Thema Datenschutz in der Praxis · • Merke: Es haften nicht nur die Praxis und der Verarbeitungsverantwortliche, sondern auch jeder Mitarbeiter persönlich, wenn er theoretisch

Thema

Datenschutz in der Praxis

Gesetzliche Grundlagen

• Der Datenschutz in Deutschland basiert auf verschiedenen rechtlichen Grundlagen

• Oberste Ebene bildet die Datenschutz-Grundverordnung DSGVO

• Derzeit befinden wir uns in einer Übergangsphase zur Einführung der DSGVO. Diese geht bis zum 25.05.2018

• Es wird nach diesem Zeitpunkt keine zusätzliche Toleranzphase geben

• Alle weiteren Gesetze basieren zukünftig auf der DSGVO. Beispielsweise das Bundes-datenschutzgesetz, Fachgesetze und die Landesdatenschutzgesetze

Florian Schirm 2Great Oak Datenschutz

GmbH & Co. KG


• Das Europarecht hat immer Vorrang vor Bundesgesetzen, Landesgesetzen, Fachgesetzen und Berufsordnungen

• Im nationalen Regelungsbereich haben Fachgesetze und Berufsordnungen Vorrang vor dem Bundesdatenschutzgesetz

• Weitere vorrangige Regelungen werden zukünftig vom europäischen Datenschutzausschuss erlassen

• Dort werden Regelungen konkretisiert, Auslegungen definiert und Handlungsanweisungen für die Datenschutzaufsicht vorgegeben


GmbH & Co. KG


• Grundbegriffe des Datenschutzes:

– Personenbezogene Daten: Alle Daten mit einem Bezug zu einer real existierenden Person

– Besonders schützenswerte Daten: Alle Daten, die eine besondere Sensibilität haben (z.B. Gesundheitsdaten, Religion, Politische Meinung, genetische Daten, biometrische Daten usw.) (Art. 9 Abs. 1 DS-GVO)

– Datenverarbeitung: Erhebung, Nutzung/Änderung, Weitergabe, Löschung, Archivierung


GmbH & Co. KG


• Jedes Bundesland hat eine Datenschutzaufsicht

• Diese arbeitet autonom im Rahmen der Vorgaben durch den Datenschutzausschuss

• Die Aufgaben sind beraten, kontrollieren und ahnden

• Alle Datenverarbeiter außerhalb des rein privaten Bereiches sind zur Zusammenarbeit verpflichtet

• Die Aufsichtsbehörden (und auch der betriebliche Datenschutzbeauftragte) haben ein uneingeschränktes, auch anlassloses, Kontrollrecht


GmbH & Co. KG


• Die Kontrolle im Datenschutz erfolgt durch:– Praxisinhaber und Führungskräfte

– Betriebliche Datenschutzbeauftragte

– Landesdatenschutzbehörden des Bundeslandes der Betriebsstätte

• Konsequenzen bei Verstößen:– Bußgelder in zwei Stufen

• Bis zu 10.000.000 Euro / 2% des Jahresumsatzes bei Verstößen gegen Dokumentations- und Verwaltungsvorgaben

• Bis zu 20.000.000 Euro / 4% des Jahresumsatz bei Verletzung von Betroffenenrechten, Pflichten für Datenverarbeiter, Nicht-Befolgen von Anweisungen der Aufsichtsbehörden, illegale Datenverarbeitungen

– Haftstrafen

– Arbeitsrechtliche Konsequenzen

– Verwaltungsanordnungen (Verbot einer Datenverarbeitung)

• Merke: Es haften nicht nur die Praxis und der Verarbeitungsverantwortliche, sondern auch jeder Mitarbeiter persönlich, wenn er theoretisch in der Lage gewesen ist, sein Unrecht zu erkennen


GmbH & Co. KG


• Es besteht eine Meldepflicht bei Datenschutzverstößen innerhalb von 72h– Bei jedem Datenverlust mit Risiko für den Betroffenen

– Bei illegaler Datenverarbeitung (auch intern)

