Die EU-Datenschutz-Grundverordnung kommt

 

Den 25. Mai 2018 sollten Sie sich notieren. Ab diesem Tage gilt die EU-Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedsstaaten der EU. Gleichzeitig tritt eine Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Das Daten-schutzrecht wird neu strukturiert und an europäische Vorschriften angepasst.

 

Umfassender Datenschutz

Mit den Änderungen wird den Erfordernissen von Daten-verarbeitungen im Bereich der nationalen Sicherheit Rechnung getragen. Im Ergebnis bestehen damit weiterhin umfassende Regelungen, die den angemessenen Schutz personen-bezogener Daten gewährleisten und das Datenschutzrecht in das Zeitalter der Digitalisierung führen sollen. Grundsätzlich gilt: Wer personenbezogene Daten von EU-Bürgern verarbeitet, muss die DS-GVO einhalten!

 

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare „natürliche“ Person (betroffene Person) beziehen. Bestimmbar ist eine solche Person, wenn sie direkt oder indirekt von einem Verantwortlichen identifiziert werden kann, wenn dieser dazu zusätzliche Informationen heranzieht.

 

Für die Verarbeitung von Gesundheitsdaten, biometrischen Daten oder Daten von Kindern gelten besonders strenge Vorgaben. Therapeuten müssen daher wegen der Verarbeitung sensibler Daten auf alle Fälle einen Datenschutzbeauftragten bestellen.

 

Dürfen Daten überhaupt verarbeitet werden?

Daten dürfen mit der DS-GVO – vereinfacht dargestellt – in nachfolgenden Konstellationen verarbeitet werden:

 

1.      Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis zu erfüllen.
2.      Es liegt eine wirksame Einwilligung des Betroffenen vor.
3.      Es gibt eine gesetzliche Pflicht zur Datenverarbeitung (z. B. eine Aufbewahrungspflicht).
4.      Die Datenverarbeitung  ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder

          einer anderen natürlichen Person zu schützen.
5.      Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines

          Dritten erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen.

 

Konkrete Auswirkungen auf Unternehmen

Die Rechte der Betroffenen haben maßgeblich Auswirkungen auf Unternehmen. Es müssen geeignete Maßnahmen umgesetzt werden, um diese Rechte sicherzustellen. Daneben kommen mit der DS-GVO weitere Anforderungen und Neuerungen auf Unternehmen zu.

 

Unternehmen müssen durch geeignete Strategien und Maßnahmen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit der DS-GVO verarbeitet werden. Dazu werden explizit Nachweise gefordert. Unter anderem: Pflicht zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten; umfangreiche Dokumentationspflichten und Datenschutzfolgenabschätzungen; neue Vorgaben für Einwilligungserklärungen; Pflicht zur Datenportabilität; verschärfte Meldepflichten bei Datenpannen; „Recht auf Vergessenwerden“.

 

Fakt ist: Mit der neuen DS-GVO ergeben sich weitreichende Anpassungen für Ihr Unternehmen. Außerdem sind die Sanktionsmöglichkeiten erheblich gestiegen.

 

Jeder Verstoß gegen die Verordnung wird bestraft.

Ein Hauptgrund für Unternehmen, sich JETZT um die Umsetzung der DS-GVO zu kümmern: Ab Mai können Datenschutzverstöße mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens sanktioniert werden. 

 

Ein solches Datenschutzvergehen liegt bereits dann vor, wenn kein Datenschutzbeauftragter bestellt ist, obwohl mit gesundheitsbezogenen Daten gearbeitet wird. Ab dem 25.05.2018 werden Datenschutzverstöße somit zu einem echten Risiko für Praxen und Therapieeinrichtungen.

 

Die DS-GVO ist außerdem „hartes Compliance-Recht“: Die Nichteinhaltung kann u.U. zu der persönlichen Haftung von vertretungsberechtigten Personen führen (z.B. Geschäftsführer).

 

Kein Nachbessern!

Bei Verstößen in anderen Bereichen der unternehmerischen Tätigkeit erhält man als Inhaber häufig die Möglichkeit des Nachbesserns. Beim Datenschutz nicht. Hier führt mit der DS-GVO jedes Vergehen automatisch zu einer Bestrafung. Und diese muss laut DS-GVO wirksam, verhältnismäßig und abschreckend sein. Die Aufsichtsbehörden müssen allen gemeldeten Verstößen nachgehen und diese auch sanktionieren – ohne Ausnahmen.

 

Keine Übergangsfristen!

Viele Unternehmen gehen irrtümlich von einer Übergangsfrist aus und „schieben“ den Datenschutz noch vor sich her. Dies ist falsch und vor allem gefährlich! Die DS-GVO ist bereits im Mai 2016 in Kraft getreten und ist verbindlich und ausnahmslos ab dem 25. Mai 2018 anzuwenden. Das Ende der „Übergangsfrist“ ist also bereits fast erreicht! Es ist Zeit zu handeln.

Lassen Sie sich in jedem Fall beraten!

 

DSB-Direkt!

Die Einhaltung der DS-GVO bedeutet eine ganze Menge Arbeit, bei der Unternehmen sicher Unterstützung benötigen können. Die DSS Datenschutz & Service GmbH hat sich auf Datenschutz für Unternehmen der Gesundheits- und Fitnessbranche spezialisiert.

Exklusiv für die Leser unserer Publikationen haben wir eine sehr preisgünstige Sondervereinbarung mit der DSS Datenschutz & Service GmbH treffen können.

 

Ob es ratsam für Sie ist, einen Datenschutzbeauftragten zu bestimmen, können Sie anhand der folgenden Checkliste ermitteln. Die Liste erhebt keinen Anspruch auf Vollständigkeit und Rechtsverbindlichkeit.

Es handelt sich vielmehr um exemplarisches Anschauungsmaterial, das ein grobes Abbild zu den Richtlinien in Sachen Datenschutz und Schweigepflicht in der Therapeutenpraxis bietet.

Download
Checkliste zum Datenschutz in der Therapeutenpraxis
DSGV_Selbst_Check_kurz.pdf
Adobe Acrobat Dokument 302.3 KB
Download

Wenn Sie diese Thematik betrifft und Sie mehr zum "neuen" Datenschutz erfahren möchten, füllen Sie das folgende Formular aus.

Bitte den Code eingeben:

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.

Wir werden Ihre Anfrage an unseren Partner, die DSS Datenschutz & Service GmbH, weiterleiten.

Dort wird sich dann ein Experte mit Ihnen in Verbindung setzen, um Ihren Bedarf genau zu analysieren.