Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Transkript

1 Der Datenschutzbeauftragte im medizinischen Unternehmen

2 Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen Eintragung als Berufsverband hat das Landgericht Ulm bereits 1990 zum einen erklärt, dass - die Bezeichnung Datenschutzbeauftragter eine Berufsbezeichnung und - die Ausübung dieser Tätigkeit eine öffentliche Aufgabe ist.

3 Stellenbeschreibung für den Datenschutzbeauftragten (DSB) 1. Stellenbezeichnung Datenschutz 2. Dienstrang Datenschutzbeauftragter 3. Unterstellung Der DSB ist der Unternehmensleitung unterstellt. 4. Aufgaben Der DSB hat auf die Einhaltung des Bundesdatenschutzgesetzes und anderen Vorschriften zum Datenschutz hinzuwirken

4 Stellung des DSB innerhalb des Unternehmens 1. Der DSB ist in Ausübung seiner Fachkunde weisungsfrei auch im Hinblick auf die Geschäftsleitung des Unternehmens 2. Er agiert deshalb von der gesetzlichen Systematik her als unabhängiges Kontrollorgan. 3. Er nimmt nach der Rechtssprechung keine neutrale Stellung im Unternehmen ein, sondern ist der Arbeitgeberseite zuzuordnen. 4. Der DSB ist der Geschäftsleitung unmittelbar personell bzw. disziplinarisch (aber nicht fachlich!) zu unterstellen.

5 Bestellungspflicht Alle im Gesundheitswesen anfallenden Daten werden als besonders schützenswert eingestuft. Daher gilt: Werden personenbezogene Daten im Gesundheitswesen automatisiert (also mittels EDV) verarbeitet, so muss unabhängig von der Anzahl der Beschäftigten ein DSB bestellt werden! Folgen bei unterlassener Bestellung Bei vorsätzlichem oder fahrlässigem Unterlassen der rechtzeitigen Bestellung eines DSB kann durch die zuständige Behörde ein Bußgeld verhängt werden.

6 Persönliche Vorraussetzungen Laut des BDSG darf zum Beauftragten für den Datenschutz nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Der DSB muss weiterhin: - die Vorschriften des Bundes sowie der jeweiligen Länder sowie andere Vorschriften zum Datenschutz anwenden können - über Kenntnisse der betrieblichen Organisation verfügen - didaktische Fähigkeiten, psychologisches Einfühlungsvermögen und Organisationstalent verfügen. Außerdem muss er mit Konflikten um seine Position, seine Funktion und seine Aufgaben in angemessener Art umgehen können.

7 Aufgabenbereich im Einzelnen - Überwachung der Datenverarbeitungsprogramme Der DSB hat die ordnungsgemäße Anwendung der DV-Programme zu überwachen. - Überwachung und Koordinierung Der DSB hat die Maßnahmen für Datenschutz und -sicherheit, soweit diese ihre Grundlage im BDSG oder in anderen Vorschriften haben, zu überwachen und zu koordinieren. - Benachrichtigung und Auskunftserteilung Der DSB hat bei der Benachrichtigung und Auskunftserteilung mitzuwirken. Ferner hat er die Angaben auf Antrag jedermann in geeigneter Weise verfügbar zu machen.

8 - Beratung über technische und organisatorische Maßnahmen Der DSB hat zu prüfen, ob die technischen und organisatorischen Maßnahmen gegriffen haben. - Schulung Der DSB hat die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Datenschutzes vertraut zu machen. - Verpflichtung auf das Datengeheimnis Alle mit der Datenverarbeitung beschäftigten Personen müssen durch den DSB auf das Datengeheimnis verpflichtet werden. - Beschwerden Beschwerden sind durch den DSB zu bearbeiten, wenn sie mit dem BDSG und anderen Vorschriften zum Datenschutz in Beziehung stehen.

9 - Sicherheitsrichtlinien Der DSB hat Sorge dafür zu tragen, dass Sicherheitsrichtlinien zum Datenschutz für das Unternehmen erlassen und eingehalten werden. - Vorabkontrollen Der DSB hat festzulegen, in welcher Form Vorabkontrollen vor dem Routineeinsatz neuer DV-Programme erfolgen und dokumentiert werden müssen. - Vertretung nach außen Der DSB vertritt das Unternehmen gegenüber externen Stellen in Fragen des Datenschutzes. Er ist Ansprechpartner für externe DS-Auditoren und koordiniert die Audit-Abläufe. - Tätigkeitsbericht Der DSB muss mindestens einmal jährlich in einem Bericht die Unternehmensleitung über seine Aktivitäten, den Stand seiner Arbeit sowie über seine Planung informieren.

10 Befugnisse - Der DSB hat ein Initiativ- und Einspruchsrecht verbunden mit einem direkten Kontrollrecht in sämtlichen Bereichen des Unternehmens. - Er ist berechtigt zu verlangen, dass Richtlinien, Anweisungen und Gesetze zum Datenschutz eingehalten werden. In Erfüllung seiner Aufgaben hat er ungehindertes Kontroll- und Zutrittsrecht im gesamten Unternehmen. - Der DSB ist über Vorhaben und Veränderungen bezüglich der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu informieren. Gegenüber der Leitung hat er ein direktes Vortragsrecht. In Zweifelsfällen kann sich der DSB an die zuständige Aufsichtsbehörde wenden.

11 Kontrolle der Pflichten von Führungskräften verfahrensbezogene Pflichten - Einhaltung der gesetzlichen und internen Regelungen - Einhaltung der gesetzlichen Dokumentation - Information des DSB vor Einführung neuer automatisierter Verfahren - bei kritischer Datenverarbeitung Einschaltung des DSB zur Durchführung einer Vorabkontrolle - bei Einschaltung Betriebsfremder im Zusammenhang mit der Verarbeitung personenbezogener Daten Information des DSB - Gewährleistung der Rechte des Betroffenen

12 mitarbeiterbezogene Pflichten - Gewährleistung der Verpflichtung aller Mitarbeiter auf das Datengeheimnis - Erstellung von Anweisungen hinsichtlich der Verarbeitungsbefugnisse - Sicherstellung der Sensibilisierung und Weiterbildung - Umsetzung der Kontrolle durch den DSB und die Führung Verschwiegenheitspflicht Der DSB unterliegt einer besonderen Verschwiegenheitspflicht, soweit er hiervon nicht ausdrücklichen durch den Betroffenen befreit wird!

13 Technisch-organisatorische Maßnahmen gemäß 9 BDSG und Anlage - Zutrittskontrolle Unbefugten ist der Zutritt zu den DV-Anlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. - Zugangskontrolle Es ist zu verhindern, dass DV-Programme von Unbefugten genutzt werden können. - Zugriffskontrolle Hier ist zu gewährleisten, dass die zur Benutzung eines DV-Programmes Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.

14 - Weitergabekontrolle Hier ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist - Eingabekontrolle Hier ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV- Programme eingegeben, verändert oder entfernt worden sind.

15 - Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. - Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. - Trennungskontrolle Hier ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

16 Sonnemann / Strelecki GbR Joachim Strelecki & Anke Sonnemann Bovermannstr Dortmund Fon / 31 Fax info@qudamed.de