– Bei jeder rechtswidrigen Datenzerstörung

• Gemeldet werden muss:– Was ist passiert

– Wer ist betroffen

– Welche Risiken bestehen für den Betroffenen

– Wie kann er sich vor weiteren Schäden schützen

– Welchen Gegenmaßnahmen haben Sie ergriffen

– Wie verhindern Sie zukünftig weitere solche Vorfälle


GmbH & Co. KG

Zulässigkeit

• Jede Datenverarbeitung muss vor Beginn und dann jährlich auf Zulässigkeit geprüft werden

• Zulässig kann sie nur sein, wenn eine der folgenden Situationen vorliegt:– Freiwillige dokumentierte Einwilligung nach

Aufklärung durch den Betroffenen

– Gesetze fordern die Datenverarbeitung

– Die Datenverarbeitung ist zur Vertragsabwicklung unbedingt notwendig

• Jedoch muss immer der allgemeine Prinzipienkatalog des Art. 5 DS-GVO beachtet werden

Great Oak Datenschutz

GmbH & Co. KGFlorian Schirm 8

Zulässigkeit

• Inhalt des Prinzipienkatalogs Art. 5 DS-GVO:

– Rechtmäßigkeit

– Treu und Glauben

– Transparenz

– Zweckbindung

– Datenminimierung und Datenverarbeitung als Ultima Ratio

– Richtigkeit der Datenbestände

– Speicherbegrenzung (zeitlich)


GmbH & Co. KG

Betroffenenrechte

• Die Betroffenenrechte unterteilen sich in die Bereiche Transparenz und Intervention

• Transparenzrechte:– Information bei der Erhebung

– Benachrichtigung

– Information bei Datenpannen

– Auskunft / Kopie

– Recht auf Datenübertragbarkeit

• Interventionsrechte:– Berichtigung

– Löschung

– Recht auf Vergessenwerden

– Einschränkung der Datenverarbeitung

– Widerspruch



Datenschutzbeauftragter

• Der Datenschutzbeauftragte (DSB) soll die Kontrolle der Einhaltung der Gesetze vor Ort sicherstellen

• Es muss ein Datenschutzbeauftragter bestellt werden, wenn:– Mehr als 9 Mitarbeiter regelmäßig personenbezogene

Daten verarbeiten, egal wie umfangreich

– Oder hauptsächlich risikoreiche Daten verarbeitet werden

– Oder Daten verarbeitet werden, die einer Pflicht zur Datenschutzfolgenabschätzung unterliegen

• Es kann ein externer DSB bestellt werden oder ein eigener Mitarbeiter zum DSB ausgebildet werden

• Auch wenn keine Bestellpflicht besteht, darf ein DSB bestellt werden


GmbH & Co. KG


• Interner DSB

– Vorteile• Kennt interne Abläufe gut

• Enger Kontakt zu den Mitarbeitern

• Ab gewisser Größenordnung günstiger

– Nachteile• Muss ausgebildet und freigestellt werden

• Kündigungsschutz bis ein Jahr nach Abberufung

• Weisungsfreiheit

• Wenig bis kein Transferwissen

• Fehlende Autorität


GmbH & Co. KG


• Externer DSB– Vorteile

• Hohes Transferwissen

• Neutralität

• Haftung

• Autorität

• Entfall des Kündigungsschutzes

• Fest definierte Dienstleistung

• Bessere Ausbildung

– Nachteile• Nicht immer vor Ort

• Muss sich erst in die betrieblichen Abläufe einarbeiten

• Benötigt einen Datenschutzkoordinator vor Ort


GmbH & Co. KG


• Wichtige Auswahlkriterien für externe Datenschutzbeauftragte:

– Ausbildung (empf. Akademische Ausbildung in den Bereichen IT, Jura und BWL)

– Haftpflichtversicherung

– Bereitstellung eines Datenschutzmanagementsystems

– Seriöses Auftreten

– Mitglied in Berufsverbänden (GDD, BvD)

– Fortbildungen


GmbH & Co. KG

Datengeheimnis

• Mit Datenverarbeitung befasste Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten

