Verlag & Akademie

Wie gut ist Ihre Einrichtung in puncto Datenschutz aufgestellt?

07.03.2018

Die Einhaltung der Datenschutzvorschriften ist nicht nur eine gesetzliche Verpflichtung, auch Ihre Kunden möchten darauf vertrauen, dass ihre Daten bei Ihnen in sicheren Händen sind. Der sorgfältige Umgang mit Kundenunterlagen ist wahrscheinlich in Ihrer Einrichtung eine Selbstverständlichkeit. Allerdings bringt die zunehmende Nutzung der EDV die Gefahr mit sich, dass durch Unachtsamkeit oder technische Unzulänglichkeiten die Vertraulichkeit Ihrer Kundendaten nicht durchgängig gewährleistet ist.

Hier ist neben dem betrieblichen Datenschutzbeauftragten die Einrichtungsleitung gefordert, die erforderlichen Maßnahmen zur Sensibilisierung der Mitarbeiter und zum Schutz der Daten zu ergreifen.

Große Unsicherheit - welche Neuerungen der DSGVO müssen umgesetzt werden?

Sicher haben Sie schon gehört, dass ab Mai die Datenschutzgrundverordnung – kurz DSGVO – den Datenschutz neu regeln wird. Seminarankündigungen zum Thema weisen immer wieder auf „große Herausforderungen“ hin. Damit werden Datenschutzbeauftragte in teure Seminare gelockt.

Tatsächlich halten sich die anstehenden Änderungen in Grenzen. Alle Informationen, die Sie in unseren Artikeln zum Thema finden, sind derzeit und zukünftig gültig. Die gravierendste Änderung in der DSGVO besteht in der Anhebung der Strafen bei Verstößen. Zukünftig können Strafen bis zu 4 % des Jahresumsatzes eines Unternehmens bzw. bis zu 20 Millionen € verhängt werden. Für mich ist eine Strafandrohung jedoch definitiv keine „große Herausforderung“. Und es gibt auch für Sie keinen Grund, gleich mit der Höchststrafe zu rechnen. Setzen Sie einfach die folgenden Hinweise um und Sie sind auf der sicheren Seite.

Einige Daten sind "Sensibelchen"

Von allen Daten, die Sie erheben, sind die sogenannten „besonderen Arten von personenbezogenen Daten“ eine Teilmenge. Sie gelten als sensible Daten und müssen besonders sorgsam behandelt werden. Es handelt sich hierbei um Informationen über Ihre Kunden und Mitarbeiter im Hinblick auf

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder philosophische Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • Gesundheit und
  • Sexualleben.

Bei einem Missbrauch dieser Daten besteht eine Gefahr für das informationelle Selbstbestimmungsrecht des Betroffenen. Denn es ist das Recht jedes Menschen, über die Verwendung seiner personenbezogenen Daten zu bestimmen. Deshalb hat der Gesetzgeber festgelegt, dass die besonderen Arten personenbezogener Daten einen höheren Schutz beanspruchen. Das bedeutet, dass Sie als Einrichtung strenge Vorgaben berücksichtigen, wenn Sie solche sensiblen Daten erfassen und/oder bearbeiten. Grundsätzlich finden sich solche Informationen in Ihrer Einrichtung in Mitarbeiter- und Kundenakten. Besonders ist hier die Biografie Ihrer Kunden zu nennen, die sehr intime Details aus ihrem Leben enthalten kann.

Unter diesen 3 Voraussetzungen dürfen Sie Daten verarbeiten

Sie benötigen viele dieser oben genannten sensiblen Daten sowohl von Ihren Kunden als auch von Ihren Mitarbeitern. Dazu gehören z. B. Angaben zu Krankheiten Ihres Kunden, die Ihnen in Form von Arztberichten überlassen werden.

