Aktuelles im Datenschutz Europäische Datenschutz-Grundverordnung und Bundesdatenschutzgesetz (neue Fassung)

Größe: px

Ab Seite anzeigen:

Download "Aktuelles im Datenschutz Europäische Datenschutz-Grundverordnung und Bundesdatenschutzgesetz (neue Fassung)"

Stephanie Weiss
vor 5 Jahren
Abrufe

1 Aktuelles im Datenschutz Europäische Datenschutz-Grundverordnung und Bundesdatenschutzgesetz (neue Fassung) 1

2 DIE EUROPÄISCHE DATENSCHUTZ- GRUNDVERORDNUNG Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom In Deutschland: Novellierung des Bundesdatenschutzgesetzes (BDSG-neu) Anpassung des BDSG an europäische Richtlinie Inkrafttreten des BDSG n.f. (neue Fassung) am Inkrafttreten der DS-GVO am

3 Datenschutzbeauftragte/r (DSB) 3

4 Bestellpflicht eines Datenschutzbeauftragten (1) muss bestellt sein, wenn mindestens 10 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind ( 38 BDSG-neu) oder die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten) nach Art. 9 DS-GVO besteht 4

5 Bestellpflicht des Datenschutzbeauftragten (2) Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes [Apotheker] oder Rechtsanwalt erfolgt. In diesen Fallen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein. Erwägungsgrund 91 zur Datenschutz-Grundverordnung 5

6 Die Bestellung eines DSB Schriftliche Benennung empfohlen Nach spätestens 1 Monat Ein DSB für mehrere Praxen Gewährleistung der Unabhängigkeit Kündigungsschutz 6

7 Anforderungen an einen DSB Unabhängig Fachkundig Zuverlässig 7

8 Erforderliche Fachkunde (1) Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen (Technisch-organisatorischer Art) 8

9 Erforderliche Fachkunde (2) Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.) betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.) 9

10 Aufgaben eines DSB (1) Ansprechpartner in allen datenschutzrelevanten Fragen der Arztpraxis Beratung bei der Auswahl und dem Einsatz der EDV Anfragen und Beschwerden Erstellen und Kontrollieren von ADV-Verträgen Erstellen und Pflegen des Verarbeitungsverzeichnisses Ansprechpartner für Aufsichtsbehörden Schadensmeldungen an die Aufsichtsbehörden Durchführung von Datenschutz-Folgeabschätzungen Sicherstellung der Betroffenenrechte 10

11 AUFGABEN EINES DSB (2) Überwachung der Aufbewahrungsfristen Regelmäßige Schulung und Unterweisung der Praxismitarbeiter Ständige Kontrolle des internen Datenschutzes usw. 11

12 Auskunftspflichten gegenüber Betroffenen gemäß 32 ff. Bundesdatenschutzgesetz n.f. in Verbindung mit Artikeln 13 ff. Datenschutz-Grundverordnung 12

13 Auskunftspflichten bei direkter Datenerhebung Identität des Verantwortlichen Kontaktdaten des DSB Verarbeitungszwecke und Rechtsgrundlage Berechtigtes Interesse Übermittlung in Drittstaaten Dauer der Speicherung Widerrufbarkeit von Einwilligungen Beschwerderecht bei der Aufsichtsbehörde Verpflichtung zur Bereitstellung personenbezogener Daten Automatisierte Entscheidungsfindung und Profiling 13

14 Mitteilung gegenüber dem Betroffenen Informationen müssen dem Betroffenen so zur Verfügung gestellt werden, dass sie präzise, transparent, verständlich und leicht zugänglich sind 14

15 MÖGLICHKEITEN ZUR UMSETZUNG Hinweisschild oder Aufsteller Aushang Bereithalten Auslegen Ausgeben Visuell Materiell Online Akustisch Veröffentlichung auf der Webseite Hinweis im Gespräch 15

16 Das Verarbeitungsverzeichnis gemäß 70 Bundesdatenschutzgesetz n.f. in Verbindung mit Artikel 30 Datenschutz-Grundverordnung 16

DAS VERARBEITUNGSVERZEICHNIS Übersicht aller Datenverarbeitungstätigkeiten in der Arztpraxis Verantwortlich ist der Arzt Muss auf Anforderung dem