• In dieser Verpflichtung ist auf §53 BDSG neu Bezug zu nehmen und eine Kopie der §§ 53, 42, 43 BDSG neu und Art. 83 DSGVO auszuhändigen

• Bei Dienstleistern muss geprüft werden, ob dort ebenfalls alle gemäß diesen Anforderungen verpflichtet sind

• Bitte beachten Sie auch die Neuregelung des §203 StGB

http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s3618.pdf



Verfahrensverzeichnis

• Das Verfahrensverzeichnis beschreibt genau, welche Daten wo und wie verarbeitet werden

• Das Datenschutzverfahrensverzeichnis entspricht nicht dem QM-Verfahrensverzeichnis

• Es muss für alle Verfahren, die dauerhaft sind, erstellt werden

• Ab 250 MA oder bei sensiblen Daten auch für jede kurzfristige Verarbeitung

• Benennung eines Verarbeitungsverantwortlichen und Stellvertreters

• Dieser haftet für die Vollständigkeit der Dokumente, die Befolgung der Pflichten im Zusammenhang mit der Verarbeitung, sowie für Datenverluste

• Verfahren sind beispielsweise: Med. Dokumentation, Laboranforderung, Abrechnung GOÄ, Einstellung Mitarbeiter, Wartung IT, Webseite, Mahnwesen usw.


GmbH & Co. KG

Verfahrensverzeichnis

• Für jedes Verfahren muss mindestens beschrieben werden:– der Name und die Kontaktdaten des Verantwortlichen und

gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

– die Zwecke der Verarbeitung;

– eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

– die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;

– wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

– wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

• Wird auf Teile wg. Unmöglichkeit verzichtet, muss dies für jeden Verzicht einzeln schriftlich begründet werden


GmbH & Co. KG

Datenschutzfolgenabschätzung

• Pflicht für alle risikoreichen Verfahren und Verarbeitungen von Art.9 Abs. 1 DS-GVO-Daten (Besondere Ausnahme für einzeln tätige Ärzte)

• Erfordert immer ein Verfahrensverzeichnis

• Bewertung der Notwendigkeit und Verhältnismäßigkeit

• Bewertung der Risiken

• Darlegung, wie die Risiken minimiert werden

• Haftung für die Vollständigkeit und Korrektheit liegt beim Datenverarbeitungsverantwortlichen

• Datenschutzbeauftragter darf bei der Durchführung nur beraten

• Besonders risikoreiche Verfahren oder Verfahren mit nicht eliminierbaren Risiken müssen der Aufsichtsbehörde zur Genehmigung vorgelegt werden


GmbH & Co. KG

Informationspflichten

• Immer wenn Sie Daten eines Betroffenen erheben, müssen Sie ihn über die Datenverarbeitung aktiv in Kenntnis setzen

• Stehen dem Betroffenen diese Informationen bereits zur Verfügung, müssen sie nicht noch mal zur Verfügung gestellt werden. Es sei denn, die Datenverarbeitung hat sich geändert

• Unterscheidung zwischen Datenerhebung beim Betroffenen selbst und einer Datenerhebung bei Dritten

• Bei Datenerhebung beim Betroffenen selbst müssen die Informationen direkt zur Verfügung gestellt werden

• Bei einer Datenerhebung durch Dritte müssen die Informationen per Benachrichtigung übermittelt werden


GmbH & Co. KG


• Inhalt der Informationen Teil 1:

– Name und Kontaktdaten des Verantwortlichen

– Kontaktdaten des Datenschutzbeauftragten

– Zweck und Rechtsgrundlage der Verarbeitung

– Empfänger der Daten

– Informationen zur Übermittlung an ein

Drittland

– Dauer der Speicherung


GmbH & Co. KG


• Inhalt der Informationen Teil 2:– Bestehen eines Rechts auf Auskunft, Berichtigung,

Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit

– Bestehen des Widerrufsrechts

– Bestehen eines Beschwerderechts

– Ggf. Informationen zur automatisierten Auswertung bzw. Profilierung

– Gesetzliche oder vertragliche Verpflichtung zur Bereitstellung der Daten und die Folgen bei Nichtbereitstellung