Diese benötigen Sie, um Ihren Pflegekunden optimal versorgen zu können. Auch die Religionszugehörigkeit Ihrer Kunden und Mitarbeiter wird von Ihnen erhoben. Das alles ist erforderlich und völlig in Ordnung, wenn

  1. es dem Zweck eines Vertrages oder der Vertragsanbahnung dient,
  2. eine Einwilligung des Betroffenen vorliegt und
  3. die Daten allgemein zugänglich sind, also z. B. der Betroffene sie selbst öffentlich gemacht hat.

Kennen Sie die Rechte Ihrer Kunden und Mitarbeiter?

Ihre Mitarbeiter und Kunden sollen selbst bestimmen können, welche Daten frei zugänglich sind. Jeder Mensch, dessen personenbezogene Daten verarbeitet werden, hat grundsätzlich das Recht auf Auskunft über gespeicherte Daten. Das bedeutet, dass Ihre Kunden bzw. deren Bevollmächtigte und Ihre Mitarbeiter Einsicht in ihre Akte nehmen dürfen. Sie können die Akte dort, wo sie aufbewahrt wird, einsehen. Das Einsichtsrecht berechtigt Ihre Kunden und Mitarbeiter auch dazu, gegen Kostenerstattung die Aushändigung von Kopien zu verlangen.

Zweck der Zusammenstellung der Daten ist nicht, dass Sie möglichst viele Informationen über jeden Kunden oder Mitarbeiter sammeln – die Akte ist definitiv kein Sammelalbum. Unzutreffende Daten müssen Sie berichtigen, unzulässig gespeicherte oder nicht mehr erforderliche Angaben löschen. So ist beispielsweise in Tarifverträgen oder Betriebsvereinbarungen festgehalten, wie lange eine Abmahnung in der Personalakte maximal verbleiben darf. Eine nicht korrekte Abmahnung des Mitarbeiters muss aus der Personalakte entfernt werden.

Diese gesetzlichen Anforderungen gibt es

Die wesentlichen Anforderungen finden Sie im Bundesdatenschutzgesetz oder zukünftig in der DSGVO. Dieses geht für Unternehmen vom Prinzip der Eigenkontrolle aus. Das bedeutet, dass zunächst die Geschäftsleitung selbst für die Einhaltung der Datenschutzvorschriften verantwortlich ist. Diese Eigenkontrolle soll nach dem Willen des Gesetzgebers durch einen Datenschutzbeauftragten ausgeübt werden. Für die Umsetzung haben Sie 2 Möglichkeiten: Sie beauftragen einen externen oder qualifizieren einen internen Datenschutzbeauftragten und definieren dessen Aufgabengebiet in einer schriftlichen Bestellung. Ich kann Ihnen an dieser Stelle keine Empfehlung geben, welche der beiden Varianten besser ist.

Schlussendlich zählt am Ende nur das Ergebnis. Sie brauchen einen zuverlässigen Ansprechpartner, der Ihre Einrichtung gut berät. Vielleicht machen Sie es von der Größe Ihrer Einrichtung abhängig. Für große Einrichtungen lohnt es sich sicher, die Stelle des Datenschutzbeauftragten intern zu besetzen. Unabhängig davon, ob Sie einen internen oder externen Beauftragten benennen, formulieren Sie eine schriftliche Bestellung zum Datenschutzbeauftragten, die sowohl von der Geschäftsleitung als auch vom Datenschutzbeauftragten unterschrieben wird.

Diese Voraussetzungen soll der Datenschutzbeauftragte erfüllen

Der Gesetzgeber hat für den Datenschutzbeauftragten kein festes Anforderungsprofil festgelegt. Als Voraussetzung sollen „Fachkunde“ und die „Zuverlässigkeit der Person“ vorliegen. Deshalb müssen Sie in Ihrer Einrichtung im Einzelfall prüfen, ob die Person, die zum Datenschutzbeauftragten bestellt werden soll, diesen Anforderungen genügt. Ich rate Ihnen, mit dem Datenschutz eine Person zu beauftragen, die branchenspezifisch die erforderlichen Kenntnisse mitbringt.

