe auf Ihrer Homepage der Praxis zu veröffentlichen.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Dem Datenschutzbeauftragten obliegen nach Art. 39 DSGVO zumindest folgende Aufgaben:

  • Unterrichtung und Beratung hinsichtlich der Pflichten nach der DSGVO sowie nach allen sonstigen Datenschutzvorschriften.
  • Überwachung der Einhaltung der DSGVO, aller anderen Datenschutzvorschriften sowie Ihrer Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte kann ein Beschäftigter (interner Datenschutzbeauftragter) oder ein externer Dienstleister auf der Grundlage eines Dienstleistungsvertrags (externer Datenschutzbeauftragter) sein.

Interne Datenschutzbeauftragte müssen unabhängig sein und genießen einen besonderen Kündigungsschutz.

Sofern Sie interne Datenschutzbeauftragte qualifizieren möchten oder aber mit einem externen Datenschutzbeauftragten arbeiten möchten, helfen wir Ihnen gern! Sprechen Sie uns an!

Was muss ich sonst noch beachten?

Sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, welche Datenverarbeitungsvorgänge betreffen, sind möglicherweise an das neue Datenschutzrecht anzupassen und auf jeden Fall zu überprüfen.

Wichtig ist auch zu prüfen ob Sie Datenschutzbestimmungen auf Ihrer Homepage haben und diese gegebenenfalls anzupassen.

Um in Ihrer Praxis ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann die Erstellung einer internen Datenschutzrichtlinie sinnvoll sein. In dieser können z.B. Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden.

Fazit:

Das neue Datenschutzrecht nimmt Sie als Praxisinhaber noch weiter in die Verantwortung. Die oben genannten Punkte sind kein abschließender Katalog. Sie sollen Ihnen lediglich einen Überblick über die wichtigsten kommenden Änderungen geben und Sie für das Thema Datenschutz weiter sensibilisieren.

Man sollte sich jedoch immer an der Formel orientieren – „es sollen nur die Daten erhoben werden, die tatsächlich benötigt werden und nur so lange gespeichert werden wie erforderlich“.

Für weitere Fragen und Informationen stehen wir Ihnen natürlich gerne zur Verfügung.

Dr. iur. Hilke Berlin, LL.M.
Rechtsanwältin