• Ergänzend bei Erhebung durch Dritte:– Kategorien der verarbeiteten Daten

– Quelle der Daten


GmbH & Co. KG

Auftragsverarbeitung

• Auftragsverarbeitungen sind Dienstleistungen, bei denen personenbezogene Daten von einem Dienstleister (extern oder intern) verarbeitet werden bzw. Arbeiten an der IT/TK, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann

• Nachweispflicht zur sorgfältigen Auswahl

• Haftung liegt bei Auftraggeber und Auftragnehmer

• Für jede dieser Verarbeitungen ist ein schriftlicher oder elektronischer Vertrag erforderlich, der bestimmt, dass der Auftragsverarbeiter:




• nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;

• gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

• den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;

• alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;




• dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 76 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;

• Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;

• die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;

• alle gemäß § 64 erforderlichen Maßnahmen ergreift und

• unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 64 bis 67 und 69 genannten Pflichten unterstützt.



Technisch-Organisatorische

Maßnahmen

• Für jede Datenverarbeitung sind diverse Technisch-Organisatorische-Maßnahmen (TOMs) vorgeschrieben:– Anonymisierungs- und Verschlüsselungspflicht

– Vertraulichkeit und Integrität

– Verfügbarkeit

– Belastbarkeit

– Backup

– Auftragskontrolle

– Prüfung und Evaluation

• Der Umfang der TOMs richtet sich nach dem Risikopotential der Datenverarbeitung

• Der jährliche Nachweis der Angemessenheit ist immer schriftlich und für ca. 10 Jahre rückwirkend zu führen

• Eine wichtige Komponente des Nachweises sind die Datenschutz- und IT-Sicherheitsrichtlinien


GmbH & Co. KG

Datenschutz- und IT-

Sicherheitsrichtlinie

• In der Datenschutzrichtlinie (DSRL) regeln Sie alle Handlungen der Mitarbeiter im Umgang mit Daten, das Verhalten in Notfällen und legen allgemeine Sicherheitsvorgaben fest

• Achten Sie darauf, dass die DSRL praktikabel bleibt

• Weisen Sie jährlich nach, dass die DSRL den Mitarbeitern bekannt ist und eingehalten wird

• In der IT-Sicherheitsrichtline regeln Sie, wie der technische Schutz aufgebaut ist, welche Regeln der IT-Betreuer einzuhalten hat, wie und wo geprüft wird und welche Verfahren zum Einsatz kommen müssen

• Alternativ können Sie natürlich auch einen IT-Sicherheitsstandard einhalten

• Bei beiden Varianten müssen Sie jeweils jährlich die Einhaltung und die Wirksamkeit nachweisen. (Z.B. durch Audits)


GmbH & Co. KG

ISMS

• Ein weiterer Teil zur Erfüllung der Nachweispflicht angemessenen Datenschutzes ist das IT-Sicherheitsmanagementsystem ISMS

• Im ISMS dokumentieren Sie die gesamte IT/TK-Infrastruktur und legen für jede Komponente Sicherheitsvorgaben fest

• Die Umsetzung der Sicherheitsvorgaben dokumentieren Sie ebenfalls im ISMS

• Aus dem ISMS generieren Sie Reports zur Nachweisdokumentation



DSM

• Auf Grund der Komplexität des Datenschutzes empfiehlt sich der Einsatz eines softwarebasierten Datenschutzmanagementsystems (DSM)

• Die Systeme helfen, strukturiert alle wichtigen Themen abzuarbeiten, alle Dokumentationen zu führen und Audits zu planen und durchzuführen

• Beispiele sind:

– otris privacy

– 2B Advice

– PRIVACYSOFT

– Uvm.