Gerade im Gesundheitswesen gibt es vielfältige Anforderungen, die beachtet werden müssen. Da ist es gut, wenn der Datenschutzbeauftragte „vom Fach“ ist. Schlussendlich sollte der Beauftragte über die nötigen rechtlichen Kenntnisse verfügen, um darauf aufbauend die Konsequenzen für die Einrichtung richtig einschätzen zu können. Das Bundesdatenschutzgesetz und auch die DGSVO verbieten Interessenskonflikte. Das bedeutet, dass die Geschäftsleitung die Aufgaben des Datenschutzbeauftragten definitiv nicht übernehmen darf.

Muster: Bestellung für den Datenschutzbeauftragten

Beauftragter für den Datenschutz

Unter Bezugnahme auf die mit Ihnen geführten Vorgespräche bestelle ich Sie hiermit zum Beauftragten für den Datenschutz in unserem Unternehmen.

In Erfüllung Ihrer Aufgaben als Datenschutzbeauftragter sind Sie der Geschäftsleitung unmittelbar unterstellt. Im Rahmen der Geschäftsleitung ist für den Bereich Datenschutz in erster Linie Herr Schmidt zuständig. Sie sind bei der Anwendung Ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und werden bei der Erfüllung Ihrer Aufgaben von der Geschäftsleitung unterstützt.

Ihre Aufgabe ist es, auf die Einhaltung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz in unserem Unternehmen hinzuwirken. Zu diesem Zweck können Sie sich in Zweifelsfällen an die für unser Unternehmen zuständige Datenschutzaufsichtsbehörde wenden. Ihre gesetzlichen Pflichten sind insbesondere,

  • die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck werden Sie über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig unterrichtet sowie
  • die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden Erfordernisse für den Datenschutz, vertraut zu machen.

Auf Ihre Verschwiegenheitspflicht hinsichtlich der Identität von Betroffenen sowie der Umstände, die Rückschlüsse auf die Betroffenen zulassen – soweit Sie nicht davon durch die Betroffenen ausdrücklich befreit sind – weise ich Sie besonders hin.

Die Übersicht nach § 4g Abs. 2 BDSG wird durch Sie geführt.

Gehen Sie als Datenschutzbeauftragter in Ihrer Einrichtung auf "Datensuche"

Wenn Sie sich einen ersten Überblick verschaffen wollen, gehen Sie als Erstes in die Verwaltung Ihrer Einrichtung. Hier können Sie gebündelt erfahren, welche Daten Ihrer Kunden und Mitarbeiter zu welchem Zweck erhoben und weiterverarbeitet werden. Wenn Sie Glück haben, ist in Ihrer Einrichtung schon ein sogenanntes „Verfahrensverzeichnis“ erarbeitet worden. Dieses dient der Bestandsaufnahme über die laufende Verarbeitung personenbezogener Daten. Gemeint ist hiermit ein Überblick über die Verarbeitungsstrukturen von Daten in der Einrichtung. Konkret sind hierunter Verarbeitungspakete zu verstehen, z. B. im Zusammenhang mit der Kunden- und Personalverwaltung.

Das Verfahrensverzeichnis ist der Dreh- und Angelpunkt

Es ist die Aufgabe der Geschäftsleitung Ihrer Einrichtung, dem Datenschutzbeauftragten eine Übersicht zu insgesamt 9 Punkten bereitzustellen. Nicht alle Einrichtungen haben diese Aufgabe schon erledigt. Das mag daran liegen, dass es im Datenschutz – wenn überhaupt – nur anlassbezogene Prüfungen gibt. Damit ist die Motivation, hier tätig zu werden, in vielen Einrichtungen gering. Trotzdem bietet das Verfahrensverzeichnis eine gute Grundlage, um sich einen ersten Überblick zu verschaffen. Das Verfahrensverzeichnis besteht aus insgesamt 9 Punkten.