17 DAS VERARBEITUNGSVERZEICHNIS Übersicht aller Datenverarbeitungstätigkeiten in der Arztpraxis Verantwortlich ist der Arzt Muss auf Anforderung dem Bundesbeauftragten bzw. Aufsichtsbehörden zur Verfügung gestellt werden Schriftlich oder elektronisch zu führen Regelmäßige Aktualisierung Sanktionierung bei Nichtvorhandensein 17

18 Die Auftragsverarbeitung 18

19 AUFTRAGSDATENVERARBEITUNG Liegt vor, bei der Verarbeitung von Daten durch einen Dritten, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt Der Auftragnehmer (Dienstleister) wird nur unterstützend tätig Es muss ein schriftlicher Vertrag nach vorliegen Der Arzt (Auftraggeber) muss sicherstellen, dass die Anforderungen an die Sicherheit der Datenverarbeitung gemäß der DS-GVO eingehalten werden Der Auftragnehmer ist gegenüber dem Arzt weisungsgebunden 19

20 KONTROLLPFLICHTEN DES AUFTRAGGEBERS Dem Arzt obliegt eine Auswahlverantwortung Der Arzt darf nur mit einem Auftragsverarbeiter arbeiten, der gem. Art. 28 Abs. 1 DS-GVO hinreichend garantieren kann, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt Der Arzt muss sich dauerhaft vergewissern, dass der Auftragsverarbeiter zur Verarbeitung geeignet ist Empfohlen: Dokumentierte und regelmäßige Kontrollen der Auftragsverarbeiter, je nach Sensibilität der Datenverarbeitung 20

21 Vorgehen bei Datenpannen 21

22 MELDEPFLICHT BEI DATENPANNEN Zwingende Meldepflicht gegenüber Aufsichtsbehörden Ausnahme: Die Datenpanne führt wahrscheinlich nicht zu einem Risiko für den Betroffenen Benachrichtigung des Betroffenen, wenn ein hohes Eingriffsrisiko für ihn besteht Eine Meldung sollte innerhalb von 72 Stunden erfolgen Empfohlen: Der Arzt sollte im Rahmen des Qualitätsmanagements einen entsprechenden Prozess Umgang mit Datenpannen festlegen 22

23 BUSSGELDRAHMEN Gemäß Art. 83 DS-GVO Kategorie: 1 Maximaler Bußgeldrahmen liegt bei Euro oder 2 % des erzielten Jahresumsatzes, je nach dem welcher Betrag höher liegt Kategorie: 2 Maximaler Bußgeldrahmen liegt bei Euro oder 4 % des erzielten Jahresumsatzes, je nach dem welcher Betrag höher liegt Datenschutz in der Apotheke 23

24 Herzlichen Dank für Ihre Aufmerksamkeit! 24

25 Häufig festgestellte Mängel (1) Einsehbare Computerbildschirme und Unterlagen am Empfang Ungesicherte Ablage der Patientenakten Fehlender Bildschirmschoner Fehlender Passwortschutz für Bildschirmschoner Offen abgelegte Patientenakten auf Schreibtischen Freier Zugang des Faxgerätes für Praxisfremde Unkontrollierter Umgang mit dem Faxgerät 25

26 Häufig festgestellte Mängel (2) Fehlende schriftliche Zustimmung zur Datenweitergabe, auch zum Beispiel beim Einsatz privatärztlicher Verrechnungsstellen Fehlender Schutz der EDV-Software vor nachträglicher Veränderung Nicht eingeholte Datenschutzerklärungen externer Dienstleister Offene Wartezimmertüren in Rezeptionsnähe Kurzzeitwarteplätze ohne Diskretionszone Fehlende Verschlüsselung bei Datenspeicherung 26

Nützliche Links www.bfdi.bund.de www.datenschutzzentrum.

27 Nützliche Links Themen Arztpraxis

Ähnliche Dokumente

Die EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung Datenschutz als Projekt angehen Ab dem 25. Mai 2018 gilt in der EU die Datenschutzgrundverordnung (DS-GVO). Dies stellt Unternehmen vor große Herausforderungen, da datenschutzrechtliche