GmbH & Co. KG

Benutzerrechte

• Jeder Benutzer ist als Verarbeiter individuell haftbar. Deshalb muss jeder Benutzer einen eigenen Benutzernamen und ein nur ihm bekanntes Passwort haben

• Die Benutzer müssen so eingeschränkt werden, dass jeder Benutzer nur die Daten sehen kann, die er auch verarbeiten muss

• Dieser Bereich wird bei Praxisprüfungen durch die Datenschutzaufsicht besonders eingehend geprüft



Verschlüsselung

• Alle personenbezogenen Daten müssen entweder anonymisiert oder verschlüsselt werden

• Folglich sollte jeder Rechner, Server, Smartphone usw. verschlüsselt sein

• Setzen Sie auf sichere Verschlüsselungsalgorithmen:

– AES 256

– SHA 256

– Passwort min. 16 Zeichen

– Bei TPM-Kryptochip im Rechner kann es auch kürzer ausfallen



Backup

• Als Datenverarbeiter haben Sie eine Pflicht zum zuverlässigen Backup aller personenbezogenen Daten

• Auch im eigenen Interesse sollten Sie ein gutes Backupkonzept etablieren

• Ideal ist:– 5 Tages-Backups (noch besser 14 Tage)

– 4 Wochen-Backups

– 8 Quartals-Backups

• Alle Backups müssen verschlüsselt sein

• Lagerung außer Haus oder in der Praxis im feuersicheren Safe



Entsorgung

• Die Entsorgung von Papier und Datenträgern regelt die DIN 66399

• Papier muss in der Praxis mit mindestens Stufe P4 (maximal 160mm2) besser P5 vernichtet werden

• Eine Anhebung auf P5 als Minimum ist zeitnah zu erwarten

• Lassen Sie extern vernichten, benötigen Sie ein Entsorgungszertifikat mit Angabe der DIN und der Vernichtungsstufe



Schulung Mitarbeiter

• Da der Mitarbeiter das größte Risiko für den Datenschutz darstellt, besteht eine umfangreiche Schulungs- und Unterweisungspflicht

• Der Verantwortliche einer Datenverarbeitung hat den Mitarbeiter in diese einzuweisen und mit allen Regeln zum Schutz der Daten während der Verarbeitung vertraut zu machen

• Der Datenschutzbeauftragte vermittelt die gesetzlichen Anforderungen und macht die Mitarbeiter mit den spezifischen Inhalten vertraut

• Ebenfalls führt er Sensibilisierungsmaßnamen für bestimmte Bereiche durch

• Ist kein Datenschutzbeauftragter vorhanden, übernimmt die verantwortliche Stelle diese Aufgaben


GmbH & Co. KG


• Die Einweisung durch den Verantwortlichen und die Schulung durch den Datenschutzbeauftragten können kombiniert werden

• Es sollte eine umfangreiche Erstschulung stattfinden und diese dann jährlich aufgefrischt werden

• Minimaler Inhalt der Grundschulung:– Überblick über die Gesetze

– Kontrollen und Konsequenzen im Datenschutz

– Betroffenenrechte

– Pflichten der verarbeitenden Stelle

– Inhalt der Datenschutzrichtline


GmbH & Co. KG


• Die Sensibilisierungsmaßnamen sollen den

Mitarbeiter auf Gefahren bei bestimmten

Verarbeitungsvorgängen hinweisen und seine

erhöhte Achtsamkeit fördern

• Keine Vorgaben wie sie durchzuführen sind

• Es sollten mehrere Sensibilisierungen pro

Jahr durchgeführt werden

• Die Durchführung ist zu dokumentieren


GmbH & Co. KG

Webseite

• Jede Webseite muss eine separate Datenschutzerklärung haben

• Alle Datenverarbeitungen der Seite müssen dort beschrieben sein, z.B. Google Analytics, Statistische Auswertungen, Facebook-Button, Kontaktformular usw.

• Prüfen Sie auch die technischen Aspekte der Webseite hinsichtlich ihrer Sicherheit

• Achten Sie auf die kommende ePrivacy-Verordnung (vermutlich Anfang 2019)


GmbH & Co. KG

Fragen?

37

Vielen Dank!

Download unter

https://great-oak-datenschutz.de

38

Documents

Thema Datenschutz in der Praxis · • Merke: Es haften nicht nur die Praxis und der Verarbeitungsverantwortliche, sondern auch jeder Mitarbeiter persönlich, wenn er theoretisch