Damit Sie mit wenig Aufwand ein solches Verfahrensverzeichnis erstellen können, finden Sie im nachfolgenden Muster die wichtigsten Punkte 5 und 6:

So gehen Sie mit dem Muster "Verfahrensverzeichnis" um

Das Muster sollten Sie mit der Einrichtungsleitung und dem Mitarbeiter in der Verwaltung Punkt für Punkt durchsprechen. Streichen Sie nicht zutreffende Aspekte und ergänzen Sie Inhalte, die für Ihre Einrichtung relevant sind.

Grundsätzlich geht es im Datenschutz um „Datensparsamkeit“. Das bedeutet, dass keine unnötigen Daten erhoben werden sollen. Hinterfragen Sie bei Unklarheit deshalb immer den Zweck, zu dem die Daten erfragt werden. Grundsätzlich sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn das Datenschutzgesetz dies erlaubt oder der Betroffene eingewilligt hat. Die Einwilligung soll auf einer freien Entscheidung beruhen und schriftlich vorliegen. Sie werden feststellen, dass es in Ihrem Heim- oder Pflegevertrag viele Einzeldokumente gibt, die der Kunde gesondert unterschreiben muss. Hierzu gehört z. B. die Einwilligung zur (Wund-)Fotografie oder zur Pflegeüberleitung.

So handhaben Sie das Verfahrensverzeichnis richtig

Der hier behandelte Teil des Verfahrensverzeichnisses hilft nicht nur dem Datenschutzbeauftragten bei seiner Arbeit. Es wird auch umgangssprachlich „Jedermann- Verzeichnis“ genannt. Das bedeutet, dass das Verzeichnis öffentlich zugänglich sein soll. Also sollen neben dem Datenschutzbeauftragten auch unbeteiligte Dritte hier Einblick nehmen können. Für Öffentlichkeit sorgen Sie, indem Sie auf Ihrer Homepage eine Erklärung zum Datenschutz abgeben. Dazu sind Sie verpflichtet. Sie müssen aber hier nicht Ihr Verfahrensverzeichnis 1:1 abbilden.

Informieren Sie aber Ihre Interessenten über wichtige Punkte. Dazu gehört z. B. der Hinweis, dass Sie Daten über den Zugriff auf Ihre Website auswerten. Auch eine Aussage, wie Sie mit personenbezogenen Daten verfahren, ist wichtig. Weisen Sie außerdem Ihren Interessenten beständig auf sein Recht auf Auskunft und die Berichtigung von unrichtigen Daten hin.

Diese Vorteile bietet Ihnen das Verfahrensverzeichnis

Sicher bringt das Erstellen des Verfahrensverzeichnisses einen gewissen Aufwand mit sich. Demgegenüber stehen allerdings 3 beachtliche Vorteile:

  1. Die Arbeit des Datenschutzbeauftragten wird erheblich erleichtert.
  2. Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz muss das Verfahrensverzeichnis vorgelegt werden.
  3. Da Kunden und Mitarbeiter einen Anspruch auf Auskünfte haben, lohnt es sich, wenn die Übersicht schon vorhanden ist.
Nein, Danke

Nein, Danke

Nein, Danke

Nein, Danke

Qualitäts-Management aktuell

1 x in der Woche finden Sie in unserem kostenlosen E-Mail-Newsletter PPM Qualitäts-Management aktuelle Tipps zur Qualitätssteigerung.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Palliativpflege heute

News und Praxistipps für eine professionelle Palliativpflege – speziell für Pflegekräfte in stationären und ambulanten Einrichtungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Menschen mit Demenz professionell pflegen

Wichtige Informationen zum Thema Pflege und Betreuung bei Demenz. So bewältigen Sie als Pflegefachkraft die speziellen Herausforderungen.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen. Datenschutz-Hinweis

Nein, Danke

Nein, Danke

Nie mehr den Überblick verlieren!

Holen Sie sich Hilfe für Ihre stationäre Pflege!

In nur 15 Minuten über das Wichtigste informiert sein.

  • Pflegekokumentation
  • Mitarbeiterführung
  • Haftungsrecht
  • Nein, Danke

    Nein, Danke